Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel enthält Anleitungen für organisationen der australischen Regierung zur Verwendung von Transport Layer Security (TLS) zum Schutz von sicherheitsrelevanten Informationen. Ihr Zweck ist es, Regierungsorganisationen zu helfen, ihre Verschlüsselungsanforderungen zu verstehen und zu verstehen, wie Microsoft 365 so konfiguriert werden kann, dass sie diese erfüllen. Die Anleitung in diesem Artikel wurde so geschrieben, dass sie am besten den Anforderungen entspricht, die im Schutzsicherheitsrichtlinien-Framework (PSPF) und im Handbuch zur Informationssicherheit (Information Security Manual, ISM) beschrieben sind.
Transport Layer Security (TLS) ist eine Art von Verschlüsselung, die in diesem Kontext zum Schutz von E-Mails während der Übertragung verwendet wird. TLS wird auf dem E-Mail-Server angewendet und gilt für alle E-Mails, die vom Server gesendet werden, und nicht auf Benutzer- oder Clientebene. Weitere Informationen zu TLS in Microsoft 365 finden Sie unter Wie Exchange Online TLS zum Sichern von E-Mail-Verbindungen verwendet.
TLS ist opportunistisch, was bedeutet, dass Exchange Online immer versucht, Verbindungen mit der sichersten Tls-Version zuerst zu verschlüsseln, sich dann in der Liste der TLS-Verschlüsselungen nach unten arbeitet, bis eine gefunden wird, auf die sowohl Absender als auch Empfänger übereinstimmen. Opportunistische TLS stellt sicher, dass Nachrichten für die E-Mail-Übertragung auf das höchstmögliche Niveau verschlüsselt werden.
Standardmäßig ist für Exchange Online TLS opportunistisch aktiviert, was die folgenden ISM-Anforderungen (Information Security Manual) erfüllt:
| Anforderung | Detail |
|---|---|
| ISM-0572 (März 2025) | Die opportunistische TLS-Verschlüsselung ist auf E-Mail-Servern aktiviert, die eingehende oder ausgehende E-Mail-Verbindungen über eine öffentliche Netzwerkinfrastruktur herstellen. |
Die opportunistische TLS-Konfiguration wird auch in der Blaupause für sichere Cloud von ASD erläutert.
Risiko unverschlüsselter E-Mails
Ein Nachteil des opportunistischen Charakters von TLS ist, dass es nicht obligatorisch ist. Wenn tls auf einem empfangenden E-Mail-Server nicht aktiviert ist, können E-Mails ohne TLS-Verschlüsselung gesendet werden, was zu einer höheren Wahrscheinlichkeit führt, dass der Nur-Text-Inhalt abgefangen und interpretiert wird. Dies ist kein Produktfehler, sondern vielmehr ein Symptom für die Entwicklung der E-Mail-Sicherheit. Die Anforderung der TLS-Verschlüsselung für die gesamte E-Mail-Übertragung führt wahrscheinlich zu verlorenen oder blockierten E-Mails für den kleinen Prozentsatz der E-Mail-Dienste, die noch nicht TLS-fähig sind.
Um das Risiko einer optionalen TLS-Verschlüsselung zu bewerten, sollten E-Mail-Administratoren regelmäßig den Exchange Online-Bericht für ausgehende Nachrichten überprüfen, der eine Zusammenfassung des Prozentsatzes der E-Mails enthält, die mit und ohne TLS-Verschlüsselung gesendet werden. Weitere Informationen finden Sie unter Nachrichtenberichte in Exchange Online.
Wenn Sie die E-Mail-Verschlüsselung für vertrauliche oder sicherheitsrelevante Informationen optional halten, erhöht sich das Risiko von Informationsverlusten. Wir sollten dieses Risiko zusammen mit den Übertragungsanforderungen aus Abschnitt 9.3 des Frameworks für Schutzsicherheitsrichtlinien (PSPF) berücksichtigen:
| Klassifizierung | Anforderungen |
|---|---|
| GESCHÜTZT | Verwenden Sie EIN GESCHÜTZTEs Netzwerk (oder höher), andernfalls ist eine Verschlüsselung erforderlich. |
| OFFICIAL: Vertraulich | Verwenden Sie OFFICIAL: Sensibles Netzwerk (oder höher). Verschlüsseln Sie, wenn sie über eine öffentliche Netzwerkinfrastruktur oder über ungesicherte Räume übertragen wird. |
| AMTLICH | Verschlüsselung empfohlen, insbesondere für Informationen, die über eine öffentliche Netzwerkinfrastruktur übermittelt werden. |
Behörden sollten Methoden zur Minderung von Risiken im Zusammenhang mit opportunistischem TLS in Betracht ziehen. Strategien können Folgendes umfassen:
- Die Verwendung eines erzwungenen TLS-Ansatzes für alle ausgehenden E-Mails. Dadurch wird die TLS-Verschlüsselung unabhängig von der angewendeten Vertraulichkeitsbezeichnung oder dem Inhalt des Elements sichergestellt, aber für einige Elemente kann dies zu einem potenziellen Preis der Nichtlöschung führen. Weitere Informationen zu diesem Ansatz finden Sie unter Einrichten von erzwungenem TLS für Exchange Online in Office 365.
- Die Verwendung einer Reihe von Partnerconnectors, die TLS für die Kommunikation zwischen einer vordefinierten Liste von Organisationen erfordern. Diese Methode sichert die Kommunikation zwischen festen Organisationen, bietet jedoch keine obligatorische TLS-Verschlüsselung, wenn Informationen an Empfänger außerhalb der Liste der Organisationen gesendet werden. Weitere Informationen zu diesem Ansatz finden Sie unter Einrichten von Connectors für einen sicheren E-Mail-Fluss mit einem Partner organization in Exchange Online.
