TLS 암호화를 사용하여 CRES 보안 암호화 서비스 메시지 회신 구성

다운로드 옵션

PDF (366.9 KB)
다양한 디바이스에서 Adobe Reader로 보기
ePub (79.7 KB)
iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
Mobi (Kindle) (66.2 KB)
Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기

업데이트:2019년 9월 12일

문서 ID:118539

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

소개

이 문서에서는 Secure Envelope 첨부 파일 대신 CRES 인바운드 보안 회신에 대한 TLS 암호화를 구성하는 작업에 대해 설명합니다.

Cisco RES: TLS를 사용하여 암호화되지 않은 RES 응답을 보호하는 방법

기본적으로 보안 이메일에 대한 회신은 Cisco RES에 의해 암호화되어 메일 게이트웨이로 전송됩니다. 그런 다음 최종 사용자가 Cisco RES 자격 증명으로 열 수 있도록 암호화된 메일 서버로 전달됩니다.

Cisco RES 보안 메시지 응답을 열 때 사용자 인증이 필요하지 않도록 하기 위해 Cisco RES는 TLS(Transport Layer Security)를 지원하는 메일 게이트웨이에 "암호화되지 않은" 형식으로 전달합니다. 대부분의 경우 메일 게이트웨이는 Cisco ESA(Email Security Appliance)이며 이 문서가 적용됩니다.

그러나 외부 스팸 필터와 같이 ESA 앞에 있는 다른 메일 게이트웨이가 있는 경우 ESA에서 인증서/TLS/메일 플로우 컨피그레이션을 수행할 필요가 없습니다. 이 경우 이 문서의 솔루션 섹션에서 1~3단계를 건너뛸 수 있습니다. 암호화되지 않은 회신이 이 환경에서 작동하려면 외부 스팸 필터(메일 게이트웨이)가 TLS를 지원해야 하는 어플라이언스입니다. TLS를 지원하는 경우 Cisco RES에서 이를 확인하도록 하고 보안 이메일에 대한 "암호화되지 않은" 회신을 설정하도록 할 수 있습니다.

발신자 정책 프레임워크

SPF(Sender Policy Framework) 확인 실패를 방지하려면 SPF 레코드에 이 값을 추가합니다.

CRES(Cisco Registered Envelope Service) SPF 레코드 값은 이 테이블의 IP/호스트 이름인 "Hostnames and IP Addresses"와 일치합니다.

Cisco 제공 SPF 메커니즘을 사용하는 출력:

~ dig txt res.cisco.com +short
"v=spf1 mx:res.cisco.com exists:%{i}.spf.res.cisco.com -all"

기존 SPF 레코드에 이 메커니즘을 추가합니다.

include:res.cisco.com

새로운 res.cisco.com 메커니즘이 포함된 FAKE/테스트 SPF 레코드의 예:

"v=spf1 mx:sampleorg1.com ip4:1.2.3.4 include:res.cisco.com -all"

Cisco RES를 SPF 레코드에 추가하는 위치 및 방법은 네트워크 토폴로지 내에서 DNS(Domain Name System)가 구현되는 방식에 따라 달라집니다. 자세한 내용은 DNS 관리자에게 문의하십시오.

DNS가 Cisco RES를 포함하도록 구성되지 않은 경우 보안 작성 및 보안 회신이 생성되어 호스트된 키 서버를 통해 전달되면 발신 IP 주소가 수신자 끝에 나열된 IP 주소와 일치하지 않아 SPF 확인이 실패합니다.

호스트 이름 및 IP 주소

호스트 이름	IP 주소	레코드 유형
res.cisco.com	184.94.241.74	A
mxnat1.res.cisco.com	208.90.57.32	A
mxnat2.res.cisco.com	208.90.57.33	A
mxnat3.res.cisco.com	184.94.241.96	A
mxnat4.res.cisco.com	184.94.241.97	A
mxnat5.res.cisco.com	184.94.241.98	A
mxnat6.res.cisco.com	184.94.241.99	A
mxnat7.res.cisco.com	208.90.57.34	A
mxnat8.res.cisco.com	208.90.57.35	A
esa1.cres.iphmx.com	68.232.140.79	MX
esa2.cres.iphmx.com	68.232.140.57	MX
esa3.cres.iphmx.com	68.232.135.234	MX
esa4.cres.iphmx.com	68.232.135.235	MX

참고: 호스트 이름과 IP 주소는 서비스/네트워크 유지 관리 또는 서비스/네트워크 증가에 따라 변경될 수 있습니다. 모든 호스트 이름 및 IP 주소가 서비스에 사용되는 것은 아닙니다. 참고할 수 있도록 제공됩니다.

솔루션

ESA에서 서명된 인증서 및 중간 인증서를 가져오고 설치합니다.

참고: 어플라이언스에서 제공되는 데모 인증서로 인해 CRES 확인 프로세스가 실패하므로 서명 기관으로부터 중간 인증서를 받아야 합니다.
새 메일 플로우 정책을 생성합니다.
1. GUI에서 를 선택합니다Mail Policies > Mail Flow Policies > Add Policy.

 새 Sender Group 생성: 
      
      GUI에서 를 선택합니다Mail Policies > HAT Overview > Add Sender Group. 
       이름을 입력하고 주문 번호를 #1로 설정합니다. 선택 사항인 설명을 입력할 수도 있습니다. 2단계에서 생성한 메일 플로우 정책을 선택합니다. 다른 것은 모두 비워 두세요.
 andSubmit 를Add Senders 클릭합니다.
  
     
 
 Sender(발신자) 필드에 다음 IP 범위 및 호스트 이름을 입력합니다. .res.cisco.com
.cres.iphmx.com
208.90.57.0/26 (current CRES IP network range)
204.15.81.0/26 (old CRES IP network range)
 
  변경 사항을 제출하고 커밋합니다.
 
 ESA가 Cisco RES 서버에서 TLS 암호화를 협상할 준비가 되었다고 확신하면 CRES 관리 포털의 단계를 따르십시오. 내 도메인이 Cisco RES를 사용하는 TLS를 지원하는지 테스트하려면 어떻게 합니까?

`관련 정보`

 Cisco RES: 키 서버의 IP 주소 및 호스트 이름
 Cisco Email Security Appliance − 엔드 유저 가이드
 기술 지원 및 문서 − Cisco Systems

개정 이력

개정	게시 날짜	의견
1.0	09-Oct-2014	최초 릴리스

Cisco 엔지니어가 작성

로버트 셔윈
Cisco TAC 엔지니어
크리스 아렐라노
Cisco TAC 엔지니어

이 문서가 도움이 되셨습니까?

피드백

지원 문의

지원 케이스 접수
(시스코 서비스 계약 필요)