在ESA上控制傳送時的TLS協商

下載選項

  • PDF     (496.2 KB)
    在多種裝置上使用 Adobe Reader 檢視
  • ePub     (261.9 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
  • Mobi (Kindle)     (128.0 KB)
    在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視
已更新: 2018 年 4 月 16 日
文件 ID:118955

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

    簡介

    本文檔介紹如何在郵件安全裝置(ESA)上控制傳輸層安全(TLS)傳輸協商。

    如RFC 3207中所定義,「TLS是SMTP服務的擴展,它允許SMTP伺服器和客戶端使用傳輸層安全來透過Internet提供經過身份驗證的專用通訊。TLS是一種常用機制,用於透過隱私和身份驗證增強TCP通訊。」

    傳送時啟用TLS

    您可以要求STARTTLS使用本文檔中介紹的其中一種方法將電子郵件傳送到特定域:

    • 使用CLI destconfig命令。
    • 從GUI中選擇Mail Policies > Destination Controls

    當您包含域時,「目標控制」頁或destconfig命令允許您為給定域指定五個不同的TLS設定。此外,您還可以指定是否需要驗證域。

    TLS設定定義

    TLS設定 意義
    預設 使用「目標控制」頁或destconfig -> default子命令時設定的預設TLS設定,這些子命令用於從監聽程式到域的消息傳輸代理(MTA)的傳出連線。如果對問題「Do you want to apply a specific TLS setting for this domain?」回答no,則會設定值「Default」
    1. 否 對於從介面到域的MTA的傳出連線,不會協商TLS。
    2. 偏好 TLS從ESA介面協商到域的MTA。但是,如果TLS協商失敗(在收到220響應之前),則SMTP事務將「以明文形式」(未加密)繼續。不會嘗試驗證憑證是否來自信任的憑證授權單位。如果在收到220響應後出錯,則SMTP事務不會退回為純文字檔案。
    3. 必要 TLS從ESA介面協商到域的MTA。沒有嘗試驗證網域的憑證。如果協商失敗,則不會透過連線傳送電子郵件。如果協商成功,郵件將透過加密會話傳送。
    4. 首選(驗證) TLS從ESA協商到域的MTA。裝置會嘗試驗證域的證書。可能產生以下三種結果:
    • 將協商TLS並驗證證書。郵件透過加密會話傳送。
    • 已協商TLS,但未驗證證書。郵件透過加密會話傳送。
    • 未建立TLS連線,因此未驗證憑證。電子郵件訊息以純文字傳送。
    5. 必要(驗證) TLS從ESA協商到域的MTA。需要驗證網域憑證。有三種可能的結局:
    • 將協商TLS連線並驗證證書。電子郵件訊息會透過加密工作階段傳送。
    • TLS連線是經過協商的,但證書未經受信任的證書頒發機構(CA)驗證。郵件未送達。
    • TLS連線不會交涉。郵件未送達。
    6. 必需-驗證託管域

    需要TLS -驗證需要TLS -驗證託管域選項之間的區別位於身份驗證過程中。處理呈現標識的方式以及允許使用何種型別的參考識別符號對最終結果有影響。

    呈現的標識首先從dNSName型別的subjectAltName擴展派生。如果dNSName與其中一個接受的參照標識(REF-ID)之間沒有匹配,則無論主題欄位中是否存在CN,驗證都會失敗,並且可以透過進一步的標識驗證。僅當證書不包含任何dNSName型別的subjectAltName副檔名時,才會驗證從主題欄位派生的CN。

    有關詳細資訊,請參閱Cisco郵件安全的TLS驗證過程

    在GUI上啟用TLS

    1. 選擇Monitor > Destination Controls
    2. 按一下Add Destination
    3. 在Destination欄位中增加目標域。
    4. 從「TLS支援」下拉選單中選擇TLS支援方法。
    5. 按一下Submit以提交更改。

    118955-Control-TLS-Negotiation-ESA-00-00.png

    在CLI上啟用TLS

    本示例使用destconfig命令,以便為域example.com要求TLS連線和加密會話。請注意,此示例顯示,使用預安裝在裝置上的演示證書的域需要TLS。您可以啟用具有示範憑證的TLS來進行測試,但是它並不安全,不建議用於一般用途。

    如果對問題「Do you want to apply a specific TLS setting for this domain?」回答no,則會設定值「Default」 如果回答yes,請選擇NoPreferredRequired

    ESA> destconfig

    Choose the operation you want to perform:
    - SETUP - Change global settings.
    - NEW - Create a new entry.
    - EDIT - Modify an entry.
    - DELETE - Remove an entry.
    - DEFAULT - Change the default.
    - LIST - Display a summary list of all entries.
    - DETAIL - Display details for one destination or all entries.
    - CLEAR - Remove all entries.
    - IMPORT - Import tables from a file.
    - EXPORT - Export tables to a file.
    []> new

    Enter the domain you wish to configure.
    []> example.com
    Choose the operation you want to perform:
    - SETUP - Change global settings.
    - NEW - Create a new entry.
    - EDIT - Modify an entry.
    - DELETE - Remove an entry.
    - DEFAULT - Change the default.
    - LIST - Display a summary list of all entries.
    - DETAIL - Display details for one destination or all entries.
    - CLEAR - Remove all entries.
    - IMPORT - Import tables from a file.
    - EXPORT - Export tables to a file.
    []> new

    Enter the domain you wish to configure.
    []> example.com

    Do you wish to configure a concurrency limit for example.com? [Y]> N

    Do you wish to apply a messages-per-connection limit to this domain? [N]> N

    Do you wish to apply a recipient limit to this domain? [N]> N

    Do you wish to apply a specific TLS setting for this domain? [N]> Y

    Do you want to use TLS support?
    1. No
    2. Preferred
    3. Required
    4. Preferred - Verify
    5. Required - Verify
    6. Required - Verify Hosted Domains 
    [1]> 3

    You have chosen to enable TLS. Please use the 'certconfig' command to
     ensure that there is a valid certificate configured.

    Do you wish to apply a specific bounce verification
     address tagging setting for this domain? [N]> N

    Do you wish to apply a specific bounce profile to this domain? [N]> N

    Do you wish to apply a specific IP sort preference to this domain? [N]> N

    There are currently 3 entries configured.

    Choose the operation you want to perform:
    - SETUP - Change global settings.
    - NEW - Create a new entry.
    - EDIT - Modify an entry.
    - DELETE - Remove an entry.
    - DEFAULT - Change the default.
    - LIST - Display a summary list of all entries.
    - DETAIL - Display details for one destination or all entries.
    - CLEAR - Remove all entries.
    - IMPORT - Import tables from a file.
    - EXPORT - Export tables to a file.
    []> list

                 Rate               Bounce        Bounce     IP Version  
    Domain       Limiting  TLS      Verification  Profile    Preference  
    ===========  ========  =======  ============  =========  ============
    example.com  Default   On       Default       Default    Default     
    (Default)    On        Off      Off           (Default)  Prefer IPv6

    修訂記錄

    修訂 發佈日期 意見
    1.0
    11-May-2015
    初始版本
    TAC Authored

    由思科工程師貢獻

    • Jerry Orona
      Cisco TAC Engineer
    • Enrico Werner
      Cisco TAC Engineer

    這份文件是否有所幫助?

    Feedback意見

    讓思科協助您

    本文件適用於這些產品