Поделиться через


Использование протокола TLS службой Exchange Online для защиты электронной почты

Узнайте, как Exchange Online и Microsoft 365 используют протокол TLS и прямую секретность (FS) для защиты сообщений электронной почты.

Совет

Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас, перейдя в центр пробных версий на портале соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.

Основы TLS для Microsoft 365 и Exchange Online

Протоколы TLS и SSL, которые появились до TLS, являются криптографическими протоколами. Эти протоколы защищают обмен данными по сети с помощью сертификатов безопасности для шифрования подключения между компьютерами. ПРОТОКОЛ TLS заменяет SSL и часто называется SSL 3.1. Exchange Online использует ПРОТОКОЛ TLS для шифрования подключений между серверами Exchange и подключений между серверами Exchange и другими серверами. Например, протокол TLS используется для шифрования подключения между Exchange Online и локальными серверами Exchange или почтовыми серверами получателей. Если соединение зашифровано, все соответствующие данные пересылаются по зашифрованному каналу.

ПРОТОКОЛ TLS не шифрует сообщение, а только подключение. Таким образом, если вы пересылаете сообщение, отправленное через подключение с шифрованием TLS, в организацию-получатель, которая не поддерживает шифрование TLS, это сообщение не обязательно шифруется.

Если вы хотите зашифровать сообщение, используйте технологию шифрования, которая шифрует содержимое сообщения. Например, можно использовать Шифрование сообщений Microsoft Purview или S/MIME. Сведения о шифровании сообщений в Office 365 см. в Email шифровании в Office 365 и шифровании сообщений.

Используйте TLS в ситуациях, когда требуется настроить безопасный канал корреспонденции между корпорацией Майкрософт и вашей локальной организацией или другой организацией, например партнером. Exchange Online всегда пытается сначала использовать TLS для защиты электронной почты, но не может, если другая сторона не предлагает безопасность TLS. Продолжайте читать, чтобы узнать, как защитить всю почту на локальных серверах или важных партнерах с помощью соединителей.

Чтобы обеспечить лучшее в своем классе шифрование для наших клиентов, корпорация Майкрософт не рекомендуется использовать протокол TLS версий 1.0 и 1.1 в Office 365 и Office 365 GCC. Однако вы можете продолжать использовать незашифрованное SMTP-подключение без каких-либо TLS. Не рекомендуется передавать электронную почту без шифрования.

Использование протокола TLS службой Exchange Online для защиты данных, передаваемых между пользователями этой службы

Exchange Online серверы всегда шифруют подключения к другим серверам Exchange Online в наших центрах обработки данных с помощью TLS 1.2. При отправке сообщения получателю, который находится в вашей организации, Exchange Online автоматически отправляет сообщение через зашифрованное подключение по протоколу TLS. Exchange Online также отправляет сообщения электронной почты, отправляемые другим клиентам через зашифрованные подключения, используя протокол TLS, защищенный с помощью конфиденциальности пересылки.

Как Microsoft 365 использует TLS между Microsoft 365 и внешними доверенными партнерами

По умолчанию Exchange Online всегда использует оппортунистический ПРОТОКОЛ TLS. Оппортунистический TLS означает, что Exchange Online всегда пытается сначала зашифровать соединения с наиболее безопасной версией TLS, а затем работает вниз по списку шифров TLS, пока не найдет один, по которому обе стороны могут согласиться. Если вы не настроите Exchange Online, чтобы гарантировать, что сообщения этому получателю должны использовать безопасное подключение, по умолчанию Exchange отправляет сообщение без шифрования, если организация получателя не поддерживает шифрование TLS. Для большинства предприятий достаточно оппортунистического ПРОТОКОЛА TLS. Однако для предприятий, которые имеют требования к соответствию, например медицинские, банковские или государственные организации, можно настроить Exchange Online, чтобы требовать или принудительно применять TLS. Инструкции см. в статье Настройка потока обработки почты с помощью соединителей в Office 365.

Exchange Online может использовать TLS принудительно для создания надежных каналов связи между вашей организацией и организацией доверенного партнера. Принудительное подключение TLS требует от вашей партнерской организации проверки подлинности, чтобы Exchange Online с помощью сертификата безопасности для отправки вам почты. Ваш партнер должен управлять собственными сертификатами. Exchange Online использует соединители для защиты сообщений, отправляемых от несанкционированного доступа, прежде чем они поступят в поставщик электронной почты получателя. Сведения об использовании соединителей для настройки потока обработки почты см. в разделе Настройка потока обработки почты с помощью соединителей в Office 365.

Протокол TLS и гибридные развертывания Exchange Server

Если вы управляете гибридным развертыванием Exchange, локальный сервер Exchange должен пройти проверку подлинности в Microsoft 365 с помощью сертификата безопасности для отправки почты получателям, почтовые ящики которых находятся только в Office 365. В результате необходимо управлять собственными сертификатами безопасности для локальных серверов Exchange. Эти сертификаты также необходимо надежно хранить и обслуживать. Дополнительные сведения об управлении сертификатами в гибридных развертываниях см. в разделе Требования к сертификатам для гибридных развертываний.

Как настроить принудительное использование TLS для Exchange Online в Office 365

Чтобы обеспечить защиту электронной почты для пользователей Exchange Online с помощью принудительного использования TLS, необходимо настроить несколько соединителей, для которых оно обязательно. Вам потребуется один соединитель для сообщений, отправляемых в почтовые ящики пользователей, и другой соединитель для сообщений, отправляемых из почтовых ящиков пользователей. Эти соединители создаются в Центре администрирования Exchange в Office 365. Инструкции см. в статье Настройка потока обработки почты с помощью соединителей в Office 365.

Сведения о сертификате TLS для Exchange Online

Сведения о сертификате для Exchange Online приведены в таблице ниже. Если ваш бизнес-партнер настраивает принудительное подключение TLS на своем почтовом сервере, необходимо предоставить ему эту информацию. По соображениям безопасности наши сертификаты время от времени меняются. Текущий сертификат действителен с 24 сентября 2020 г.

Сведения о текущем сертификате, действительные с 24 сентября 2020 г.

Атрибут Значение
Поставщик корневого сертификата центра сертификации ЦС DigiCert — 1
Имя сертификата mail.protection.outlook.com
Организация Корпорация Майкрософт
Подразделение www.digicert.com
Сила ключа сертификата 2048

Получение дополнительных сведений о TLS, сертификатах и Microsoft 365 и скачивание сертификатов

Скачивание цепочек шифрования Microsoft 365 и сертификатов

Цепочки шифрования Microsoft 365 и скачивание сертификатов — DOD и GCC High

Список поддерживаемых наборов шифров см. в техническом справочнике по шифрованию.

Настройка соединителей для защиты потока обработки почты с партнерской организацией

Соединители с расширенной защитой электронной почты

Шифрование в Microsoft 365