Wie Exchange Online mithilfe von TLS E-Mail-Verbindungen schützt

Erfahren Sie, wie Exchange Online und Microsoft 365 Transport Layer Security (TLS) und Forward Secrecy (FS) verwenden, um die E-Mail-Kommunikation zu sichern. Bietet außerdem Informationen über das von Microsoft für Exchange Online ausgestellte Zertifikat.

Tipp

Wenn Sie kein E5-Kunde sind, können Sie alle Premium-Features in Microsoft Purview kostenlos testen. Verwenden Sie die 90-tägige Testversion von Purview-Lösungen, um zu erfahren, wie robuste Purview-Funktionen Ihrer Organisation bei der Verwaltung der Anforderungen an Datensicherheit und Compliance helfen können. Starten Sie jetzt im Microsoft Purview-Complianceportal Testversionen-Hub. Erfahren Sie mehr über die Anmelde- und Testbedingungen.

TLS-Grundlagen für Microsoft 365 und Exchange Online

Transport Layer Security (TLS) und SSL, das vor TLS vorhanden war, sind kryptografische Protokolle, die die Kommunikation über ein Netzwerk sichern, indem Sicherheitszertifikate zum Verschlüsseln einer Verbindung zwischen Computern verwendet werden. TLS ersetzt Secure Sockets Layer (SSL) und wird häufig als SSL 3.1 bezeichnet. Exchange Online verwendet TLS, um die Verbindungen zwischen Exchange-Servern und die Verbindungen zwischen Exchange-Servern und anderen Servern wie Ihren lokalen Exchange-Servern oder den E-Mail-Servern Ihrer Empfänger zu verschlüsseln. Nachdem die Verbindung verschlüsselt ist, werden alle über diese Verbindung gesendeten Daten über den verschlüsselten Kanal gesendet. Wenn Sie jedoch eine Nachricht, die über eine TLS-verschlüsselte Verbindung gesendet wurde, an eine Empfängerorganisation weiterleiten, die keine TLS-Verschlüsselung unterstützt, wird diese Nachricht nicht unbedingt verschlüsselt. TLS verschlüsselt die Nachricht nicht, nur die Verbindung.

Wenn Sie die Nachricht verschlüsseln möchten, verwenden Sie eine Verschlüsselungstechnologie, die den Nachrichteninhalt verschlüsselt. Sie können z. B. Microsoft Purview-Nachrichtenverschlüsselung oder S/MIME verwenden. Informationen zur Nachrichtenverschlüsselung in Office 365 finden Sie unter Email Verschlüsselung in Office 365 und Nachrichtenverschlüsselung.

Verwenden Sie TLS in Situationen, in denen Sie einen sicheren Korrespondenzkanal zwischen Microsoft und Ihrer lokalen Organisation oder einer anderen Organisation einrichten möchten, z. B. einem Partner. Exchange Online versucht immer, TLS zuerst zu verwenden, um Ihre E-Mails zu schützen, kann aber nicht, wenn die andere Partei keine TLS-Sicherheit bietet. Lesen Sie weiter, um herauszufinden, wie Sie alle E-Mails an Ihre lokalen Server oder wichtigen Partner mithilfe von Connectors sichern können.

Um unseren Kunden die erstklassige Verschlüsselung bereitzustellen, hat Microsoft die TLS-Versionen 1.0 und 1.1 in Office 365 und Office 365 GCC veraltet. Sie können jedoch weiterhin eine unverschlüsselte SMTP-Verbindung ohne TLS verwenden. Es wird keine E-Mail-Übertragung ohne Verschlüsselung empfohlen.

Wie Exchange Online TLS bei Exchange Online-Kunden verwendet

Exchange Online Server verschlüsseln Verbindungen mit anderen Exchange Online Servern in unseren Rechenzentren immer mit TLS 1.2. Wenn Sie eine Nachricht an einen Empfänger innerhalb Ihrer Organisation senden, Exchange Online die Nachricht automatisch über eine verschlüsselte Verbindung mitHILFE von TLS senden. Exchange Online sendet auch E-Mails, die Sie über verschlüsselte Verbindungen mit TLS an andere Kunden senden, die mithilfe der Forward Secrecy gesichert sind.

Wie Microsoft 365 TLS zwischen Microsoft 365 und externen, vertrauenswürdigen Partnern verwendet

Standardmäßig verwendet Exchange Online immer opportunistisches TLS. Opportunistische TLS bedeutet, dass Exchange Online immer zuerst versucht, Verbindungen mit der sichersten TlS-Version zu verschlüsseln, und dann in der Liste der TLS-Verschlüsselungen nach unten arbeitet, bis es eine findet, auf der sich beide Parteien einigen können. Sofern Sie nicht Exchange Online konfiguriert haben, um sicherzustellen, dass Nachrichten an diesen Empfänger sichere Verbindungen verwenden müssen, wird die Nachricht standardmäßig ohne Verschlüsselung gesendet, wenn die Empfängerorganisation die TLS-Verschlüsselung nicht unterstützt. Opportunistische TLS ist für die meisten Unternehmen ausreichend. Für Unternehmen, die Complianceanforderungen haben, wie z. B. medizinische, Bank- oder Regierungsorganisationen, können Sie jedoch Exchange Online so konfigurieren, dass TLS erforderlich ist oder erzwungen wird. Anweisungen finden Sie unter Konfigurieren des Nachrichtenflusses mithilfe von Connectors in Office 365.

Wenn Sie TLS zwischen Ihrer Organisation und einer vertrauenswürdigen Partnerorganisation konfigurieren möchten, kann Exchange Online die erzwungene TLS verwenden, um vertrauenswürdige Kommunikationskanäle zu erstellen. Erzwungenes TLS erfordert, dass Sich Ihre Partnerorganisation bei Exchange Online mit einem Sicherheitszertifikat authentifiziert, um E-Mails an Sie zu senden. Ihr Partner muss seine eigenen Zertifikate verwalten. Exchange Online verwendet Connectors, um Nachrichten zu schützen, die Sie vor unbefugtem Zugriff senden, bevor sie beim E-Mail-Anbieter des Empfängers eingehen. Informationen zur Verwendung von Connectors zum Konfigurieren des Nachrichtenflusses finden Sie unter Konfigurieren des Nachrichtenflusses mithilfe von Connectors in Office 365.

TLS und Exchange Server-Hybridbereitstellungen

Wenn Sie eine Exchange-Hybridbereitstellung verwalten, muss sich Ihr lokaler Exchange-Server mithilfe eines Sicherheitszertifikats bei Microsoft 365 authentifizieren, um E-Mails an Empfänger zu senden, deren Postfächer sich nur in Office 365 befinden. Daher müssen Sie Ihre eigenen Sicherheitszertifikate für Ihre lokalen Exchange-Server verwalten. Sie müssen diese Serverzertifikate auch sicher speichern und verwalten. Weitere Informationen zum Verwalten von Zertifikaten in Hybridbereitstellungen finden Sie unter Zertifikatanforderungen für Hybridbereitstellungen.

Einrichten von erzwungener TLS für Exchange Online in Office 365

Damit bei Exchange Online-Kunden die erzwungene TLS so funktioniert, dass alle Ihre gesendeten und empfangenen E-Mails gesichert werden, müssen Sie mehrere Connectors einrichten, für die TLS erforderlich ist. Sie benötigen einen Connector für Nachrichten, die an Benutzerpostfächer gesendet wurden, und einen anderen Connector für Nachrichten, die von Benutzerpostfächern gesendet werden. Erstellen Sie diese Connectors in der Exchange-Verwaltungskonsole in Office 365. Anweisungen finden Sie unter Konfigurieren des Nachrichtenflusses mithilfe von Connectors in Office 365.

TLS-Zertifikatinformationen für Exchange Online

Die von Exchange Online verwendeten Zertifikatinformationen werden in der folgenden Tabelle beschrieben. Wenn Ihr Geschäftspartner erzwungenen TLS auf dem E-Mail-Server einrichtet, müssen Sie diese Informationen für ihn bereitstellen. Aus Sicherheitsgründen ändern sich unsere Zertifikate von Zeit zu Zeit. Das aktuelle Zertifikat ist ab dem 24. September 2020 gültig.

Aktuelle Zertifikatinformationen gültig ab dem 24. September 2020

Attribut Wert
Aussteller des Stammzertifikats der Zertifizierungsstelle DigiCert CA - 1
Name des Zertifikats mail.protection.outlook.com
Organisation Microsoft Corporation
Organisationseinheit www.digicert.com
Schlüsselstärke des Zertifikats 2048

Weitere Informationen zu TLS, Zertifikaten und Microsoft 365 erhalten und Zertifikate herunterladen

Microsoft 365-Verschlüsselungsketten und Zertifikatdownloads

Microsoft 365-Verschlüsselungsketten und Zertifikatdownloads – DOD und GCC High

Eine Liste der unterstützten Verschlüsselungssammlungen finden Sie unter Technische Referenzdetails zur Verschlüsselung.

Einrichten von Connectors für den sicheren Nachrichtenfluss mit einer Partnerorganisation

Connectors mit erweiterter E-Mail-Sicherheit

Verschlüsselung in Microsoft 365