- Die Verwendung eines Exchange Online Transportkonfigurationen, die TLS für sicherheitsklassifizierene E-Mails erfordern. Dieser Ansatz kann eine Reihe von Partnerconnectors ergänzen, um sicherzustellen, dass alle sicherheitsrelevanten Elemente in Übereinstimmung mit den PSPF-Verschlüsselungsanforderungen übertragen werden.
Für viele Regierungsorganisationen, insbesondere dienstbasierte Behörden, fällt der Großteil ihrer Informationen in die Kategorie OFFICIAL, und die Verwendung eines erzwungenen TLS-Ansatzes für dieses E-Mail-Volumen kann erhebliche Auswirkungen auf das Geschäft mit Einzelpersonen und Organisationen haben, die nicht über TLS verfügen. Ein risikobasierter Ansatz, der auf die geschäftlichen Anforderungen ausgerichtet ist, wird empfohlen, und für viele Organisationen wird dies wahrscheinlich die Verwendung des erzwungenen TLS-Ansatzes behindern. Ein besserer Ansatz ist wahrscheinlich die Verwendung von Partnerconnectors und transportbasierten Konfigurationen.
Die Blaupause von ASD für eine sichere Cloud enthält Informationen zur Konfiguration von Transportregeln, um TLS für OFFICIAL: Sensitive oder PROTECTED email zu erfordern. Diese Konfiguration wird in einigen weiteren Details im folgenden Abschnitt erläutert.
Festlegen von TLS für sicherheitsreklassifizierende E-Mails
Es kann eine Exchange Online-E-Mail-Flussregel erstellt werden, um die TLS-Verschlüsselung für E-Mails mit bestimmten Vertraulichkeitsbezeichnungen zu erfordern. Um dies zu erreichen, müssen wir zuerst Elemente identifizieren, auf die die relevanten Bezeichnungen angewendet wurden.
Wenn Vertraulichkeitsbezeichnungen auf eine E-Mail angewendet werden, gibt es eine Reihe von Metadaten, die in den Kopfzeilen der E-Mail platziert werden. Der Header, der Bezeichnungsinformationen enthält, wird benannt msip_labels und enthält eine Bezeichnung Globally Unique Identifiers (GUIDs), die der Bezeichnung entspricht, die auf das Element angewendet wird.
Um alle Bezeichnungs-GUIDs für eine Umgebung zu erhalten , kann PowerShell für Sicherheit und Compliance verwendet werden. Verwenden Sie Folgendes, um die Bezeichnungen und zugehörigen GUIDs einer Umgebung anzuzeigen:
Get-label | select displayname,guid
GuiDs von Interesse sind für alle OFFICIAL: Sensitive und PROTECTED Bezeichnungen, einschließlich Untergeordnete Bezeichnungen.
Hinweis
Bezeichnungs-GUIDs sind nur für einen einzelnen Microsoft 365-Mandanten spezifisch. Zwei Mandanten mit derselben Bezeichnungsbenennung verwenden nicht dieselbe GUID.
Nach dem Abrufen sollten Bezeichnungsnamen und GUIDs aufgezeichnet werden, damit Sie sie für die Konfiguration der Exchange-Nachrichtenflussregel verwenden können.
Allgemeine Anleitungen zum Erstellen von Nachrichtenflussregeln finden Sie unter Verwalten von Nachrichtenflussregeln in Exchange Online.
Administratoren müssen das Exchange Online Admin Center verwenden, um Nachrichtenflussregeln zu erstellen, die nach der msip_labels Kopfzeile suchen. Eine einzelne Nachrichtenflussregel kann verwendet werden, um auf mehrere Bezeichnungs-GUIDs zu überprüfen. Stellen Sie sicher, dass Sie beim Erstellen der Regel nach der Bezeichnungs-GUID einschließen Enabled=True . Im folgenden Beispiel werden die sechs Varianten von PROTECTED-Bezeichnungen (einschließlich Informationsverwaltungsmarkern und Einschränkungen) in einer Umgebung überprüft.
Die Aktion "Nachrichtenflussregel" sollte festgelegt werden, um die Nachrichtensicherheit zu ändern: TLS-Verschlüsselung erforderlich.
Im folgenden Beispiel werden Bezeichnungs-GUIDs von sechs Varianten einer PROTECTED-Bezeichnung überprüft, und für die Übertragung von E-Mails mit den angewendeten Bezeichnungen ist tls-Verschlüsselung erforderlich.
Beispiel für eine E-Mail-Flussregel für die Anforderung von TLS
Diese Nachrichtenflussregel soll verhindern, dass sicherheitsrelevante oder vertrauliche E-Mails ohne TLS-Verschlüsselung über das Internet übertragen werden.
| Regelname | Diese Regel anwenden, wenn | Gehen Sie wie folgt vor: |
|---|---|---|
| Anfordern von TLS für PROTECTED-E-Mail | Wenden Sie diese Regel an, wenn der Empfänger intern/extern ist: - Außerhalb des organization AND Die Nachrichtenkopfzeilen... Fügen Sie eines der folgenden Wörter ein: Kopfball: msip_labels Wörter: - PROTECTED GUID - PROTECTED Personal Privacy GUID - PROTECTED Legal Privilege GUID - PROTECTED Legislative Secrecy GUID - PROTECTED CABINET GUID - PROTECTED NATIONAL CABINET GUID |
– Ändern der Nachrichtensicherheit – TLS-Verschlüsselung erforderlich |
Hinweis
Bevor Sie solche Regeln implementieren, sollten Sie auch Ihre Strategie zum Überwachen der Auswirkungen von Regeln und zum Ausführen von Aktionen berücksichtigen, die aufgrund der empfangenden organization nicht unterstützen TLS verzögert oder blockiert werden.