ESA 上の送信での TLS ネゴシエーションの制御

ダウンロード オプション

  • PDF     (470.3 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (262.9 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (130.3 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2018 年 4 月 16 日
Document ID:118955

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

    はじめに

    このドキュメントでは、E メール セキュリティ アプライアンス(ESA)での配信時に Transport Layer Security(TLS)ネゴシエーションを制御する方法について説明します。

    RFC 3207 で定義されるように、「TLS は、SMTP サーバとクライアントが transport-layer security を使用して、インターネット上でプライベートな認証通信を提供できるようにする SMTP サービスの拡張です。TLS は、TCP 通信をプライバシーな認証で強化する一般的なメカニズムです」。

    配信時の TLS の有効化

    このドキュメントに記載されている次のいずれかのメソッドで、特定のドメインへの電子メール配信に STARTTLS を要求できます。

    • CLI destconfig コマンドを使用する。
    • GUI から [Mail Policies] > [Destination Controls] を選択する。

    ドメインを含む場合、[Destination Controls] ページまたは destconfig コマンドにより、特定のドメインの TLS に 5 種類の設定が可能です。また、ドメインの検証が必要かどうかを決定できます。

    TLS の設定の定義

    TLS の設定 意味
    デフォルト リスナーからドメインのメッセージ転送エージェント(MTA)への発信接続に [Destination Controls] ページまたは destconfig -> default サブコマンドを使用する場合に設定する、デフォルトの TLS 設定です。「Do you wish to apply a specific TLS setting for this domain?」という質問にnoと答えると、「Default」の値が設定されます。
    1. いいえ インターフェイスからドメインの MTA への発信接続には、TLS がネゴシエートされません。
    2. 推奨 ESA インターフェイスからドメインの MTA への TLS がネゴシエートされます。ただし、(220応答を受信する前に)TLSネゴシエーションが失敗した場合、SMTPトランザクションは「暗号化されていない」状態で続行されます。証明書が信頼できる認証局によって発行された場合、検証は行われません。220 応答を受信した後にエラーが発生した場合、SMTP トランザクションはクリア テキストにフォールバックされません。
    3. 必須 ESA インターフェイスからドメインの MTA への TLS がネゴシエートされます。ドメインの証明書の確認は行われません。ネゴシエーションに失敗すると、電子メールはその接続を介して送信されません。ネゴシエーションに成功すると、暗号化されたセッションを経由して電子メールが配信されます。
    4. 推奨(検証) ESA からドメインの MTA への TLS がネゴシエートされます。アプライアンスはドメインの証明書の検証を試みます。次の3つの結果が考えられます。
    • TLS がネゴシエートされ、証明書が検証される。暗号化されたセッションによってメールが配信される。
    • TLS がネゴシエートされるものの、証明書は検証されない。暗号化されたセッションによってメールが配信される。
    • TLS 接続が確立されず、証明書は検証されない。電子メール メッセージがプレーン テキストで配信される。
    5. 必須(検証) ESA からドメインの MTA への TLS がネゴシエートされます。ドメインの証明書の確認が必要です。次の 3 つの結果が考えられます。
    • TLS 接続がネゴシエートされ、証明書が検証される。暗号化されたセッションによって電子メール メッセージが配信される。
    • TLS 接続がネゴシエートされるものの、信頼できる証明機関(CA)によって証明書が確認されない。メールは配信されない。
    • TLS 接続がネゴシエートされない。メールは配信されない。
    6. 必須 – ホステッドドメインの確認

    TLS Required - VerifyオプションとTLS Required - Verify Hosted Domainオプションの違いは、ID検証プロセスにあります。提示されたIDの処理方法と、使用できる参照識別子のタイプによって、最終結果に違いが生じます。

    表示されるIDは、最初にタイプdNSNameのsubjectAltName拡張から取得されます。dNSNameと承認済みの参照ID(REF-ID)の1つが一致しない場合、CNが件名フィールドに存在しても検証は失敗し、それ以上のID検証を渡すことができます。subjectフィールドから派生したCNは、証明書にdNSName型のsubjectAltName拡張が含まれていない場合にのみ検証されます。

