Mode d’utilisation de TLS par Exchange Online pour sécuriser les connexions de messagerie
Découvrez comment Exchange Online et Microsoft 365 utilisent TLS (Transport Layer Security) et FS (Forward Secrecy) pour sécuriser les communications par e-mail.
Conseil
Si vous n’êtes pas un client E5, utilisez la version d’évaluation de 90 jours des solutions Microsoft Purview pour découvrir comment des fonctionnalités Supplémentaires purview peuvent aider vos organization à gérer les besoins en matière de sécurité et de conformité des données. Commencez dès maintenant au hub d’essais portail de conformité Microsoft Purview. En savoir plus sur les conditions d’inscription et d’essai.
Concepts de base de TLS pour Microsoft 365 et Exchange Online
Tls (Transport Layer Security) et SSL (Secure Sockets Layer) qui sont arrivés avant TLS, sont des protocoles de chiffrement. Ces protocoles sécurisent la communication sur un réseau à l’aide de certificats de sécurité pour chiffrer une connexion entre les ordinateurs. TLS remplace SSL et est souvent appelé SSL 3.1. Exchange Online utilise TLS pour chiffrer les connexions entre les serveurs Exchange et les connexions entre les serveurs Exchange et d’autres serveurs. Par exemple, TLS est utilisé pour chiffrer la connexion entre Exchange Online et vos serveurs Exchange locaux ou les serveurs de messagerie de vos destinataires. Une fois la connexion chiffrée, toutes les données envoyées via cette connexion sont envoyées par le biais du canal chiffré.
TLS ne chiffre pas le message, mais uniquement la connexion. Par conséquent, si vous transférez un message envoyé via une connexion chiffrée tls à un destinataire organization qui ne prend pas en charge le chiffrement TLS, ce message n’est pas nécessairement chiffré.
Si vous souhaitez chiffrer le message, utilisez une technologie de chiffrement qui chiffre le contenu du message. Par exemple, vous pouvez utiliser Chiffrement de messages Microsoft Purview ou S/MIME. Pour plus d’informations sur le chiffrement des messages dans Office 365, consultez chiffrement Email dans Office 365 et Chiffrement des messages.
Utilisez TLS dans les situations où vous souhaitez configurer un canal sécurisé de correspondance entre Microsoft et votre organization local ou un autre organization, tel qu’un partenaire. Exchange Online tente toujours d’utiliser tls en premier pour sécuriser votre courrier électronique, mais ne le pouvez pas si l’autre partie n’offre pas la sécurité TLS. Poursuivez votre lecture pour découvrir comment sécuriser tous les messages vers vos serveurs locaux ou vos partenaires importants à l’aide de connecteurs.
Pour fournir le meilleur chiffrement de sa catégorie à nos clients, Microsoft a déconseillé tls (Transport Layer Security) versions 1.0 et 1.1 dans Office 365 et Office 365 GCC. Toutefois, vous pouvez continuer à utiliser une connexion SMTP non chiffrée sans TLS. Nous vous déconseillons de transmettre des e-mails sans chiffrement.
Comment Exchange Online utilise TLS entre des clients Exchange Online
Exchange Online serveurs chiffrent toujours les connexions à d’autres serveurs Exchange Online dans nos centres de données avec TLS 1.2. Lorsque vous envoyez un message à un destinataire qui se trouve dans votre organization, Exchange Online envoie automatiquement le message via une connexion chiffrée à l’aide du protocole TLS. Exchange Online envoie également des e-mails que vous envoyez à d’autres clients via des connexions chiffrées à l’aide du protocole TLS qui sont sécurisées à l’aide du secret de transfert.
