Proxy SMTP : TLS
Le protocole TLS (Transport Layer Security) assure une meilleure sécurité des données pour SMTP. Le protocole TLS assure la sécurité des communications sur Internet en permettant aux applications client et serveur de communiquer en évitant les interceptions et les falsifications, notamment concernant les messages. Le protocole TLS se base sur le protocole SSLv3, mais offre une meilleure sécurité des données.
Pour de plus amples informations concernant TLS, consultez À propos de Transport Layer Security (TLS).
Le Proxy SMTP prend en charge les modes TLS implicite et explicite. Dans l'action de proxy SMTP, les paramètres TLS concernent le mode TLS implicite et les paramètres de Chiffrement STARTTLS le mode TLS explicite.
Pour de plus amples informations concernant la configuration du mode TLS explicite dans le proxy SMTP, consultez Proxy SMTP : Chiffrement TLS.
Pour activer la prise en charge de TLS dans la stratégie de proxy SMTP, vous devez activer l'inspection du contenu dans l'action de proxy.
A Propos des Certificats de Chiffrement TLS
Lorsque l'inspection de contenu est activée, l'action de proxy utilise un certificat lorsqu'elle rechiffre le trafic suite à l'inspection.
- Pour le trafic entrant, l'action de proxy utilise le certificat de Serveur Proxy par défaut.
- Pour le trafic sortant, l'action de proxy utilise le certificat d'Autorité Proxy.
Pour plus d'informations concernant ces certificats, consultez À propos des Certificats.
Modifier l'Option de Prise en charge TLS de la stratégie de Proxy SMTP
Pour utiliser le mode TLS implicite pour l'inspection du contenu dans l'action de proxy SMTP, la Prise en charge TLS doit également être Activée ou Obligatoire dans la stratégie de proxy SMTP de manière à ce que le proxy SMTP écoute sur le port 465.
Dans la stratégie de proxy SMTP, vous pouvez configurer la Prise en charge TLS en sélectionnant l'une des options suivantes :
- Désactivé — Le proxy SMTP écoute uniquement sur le port 25
- Activé — Le proxy SMTP écoute sur les ports 25 et 465 (par défaut)
- Obligatoire — Le proxy SMTP écoute uniquement sur le port 465
- Modifiez la stratégie de proxy SMTP.
- Dans l'onglet Paramètres, dans la liste déroulante Prise en charge TLS, sélectionnez Activé ou Obligatoire.
Les ports SMTP et SMTPS de la stratégie sont mis à jour en fonction de l'option choisie.
- Modifiez la stratégie de proxy SMTP.
- Dans l'onglet Stratégie, dans la liste déroulante Prise en charge TLS, sélectionnez Activé ou Obligatoire.Astuce !
Les ports IMAP et IMAPS de l'onglet Propriétés de la stratégie sont mis à jour en fonction de l'option choisie.
Activer l'Inspection du Contenu dans une Action de Proxy SMTP
Pour activer l'inspection du contenu dans le proxy SMTP, vous devez sélectionner l'action Inspecter dans les paramètres TLS de l'action de proxy utilisée par votre stratégie de proxy SMTP. Lorsque vous sélectionnez l'action Inspecter, le proxy utilise les paramètres du profil TLS pour l'inspection du contenu. Vous pouvez modifier les paramètres du profil TLS dans l'action de proxy ou à partir de la page Profils TLS.
- Modifiez l'action Proxy SMTP utilisée par votre stratégie de proxy SMTP.
- Cliquez sur l'onglet TLS.
Les paramètres d'Inspection du Contenu s'affichent.
- Dans la liste déroulante Profil TLS, sélectionnez le profil TLS à utiliser.
Les paramètres du profil sélectionné s'affichent dans la section Résumé de l'Inspection de Contenu.
- Version Minimale du Protocole — Indique la version minimale du protocole autorisée
- OCSP — Indique si OCSP a été paramétré sur Désactivé, Permissif ou Strict (pour les profils Client-TLS uniquement)
- Chiffrements PFS — Indique si l'option Chiffrements Perfect Forward Secrecy a été paramétrée sur Autorisé, Obligatoire ou Aucun
- Conformité TLS — Indique si le profil TLS fait observer les normes du protocole TLS
- Pour activer l'inspection de contenu, sélectionnez Inspecter dans la liste déroulante Action.
- Pour modifier le profil TLS dans Fireware Web UI, cliquez sur Modifier. Pour modifier le profil TLS dans Policy Manager, cliquez sur . Les profils TLS prédéfinis ne sont pas modifiables. Pour modifier les paramètres TLS prédéfinis, cliquez sur Cloner pour créer une copie modifiable du profil TLS.
- Configurez les paramètres du Profil TLS en fonction des besoins de votre réseau. Pour plus d'informations, consultez Configurer les Profils TLS.
- Modifiez l'action de proxy SMTP utilisée par votre stratégie de proxy SMTP.
- Dans la liste Catégories, sélectionnez TLS.
Les paramètres d'Inspection du Contenu s'affichent.
- Dans la liste déroulante Profil TLS, sélectionnez le profil TLS à utiliser.
Les paramètres du profil sélectionné s'affichent dans la section Résumé de l'Inspection de Contenu.
- Version Minimale du Protocole — Indique la version minimale du protocole autorisée
- OCSP — Indique si OCSP a été paramétré sur Désactivé, Permissif ou Strict (pour les profils Client-TLS uniquement)
- Chiffrements PFS — Indique si l'option Chiffrements Perfect Forward Secrecy a été paramétrée sur Autorisé, Obligatoire ou Aucun
- Conformité TLS — Indique si le profil TLS fait observer les normes du protocole TLS
- Pour activer l'inspection de contenu, sélectionnez Inspecter dans la liste déroulante Action.
- Pour modifier le profil TLS dans Fireware Web UI, cliquez sur Modifier. Pour modifier le profil TLS dans Policy Manager, cliquez sur . Les profils TLS prédéfinis ne sont pas modifiables. Pour modifier les paramètres TLS prédéfinis, cliquez sur Cloner pour créer une copie modifiable du profil TLS.
- Configurez les paramètres du Profil TLS en fonction des besoins de votre réseau. Pour plus d'informations, consultez Configurer les Profils TLS.
Voir les Paramètres TLS de la Stratégie
Pour qu'une stratégie proxy puisse effectuer l'inspection de contenu, l'option Prise en charge TLS de la stratégie de proxy doit être configurée sur Activé ou Obligatoire. Si vous modifiez les paramètres TLS dans une action de proxy à partir de la liste Actions de Proxy, l'action de proxy peut s'appliquer à plusieurs stratégies. Après avoir activé l'inspection de contenu, confirmez que le paramètre Prise en charge TLS est Activé ou Obligatoire dans toutes les stratégies utilisant l'action de proxy.
Pour afficher le paramètre Prise en charge TLS pour toutes les stratégies utilisant l'action de proxy :
- Modifiez l'action de proxy à partir de la liste Actions de Proxy.
- Dans les paramètres TLS de l'action de proxy, cliquez sur Afficher.
La liste des stratégies utilisant l'action de proxy s'affiche ainsi que le paramètre Prise en charge TLS de chaque stratégie.