Cómo Exchange Online usa TLS para proteger las conexiones del correo electrónico
Obtenga información sobre cómo Exchange Online y Microsoft 365 usan seguridad de la capa de transporte (TLS) y secreto de reenvío (FS) para proteger las comunicaciones por correo electrónico.
Sugerencia
Si no es cliente de E5, use la prueba de 90 días de soluciones de Microsoft Purview para explorar cómo las funcionalidades adicionales de Purview pueden ayudar a su organización a administrar las necesidades de cumplimiento y seguridad de los datos. Comience ahora en el centro de pruebas de Microsoft Purview. Obtenga más información sobre términos de suscripción y prueba.
Conceptos básicos de TLS para Microsoft 365 y Exchange Online
La seguridad de la capa de transporte (TLS) y la capa de sockets seguros (SSL) anteriores a TLS son protocolos criptográficos. Estos protocolos protegen la comunicación a través de una red mediante certificados de seguridad para cifrar una conexión entre equipos. TLS reemplaza a SSL y a menudo se conoce como SSL 3.1. Exchange Online usa TLS para cifrar las conexiones entre los servidores de Exchange y las conexiones entre los servidores de Exchange y otros servidores. Por ejemplo, TLS se usa para cifrar la conexión entre Exchange Online y los servidores de Exchange locales o los servidores de correo de los destinatarios. Una vez cifrada la conexión, todos los datos enviados a través de esa conexión se envían a través del canal cifrado.
TLS no cifra el mensaje, solo la conexión. Por lo tanto, si reenvía un mensaje que se envió a través de una conexión cifrada con TLS a una organización de destinatarios que no admite el cifrado TLS, ese mensaje no se cifra necesariamente.
Si desea cifrar el mensaje, use una tecnología de cifrado que cifre el contenido del mensaje. Por ejemplo, puede usar Cifrado de mensajes de Microsoft Purview o S/MIME. Consulte Email cifrado en Office 365 y Cifrado de mensajes para obtener información sobre el cifrado de mensajes en Office 365.
Use TLS en situaciones en las que quiera configurar un canal seguro de correspondencia entre Microsoft y su organización local u otra organización, como un asociado. Exchange Online siempre intenta usar TLS primero para proteger el correo electrónico, pero no puede hacerlo si la otra parte no ofrece seguridad TLS. Siga leyendo para obtener información sobre cómo proteger todo el correo que va a los servidores locales o a asociados importantes con conectores.
Para proporcionar el mejor cifrado de su clase a nuestros clientes, Microsoft desusó las versiones 1.0 y 1.1 de seguridad de la capa de transporte (TLS) en Office 365 y Office 365 GCC. Sin embargo, puede seguir usando una conexión SMTP sin cifrar sin tls. No se recomienda la transmisión de correo electrónico sin cifrado.
Empleo de TLS por parte de Exchange Online entre clientes de Exchange Online
Exchange Online servidores siempre cifran las conexiones a otros servidores de Exchange Online en nuestros centros de datos con TLS 1.2. Al enviar un mensaje a un destinatario que se encuentra dentro de su organización, Exchange Online envía automáticamente el mensaje a través de una conexión cifrada mediante TLS. Exchange Online también envía un correo electrónico que envía a otros clientes a través de conexiones cifradas mediante TLS que están protegidas mediante el secreto de reenvío.
Cómo Microsoft 365 usa TLS entre Microsoft 365 y asociados externos de confianza
De forma predeterminada, Exchange Online siempre usa TLS oportunista. TLS oportunista significa que Exchange Online siempre intenta cifrar las conexiones con la versión más segura de TLS primero y, a continuación, funciona en su camino hacia abajo en la lista de cifrados TLS hasta que encuentra uno en el que ambas partes pueden estar de acuerdo. A menos que configure Exchange Online para asegurarse de que los mensajes a ese destinatario deben usar una conexión segura, Exchange envía de forma predeterminada el mensaje sin cifrado si la organización del destinatario no admite el cifrado TLS. TLS oportunista es suficiente para la mayoría de las empresas. Pero en las empresas que tienen requisitos de cumplimiento, como organizaciones médicas, bancarias o gubernamentales, puede configurar Exchange Online para que exija o fuerce TLS. Para obtener instrucciones, consulte Configuración del flujo de correo mediante conectores en Office 365.
Si decide configurar TLS entre su organización y una organización asociada de confianza, Exchange Online puede usar TLS forzado para crear canales de comunicación de confianza. TLS forzado requiere que la organización asociada se autentique para Exchange Online con un certificado de seguridad para enviarle correo. El asociado debe administrar sus propios certificados. Exchange Online usa conectores para proteger los mensajes que se envían desde el acceso no autorizado antes de que lleguen al proveedor de correo electrónico del destinatario. Para obtener información sobre el uso de conectores para configurar el flujo de correo, consulte Configuración del flujo de correo mediante conectores en Office 365.
TLS e implementaciones híbridas de Exchange Server
Si va a administrar una implementación híbrida de Exchange, el servidor exchange local debe autenticarse en Microsoft 365 mediante un certificado de seguridad para enviar correo a los destinatarios cuyos buzones solo están en Office 365. Como resultado, debe administrar sus propios certificados de seguridad para los servidores de Exchange locales. También tiene que almacenar y mantener de forma segura estos certificados de servidor. Para obtener más información sobre cómo administrar certificados en implementaciones híbridas, consulte Requisitos de certificados para implementaciones híbridas.
Configurar TLS forzado para Exchange Online en Office 365
En el caso de los clientes de Exchange Online, para que TLS forzado pueda proteger todo el correo electrónico enviado y recibido, es necesario configurar más de un conector que exija TLS. Necesita un conector para los mensajes enviados a los buzones de usuario y otro conector para los mensajes enviados desde buzones de usuario. Cree esos conectores en el Centro de administración de Exchange en Office 365. Para obtener instrucciones, consulte Configuración del flujo de correo mediante conectores en Office 365.
Información de certificado TLS para Exchange Online
En la tabla siguiente se describe la información del certificado usada por Exchange Online. Si su asociado de negocios está configurando TLS forzado en su servidor de correo electrónico, debe proporcionarle esta información. Por motivos de seguridad, nuestros certificados cambian de vez en cuando. El certificado actual es válido desde el 24 de septiembre de 2020.
Información de certificado actual válida desde el 24 de septiembre de 2020
Atributo | Valor |
---|---|
Emisor raíz de la autoridad de certificado | Ca de DigiCert: 1 |
Nombre del certificado | mail.protection.outlook.com |
Organización | Microsoft Corporation |
Unidad de organización | www.digicert.com |
Nivel de la clave de certificado | 2048 |
Obtenga más información sobre TLS, certificados y Microsoft 365 y descargue certificados.
Cadenas de cifrado y descargas de certificados de Microsoft 365
Cadenas de cifrado y descargas de certificados de Microsoft 365: DOD y GCC High
Para obtener una lista de conjuntos de cifrado admitidos, consulte Detalles de referencia técnica sobre el cifrado.
Configurar conectores para flujo de correo seguro con una organización asociada