Wie Exchange Online mithilfe von TLS E-Mail-Verbindungen schützt
Erfahren Sie, wie Exchange Online und Microsoft 365 Transport Layer Security (TLS) und Forward Secrecy (FS) verwenden, um die E-Mail-Kommunikation zu schützen. Bietet außerdem Informationen über das von Microsoft für Exchange Online ausgestellte Zertifikat.
Tipp
Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihrer Organisation helfen können, Anforderungen an Datensicherheit und Compliance zu verwalten. Beginnen Sie jetzt im Microsoft Purview-Complianceportal Testversionshub. Erfahren Sie mehr über die Anmelde- und Testbedingungen.
TLS-Grundlagen für Microsoft 365 und Exchange Online
Transport Layer Security (TLS) und SSL, das vor TLS vorhanden war, sind kryptografische Protokolle, die die Kommunikation über ein Netzwerk sichern, indem Sicherheitszertifikate zum Verschlüsseln einer Verbindung zwischen Computern verwendet werden. TLS ersetzt Secure Sockets Layer (SSL) und wird häufig als SSL 3.1 bezeichnet. Exchange Online verwendet TLS, um die Verbindungen zwischen Exchange-Servern und die Verbindungen zwischen Exchange-Servern und anderen Servern wie Ihren lokalen Exchange-Servern oder den E-Mail-Servern Ihrer Empfänger zu verschlüsseln. Nachdem die Verbindung verschlüsselt ist, werden alle über diese Verbindung gesendeten Daten über den verschlüsselten Kanal gesendet. Wenn Sie jedoch eine Nachricht weiterleiten, die über eine TLS-verschlüsselte Verbindung an eine Empfängerorganisation gesendet wurde, die die TLS-Verschlüsselung nicht unterstützt, wird diese Nachricht nicht unbedingt verschlüsselt. TLS verschlüsselt die Nachricht nicht, nur die Verbindung.
Wenn Sie die Nachricht verschlüsseln möchten, verwenden Sie eine Verschlüsselungstechnologie, die den Nachrichteninhalt verschlüsselt. Sie können z. B. Microsoft Purview-Nachrichtenverschlüsselung oder S/MIME verwenden. Informationen zur Nachrichtenverschlüsselung in Office 365 finden Sie unter Email-Verschlüsselung in Office 365 und Nachrichtenverschlüsselung.
Verwenden Sie TLS in Situationen, in denen Sie einen sicheren Korrespondenzkanal zwischen Microsoft und Ihrer lokalen Organisation oder einer anderen Organisation, z. B. einem Partner, einrichten möchten. Exchange Online versucht immer zuerst, TLS zu verwenden, um Ihre E-Mails zu schützen, aber nicht, wenn die andere Partei keine TLS-Sicherheit anbietet. Lesen Sie weiter, um herauszufinden, wie Sie alle E-Mails auf Ihren lokalen Servern oder wichtigen Partnern mithilfe von Connectors schützen können.
Um unseren Kunden die erstklassige Verschlüsselung zu bieten, hat Microsoft die TLS-Versionen 1.0 und 1.1 (Transport Layer Security) in Office 365 und Office 365 GCC als veraltet eingestuft. Sie können jedoch weiterhin eine unverschlüsselte SMTP-Verbindung ohne TLS verwenden. Wir empfehlen keine E-Mail-Übertragung ohne Verschlüsselung.
Wie Exchange Online TLS bei Exchange Online-Kunden verwendet
Exchange Online Server verschlüsseln Verbindungen mit anderen Exchange Online Servern in unseren Rechenzentren immer mit TLS 1.2. Wenn Sie eine Nachricht an einen Empfänger in Ihrer Organisation senden, sendet Exchange Online die Nachricht automatisch über eine verschlüsselte Verbindung mithilfe von TLS. Exchange Online sendet auch E-Mails, die Sie an andere Kunden über verschlüsselte Verbindungen mit TLS senden, die mit Forward Secrecy geschützt sind.
