簡介
本文檔介紹如何在郵件安全裝置(ESA)上控制傳輸層安全(TLS)傳輸協商。
如RFC 3207中所定義,「TLS是SMTP服務的擴展,它允許SMTP伺服器和客戶端使用傳輸層安全來透過Internet提供經過身份驗證的專用通訊。TLS是一種常用機制,用於透過隱私和身份驗證增強TCP通訊。」
傳送時啟用TLS
您可以要求STARTTLS使用本文檔中介紹的其中一種方法將電子郵件傳送到特定域:
- 使用CLI destconfig命令。
- 從GUI中選擇Mail Policies > Destination Controls。
當您包含域時,「目標控制」頁或destconfig命令允許您為給定域指定五個不同的TLS設定。此外,您還可以指定是否需要驗證域。
TLS設定定義
TLS設定 |
意義 |
預設 |
使用「目標控制」頁或destconfig -> default子命令時設定的預設TLS設定,這些子命令用於從監聽程式到域的消息傳輸代理(MTA)的傳出連線。如果對問題「Do you want to apply a specific TLS setting for this domain?」回答no,則會設定值「Default」 |
1. 否 |
對於從介面到域的MTA的傳出連線,不會協商TLS。 |
2. 偏好 |
TLS從ESA介面協商到域的MTA。但是,如果TLS協商失敗(在收到220響應之前),則SMTP事務將「以明文形式」(未加密)繼續。不會嘗試驗證憑證是否來自信任的憑證授權單位。如果在收到220響應後出錯,則SMTP事務不會退回為純文字檔案。 |
3. 必要 |
TLS從ESA介面協商到域的MTA。沒有嘗試驗證網域的憑證。如果協商失敗,則不會透過連線傳送電子郵件。如果協商成功,郵件將透過加密會話傳送。 |
4. 首選(驗證) |
TLS從ESA協商到域的MTA。裝置會嘗試驗證域的證書。可能產生以下三種結果:
- 將協商TLS並驗證證書。郵件透過加密會話傳送。
- 已協商TLS,但未驗證證書。郵件透過加密會話傳送。
- 未建立TLS連線,因此未驗證憑證。電子郵件訊息以純文字傳送。
|
5. 必要(驗證) |
TLS從ESA協商到域的MTA。需要驗證網域憑證。有三種可能的結局:
- 將協商TLS連線並驗證證書。電子郵件訊息會透過加密工作階段傳送。
- TLS連線是經過協商的,但證書未經受信任的證書頒發機構(CA)驗證。郵件未送達。
- TLS連線不會交涉。郵件未送達。
|
6. 必需-驗證託管域 |
需要TLS -驗證和需要TLS -驗證託管域選項之間的區別位於身份驗證過程中。處理呈現標識的方式以及允許使用何種型別的參考識別符號對最終結果有影響。 呈現的標識首先從dNSName型別的subjectAltName擴展派生。如果dNSName與其中一個接受的參照標識(REF-ID)之間沒有匹配,則無論主題欄位中是否存在CN,驗證都會失敗,並且可以透過進一步的標識驗證。僅當證書不包含任何dNSName型別的subjectAltName副檔名時,才會驗證從主題欄位派生的CN。 有關詳細資訊,請參閱Cisco郵件安全的TLS驗證過程。 |
在GUI上啟用TLS
- 選擇Monitor > Destination Controls。
- 按一下Add Destination。
- 在Destination欄位中增加目標域。
- 從「TLS支援」下拉選單中選擇TLS支援方法。
- 按一下Submit以提交更改。
在CLI上啟用TLS
本示例使用destconfig命令,以便為域example.com要求TLS連線和加密會話。請注意,此示例顯示,使用預安裝在裝置上的演示證書的域需要TLS。您可以啟用具有示範憑證的TLS來進行測試,但是它並不安全,不建議用於一般用途。
如果對問題「Do you want to apply a specific TLS setting for this domain?」回答no,則會設定值「Default」 如果回答yes,請選擇No、Preferred或Required。
ESA> destconfig
Choose the operation you want to perform:
- SETUP - Change global settings.
- NEW - Create a new entry.
- EDIT - Modify an entry.
- DELETE - Remove an entry.
- DEFAULT - Change the default.
- LIST - Display a summary list of all entries.
- DETAIL - Display details for one destination or all entries.
- CLEAR - Remove all entries.
- IMPORT - Import tables from a file.
- EXPORT - Export tables to a file.
[]> new
Enter the domain you wish to configure.
[]> example.com
Choose the operation you want to perform:
- SETUP - Change global settings.
- NEW - Create a new entry.
- EDIT - Modify an entry.
- DELETE - Remove an entry.
- DEFAULT - Change the default.
- LIST - Display a summary list of all entries.
- DETAIL - Display details for one destination or all entries.
- CLEAR - Remove all entries.
- IMPORT - Import tables from a file.
- EXPORT - Export tables to a file.
[]> new
Enter the domain you wish to configure.
[]> example.com
Do you wish to configure a concurrency limit for example.com? [Y]> N
Do you wish to apply a messages-per-connection limit to this domain? [N]> N
Do you wish to apply a recipient limit to this domain? [N]> N
Do you wish to apply a specific TLS setting for this domain? [N]> Y
Do you want to use TLS support?
1. No
2. Preferred
3. Required
4. Preferred - Verify
5. Required - Verify
6. Required - Verify Hosted Domains
[1]> 3
You have chosen to enable TLS. Please use the 'certconfig' command to
ensure that there is a valid certificate configured.
Do you wish to apply a specific bounce verification
address tagging setting for this domain? [N]> N
Do you wish to apply a specific bounce profile to this domain? [N]> N
Do you wish to apply a specific IP sort preference to this domain? [N]> N
There are currently 3 entries configured.
Choose the operation you want to perform:
- SETUP - Change global settings.
- NEW - Create a new entry.
- EDIT - Modify an entry.
- DELETE - Remove an entry.
- DEFAULT - Change the default.
- LIST - Display a summary list of all entries.
- DETAIL - Display details for one destination or all entries.
- CLEAR - Remove all entries.
- IMPORT - Import tables from a file.
- EXPORT - Export tables to a file.
[]> list
Rate Bounce Bounce IP Version
Domain Limiting TLS Verification Profile Preference
=========== ======== ======= ============ ========= ============
example.com Default On Default Default Default
(Default) On Off Off (Default) Prefer IPv6