SMTP-server configureren voor gebruik van AWS SES

Downloadopties

  • PDF     (322.8 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (247.4 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (274.4 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:8 september 2022
Document-id:218118

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft hoe u uw Secure Network Analytics Manager (SNA) voor gebruik Amazon Web Services Simple Email Service (AWS SES).

    Voorwaarden

    Vereisten

    Cisco raadt kennis van deze onderwerpen aan:

    • AWS SES

    Gebruikte componenten

    De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

    • Stealthwatch Management Console v7.3.2

    • AWS SES-services zoals deze bestaan op 25 MEI 2022 met Easy DKIM

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Configureren

    Configuratie AWS SES bekijken

    Van AWS worden drie bits informatie vereist:

    1. Locatie AWS SES
    2. SMTP-gebruikersnaam
    3. SMTP-wachtwoord

    Opmerking: AWS SES in de zandbak is acceptabel, maar houd rekening met de beperkingen voor zandbakomgevingen: https://docs.aws.amazon.com/ses/latest/dg/request-production-access.html

    Navigeer in de AWS-console naar Amazon SESen selecteer vervolgens Configuration en klik op  Verified Identities.

    U moet een geverifieerd domein hebben. Een geverifieerd e-mailadres is niet vereist. Raadpleeg AWS-documentatie https://docs.aws.amazon.com/ses/latest/dg/creating-identities.html#verify-domain-procedure

    AWS_Simple_Email_Service_Verified_identities

    Noteer de locatie van uw SMTP-eindpunt. Deze waarde is later nodig.

    AWS_Simple_Email_Service_Account_dashboard

    AWS SES SMTP-referenties maken

    Navigeer in de AWS-console naar Amazon SESklikt u vervolgens op  Account Dashboard

    Blader naar beneden naar " Simple Mail Transfer Protocol (SMTP) settings" en klik op  Create SMTP Credentials wanneer u klaar bent om deze configuratie te voltooien.

    Oudere, ongebruikte referenties (ongeveer 45 dagen) lijken geen fout te maken als ongeldige referenties.

    Werk in dit nieuwe venster de gebruikersnaam bij naar elke waarde en klik op  Create.

    AWS_Create_User_for_SNMP

    Wanneer de pagina de referenties weergeeft, slaat u deze op. Houd deze browser tab open.

    AWS_SMTP_User_Credentials

    Configuratie SNA Manager SMTP configureren

    Aanmelden bij de SNA Manager, en SMTP Notifications doorsnede

    1. Open (Openstaand) Central Management > Appliance Manager.
    2. Klik op de Actions -menu voor het apparaat.
    3. Kiezen Edit Appliance Configuration.
    4. Selecteer de General tabblad.
    5. Naar beneden bladeren SMTP Configuration
    6. Voer de uit AWS verzamelde waarden in
      1. SMTP Server: Dit is de SMTP Endpoint locatie verzameld uit de SMTP Settings van de AWS SES Account Dashboard pagina
      2. Port: Voer 25, 587 of 2587 in
      3. From Email: Dit kan worden ingesteld op elk e-mailadres dat de AWS Verified Domain

      4. User Name: Dit is de SMTP-gebruikersnaam die op de laatste stap in de Review AWS SES Configuration doorsnede

      5. Password: Dit is het SMTP-wachtwoord dat op de laatste stap in de Review AWS SES Configuration doorsnede

      6. Encryption Type: Selecteer START (Als u SMTPS selecteert, bewerk de poort naar 465 of 2465)
    7. Pas de instellingen toe en wacht tot SNA Manager om terug te keren naar een UP vermelden in Central Management

    SNA_Manager_SMTP

    AWS-certificaten verzamelen

    Een SSH-sessie instellen voor de SNA Manager, en login als wortelgebruiker.