Wie Microsoft 365 TLS zwischen Microsoft 365 und externen, vertrauenswürdigen Partnern verwendet
Standardmäßig verwendet Exchange Online immer opportunistisches TLS. Opportunistisches TLS bedeutet Exchange Online zuerst immer versucht, Verbindungen mit der sichersten TLS-Version zu verschlüsseln, sich dann in der Liste der TLS-Verschlüsselungen nach unten arbeitet, bis eine gefunden wird, auf die sich beide Parteien einigen können. Sofern Sie Exchange Online nicht konfiguriert haben, um sicherzustellen, dass Nachrichten an diesen Empfänger sichere Verbindungen verwenden müssen, wird die Nachricht standardmäßig ohne Verschlüsselung gesendet, wenn die Empfängerorganisation keine TLS-Verschlüsselung unterstützt. Opportunistische TLS ist für die meisten Unternehmen ausreichend. Für Unternehmen, die Complianceanforderungen haben, z. B. medizinische, Bank- oder Regierungsorganisationen, können Sie jedoch Exchange Online konfigurieren, um TLS zu verlangen oder zu erzwingen. Anweisungen finden Sie unter Konfigurieren des Nachrichtenflusses mithilfe von Connectors in Office 365.
Wenn Sie TLS zwischen Ihrer Organisation und einer vertrauenswürdigen Partnerorganisation konfigurieren möchten, kann Exchange Online die erzwungene TLS verwenden, um vertrauenswürdige Kommunikationskanäle zu erstellen. Erzwungenes TLS erfordert, dass sich Ihre Partnerorganisation bei Exchange Online mit einem Sicherheitszertifikat authentifiziert, um E-Mails an Sie zu senden. Ihr Partner muss seine eigenen Zertifikate verwalten. Exchange Online verwendet Connectors, um Nachrichten zu schützen, die Sie vor nicht autorisiertem Zugriff senden, bevor sie beim E-Mail-Anbieter des Empfängers eingehen. Informationen zur Verwendung von Connectors zum Konfigurieren des Nachrichtenflusses finden Sie unter Konfigurieren des Nachrichtenflusses mithilfe von Connectors in Office 365.
TLS und Exchange Server-Hybridbereitstellungen
Wenn Sie eine Exchange-Hybridbereitstellung verwalten, muss sich Ihr lokaler Exchange-Server mithilfe eines Sicherheitszertifikats bei Microsoft 365 authentifizieren, um E-Mails an Empfänger zu senden, deren Postfächer sich nur in Office 365 befinden. Daher müssen Sie Ihre eigenen Sicherheitszertifikate für Ihre lokalen Exchange-Server verwalten. Sie müssen diese Serverzertifikate auch sicher speichern und verwalten. Weitere Informationen zum Verwalten von Zertifikaten in Hybridbereitstellungen finden Sie unter Zertifikatanforderungen für Hybridbereitstellungen.
Einrichten von erzwungener TLS für Exchange Online in Office 365
Damit bei Exchange Online-Kunden die erzwungene TLS so funktioniert, dass alle Ihre gesendeten und empfangenen E-Mails gesichert werden, müssen Sie mehrere Connectors einrichten, für die TLS erforderlich ist. Sie benötigen einen Connector für Nachrichten, die an Benutzerpostfächer gesendet werden, und einen weiteren Connector für Nachrichten, die von Benutzerpostfächern gesendet werden. Erstellen Sie diese Connectors in der Exchange-Verwaltungskonsole in Office 365. Anweisungen finden Sie unter Konfigurieren des Nachrichtenflusses mithilfe von Connectors in Office 365.
TLS-Zertifikatinformationen für Exchange Online
Die von Exchange Online verwendeten Zertifikatinformationen werden in der folgenden Tabelle beschrieben. Wenn Ihr Geschäftspartner erzwungenes TLS auf dem E-Mail-Server ein richtet, müssen Sie ihnen diese Informationen bereitstellen. Aus Sicherheitsgründen ändern sich unsere Zertifikate von Zeit zu Zeit. Das aktuelle Zertifikat ist ab dem 24. September 2020 gültig.
Aktuelle Zertifikatinformationen, gültig ab dem 24. September 2020
| Attribut | Wert |
|---|---|
| Aussteller des Stammzertifikats der Zertifizierungsstelle | DigiCert CA – 1 |
| Name des Zertifikats | mail.protection.outlook.com |
| Organisation | Microsoft Corporation |
| Organisationseinheit | www.digicert.com |
| Schlüsselstärke des Zertifikats | 2048 |
Rufen Sie weitere Informationen zu TLS, Zertifikaten und Microsoft 365 ab, und laden Sie Zertifikate herunter.
Microsoft 365-Verschlüsselungsketten und Zertifikatdownloads
Microsoft 365-Verschlüsselungsketten und Zertifikatdownloads – DOD und GCC High
Eine Liste der unterstützten Verschlüsselungssammlungen finden Sie unter Technische Referenzdetails zur Verschlüsselung.
Einrichten von Connectors für den sicheren Nachrichtenfluss mit einer Partnerorganisation