このドキュメントでは、Eメールセキュリティアプライアンス(ESA)のリスナーでTransport Layer Security(TLS)を有効にする方法について説明します。
このドキュメントに関する固有の要件はありません。
このドキュメントの情報は、すべてのAsyncOSバージョンのESAに基づくものです。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。
着信接続の暗号化を必要とするリスナーに対してTLSを有効にする必要があります。インターネットに接続するリスナー(パブリックリスナー)ではTLSを有効にし、内部システムのリスナー(プライベートリスナー)では有効にしない場合があります。または、すべてのリスナーに対して暗号化を有効にすることもできます。デフォルトでは、プライベートリスナーもパブリックリスナーもTLS接続を許可しません。リスナーのホストアクセステーブル(HAT)でTLSを有効にして、インバウンド(受信)またはアウトバウンド(送信)の電子メールのTLSを有効にする必要があります。また、プライベートリスナーとパブリックリスナーのメールフローポリシー設定では、デフォルトでTLSが「オフ」になっています。
リスナーのTLSには、次の3つの異なる設定を指定できます。
設定値 | 意味 |
---|---|
いいえ | 着信接続ではTLSは許可されません。リスナーへの接続には、暗号化されたシンプルメール転送プロトコル(SMTP)カンバセーションは必要ありません。これは、アプライアンスで設定するすべてのリスナーのデフォルト設定です。 |
Preferred | TLSは、メッセージ転送エージェント(MTA)からリスナーへの着信接続に使用できます。 |
Required | MTAからリスナーへの着信接続に対してTLSが許可され、STARTTLSコマンドが受信されるまで、ESAはNo Option(NOOP)、EHLO、またはQUIT以外のすべてのコマンドにエラーメッセージで応答します。TLSが「必須」の場合、送信者がTLSによる暗号化を希望しない電子メールは、送信前にESAによって拒否され、クリアテキストの送信ができなくなります。 |
次のステップを実行します。
Do you want to allow encrypted TLS connections?
1. No
2. Preferred
3. Required
[1]>3
You have chosen to enable TLS. Please use the 'certconfig' command to
ensure that there is a valid certificate configured.
この例では、certconfigコマンドを使用して、リスナーで使用できる有効な証明書があることを確認するように求められています。証明書を作成していない場合、リスナーはアプライアンスにプリインストールされているデモンストレーション証明書を使用します。テスト目的で、デモ証明書において TLS を有効にすることはできますが、セキュアではないため、通常の使用には推奨できません。listenerconfig > edit > certificateコマンドを使用して、リスナーに証明書を割り当てます。
TLSを設定すると、設定はCLIのリスナーのサマリーに反映されます。
Name: Inboundmail
Type: Public
Interface: PublicNet (192.168.2.1/24) TCP Port 25
Protocol: SMTP
Default Domain:
Max Concurrency: 1000 (TCP Queue: 50)
Domain map: disabled
TLS: Required
このセクションでは、設定が正常に動作していることを確認します。
このセクションでは、設定のトラブルシューティングに役立つ情報を紹介します。
TLS接続を必要とするドメインにメッセージが配信されるときにTLSネゴシエーションが失敗する場合に、ESAがアラートを送信するかどうかを指定できます。アラートメッセージには、失敗したTLSネゴシエーションの宛先ドメインの名前が含まれています。ESAは、システムアラートタイプの警告の重大度レベルのアラートを受信するように設定されたすべての受信者にアラートメッセージを送信します。アラートの受信者は、GUIのSystem Administration > Alertsページ(またはCLIのalertconfigコマンド)で管理できます。
改定 | 発行日 | コメント |
---|---|---|
1.0 |
08-May-2015 |
初版 |