Exchange Online 如何使用 TLS 保护电子邮件连接

了解 Exchange Online 和 Microsoft 365 如何使用传输层安全性 (TLS) 和转发机密 (FS) 来保护电子邮件通信。

提示

如果你不是 E5 客户,请使用为期 90 天的 Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从Microsoft Purview 合规门户试用中心开始。 了解有关 注册和试用条款的详细信息。

Microsoft 365 和 Exchange Online 的 TLS 基础知识

传输层安全性 (TLS) 和安全套接字层 (TLS 之前的 SSL) 是加密协议。 这些协议通过使用安全证书加密计算机之间的连接来保护网络上的通信。 TLS 取代 SSL,通常称为 SSL 3.1。 Exchange Online使用 TLS 加密 Exchange 服务器之间的连接以及 Exchange 服务器与其他服务器之间的连接。 例如,TLS 用于加密Exchange Online与本地 Exchange 服务器或收件人的邮件服务器之间的连接。 加密连接后,所有通过该连接发送的数据都将通过加密通道进行发送。

TLS 不会加密消息,只会加密连接。 因此,如果将通过 TLS 加密连接发送的邮件转发到不支持 TLS 加密的收件人组织,则不一定加密该邮件。

如果要加密消息,请使用加密消息内容的加密技术。 例如,可以使用 Microsoft Purview 邮件加密 或 S/MIME。 有关Office 365中的消息加密的信息,请参阅 Office 365 中的Email加密和消息加密。

如果要在 Microsoft 与本地组织或其他组织(如合作伙伴)之间建立安全通信通道,请使用 TLS。 Exchange Online始终尝试先使用 TLS 来保护电子邮件,但如果另一方不提供 TLS 安全性,则不能。 请继续阅读,以了解您如何通过使用连接器保护所有发送到您本地服务器或重要合作伙伴的邮件。

为了为客户提供一流的加密,Microsoft 已弃用传输层安全性 (TLS) Office 365 和 Office 365GCC 中的 1.0 和 1.1 版本。 但是,可以继续使用不带任何 TLS 的未加密 SMTP 连接。 建议不要在没有任何加密的情况下传输电子邮件。

Exchange Online 如何在 Exchange Online 客户之间使用 TLS

Exchange Online服务器始终使用 TLS 1.2 加密与数据中心内其他Exchange Online服务器的连接。 向组织中的收件人发送邮件时,Exchange Online使用 TLS 通过加密连接自动发送邮件。 Exchange Online还会通过加密连接向其他客户发送电子邮件,这些连接使用前向机密进行保护。

Microsoft 365 如何在 Microsoft 365 与外部受信任的合作伙伴之间使用 TLS

默认情况下,Exchange Online 始终使用操作 TLS。 机会性 TLS 意味着Exchange Online始终尝试先使用最安全的 TLS 版本加密连接,然后按照 TLS 密码列表进行加密,直到找到双方可以同意的加密。 除非配置Exchange Online以确保发送给该收件人的邮件必须使用安全连接,否则默认情况下,如果收件人组织不支持 TLS 加密,则 Exchange 会发送不加密的邮件。 操作 TLS 对于多数企业已够用。 然而,对于具有合规性要求的企业(如医疗、银行或政府机构),你可以配置 Exchange Online 以要求或强制执行 TLS。 有关说明,请参阅在 Office 365 中使用连接器配置邮件流

如果您决定在您的组织和受信任合作伙伴组织之间配置 TLS,Exchange Online 可以使用强制 TLS 创建受信任的通信通道。 强制 TLS 要求合作伙伴组织使用安全证书向Exchange Online进行身份验证,以便向你发送邮件。 合作伙伴需要管理自己的证书。 Exchange Online使用连接器来保护你发送的邮件在到达收件人的电子邮件提供商之前不受未经授权的访问。 有关使用连接器配置邮件流的信息,请参阅在 Office 365 中使用连接器配置邮件流

TLS 和混合 Exchange Server 部署

如果要管理混合 Exchange 部署,本地 Exchange 服务器需要使用安全证书向 Microsoft 365 进行身份验证,以便向邮箱仅位于 Office 365 中的收件人发送邮件。 因此,你需要为本地 Exchange 服务器管理自己的安全证书。 您还必须以安全的方式存储并维护这些服务器证书。 有关在混合部署中管理证书的详细信息,请参阅 混合部署的证书要求

如何在 Office 365 中为 Exchange Online 设置强制 TLS

对于 Exchange Online 客户,为了启用强制 TLS 以保护所有您发送和接收的电子邮件,您需要设置多个要求 TLS 的连接器。 对于发送到用户邮箱的邮件,需要一个连接器,另一个连接器用于从用户邮箱发送的邮件。 在 Office 365 中的 Exchange 管理中心内创建这些连接器。 有关说明,请参阅在 Office 365 中使用连接器配置邮件流

Exchange Online 的 TLS 证书信息

下表中介绍了 Exchange Online 所用的证书信息。 如果业务合作伙伴在其电子邮件服务器上设置强制 TLS,则需要向他们提供此信息。 出于安全原因,我们的证书会不时更改。 当前证书自 2020 年 9 月 24 日起有效。

当前证书信息自 2020 年 9 月 24 日生效

属性
证书颁发机构根颁发者 DigiCert CA - 1
证书名称 mail.protection.outlook.com
组织 Microsoft Corporation
组织单位 www.digicert.com
证书的密钥长度 2048

获取有关 TLS、证书和 Microsoft 365 的详细信息并下载证书

Microsoft 365 加密链和证书下载

Microsoft 365 加密链和证书下载 - DOD 和 GCC High

有关支持的密码套件的列表,请参阅 有关加密的技术参考详细信息

将连接器设置为确保与合作伙伴组织之间实现安全的邮件流

电子邮件安全性已提高的连接器

Microsoft 365 中的加密