    Bekijk deze drie items

    • Verander de SMTP-endpointlocatie (bijvoorbeeld email-smtp.us-east-1.amazonaws.com)
    • Verander de gebruikte poort (bijvoorbeeld de standaardwaarde van 587 voor STARTLS)
    • De opdrachten hebben geen STDOUT, de prompt wordt na voltooiing teruggegeven

    Voor STARTTLS (standaardpoort van 587):

    openssl s_client -starttls smtp -showcerts -connect email-smtp.us-east-1.amazonaws.com:587 <<< "Q" 2>/dev/null > mycertfile.crt awk 'split_after == 1 {n++;split_after=0} /-----END CERTIFICATE-----/ {split_after=1} {print > "cacert" n ".pem"}' < mycertfile.crt for i in `ls -t1 *.pem`; do cp $i $(awk -F "CN=" '/s:/ {gsub(/ /,x ); print $NF}' $i).pem ; done ; rm -f cacert* mycertfile.crt

    Voor SMTPS (standaardpoort van 465):

    openssl s_client -showcerts -connect email-smtp.us-east-1.amazonaws.com:465 <<< "Q" 2>/dev/null > mycertfile.crt awk 'split_after == 1 {n++;split_after=0} /-----END CERTIFICATE-----/ {split_after=1} {print > "cacert" n ".pem"}' < mycertfile.crt for i in `ls -t1 *.pem`; do cp $i $(awk -F "CN=" '/s:/ {gsub(/ /,x ); print $NF}' $i).pem ; done ; rm -f cacert* mycertfile.crt

    De certificaatbestanden met de extensie pem worden gemaakt in de huidige werkmap, neem niet van deze map (output van pwd commando / laatste regel)

    sna_manager:~# openssl s_client -starttls smtp -showcerts -connect email-smtp.us-east-1.amazonaws.com:587 <<< "Q" 2>/dev/null > mycertfile.crt 
    sna_manager:~# awk 'split_after == 1 {n++;split_after=0} /-----END CERTIFICATE-----/ {split_after=1} {print > "cacert" n ".pem"}' < mycertfile.crt 
    sna_manager:~# for i in `ls -t1 *.pem`; do cp $i $(awk -F "CN=" '/s:/ {gsub(/ /,x ); print $NF}' $i).pem ; done ; rm -f cacert* mycertfile.crt 
    sna_manager:~# ll 
    total 16 
    -rw-r--r-- 1 root root 1648 May 27 14:54 Amazon.pem 
    -rw-r--r-- 1 root root 1829 May 27 14:54 AmazonRootCA1.pem 
    -rw-r--r-- 1 root root 2387 May 27 14:54 email-smtp.us-east-1.amazonaws.com.pem 
    -rw-r--r-- 1 root root 1837 May 27 14:54 StarfieldServicesRootCertificateAuthority-G2.pem 
    sna_manager:~# pwd 
    /root

    Download de bestanden die zijn gemaakt op de SNA Manager aan uw lokale machine met het programma voor bestandsoverdracht naar keuze (Filezilla, winscp, etc), en voeg deze certificaten toe aan het SNA Manager trust store in Central Management.

    1. Open (Openstaand) Central Management > Appliance Manager.
    2. Klik op de Actions -menu voor het apparaat.
    3. Kiezen Edit Appliance Configuration.
    4. Selecteer de General tabblad.
    5. Naar beneden bladeren Trust Store
    6. Kiezen Add New
    7. Upload elk van de certificaten, aanbevolen om de bestandsnaam als Friendly Name

    E-mailactie voor reactiebeheer configureren

    Aanmelden bij de SNA Manager, en opent de Response Management doorsnede

    1. Selecteer de Configure tabblad in het hoofdlint langs de bovenkant van het scherm

    2. Kiezen Response Management

    3. Van de Response Management pagina, selecteer Actions rekening

    4. Kiezen Add New Action

    5. Kiezen Email

      1. Een naam voor deze e-mailactie opgeven

      2. Voer in het veld "Aan" het e-mailadres van de ontvanger in (let wel: dit moet behoren tot het domein dat in AWS SES is geverifieerd)

      3. Het onderwerp kan van alles zijn.
        SNA_Response_Mgmt_Email_Config
    6. Klik  Save

    Verifiëren

    Aanmelden bij de SNA Manager, en opent de Response Management Afdeling:

    1. Selecteer de Configure tabblad in het hoofdlint langs de bovenkant van het scherm
    2. Kiezen Response Management
    3. Van de Response Management pagina, selecteer Actions rekening

    4. Selecteer de ellips in de Actions kolom voor de rij van de e-mailactie die u in de Configure Response Management Email Action sectie, en selecteer Edit.

