CRES Secure Encryption Service-berichtantwoorden configureren met behulp van TLS-encryptie

Downloadopties

  • PDF     (255.8 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (88.0 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (75.6 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:12 september 2019
Document-id:118539

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft acties om TLS-encryptie te configureren voor CRES inkomende beveiligde antwoorden in plaats van een bijlage Secure Envelope.

    Cisco RES: Hoe TLS te gebruiken om ongecodeerde RES-antwoorden te beveiligen

    Antwoorden op een beveiligde e-mail worden standaard versleuteld door Cisco RES en verzonden naar uw e-mailgateway. Vervolgens worden de gegevens doorgegeven aan uw mailservers die voor de eindgebruiker zijn versleuteld om ze met hun Cisco RES-referenties te openen.

    Om de noodzaak van gebruikersverificatie bij het openen van een beveiligd Cisco RES-berichtantwoord te elimineren, levert Cisco RES in een "niet-versleuteld" formulier naar e-mailgateways die Transport Layer Security (TLS) ondersteunen. In de meeste gevallen is de e-mailgateway de Cisco Email Security Applicatie (ESA) en dit artikel is van toepassing.

    Als er echter een andere postgateway voor de ESA staat, zoals een extern spamfilter, is er geen behoefte aan de configuratie van de certificaten-/TLS-/poststroom op uw ESA. In dit geval kunt u stap 1 tot en met 3 overslaan in het gedeelte Oplossing van dit document. Voor niet-versleutelde antwoorden op werk in deze omgeving is het externe spamfilter (e-mailgateway) het apparaat dat TLS moet ondersteunen. Als ze TLS ondersteunen, kunt u Cisco RES dit laten bevestigen en u laten instellen voor "niet-versleutelde" antwoorden op beveiligde e-mails.

    Kader voor afzenderbeleid

    Om te voorkomen dat Sender Policy Framework (SPF)-verificatiefouten optreden, voeg deze waarden toe aan uw SPF-record.

    De SPF-recordwaarde van Cisco Registered Envelope Service (CRES) komt overeen met de IP/hostnamen van deze tabel, "Hostnamen en IP-adressen".

    De output die het door Cisco verstrekte SPF mechanisme gebruikt:

    ~ dig txt res.cisco.com +short
    "v=spf1 mx:res.cisco.com exists:%{i}.spf.res.cisco.com -all"

    Voeg dit mechanisme toe aan uw bestaande SPF-record:

    include:res.cisco.com

    Voorbeeld van een FAKE/test SPF-record met het nieuwe mechanisme res.cisco.com:

    "v=spf1 mx:sampleorg1.com ip4:1.2.3.4 include:res.cisco.com -all"


    Waar en hoe u Cisco RES aan uw SPF-record toevoegt, is afhankelijk van hoe uw Domain Name System (DNS) wordt geïmplementeerd binnen uw netwerktopologie. Neem voor meer informatie contact op met de DNS-beheerder.

    Als DNS niet is geconfigureerd om Cisco RES te omvatten, wanneer beveiligde samenstellen en beveiligde antwoorden worden gegenereerd en geleverd via de gehoste sleutelservers, komt het uitgaande IP-adres niet overeen met de genoemde IP-adressen aan het einde van de ontvanger, wat resulteert in een fout in de SPF-verificatie.

    Hostnamen en IP-adressen

    Hostnaam

    IP-adres

    Recordtype

    res.cisco.com

    184.94.241.74

    A

    mxnat1.res.cisco.com

    208.90.57.32

    A

    mxnat2.res.cisco.com

    208.90.57.33

    A

    mxnat3.res.cisco.com

    184.94.241.96

    A

    mxnat4.res.cisco.com

    184.94.241.97

    A

    mxnat5.res.cisco.com

    184.94.241.98

    A

    mxnat6.res.cisco.com

    184.94.241.99

    A

    mxnat7.res.cisco.com

    208.90.57.34

    A

    mxnat8.res.cisco.com

    208.90.57.35

    A

    esa1.cres.iphmx.com

    68.232.140.79

    MX

    esa2.cres.iphmx.com

    68.232.140.57

    MX

    esa3.cres.iphmx.com

    68.232.135.234

    MX

    esa4.cres.iphmx.com

    68.232.135.235

    MX

    Opmerking: Hostname en IP-adressen kunnen worden gewijzigd op basis van onderhoud van service/netwerk of groei van service/netwerk. Niet alle hostnamen en IP-adressen worden gebruikt voor de service. Zij worden hier ter referentie verstrekt.

    Oplossing

    • Verkrijg en installeer een ondertekend certificaat en tussentijds certificaat op de ESA.

      Opmerking: u moet het tussentijdse certificaat van uw ondertekenende autoriteit verkrijgen, aangezien het democertificaat dat op het apparaat wordt geleverd ervoor zorgt dat het CRES-verificatieproces mislukt.

    • Een nieuw beleid voor e-mailstromen maken:
      1. Kies Mail Policies > Mail Flow Policies > Add Policy uit de GUI.
      2. Voer een naam in en laat alle andere opties standaard staan, behalve 'Beveiligingsfuncties: TLS'. Stel dit in op Vereist.
        3.
    • Een nieuwe afzendergroep maken:
      1. Kies Mail Policies > HAT Overview > Add Sender Group uit de GUI.
      2. Voer een naam in en stel het #1 in. U kunt ook een optionele opmerking invoeren. Kies het e-mailstroombeleid dat u in Stap 2 hebt gemaakt. Laat al het andere leeg.
      3. Klik Submit enAdd Senders.
        4.
    • Voer in het veld Afzender deze IP-bereiken en hostnamen in: 
      .res.cisco.com
      .cres.iphmx.com
      208.90.57.0/26 (current CRES IP network range)
      204.15.81.0/26 (old CRES IP network range)

    • Verzend en leg de wijzigingen vast.

    • Nadat u er zeker van bent dat de ESA klaar is om te onderhandelen over TLS-encryptie van de Cisco RES-servers, de stappen binnen de CRES Admin Portal volgen Hoe test ik of mijn domein TLS ondersteunt met Cisco RES?
      •

    Gerelateerde informatie

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    09-Oct-2014
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Robert Sherwin
      Cisco TAC Engineer
    • Chris Arellano
      Cisco TAC Engineer

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco