要求 TLS 加密以進行敏感性電子郵件傳輸,以符合澳大利亞政府與 PSPF 的規範
本文提供有關使用傳輸層安全性 (TLS) 來協助保護安全性分類資訊的澳大利亞政府組織指引。 其目的是協助政府組織瞭解其加密需求,以及如何設定Microsoft 365 來協助解決此問題。 本文中的建議已撰寫成與保護安全策略架構 (PSPF) 原則 8:機密和分類資訊 和 資訊安全手冊 (ISM) 中所述的需求最一致。
TLS 是一種加密類型,可用來確保數據在傳輸期間無法被攔截。 根據預設,Exchange Online 一律會使用「隨機 TLS」。 不一致的 TLS 表示 Exchange Online 一律會先嘗試使用最安全的 TLS 版本來加密連線,然後在 TLS 加密清單中運作,直到找到兩方可以同意的連線為止。 重要的是,TLS 會套用在 郵件伺服器 上,並套用至 從伺服器傳送的所有電子郵件,而不是在使用者或用戶端層級。 如需有關 Microsoft 365 中 TLS 的詳細資訊,請參閱 Exchange Online 如何使用 TLS 來保護電子郵件連線。。
Exchange Online 中的 TLS 預設設定符合資訊安全性手冊 (ISM) 需求。
| 需求 | 詳細資料 |
|---|---|
| ISM-0572 (2024 年 6 月) | 在透過公用網路基礎結構進行內送或外寄電子郵件連線的電子郵件伺服器上,會啟用商機 TLS 加密。 |
ASD 的安全雲端藍圖中也會討論商機 TLS 設定。
針對高度敏感性資訊保留電子郵件加密選擇性,會增加資訊遺失的風險。 政府或外部夥伴組織叢集內受入侵或管理不良的環境,可能會導致敏感性資訊透過公用因特網以純文本傳送。 不一致的 TLS 可確保訊息可以加密到最高層級,讓預期的接收者能夠如預期般接收資訊。 政府組織具有傳輸拓撲,可使用需要 TLS 的連接器,在政府組織之間傳輸所有專案。
這類設定有助於確保固定組織清單之間的所有電子郵件通訊都已加密。 不過,它不允許組織 預先定義清單以外的收件者需要 TLS 加密。 例如,假設某家律師公司需要將敏感性資訊傳送給他們,例如律師。 不在需要 TLS 的固定網域清單之外,可能會導致專案以不安全的方式傳送。
Exchange Online 輸出訊息報告會提供傳送含有 TLS 加密和不含 TLS 加密之電子郵件百分比的報告。 如需輸出訊息報告的詳細資訊,請參閱 Exchange Online 中的訊息報告。
具有低百分比未加密電子郵件的組織可能會考慮所有外寄郵件的 強制 TLS 方法。 當電子郵件傳送至網域的固定清單之外時,此設定可能會防止非敏感性電子郵件到達其預期的目的地 (例如,在一) 的非敏感性電子郵件。 若要與保護安全策略架構 (PSPF) 原則 8 附錄一致,必須 (加密 需求) 加密中摘要說明,才能傳輸 'OFFICIAL: Sensitive' 和 'PROTECTED' 電子郵件。 這些層級需要 TLS。
注意事項
對於許多政府組織,特別是服務型機構而言,其大部分的信息屬於 OFFICIAL 類別,而且需要 TLS 才能處理此數量的電子郵件,可能會對沒有 TLS 的個人和組織對企業造成重大影響。 針對此層級的強制 TLS 與商機 TLS,建議採用風險型方法,以因應商務需求。
若要要求高敏感度電子郵件的 TLS 加密,可以使用 Exchange 在線郵件流程規則。 此規則會檢查所傳送專案的 x 標頭。 當項目識別為已套用特定敏感度標籤時,會套用動作,這需要 TLS 加密才能傳輸專案。
若要建構這些 郵件流程規則,我們必須了解標籤如何套用至電子郵件。 套用標籤時,可以在電子郵件的 x 標頭中看到標籤。 包含標籤資訊的標頭會命名 msip_labels 為 ,並包含標籤標識碼,其對應於套用至專案的標籤。
郵件流程規則可以檢查標頭, msip_labels 以查看是否有任何相關的標籤是透過其標籤碼或 GUID 套用。
若要取得標籤全域唯一標識碼 (環境的 GUID) ,可以使用 安全性與合規性 PowerShell 。 檢視環境標籤和相關聯 GUID 所需的命令為:
Get-label | select displayname,guid
PowerShell 命令會傳回敏感度標籤清單及其標籤 GUID。
注意事項
標籤 GUID 僅適用於單一Microsoft 365 租使用者。 具有相同標籤命名的兩個租使用者將不會共用相同的 GUID。
取得之後,應該記錄這些標籤名稱和 GUID,讓您可以將它們用於 Exchange 郵件流程規則設定。
系統管理員必須使用 Exchange Online 管理員 中心來建立尋找標頭的msip_labels規則。 單一郵件流程規則可用來檢查多個標籤 GUID。 建立規則時,請確定您包含 Enabled=True 在標籤 GUID 之後。 下列範例會檢查受保護標籤 (的六種變化,包括環境內的資訊管理標記和警告) 。
要求 TLS 的範例郵件流程規則
此郵件流程規則旨在防止安全性分類或敏感性電子郵件透過因特網傳輸,而不需要 TLS 加密。
| 規則名稱 | [套用此規則情況] 選擇一個條件並輸入任何該條件所需的值。 | 執行下列動作 |
|---|---|---|
| PROTECTED 電子郵件需要 TLS | 如果收件者是內部/外部,請套用此規則: - 組織外部 和 訊息標頭... 包含下列任一字: 頁眉: msip_labels 的話: - PROTECTED GUID - PROTECTED Personal Privacy GUID - PROTECTED Legal Privilege GUID - PROTECTED Legislative Secrecy GUID - PROTECTED CABINET GUID - PROTECTED NATIONAL CABINET GUID |
- 修改訊息安全性 - 需要 TLS 加密 |
注意事項
實作這類規則之前,也請考慮您監視規則影響的策略,以及因接收組織不支援 TLS 而延遲或封鎖的項目動作。