    詳細については、「Cisco EメールセキュリティのTLS検証プロセス」を参照してください。

    GUI での TLS の有効化

    1. [Montior] > [Destination Controls] を選択します。
    2. [Add Destination] をクリックします。
    3. [Destination] フィールドに宛先ドメインを追加します。
    4. [TLS Support] ドロップダウン リストから TLS のサポート方法を選択します。
    5. [Submit] をクリックして変更を保存します。

    118955-Control-TLS-Negotiation-ESA-00-00.png

    CLI での TLS の有効化

    この例では、ドメイン example.com の TLS 接続および暗号化されたカンバセーションを要求するため、destconfig コマンドを使用します。この例は、アプライアンスにあらかじめインストールされているデモ証明書を使用するドメインには TLS が必要であることを示しています。テスト目的で、デモ証明書において TLS を有効にすることはできますが、セキュアではないため、通常の使用には推奨できません。

    「Do you wish to apply a specific TLS setting for this domain?」という質問にnoと答えると、「Default」の値が設定されます。 yes と回答する場合、NoPreferred、または Required を選択します。

    ESA> destconfig

    Choose the operation you want to perform:
    - SETUP - Change global settings.
    - NEW - Create a new entry.
    - EDIT - Modify an entry.
    - DELETE - Remove an entry.
    - DEFAULT - Change the default.
    - LIST - Display a summary list of all entries.
    - DETAIL - Display details for one destination or all entries.
    - CLEAR - Remove all entries.
    - IMPORT - Import tables from a file.
    - EXPORT - Export tables to a file.
    []> new

    Enter the domain you wish to configure.
    []> example.com
    Choose the operation you want to perform:
    - SETUP - Change global settings.
    - NEW - Create a new entry.
    - EDIT - Modify an entry.
    - DELETE - Remove an entry.
    - DEFAULT - Change the default.
    - LIST - Display a summary list of all entries.
    - DETAIL - Display details for one destination or all entries.
    - CLEAR - Remove all entries.
    - IMPORT - Import tables from a file.
    - EXPORT - Export tables to a file.
    []> new

    Enter the domain you wish to configure.
    []> example.com

    Do you wish to configure a concurrency limit for example.com? [Y]> N

    Do you wish to apply a messages-per-connection limit to this domain? [N]> N

    Do you wish to apply a recipient limit to this domain? [N]> N

    Do you wish to apply a specific TLS setting for this domain? [N]> Y

    Do you want to use TLS support?
    1. No
    2. Preferred
    3. Required
    4. Preferred - Verify
    5. Required - Verify
    6. Required - Verify Hosted Domains 
    [1]> 3

    You have chosen to enable TLS. Please use the 'certconfig' command to
     ensure that there is a valid certificate configured.

    Do you wish to apply a specific bounce verification
     address tagging setting for this domain? [N]> N

    Do you wish to apply a specific bounce profile to this domain? [N]> N

    Do you wish to apply a specific IP sort preference to this domain? [N]> N

    There are currently 3 entries configured.

    Choose the operation you want to perform:
    - SETUP - Change global settings.
    - NEW - Create a new entry.
    - EDIT - Modify an entry.
    - DELETE - Remove an entry.
    - DEFAULT - Change the default.
    - LIST - Display a summary list of all entries.
    - DETAIL - Display details for one destination or all entries.
    - CLEAR - Remove all entries.
    - IMPORT - Import tables from a file.
    - EXPORT - Export tables to a file.
    []> list

                 Rate               Bounce        Bounce     IP Version  
    Domain       Limiting  TLS      Verification  Profile    Preference  
    ===========  ========  =======  ============  =========  ============
    example.com  Default   On       Default       Default    Default     
    (Default)    On        Off      Off           (Default)  Prefer IPv6

    更新履歴

    改定 発行日 コメント
    1.0
    11-May-2015
    初版
    TAC Authored

    シスコ エンジニア提供

    • ジェリーオロナ
      Cisco TACエンジニア
    • エンリコ・ウェルナー
      Cisco TACエンジニア

    このドキュメントは役に立ちましたか?

    Feedbackフィードバック

    シスコに問い合わせ

    このドキュメントは次の製品に対応しています