Partilhar via


Como o Exchange Online usa TLS para proteger conexões de e-mail

Saiba como Exchange Online e o Microsoft 365 utilizam o Transport Layer Security (TLS) e o Segredo de Reencaminhamento (FS) para proteger as comunicações por e-mail.

Dica

Se você não é um cliente E5, use a avaliação das soluções do Microsoft Purview de 90 dias para explorar como os recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de avaliações do Microsoft Purview. Saiba mais detalhes sobre os termos de inscrição e avaliação.

Noções básicas do TLS para o Microsoft 365 e Exchange Online

Transport Layer Security (TLS) e Secure Sockets Layer (SSL) que vieram antes do TLS são protocolos criptográficos. Estes protocolos protegem a comunicação através de uma rede através de certificados de segurança para encriptar uma ligação entre computadores. O TLS substitui o SSL e é frequentemente referido como SSL 3.1. Exchange Online utiliza o TLS para encriptar as ligações entre servidores exchange e as ligações entre servidores exchange e outros servidores. Por exemplo, o TLS é utilizado para encriptar a ligação entre Exchange Online e os servidores exchange no local ou os servidores de correio dos destinatários. Depois que a conexão é criptografada, todos os dados enviados por essa conexão passam pelo canal criptografado.

O TLS não encripta a mensagem, apenas a ligação. Por isso, se reencaminhar uma mensagem que foi enviada através de uma ligação encriptada por TLS para uma organização de destinatários que não suporta encriptação TLS, essa mensagem não é necessariamente encriptada.

Se quiser encriptar a mensagem, utilize uma tecnologia de encriptação que encripta o conteúdo da mensagem. Por exemplo, pode utilizar Criptografia de Mensagens do Microsoft Purview ou S/MIME. Veja encriptação Email no Office 365 e Encriptação de mensagens para obter informações sobre a encriptação de mensagens no Office 365.

Utilize o TLS em situações em que pretende configurar um canal seguro de correspondência entre a Microsoft e a sua organização no local ou outra organização, como um parceiro. Exchange Online tenta sempre utilizar o TLS primeiro para proteger o seu e-mail, mas não pode se a outra parte não oferecer segurança TLS. Continue lendo para saber como proteger todos os emails para seus servidores locais ou parceiros importantes usando conectores.

Para fornecer a melhor encriptação de classe aos nossos clientes, a Microsoft preteriu as versões TLS (Transport Layer Security) 1.0 e 1.1 em Office 365 e Office 365 GCC. No entanto, pode continuar a utilizar uma ligação SMTP não encriptada sem qualquer TLS. Não recomendamos a transmissão de e-mail sem qualquer encriptação.

Como o Exchange Online usa o TLS entre clientes do Exchange Online

Exchange Online servidores encriptam sempre ligações a outros servidores Exchange Online nos nossos datacenters com o TLS 1.2. Quando envia uma mensagem a um destinatário que esteja na sua organização, Exchange Online envia automaticamente a mensagem através de uma ligação encriptada através do TLS. Exchange Online também envia e-mails que envia a outros clientes através de ligações encriptadas através de TLS protegidos através do Segredo de Reencaminhamento.

Como o Microsoft 365 utiliza o TLS entre o Microsoft 365 e parceiros externos e fidedignos

Por padrão, o Exchange Online sempre usa o TLS oportunista. TLS oportunista significa Exchange Online tenta sempre encriptar as ligações com a versão mais segura do TLS primeiro e, em seguida, segue a lista de cifras TLS até encontrar uma em que ambas as partes possam concordar. A menos que configure Exchange Online para garantir que as mensagens para esse destinatário têm de utilizar uma ligação segura, o Exchange envia a mensagem por predefinição sem encriptação se a organização do destinatário não suportar a encriptação TLS. O TLS oportunista é suficiente para a maioria das empresas. No entanto, para empresas que têm requisitos de conformidade, como as empresas do setor médico e bancário ou as organizações governamentais, você pode configurar o Exchange Online para exigir ou forçar TLS. Para obter instruções, consulte Configurar o fluxo de correio com conectores no Office 365.

Se você decidir configurar o TLS entre sua organização e uma organização de parceiro confiável, o Exchange Online pode usar o TLS forçado para criar canais de comunicação confiáveis. O TLS forçado requer que a sua organização parceira se autentique para Exchange Online com um certificado de segurança para lhe enviar correio. O seu parceiro tem de gerir os seus próprios certificados. Exchange Online utiliza conectores para proteger as mensagens que envia contra acesso não autorizado antes de chegarem ao fornecedor de e-mail do destinatário. Para obter informações sobre como utilizar conectores para configurar o fluxo de correio, consulte Configurar o fluxo de correio com conectores no Office 365.

TLS e implantações híbridas do Exchange Server

Se estiver a gerir uma implementação híbrida do Exchange, o servidor Exchange no local tem de efetuar a autenticação no Microsoft 365 através de um certificado de segurança para enviar correio para destinatários cujas caixas de correio estão apenas no Office 365. Como resultado, tem de gerir os seus próprios certificados de segurança para os seus servidores exchange no local. Você também deve armazenar e manter esses certificados de servidor de maneira segura. Para obter mais informações sobre a gestão de certificados em implementações híbridas, veja Requisitos de certificado para implementações híbridas.

Como configurar o TLS Forçado para Exchange Online no Office 365

Para clientes do Exchange Online, para que o TLS forçado proteja todos os emails enviados e recebidos, é necessário configurar mais de um conector que exija TLS. Precisa de um conector para mensagens enviadas para caixas de correio de utilizador e outro conector para mensagens enviadas a partir de caixas de correio de utilizador. Crie esses conectores no Centro de administração do Exchange no Office 365. Para obter instruções, consulte Configurar o fluxo de correio com conectores no Office 365.

Informações do certificado TLS para o Exchange Online

As informações do certificado usadas pelo Exchange Online são descritas na tabela a seguir. Se o seu parceiro empresarial estiver a configurar o TLS forçado no respetivo servidor de e-mail, terá de lhes fornecer estas informações. Por motivos de segurança, os nossos certificados mudam de vez em quando. O certificado atual é válido a partir de 24 de setembro de 2020.

Informações de certificado atuais válidas a partir de 24 de setembro de 2020

Atributo Valor
Emissor da raiz da autoridade de certificação DigiCert CA - 1
Nome do certificado mail.protection.outlook.com
Organização Microsoft Corporation
Unidade organizacional www.digicert.com
Nível de segurança da chave do certificado 2048

Obtenha mais informações sobre O TLS, certificados e o Microsoft 365 e transfira certificados

Cadeias de encriptação do Microsoft 365 e transferências de certificados

Cadeias de encriptação do Microsoft 365 e transferências de certificados – DOD e GCC High

Para obter uma lista dos conjuntos de cifras suportados, veja Detalhes de referência técnica sobre a encriptação.

Configurar conectores para fluxo de email seguro com uma organização parceira

Conectores com segurança de e-mail melhorada

Criptografia no Microsoft 365