Modalità d'uso di TLS in Exchange Online per proteggere le connessioni di posta elettronica
Informazioni su come Exchange Online e Microsoft 365 usano Transport Layer Security (TLS) e Forward Secrecy (FS) per proteggere le comunicazioni di posta elettronica.
Consiglio
Se non si è cliente E5, usa la versione di valutazione delle soluzioni Microsoft Purview di 90 giorni per esplorare in che modo funzionalità aggiuntive di Purview possono aiutare l'organizzazione a gestire le esigenze di sicurezza e conformità dei dati. Iniziare ora dall'hub delle versioni di valutazione di Microsoft Purview. Informazioni dettagliate sui termini di registrazione e prova.
Nozioni di base su TLS per Microsoft 365 e Exchange Online
Transport Layer Security (TLS) e Secure Sockets Layer (SSL) che sono arrivati prima di TLS sono protocolli di crittografia. Questi protocolli garantiscono la comunicazione tramite una rete usando i certificati di sicurezza per crittografare una connessione tra computer. TLS sostituisce SSL ed è spesso definito SSL 3.1. Exchange Online usa TLS per crittografare le connessioni tra i server Exchange e le connessioni tra i server Exchange e altri server. Ad esempio, TLS viene usato per crittografare la connessione tra Exchange Online e i server Exchange locali o i server di posta elettronica dei destinatari. Una volta crittografata la connessione, tutti i dati inviati mediante tale connessione utilizzano il canale crittografato.
TLS non crittografa il messaggio, ma solo la connessione. Pertanto, se si inoltra un messaggio inviato tramite una connessione crittografata TLS a un'organizzazione di destinatari che non supporta la crittografia TLS, tale messaggio non è necessariamente crittografato.
Se si vuole crittografare il messaggio, usare una tecnologia di crittografia che crittografa il contenuto del messaggio. Ad esempio, è possibile usare Microsoft Purview Message Encryption o S/MIME. Per informazioni sulla crittografia dei messaggi in Office 365, vedere crittografia Email in Office 365 e Crittografia messaggi.
Usare TLS in situazioni in cui si vuole configurare un canale sicuro di corrispondenza tra Microsoft e l'organizzazione locale o un'altra organizzazione, ad esempio un partner. Exchange Online tenta sempre di usare TLS per proteggere la posta elettronica, ma non può se l'altra parte non offre sicurezza TLS. Continuare a leggere per scoprire in che modo è possibile proteggere tutta la posta per i server locali o i partner importanti utilizzando i connettori.
Per fornire la crittografia migliore ai clienti, Microsoft ha deprecato le versioni 1.0 e 1.1 di Transport Layer Security (TLS) in Office 365 e Office 365 GCC. È tuttavia possibile continuare a usare una connessione SMTP non crittografata senza TLS. Non è consigliabile trasmettere messaggi di posta elettronica senza crittografia.
Come viene utilizzato TLS in Exchange Online tra clienti di Exchange Online
Exchange Online server crittografa sempre le connessioni ad altri server Exchange Online nei data center con TLS 1.2. Quando si invia un messaggio a un destinatario all'interno dell'organizzazione, Exchange Online invia automaticamente il messaggio tramite una connessione crittografata tramite TLS. Exchange Online invia anche messaggi di posta elettronica inviati ad altri clienti tramite connessioni crittografate tramite TLS protette tramite forward secrecy.
Come Microsoft 365 usa TLS tra Microsoft 365 e partner esterni attendibili
Per impostazione predefinita, Exchange Online usa sempre TLS opportunistico. TLS opportunistico significa Exchange Online tenta sempre di crittografare le connessioni con la versione più sicura di TLS, quindi fa la sua strada verso il basso l'elenco di crittografie TLS fino a quando non trova una su cui entrambe le parti possono concordare. A meno che non si configuri Exchange Online per garantire che i messaggi a tale destinatario debbano usare una connessione sicura, per impostazione predefinita Exchange invia il messaggio senza crittografia se l'organizzazione del destinatario non supporta la crittografia TLS. TLS opportunistico è sufficiente per la maggior parte delle aziende. Tuttavia, per le aziende che hanno requisiti di conformità, ad esempio organizzazioni mediche, bancarie o governative, è possibile configurare Exchange Online per richiedere o forzare TLS. Per istruzioni, vedere Configurare il flusso di posta usando i connettori in Office 365.
Se si decide di configurare TLS tra la propria organizzazione e un'organizzazione partner attendibile, in Exchange Online è possibile utilizzare TLS forzato per creare canali di comunicazione attendibili. TLS forzato richiede all'organizzazione partner di eseguire l'autenticazione a Exchange Online con un certificato di sicurezza per l'invio di messaggi di posta elettronica. Il partner deve gestire i propri certificati. Exchange Online usa i connettori per proteggere i messaggi inviati da accessi non autorizzati prima che arrivino al provider di posta elettronica del destinatario. Per informazioni sull'uso dei connettori per configurare il flusso di posta, vedere Configurare il flusso di posta usando i connettori in Office 365.
TLS e distribuzioni ibride di Exchange Server
Se si gestisce una distribuzione ibrida di Exchange, il server Exchange locale deve eseguire l'autenticazione a Microsoft 365 usando un certificato di sicurezza per inviare posta ai destinatari le cui cassette postali si trovano solo in Office 365. Di conseguenza, è necessario gestire i propri certificati di sicurezza per i server Exchange locali. Inoltre, è necessario archiviare e conservare questi certificati per i server in modo sicuro. Per altre informazioni sulla gestione dei certificati nelle distribuzioni ibride, vedere Requisiti dei certificati per le distribuzioni ibride.
Come configurare TLS forzato per Exchange Online in Office 365
Per i clienti di Exchange Online, affinché TLS forzato sia utilizzato per proteggere tutta la posta elettronica inviata e ricevuta, è necessario configurare più di un connettore che richiede TLS. È necessario un connettore per i messaggi inviati alle cassette postali utente e un altro connettore per i messaggi inviati dalle cassette postali degli utenti. Creare tali connettori nell'interfaccia di amministrazione di Exchange in Office 365. Per istruzioni, vedere Configurare il flusso di posta usando i connettori in Office 365.
Informazioni sul certificato TLS per Exchange Online
Le informazioni sul certificato utilizzate da Exchange Online sono descritte nella tabella seguente. Se il partner aziendale sta configurando TLS forzato nel server di posta elettronica, è necessario fornire queste informazioni. Per motivi di sicurezza, i certificati cambiano di volta in volta. Il certificato corrente è valido dal 24 settembre 2020.
Informazioni sul certificato correnti valide dal 24 settembre 2020
Attributo | Valore |
---|---|
Autorità di certificazione principale | CA DigiCert - 1 |
Nome certificato | mail.protection.outlook.com |
Organizzazione | Microsoft Corporation |
Unità organizzativa | www.digicert.com |
Forza della chiave del certificato | 2048 |
Ottenere altre informazioni su TLS, certificati e Microsoft 365 e scaricare i certificati
Catene di crittografia di Microsoft 365 e download di certificati
Catene di crittografia e download di certificati di Microsoft 365 - DOD e GCC High
Per un elenco dei pacchetti di crittografia supportati, vedere Informazioni di riferimento tecniche sulla crittografia.
Impostare i connettori per il flusso di posta sicura con un'organizzazione partner