Comment Microsoft 365 utilise TLS entre Microsoft 365 et des partenaires externes et approuvés
Par défaut, Exchange Online utilise toujours le protocole TLS opportuniste. Tls opportuniste signifie Exchange Online essaie toujours de chiffrer les connexions avec la version la plus sécurisée de TLS, puis de descendre dans la liste des chiffrements TLS jusqu’à ce qu’il en trouve un sur lequel les deux parties peuvent s’entendre. Sauf si vous configurez Exchange Online pour vous assurer que les messages destinés à ce destinataire doivent utiliser une connexion sécurisée, Exchange envoie par défaut le message sans chiffrement si le organization du destinataire ne prend pas en charge le chiffrement TLS. Le protocole TLS opportuniste est suffisant pour la plupart des entreprises. Toutefois, pour les entreprises qui ont des exigences de conformité médicale ou bancaire, ou pour les organisations gouvernementales, vous pouvez configurer Exchange Online afin d’exiger ou de forcer l’utilisation du protocole TLS. Pour obtenir des instructions, consultez Configurer le flux de messagerie à l’aide de connecteurs dans Office 365.
Si vous décidez de configurer TLS entre votre organisation et une organisation partenaire approuvée, Exchange Online peut utiliser le TLS forcé pour créer des canaux de communication approuvés. Tls forcé exige que votre partenaire organization s’authentifie auprès de Exchange Online avec un certificat de sécurité pour vous envoyer des messages. Votre partenaire doit gérer ses propres certificats. Exchange Online utilise des connecteurs pour protéger les messages que vous envoyez d’un accès non autorisé avant qu’ils n’arrivent au fournisseur de messagerie du destinataire. Pour plus d’informations sur l’utilisation de connecteurs pour configurer le flux de messagerie, consultez Configurer le flux de messagerie à l’aide de connecteurs dans Office 365.
Déploiements Exchange Server hybrides et TLS
Si vous gérez un déploiement Exchange hybride, votre serveur Exchange local doit s’authentifier auprès de Microsoft 365 à l’aide d’un certificat de sécurité pour envoyer des messages aux destinataires dont les boîtes aux lettres se trouvent uniquement dans Office 365. Par conséquent, vous devez gérer vos propres certificats de sécurité pour vos serveurs Exchange locaux. Vous devez également stocker et conserver ces certificats de serveur de manière sécurisée. Pour plus d’informations sur la gestion des certificats dans les déploiements hybrides, consultez Exigences des certificats pour les déploiements hybrides.
Configuration du TLS forcé pour Exchange Online dans Office 365
Pour les clients Exchange Online, afin que le TLS forcé sécurise l’ensemble de vos messages électroniques envoyés et reçus, vous devez configurer plusieurs connecteurs nécessitant TLS. Vous avez besoin d’un connecteur pour les messages envoyés aux boîtes aux lettres utilisateur et d’un autre connecteur pour les messages envoyés à partir de boîtes aux lettres utilisateur. Créez ces connecteurs dans le Centre d’administration Exchange dans Office 365. Pour obtenir des instructions, consultez Configurer le flux de messagerie à l’aide de connecteurs dans Office 365.
Informations de certificat TLS pour Exchange Online
Les informations du certificat utilisées par Exchange Online sont décrites dans le tableau suivant. Si votre partenaire commercial configure le protocole TLS forcé sur son serveur de messagerie, vous devez lui fournir ces informations. Pour des raisons de sécurité, nos certificats changent de temps à autre. Le certificat actuel est valide à partir du 24 septembre 2020.
Informations de certificat actuelles valides à partir du 24 septembre 2020
Attribut | Valeur |
---|---|
Émetteur racine de l’autorité de certification | DigiCert CA - 1 |
Nom du certificat | mail.protection.outlook.com |
Organisation | Microsoft Corporation |
Unité d’organisation | www.digicert.com |
Puissance de clé de certificat | 2048 |
Obtenir plus d’informations sur TLS, les certificats et Microsoft 365 et télécharger les certificats
Chaînes de chiffrement Microsoft 365 et téléchargements de certificats
Chaînes de chiffrement Microsoft 365 et téléchargements de certificats - DOD et GCC High
Pour obtenir la liste des suites de chiffrement prises en charge, consultez Informations de référence techniques sur le chiffrement.
Configurer des connecteurs pour un flux de messagerie sécurisé avec une organisation partenaire
Connecteurs avec sécurité de messagerie électronique renforcée