Exchange Online 如何使用 TLS 保護電子郵件連線

瞭解 Exchange Online 和 Microsoft 365 如何使用傳輸層安全性 (TLS) 和轉寄密碼 (FS) 來保護電子郵件通訊。

提示

如果您不是 E5 客戶,請使用 90 天的 Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理數據安全性與合規性需求。 立即從 Microsoft Purview 合規性入口網站 試用中樞開始。 瞭解 有關註冊和試用版條款的詳細數據

Microsoft 365 和 Exchange Online 的 TLS 基本概念

傳輸層安全性 (TLS) ,以及 TLS 之前的安全套接字層 (SSL) ,都是密碼編譯通訊協定。 這些通訊協定會使用安全性憑證來加密計算機之間的連線,藉此保護網路上的通訊。 TLS 取代了 SSL,通常稱為 SSL 3.1。 Exchange Online 使用 TLS 來加密 Exchange 伺服器之間的連線,以及 Exchange 伺服器與其他伺服器之間的連線。 例如,TLS 可用來加密 Exchange Online 與內部部署 Exchange 伺服器或收件者郵件伺服器之間的連線。 一旦連線經過加密,所有透過該連線傳送的資料將會透過加密通道傳送。

TLS 不會加密訊息,只會加密連線。 因此,如果您將透過 TLS 加密連線傳送的訊息轉寄給不支援 TLS 加密的收件者組織,則該訊息不一定會加密。

如果您想要加密訊息,請使用加密訊息內容的加密技術。 例如,您可以使用 Microsoft Purview 郵件加密 或 S/MIME。 如需 Office 365 中訊息加密的相關信息,請參閱 Office 365 中的 Email 加密和訊息加密。

如果您想要設定 Microsoft 與內部部署組織或其他組織之間的安全通訊通道,例如合作夥伴,請使用 TLS。 Exchange Online 一律會先嘗試使用 TLS 來保護您的電子郵件,但如果另一方未提供 TLS 安全性,則無法這麼做。 請繼續往下閱讀以了解如何使用連接器來保護所有傳送至內部部署伺服器或重要合作夥伴的郵件。

為了為客戶提供最佳的類別加密,Microsoft 已淘汰傳輸層安全性 (TLS) Office 365Office 365 GCC 中的 1.0 和 1.1 版。 不過,您可以繼續使用未加密的 SMTP 連線,而不需要任何 TLS。 我們不建議在沒有任何加密的情況下進行電子郵件傳輸。

Exchange Online 如何在 Exchange Online 客戶之間使用 TLS

Exchange Online 伺服器一律會使用 TLS 1.2 加密數據中心內其他 Exchange Online 伺服器的連線。 當您將郵件傳送給組織內的收件者時,Exchange Online 使用 TLS 自動透過加密連線傳送訊息。 Exchange Online 也會使用使用轉寄密碼保護的 TLS,透過加密連線傳送給其他客戶的電子郵件。

Microsoft 365 如何在 Microsoft 365 與外部信任合作夥伴之間使用 TLS

根據預設,Exchange Online 一律會使用「隨機 TLS」。 不一致的 TLS 表示 Exchange Online 一律會先嘗試以最安全的 TLS 版本來加密連線,然後在 TLS 加密清單中運作,直到找到兩方可以同意的連線為止。 除非您設定 Exchange Online,以確保發給該收件者的郵件必須使用安全連線,否則根據預設,如果收件者的組織不支援 TLS 加密,Exchange 會傳送訊息而不加密。 隨機 TLS 對大多數企業而言已足夠。 不過,對於有法務遵循需求 (例如醫療、銀行或政府組織) 的企業,您可以將 Exchange Online 設定為要求或強制執行 TLS。 如需指示,請參閱在 Office 365 中使用連接器設定郵件流程

如果您決定在所屬組織與信任的合作夥伴組織之間設定 TLS,Exchange Online 可以使用「強制 TLS」建立信任的通訊通道。 強制 TLS 會要求您的夥伴組織使用安全性憑證向 Exchange Online 進行驗證,以傳送郵件給您。 您的合作夥伴必須管理自己的憑證。 Exchange Online 使用連接器來保護您在收到收件者的電子郵件提供者之前,從未經授權的存取中傳送的郵件。 如需使用連接器來設定郵件流程的資訊,請參閱在 Office 365 中使用連接器設定郵件流程

TLS 和混合 Exchange Server 部署

如果您要管理混合式 Exchange 部署,您的內部部署 Exchange 伺服器必須使用安全性憑證向 Microsoft 365 進行驗證,才能將郵件傳送給信箱僅在 Office 365 中的收件者。 因此,您必須為內部部署 Exchange 伺服器管理自己的安全性憑證。 您也必須安全地儲存和維護這些伺服器憑證。 如需在混合式部署中管理憑證的詳細資訊,請參閱 混合式部署的憑證需求

如何在 Office 365 中設定 Exchange Online 的強制 TLS

Exchange Online 客戶若想要使用強制 TLS 保護所有傳送和接收的電子郵件,需要設定多個需要 TLS 的連接器。 針對傳送至使用者信箱的郵件,您需要一個連接器,而從使用者信箱傳送的郵件則需要另一個連接器。 請在 Office 365 中的 Exchange 系統管理中心建立這些連接器。 如需指示,請參閱在 Office 365 中使用連接器設定郵件流程

Exchange Online 的 TLS 憑證資訊

下表說明 Exchange Online 使用的憑證資訊。 如果您的業務夥伴在其電子郵件伺服器上設定強制 TLS,您必須提供這項資訊給他們。 基於安全性理由,我們的憑證會不時變更。 目前的憑證從 2020 年 9 月 24 日起有效。

目前的憑證資訊有效期為 2020 年 9 月 24 日

屬性
憑證授權單位根發行者 DigiCert CA - 1
憑證名稱 mail.protection.outlook.com
Organization Microsoft Corporation
組織單位 www.digicert.com
憑證金鑰強度 2048

取得 TLS、憑證和 Microsoft 365 的詳細資訊並下載憑證

Microsoft 365 加密鏈結和憑證下載

Microsoft 365 加密鏈結和憑證下載 - DOD 和 GCC High

如需支援的加密套件清單,請參閱加密 的技術參考詳細數據

為夥伴組織的安全郵件流程設定連接器

具有增強型電子郵件安全性的連接器

Microsoft 365 中的加密