要求对敏感电子邮件传输进行 TLS 加密,以便澳大利亚政府符合 PSPF
本文为澳大利亚政府组织提供有关使用传输层安全性 (TLS) 来帮助保护安全机密信息的指导。 其目的是帮助政府组织了解其加密要求,以及如何配置 Microsoft 365 来帮助实现此目的。 本文中提供的建议旨在与保护性安全策略框架 (PSPF) 策略 8:敏感信息和机密信息 以及信息安全 手册 (ISM) 中所述的要求保持一致。
TLS 是一种加密类型,可用于确保在传输过程中无法截获数据。 默认情况下,Exchange Online 始终使用操作 TLS。 机会性 TLS 意味着Exchange Online始终尝试先使用最安全的 TLS 版本加密连接,然后按照 TLS 密码列表进行加密,直到找到双方可以同意的加密。 重要的是,TLS 在 邮件服务器上 应用,并应用于 从服务器发送的所有电子邮件,而不是在用户或客户端级别。 有关 Microsoft 365 中的 TLS 的详细信息,请参阅 Exchange Online如何使用 TLS 来保护电子邮件连接。
Exchange Online 中 TLS 的默认设置符合信息安全手册 (ISM) 要求。
| 要求 | 详情 |
|---|---|
| ISM-0572 (2024 年 6 月) | 在通过公用网络基础结构建立传入或传出电子邮件连接的电子邮件服务器上启用机会性 TLS 加密。 |
ASD 的安全云蓝图中也讨论了机会性 TLS 配置。
将电子邮件加密保留为高度敏感信息的可选选项会增加信息丢失的风险。 政府或外部合作伙伴组织群集内受到入侵或管理不善的环境可能会导致敏感信息以纯文本形式通过公共 Internet 发送。 机会性 TLS 可确保将消息加密到可能的最高级别,以便预期的接收方能够按预期接收信息。 政府组织有一个传输拓扑,该拓扑利用连接器,这些连接器需要 TLS 在政府组织之间传输所有项目。
此类配置有助于确保固定组织列表之间的所有基于电子邮件的通信都已加密。 但是,它不允许对 组织预定义列表之外的收件人进行 TLS 加密。 例如,假设有一家签约公司(如律师),他要求向其发送敏感信息。 超出需要 TLS 的固定域列表可能会导致无法安全发送项目。
Exchange Online出站邮件报告提供有关使用和不使用 TLS 加密发送电子邮件的百分比的报告。 有关出站消息报告的详细信息,请参阅 Exchange Online 中的消息报告。
未加密电子邮件百分比较低的组织可能会考虑对所有传出邮件采用 强制 TLS 方法。 当电子邮件在固定域列表之外发送时,此配置可能会阻止非敏感电子邮件到达其预期目标, (例如 UNOFFICIAL 电子邮件) 。 为了与保护安全策略框架 (PSPF) 策略 8 附件 A 保持一致, (加密 要求) 加密是传输“官方:敏感”和“PROTECTED”电子邮件所必需的。 这些级别需要 TLS。
注意
对于许多政府组织,特别是基于服务的机构,其大部分信息属于官方类别,要求针对此数量的电子邮件使用 TLS 可能会对没有 TLS 的个人和组织的业务产生重大影响。 对于此级别的强制 TLS,建议采用基于风险的方法,根据业务需求进行调节,而不是机会性 TLS。
若要要求对敏感度较高的电子邮件进行 TLS 加密,可以使用 Exchange 联机邮件流规则。 此规则检查要发送的项的 x 标头。 如果项目被标识为应用了某些敏感度标签,则会应用操作,此操作需要 TLS 加密来传输项。
若要构造这些 邮件流规则,我们需要了解如何将标签应用于电子邮件。 应用标签时,可以在电子邮件的 x 标头中看到它。 包含标签信息的标头命名 msip_labels 为 ,其中包含标签 ID,该 ID 对应于应用于项的标签。
邮件流规则可以检查msip_labels标头,以查看是否通过其标签 ID 或 GUID 应用了任何相关标签。
为了获取标签全局唯一标识符 (GUID) 环境 、安全性和合规性,可以使用 PowerShell 。 查看环境的标签和关联的 GUID 所需的命令是:
Get-label | select displayname,guid
PowerShell 命令返回敏感度标签及其标签 GUID 的列表。
注意
标签 GUID 仅特定于单个 Microsoft 365 租户。 具有相同标签命名的两个租户不会共享相同的 GUID。
获取后,应记录这些标签名称和 GUID,以便将其用于 Exchange 邮件流规则配置。
管理员需要使用 Exchange Online 管理员 中心来创建查找标头的规则msip_labels。 单个邮件流规则可用于检查多个标签 GUID。 创建规则时,请确保在标签 GUID 后面包含 Enabled=True 。 以下示例检查受保护标签的六种变体 (包括环境中的信息管理标记和警告) 。
要求 TLS 的邮件流规则示例
此邮件流规则旨在防止在没有 TLS 加密的情况下通过 Internet 传输安全分类或敏感电子邮件。
| 规则名称 | 在以下情况应用此规则 选择一个条件,然后为此条件输入所有必需的值。 | 执行以下操作 |
|---|---|---|
| 需要对受保护的电子邮件使用 TLS | 如果收件人是内部/外部,则应用此规则: - 组织外部 AND 邮件头... 包括以下任一字词: 页眉: msip_labels 的话: - PROTECTED GUID - PROTECTED Personal Privacy GUID - PROTECTED Legal Privilege GUID - PROTECTED Legislative Secrecy GUID - PROTECTED CABINET GUID - PROTECTED NATIONAL CABINET GUID |
- 修改消息安全性 - 需要 TLS 加密 |
注意
在实施此类规则之前,还要考虑用于监视规则影响以及由于接收组织不支持 TLS 而被延迟或阻止的操作项的策略。