Configurer TLS pour le chiffrement de la connexion entrante sur un écouteur ESA

Options de téléchargement

  • PDF     (254.4 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (88.4 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (73.4 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:8 mai 2015
ID du document:118954

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Introduction

Ce document décrit comment activer la sécurité de la couche transport (TLS) sur un écouteur sur l'appliance de sécurité de la messagerie (ESA).

Conditions préalables

Exigences

Aucune exigence spécifique n'est associée à ce document.

Composants utilisés

Les informations contenues dans ce document sont basées sur l'ESA avec n'importe quelle version d'AsyncOS.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Informations générales

Vous devez activer TLS pour tous les écouteurs pour lesquels vous avez besoin du chiffrement pour les connexions entrantes. Vous pouvez activer TLS sur les écouteurs qui font face à Internet (écouteurs publics), mais pas sur les écouteurs de systèmes internes (écouteurs privés). Vous pouvez également activer le cryptage pour tous les écouteurs. Par défaut, les écouteurs privés et publics n'autorisent pas les connexions TLS. Vous devez activer TLS dans la table d'accès aux hôtes (HAT) d'un écouteur afin d'activer TLS pour les e-mails entrants (réception) ou sortants (envoi). En outre, les paramètres de stratégie de flux de messages pour les écouteurs privés et publics ont TLS désactivé par défaut.

Configurer

Vous pouvez spécifier trois paramètres différents pour TLS sur un écouteur :

Réglage Signification
Non TLS n'est pas autorisé pour les connexions entrantes. Les connexions à l'écouteur ne nécessitent pas de conversations SMTP (Simple Mail Transfer Protocol) chiffrées. Il s'agit du paramètre par défaut pour tous les écouteurs que vous configurez sur l'appliance.
Preferred (option préférée) TLS est autorisé pour les connexions entrantes à l'écouteur à partir des agents de transfert de messages (MTA).
Requis TLS est autorisé pour les connexions entrantes vers l'écouteur à partir des MTA, et jusqu'à la réception d'une commande STARTTLS, l'ESA répond avec un message d'erreur à chaque commande autre que No Option (NOOP), EHLO ou QUIT. Si TLS est « Obligatoire », cela signifie que les e-mails que l'expéditeur ne veut pas chiffrer avec TLS seront refusés par l'ESA avant d'être envoyés, ce qui empêche leur transmission en clair.

Activer TLS sur une politique de flux de messages HAT pour un écouteur via l'interface utilisateur graphique

Procédez comme suit :

  1. Dans la page Stratégies de flux de messagerie, sélectionnez un écouteur dont vous souhaitez modifier les stratégies, puis cliquez sur le lien correspondant au nom de la stratégie à modifier. (Vous pouvez également modifier les paramètres de stratégie par défaut.) La page Edit Mail Flow Policies s'affiche.
  2. Dans la section « Cryptage et authentification », dans le champ « Utiliser TLS : », choisissez le niveau de TLS souhaité pour l'écouteur.
  3. Cliquez sur Submit.
  4. Cliquez sur Commit Changes, ajoutez un commentaire facultatif si nécessaire, puis cliquez sur Commit Changes afin d'enregistrer les modifications.

Remarque : vous pouvez attribuer un certificat spécifique pour les connexions TLS à des écouteurs publics individuels lorsque vous créez un écouteur.

Activer TLS sur une stratégie de flux de messagerie HAT pour un écouteur via l'interface de ligne de commande

  1. Utilisez la commande listenerconfig > edit afin de choisir un écouteur que vous voulez configurer.
  2. Utilisez la commande hostaccess > default afin de modifier les paramètres HAT par défaut de l'écouteur.
  3. Entrez l'une des options suivantes afin de modifier le paramètre TLS lorsque vous y êtes invité :
    Do you want to allow encrypted TLS connections?

        1. No
        2. Preferred
        3. Required
       [1]>3

    You have chosen to enable TLS. Please use the 'certconfig' command to
     ensure that there is a valid certificate configured.

    Notez que cet exemple vous demande d'utiliser la commande certconfig afin de s'assurer qu'il y a un certificat valide qui peut être utilisé avec l'écouteur. Si vous n'avez créé aucun certificat, le processus d'écoute utilise le certificat de démonstration préinstallé sur l'appliance. Vous pouvez activer TLS avec le certificat de démonstration à des fins de test, mais il n'est pas sécurisé et n'est pas recommandé pour une utilisation générale. Utilisez la commande listenerconfig > edit > certificate afin d'attribuer un certificat au processus d'écoute.

    Une fois que vous avez configuré TLS, le paramètre est reflété dans le résumé de l'écouteur dans l'interface de ligne de commande :

    Name: Inboundmail
    Type: Public
    Interface: PublicNet (192.168.2.1/24) TCP Port 25
    Protocol: SMTP
    Default Domain:
    Max Concurrency: 1000 (TCP Queue: 50)
    Domain map: disabled
    TLS: Required
  4. Entrez la commande commit afin d'activer la modification.

Vérifier

Référez-vous à cette section pour vous assurer du bon fonctionnement de votre configuration.

Dépannage

Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.

Vous pouvez spécifier si l'ESA envoie une alerte si la négociation TLS échoue lorsque les messages sont remis à un domaine qui nécessite une connexion TLS. Le message d'alerte contient le nom du domaine de destination pour la négociation TLS ayant échoué. L'ESA envoie le message d'alerte à tous les destinataires configurés pour recevoir des alertes de niveau de gravité Avertissement pour les types d'alerte Système. Vous pouvez gérer les destinataires des alertes via la page Administration système > Alertes dans l'interface graphique utilisateur (ou via la commande alertconfig dans l'interface de ligne de commande).

Informations connexes

Historique de révision

Révision Date de publication Commentaires
1.0
08-May-2015
Première publication
TAC Authored

Contribution d’experts de Cisco

  • Enrico Werner
    Cisco TAC Engineer.

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco

Ce document s’applique à ces produits