代理设置 > 关于 SMTP 代理 > SMTP 代理:TLS 加密

SMTP 代理: TLS 加密

可配置 SMTP 代理,以使用 TLS 加密来处理从客户端电子邮件服务器(发件人)发送至您的 SMTP 服务器(收件人)的电子邮件。 TLS 上的 SMTP 是 SMTP 服务的安全扩展,允许 SMTP 服务器和客户端使用 TLS(传输层安全协议)提供专用、经过认证且通过 Internet 进行的通信。 对于 SMTP,这通常涉及使用关键字 STARTTLS。 SMTP 代理的 TLS 加密设置有两个可配置的部分:何时使用加密(发件人或收件人通道),以及如何加密(SSL 或 TLS 协议以及证书类型)。 可使用这些设置指定传入流量(发件人电子邮件)的加密设置和/或来自 SMTP 服务器(收件人)的流量的加密设置。

关于 TLS 加密

SSLv3、SSLv2 和 TLSv1 都是用于加密的 SMTP 连接的协议。 SSLv2 不如 SSLv3 和 TLSv1 安全。 默认情况下,当启用 TLS 加密时,SMTP 代理只允许与 SSLv3 和 TLSv1 协议进行协商的连接。 但是可以允许 SMTP 代理将 SSLv2 协议用于指向或来自需要 SSLv2 协议的 SMTP 客户端或服务器的连接。

关于 OCSP 选项

也可选择是否使用 OCSP(在线证书状态协议)验证证书。 如果启用该选项,则 XTM 设备会自动使用 OCSP 检查证书吊销。 如果启用该功能,XTM 设备会使用证书中的信息来联系保留该证书状态记录的 OCSP 服务器。 如果 OCSP 服务器回复此证书已被吊销,XTM 设备将会禁用该证书。 该过程可导致数秒延迟,同时 XTM 设备请求来自 OCSP 服务器的响应。 XTM 设备会在缓存中保存 300 到 3000 条 OCSP 响应,以改善访问常用主机的性能。 在缓存中可存储的响应数由 XTM 设备的型号决定。

如果使用 OCSP 验证证书,也可指定是否将不能验证的证书视为有效。 如果指定未验证的证书无效,并且 OCSP 响应程序没有为吊销状态请求发送回复,则 XTM 设备会将原始证书视为无效或已吊销证书。 选中此选项,在您的网络连接发生路由错误或问题时,证书将被视为无效。

关于加密规则

为 SMTP 代理操作启用 TLS 加密之后,可添加规则以指定发件人和收件人域,以及每个域所需的加密详细信息。 如果将规则添加至加密规则列表,则会按照从列表中的第一个规则到最后一个规则的顺序来评估规则。 确保以最灵活的方式计划规则的顺序。 例如,如果有多个 SMTP 服务器域,则先在列表中放置主 SMTP 服务器的规则,然后将所有备份 SMTP 服务器的规则放置在此规则之下。

在添加加密规则时,可为特定发件人和收件人域创建规则。 或者可在创建全局规则时将通配符 (*) 用于发件人或收件人域。 可以为发件人通道和/或收件人通道指定加密规则。 这样可以为将电子邮件发送至 SMTP 服务器的特定域设置不同的加密规则。 每个加密规则的长度都不得超过 200 个字节。

发件人加密

收件人加密

如果不想为多个域添加规则,可将发件人加密设置为可选,将收件人加密设置为首选,并将通配符 (*) 用于域信息。 使用这些加密设置,大多数电子邮件可安全地发送至 SMTP 服务器。

如果用户通过公用 Internet 连接与网络相连,则建议为发件人加密设置选择必需。 如果 SMTP 服务器不支持加密,则建议选择可选,因为这样仍可接受未加密的电子邮件。

如果用户通过受保护的公司内联网将电子邮件发送至 SMTP 服务器,则将发件人加密设置为可选,并将收件人加密设置为,以实现最大的灵活性。

如果添加规则始终要求加密来自发件人域的流量,则也可指定必须将 TLS 协议用于电子邮件中的收件人、发件人和正文信息。

配置 TLS 加密设置

创建新配置文件时,必须先在 SMTP 代理操作中启用支持 TLS 的 SMTP 深度检查选项,然后才能配置 TLS 加密设置。 如果配置文件已启用支持 TLS 的 SMTP 深度检查,可直接完成 TLS 加密的配置设置。

要启用 TLS 加密并配置 SMTP 代理操作的规则:

  1. 编辑代理操作页面中,选择 ESMTP 类别。
    此时将会展开 ESMTP 类别。
  2. 在链接栏中选择 TLS 加密
    将显示 TLS 加密页面。
  1. 选中启用支持 TLS 的 SMTP 深度检查复选框。
  2. 要使 SMTP 代理使用 SSLv2 协议,请选中允许 SSLv2(不安全)复选框。
  3. (可选)选择使用 OCSP 验证证书复选框。
  4. 要指定如何处理无法验证的证书,可选中如果无法验证证书,证书将被视为无效复选框。
  5. 要添加加密规则,可在规则部分中单击添加
    新的加密规则显示加密规则列表中。
  6. 至收件人域文本框中,键入 SMTP 服务器的域名,然后按键盘上的 Enter 键。
  7. 要指定作为客户端流量来源的域,可双击默认的从发件人域*,接着在文本框中键入新值,然后按键盘上的 Enter 键。
    要允许来自任何域的流量,可保留默认值 *
  8. 要更改收件人加密值,可单击默认选择首选,然后从下拉列表选择一个选项:
  9. 要更改发件人加密值,可单击默认选择可选加密,然后从下拉列表选择一个选项:
  10. 要更改应用规则的顺序,可在加密规则列表中选择一个规则,然后单击上移下移
  11. 要禁用列表中的规则,可清除该规则的已启用复选框。
  12. 要从列表中删除规则,可单击移除
  13. 要将 TLS 协议用于加密的发件人流量,可选中当需要发件人加密时,发件人、收件人和正文消息都必须使用 TLS 复选框。
    该选项仅当使用始终加密发件人加密设置配置规则时可用。
    有关代理操作规则的详细信息,请参阅添加、更改或删除规则
  14. 要更改此代理操作中的其他类别的设置,请参阅该类别的主题。
  15. 单击保存

如果要修改预定义代理操作,当保存更改时,系统会提示您克隆(复制)设置到一个新操作。

有关预定义代理操作的详细信息,请参阅 关于 代理操作.

请参阅

关于 SMTP 代理

提供反馈  •   获得支持  •   全部产品文件  •   知识库