    5. Kiezen Test Action en als de configuratie geldig is, wordt er een succesbericht weergegeven en wordt er een e-mail geleverd.
      In de e-mailheader worden amazones getoond in de " Received" veld, en amazones, samen met het geverifieerde domein in de ARC-Authentication-Results (AAR) Chain
      SNA_Resp_Mgmt_SuccessEmail_Header
    6. Als de test niet succesvol was, wordt er een banner bovenaan het scherm weergegeven - ga verder naar de sectie Problemen oplossen

    Problemen oplossen

    Het /lancope/var/logs/containers/sw-reponse-mgmt.log bestand bevat de foutmeldingen voor de testacties. De meest voorkomende fout, en de fix is vermeld in de tabel.
    Houd er rekening mee dat de foutmeldingen in de tabel slechts een deel van de foutlogregel vormen

    Fout

    Oplossen

    SMTPSendfailException: Bericht verworpen: E-mailadres niet geverifieerd. De identiteiten zijn niet gecontroleerd in de regio US-EAST-1: {email_adres}

    Werk de "Van E-mail" in de SNA ManagerSMTP Configuratie aan een e-mail die tot het AWS SES geverifieerde domein behoort bij

    Verificatie misluktExceptie: 535 Verificatiegeloofsgegevens ongeldig

    Herhaal secties Maak AWS SES SMTP Credentials en vorm SNA Manager SMTP-configuratie

    SunCertPathBuilderExceptie: kan geen geldig certificatiepad vinden voor het gevraagde doel

    Bevestig dat alle AWS-voorgestelde certificaten zich in SNA Manager trust store bevinden - voer pakketvastlegging uit wanneer Test Action wordt uitgevoerd en vergelijk server side gepresenteerde certificaten om de inhoud van de store te vertrouwen

    SSL-routines:tls_process_ske_dhe:dh-toets te klein

    Zie addendum

    Elke andere fout

    Open TAC-case voor review


    Addendum: DH-toets te klein.

    Dit is een AWS bijzaak, omdat ze 1024 bit-toetsen gebruiken wanneer DHE- en EDH-algoritmen worden gebruikt (logjam vatbaar) en de SNA Manager weigert de SSL-sessie voort te zetten. De opdrachtoutput laat de servertemperatuurtoetsen zien vanaf de openssl-verbinding wanneer DHE/EDH-algoritmen worden gebruikt.

    sna_manager:~# openssl s_client -starttls smtp -connect email-smtp.us-east-2.amazonaws.com:587 -cipher "EDH" <<< "Q" 2>/dev/null | grep "Server Temp" 
    Server Temp Key: DH, 1024 bits 
    sna_manager:~# openssl s_client -starttls smtp -connect email-smtp.us-east-2.amazonaws.com:587 -cipher "DHE" <<< "Q" 2>/dev/null | grep "Server Temp" 
    Server Temp Key: DH, 1024 bits 
    sna_manager:~# openssl s_client -starttls smtp -connect email-smtp.us-east-2.amazonaws.com:587 <<< "Q" 2>/dev/null | grep "Server Temp" 
    Server Temp Key: ECDH, P-256, 256 bits

    De enige beschikbare tijdelijke oplossing is om alle DHE- en EDH-algoritmen met de opdracht te verwijderen als de hoofdgebruiker op de SMC, AWS selecteert een ECDHE-algoritme en de verbinding slaagt.

    cp /lancope/services/swos-compliance/security/tls-ciphers /lancope/services/swos-compliance/security/tls-ciphers.bak ; > /lancope/services/swos-compliance/security/tls-ciphers ; echo "TLS_AES_128_GCM_SHA256:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_256_GCM_SHA384:TLS_AES_128_CCM_SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:AES256-GCM-SHA384" > /lancope/services/swos-compliance/security/tls-ciphers ; docker restart sw-response-mgmt

    Gerelateerde informatie

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    08-Sep-2022
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Joshua Martin

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten