ESA에서 전달 시 TLS 협상 제어

다운로드 옵션

  • PDF     (425.0 KB)
    다양한 디바이스에서 Adobe Reader로 보기
  • ePub     (262.1 KB)
    iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
  • Mobi (Kindle)     (128.6 KB)
    Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기
업데이트:2018년 4월 16일
문서 ID:118955

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

    소개

    이 문서에서는 ESA(Email Security Appliance)에서 전달 시 TLS(Transport Layer Security) 협상을 제어하는 방법에 대해 설명합니다.

    RFC 3207에 정의된 대로, "TLS는 SMTP 서비스에 대한 확장으로서 SMTP 서버 및 클라이언트가 전송 계층 보안을 사용하여 인터넷을 통해 인증된 비공개 통신을 제공할 수 있도록 합니다. TLS는 개인 정보 보호 및 인증을 통해 TCP 통신을 강화하기 위해 널리 사용되는 메커니즘입니다."

    전송 시 TLS 활성화

    이 문서에 설명된 다음 방법 중 하나로 특정 도메인에 대한 이메일 전달을 위해 STARTTLS를 요구할 수 있습니다.

    • CLI destconfig 명령 사용합니다.
    • GUI에서 Mail Policies(메일 정책) > Destination Controls(대상 제어)를 선택합니다.

    Destination Controls(대상 제어) 페이지 는 destconfig 명령을 사용하면 도메인을 포함할 때 지정된 도메인에 대해 TLS에 대해 5가지 설정을 지정할 수 있습니다. 또한 도메인의 검증이 필요한지 여부를 지정할 수 있습니다.

    TLS 설정 정의

    TLS 설정 의미
    기본값 Destination Controls(대상 제어) 페이지 또는 destconfig -> default 하위 명령을 사용할 때 설정되는 기본 TLS 설정으로, 리스너에서 도메인의 MTA(Message Transfer Agent)로의 발신 연결에 사용됩니다. "이 도메인에 대해 특정 TLS 설정을 적용하시겠습니까?"라는 질문에 no로 대답하면 "기본값"이 설정됩니다.
    1. 아니요 인터페이스에서 도메인의 MTA로의 발신 연결에 대해서는 TLS가 협상되지 않습니다.
    2. 기본 설정 TLS는 ESA 인터페이스에서 도메인에 대한 MTA로 협상됩니다. 그러나 TLS 협상이 실패하면(220 응답을 수신하기 전에) SMTP 트랜잭션이 "암호화되지 않은 상태로" 계속됩니다. 인증서가 신뢰할 수 있는 인증 기관에서 시작되었는지 확인하려는 시도가 없습니다. 220 응답을 수신한 후 오류가 발생하면 SMTP 트랜잭션이 일반 텍스트로 돌아가지 않습니다.
    3. 필수 TLS는 ESA 인터페이스에서 도메인에 대한 MTA로 협상됩니다. 도메인의 인증서를 확인하려는 시도가 없습니다. 협상이 실패하면 연결을 통해 이메일이 전송되지 않습니다. 협상이 성공하면 메일은 암호화된 세션을 통해 전달됩니다.
    4. 기본 설정(확인) TLS는 ESA에서 도메인에 대한 MTA로 협상됩니다. 어플라이언스가 도메인의 인증서를 확인하려고 합니다.3가지 결과가 발생할 수 있습니다.
    • TLS가 협상되고 인증서가 검증됩니다. 메일은 암호화된 세션을 통해 전달됩니다.
    • TLS가 협상되지만 인증서는 확인되지 않습니다. 메일은 암호화된 세션을 통해 전달됩니다.
    • 어떤 TLS 연결도 이루어지지 않으며, 그 후에는 인증서가 검증되지 않습니다. 이메일 메시지는 일반 텍스트로 전달됩니다.
    5. 필수(확인) TLS는 ESA에서 도메인에 대한 MTA로 협상됩니다. 도메인 인증서를 확인해야 합니다. 다음과 같은 세 가지 결과를 얻을 수 있습니다.
    • TLS 연결이 협상되고 인증서가 검증됩니다. 이메일 메시지는 암호화된 세션을 통해 전달됩니다.
    • TLS 연결이 협상되지만 인증서는 신뢰할 수 있는 CA(Certificate Authority)에 의해 검증되지 않습니다. 우편물이 배달되지 않습니다
    • TLS 연결은 협상되지 않습니다. 우편물이 배달되지 않습니다
    6. 필수 - 호스팅된 도메인 확인

    TLS Required - VerifyTLS Required - Verify Hosted Domain 옵션 간의 차이는 ID 확인 프로세스에 있습니다. 제시된 ID가 어떻게 처리되는지, 어떤 유형의 참조 식별자가 사용되도록 허용되는지가 최종 결과에 대한 차이를 만든다.

    제시된 ID는 먼저 dNSName 유형의 subjectAltName 확장에서 파생됩니다. dNSName과 허용된 참조 ID(REF-ID) 중 하나가 일치하지 않으면 주체 필드에 CN이 있는지 여부에 관계없이 확인이 실패하고 추가 ID 확인을 통과할 수 있습니다. 주체 필드에서 파생된 CN은 인증서에 dNSName 유형의 subjectAltName 확장이 포함되어 있지 않은 경우에만 검증됩니다.

    자세한 내용은 Cisco Email Security의 TLS 확인 프로세스를 참조하십시오.

    GUI에서 TLS 활성화

    1. Monitor(모니터링) > Destination Controls(대상 컨트롤)를 선택합니다.
    2. Add Destination(대상 추가)을 클릭합니다.
    3. Destination 필드에 대상 도메인을 추가합니다.
    4. TLS Support(TLS 지원) 드롭다운 목록에서 TLS 지원 방법을 선택합니다.
    5. 변경 사항을 제출하려면 Submit(제출)을 클릭합니다.

    118955-Control-TLS-Negotiation-ESA-00-00.png

    CLI에서 TLS 활성화

    이 예에서는 destconfig 명령을 사용하여 도메인 example.com에 대해 TLS 연결 및 암호화된 대화를 요청합니다. 이 예에서는 어플라이언스에 사전 설치된 데모 인증서를 사용하는 도메인에 TLS가 필요하다는 것을 보여 줍니다. 테스트 목적으로 데모 인증서로 TLS를 활성화할 수 있지만, 안전하지 않으며 일반적인 용도로는 권장되지 않습니다.

    "이 도메인에 대해 특정 TLS 설정을 적용하시겠습니까?"라는 질문에 no로 대답하면 "기본값"이 설정됩니다. yes()로 답한 경우 No(아니요), Preferred(선호) 또는 Required(필수)를 선택합니다.

    ESA> destconfig

    Choose the operation you want to perform:
    - SETUP - Change global settings.
    - NEW - Create a new entry.
    - EDIT - Modify an entry.
    - DELETE - Remove an entry.
    - DEFAULT - Change the default.
    - LIST - Display a summary list of all entries.
    - DETAIL - Display details for one destination or all entries.
    - CLEAR - Remove all entries.
    - IMPORT - Import tables from a file.
    - EXPORT - Export tables to a file.
    []> new

    Enter the domain you wish to configure.
    []> example.com
    Choose the operation you want to perform:
    - SETUP - Change global settings.
    - NEW - Create a new entry.
    - EDIT - Modify an entry.
    - DELETE - Remove an entry.
    - DEFAULT - Change the default.
    - LIST - Display a summary list of all entries.
    - DETAIL - Display details for one destination or all entries.
    - CLEAR - Remove all entries.
    - IMPORT - Import tables from a file.
    - EXPORT - Export tables to a file.
    []> new

    Enter the domain you wish to configure.
    []> example.com

    Do you wish to configure a concurrency limit for example.com? [Y]> N

    Do you wish to apply a messages-per-connection limit to this domain? [N]> N

    Do you wish to apply a recipient limit to this domain? [N]> N

    Do you wish to apply a specific TLS setting for this domain? [N]> Y

    Do you want to use TLS support?
    1. No
    2. Preferred
    3. Required
    4. Preferred - Verify
    5. Required - Verify
    6. Required - Verify Hosted Domains 
    [1]> 3

    You have chosen to enable TLS. Please use the 'certconfig' command to
     ensure that there is a valid certificate configured.

    Do you wish to apply a specific bounce verification
     address tagging setting for this domain? [N]> N

    Do you wish to apply a specific bounce profile to this domain? [N]> N

    Do you wish to apply a specific IP sort preference to this domain? [N]> N

    There are currently 3 entries configured.

    Choose the operation you want to perform:
    - SETUP - Change global settings.
    - NEW - Create a new entry.
    - EDIT - Modify an entry.
    - DELETE - Remove an entry.
    - DEFAULT - Change the default.
    - LIST - Display a summary list of all entries.
    - DETAIL - Display details for one destination or all entries.
    - CLEAR - Remove all entries.
    - IMPORT - Import tables from a file.
    - EXPORT - Export tables to a file.
    []> list

                 Rate               Bounce        Bounce     IP Version  
    Domain       Limiting  TLS      Verification  Profile    Preference  
    ===========  ========  =======  ============  =========  ============
    example.com  Default   On       Default       Default    Default     
    (Default)    On        Off      Off           (Default)  Prefer IPv6

    개정 이력

    개정 게시 날짜 의견
    1.0
    11-May-2015
    최초 릴리스
    TAC Authored

    Cisco 엔지니어가 작성

    • 제리 오로나
      Cisco TAC 엔지니어
    • 엔리코 베르너
      Cisco TAC 엔지니어

    이 문서가 도움이 되셨습니까?

    Feedback피드백

    지원 문의

    이 문서가 적용되는 제품