Wie Exchange Online mithilfe von TLS E-Mail-Verbindungen schützt

Erfahren Sie, wie Exchange Online und Microsoft 365 Transport Layer Security (TLS) und Forward Secrecy (FS) verwenden, um die E-Mail-Kommunikation zu sichern. Bietet außerdem Informationen über das von Microsoft für Exchange Online ausgestellte Zertifikat.

TLS-Grundlagen für Microsoft 365 und Exchange Online

Transport Layer Security (TLS) und SSL, das vor TLS vorhanden war, sind kryptografische Protokolle, die die Kommunikation über ein Netzwerk sichern, indem Sicherheitszertifikate zum Verschlüsseln einer Verbindung zwischen Computern verwendet werden. TLS ersetzt Secure Sockets Layer (SSL) und wird häufig als SSL 3.1 bezeichnet. Für Exchange Online verwenden wir TLS, um die Verbindungen zwischen unseren Exchange Servern und die Verbindungen zwischen unseren Exchange servern und anderen Servern wie Ihren lokalen Exchange servern oder den E-Mail-Servern Ihrer Empfänger zu verschlüsseln. Nachdem die Verbindung verschlüsselt ist, werden alle über diese Verbindung gesendeten Daten über den verschlüsselten Kanal gesendet. Wenn Sie eine Nachricht weiterleiten, die über eine TLS-verschlüsselte Verbindung gesendet wurde, ist diese Nachricht nicht unbedingt verschlüsselt. Dies liegt daran, dass TLS einfach ausgedrückt nicht die Nachricht verschlüsselt, nur die Verbindung.

Wenn Sie die Nachricht verschlüsseln möchten, müssen Sie eine Verschlüsselungstechnologie verwenden, die den Nachrichteninhalt verschlüsselt, z. B. Office-Nachrichtenverschlüsselung. Unter Email encryption in Office 365 und Office 365 Message Encryption (OME) erhalten Sie weitere Informationen zu den Verschlüsselungsoptionen für Nachrichten in Office 365.

Wir empfehlen die Verwendung von TLS in Situationen, in denen Sie einen sicheren Kanal der Entsprechung zwischen Microsoft und Ihrer lokalen Organisation oder einer anderen Organisation, z. B. einem Partner, einrichten möchten. Exchange Online versucht immer, ZUERST TLS zum Sichern Ihrer E-Mails zu verwenden, dies kann jedoch nicht immer der Fall sein, wenn die andere Seite keine TLS-Sicherheit bietet. Lesen Sie weiter, um herauszufinden, wie Sie alle E-Mails mithilfe von Connectors an Ihre lokalen Server oder wichtige Partner sichern können.

Um unseren Kunden die erstklassige Verschlüsselung bereitzustellen, hat Microsoft die Tls-Versionen 1.0 und 1.1 (Transport Layer Security) in Office 365 und Office 365 GCCveraltet. Sie können jedoch weiterhin eine unverschlüsselte SMTP-Verbindung ohne TLS verwenden. Wir empfehlen keine E-Mail-Übertragung ohne Verschlüsselung.

Wie Exchange Online TLS bei Exchange Online-Kunden verwendet

Exchange Online-Server verschlüsseln Verbindungen mit anderen Exchange Online-Servern in unseren Datencentern immer mithilfe von TLS 1.2. Wenn Sie E-Mails an einen Empfänger innerhalb Ihrer Organisation senden, wird diese E-Mail automatisch über eine Mit TLS verschlüsselte Verbindung gesendet. Außerdem werden alle E-Mails, die Sie an andere Kunden senden, über Verbindungen gesendet, die mit TLS verschlüsselt sind und mithilfe der Weiterleitungsgeheimnis gesichert werden.

So verwendet Microsoft 365 TLS zwischen Microsoft 365 und externen, vertrauenswürdigen Partnern

Standardmäßig verwendet Exchange Online immer opportunistisches TLS. Dies bedeutet, Exchange Online immer zuerst versucht, Verbindungen mit der sichersten Version von TLS zu verschlüsseln, und dann die Liste der TLS-Verschlüsselungen nach unten arbeitet, bis eine gefunden wird, auf der sich beide Parteien einigen können. Es sei denn, Sie haben Exchange Online konfiguriert, um sicherzustellen, dass Nachrichten an diesen Empfänger nur über sichere Verbindungen gesendet werden, wird die Nachricht standardmäßig unverschlüsselt gesendet, wenn die Empfängerorganisation die TLS-Verschlüsselung nicht unterstützt. Ein opportunistisches TLS ist für die meisten Unternehmen ausreichend. Für Unternehmen, die Complianceanforderungen haben, z. B. medizinische, Bank- oder Behördenorganisationen, können Sie jedoch Exchange Online so konfigurieren, dass TLS erforderlich oder erzwungen wird. Anweisungen finden Sie unter Konfigurieren des Nachrichtenflusses mithilfe von Connectors in Office 365.

Wenn Sie TLS zwischen Ihrer Organisation und einer vertrauenswürdigen Partnerorganisation konfigurieren möchten, kann Exchange Online die erzwungene TLS verwenden, um vertrauenswürdige Kommunikationskanäle zu erstellen. Bei der erzwungenen TLS ist es erforderlich, dass sich die Partnerorganisation bei Exchange Online mit einem Sicherheitszertifikat authentifiziert, sodass E-Mail-Nachrichten an Sie gesendet werden können. Ihr Partner muss seine eigenen Zertifikate verwalten, um dies zu tun. In Exchange Online verwenden wir Connectors, um Nachrichten, die Sie senden, vor unbefugtem Zugriff zu schützen, bevor sie beim E-Mail-Anbieter des Empfängers eingehen. Informationen zur Verwendung von Connectors zum Konfigurieren des Nachrichtenflusses finden Sie unter Konfigurieren des Nachrichtenflusses mithilfe von Connectors in Office 365.

TLS und Exchange Server-Hybridbereitstellungen

Wenn Sie eine Hybridbereitstellung Exchange verwalten, muss sich Ihr lokaler Exchange Server mithilfe eines Sicherheitszertifikats bei Microsoft 365 authentifizieren, um E-Mails an Empfänger zu senden, deren Postfächer sich nur in Office 365 befinden. Daher müssen Sie Ihre eigenen Sicherheitszertifikate für Ihre lokalen Exchange Server verwalten. Sie müssen diese Serverzertifikate auch sicher speichern und verwalten. Weitere Informationen zum Verwalten von Zertifikaten in Hybridbereitstellungen finden Sie unter Zertifikatanforderungen für Hybridbereitstellungen.

Einrichten von erzwungener TLS für Exchange Online in Office 365

Damit bei Exchange Online-Kunden die erzwungene TLS so funktioniert, dass alle Ihre gesendeten und empfangenen E-Mails gesichert werden, müssen Sie mehrere Connectors einrichten, für die TLS erforderlich ist. Sie benötigen einen Connector für E-Mails, die an Ihre Benutzerpostfächer gesendet werden, und ein weiterer Connector ist für E-Mails erforderlich, die von Ihren Benutzerpostfächern gesendet werden. Erstellen Sie diese Connectors in der Exchange-Verwaltungskonsole in Office 365. Anweisungen finden Sie unter Konfigurieren des Nachrichtenflusses mithilfe von Connectors in Office 365.

TLS-Zertifikatinformationen für Exchange Online

Die von Exchange Online verwendeten Zertifikatinformationen werden in der folgenden Tabelle beschrieben. Wenn Ihr Geschäftspartner erzwungenes TLS auf dem E-Mail-Server einrichte, müssen Sie diese Informationen bereitstellen. Beachten Sie, dass sich unsere Zertifikate aus Sicherheitsgründen von Zeit zu Zeit ändern. Wir haben ein Update für unser Zertifikat in unseren Rechenzentren eingeführt. Das neue Zertifikat ist ab dem 3. September 2018 gültig.

Aktuelle Zertifikatinformationen gültig ab dem 3. September 2018

Attribut Wert
Aussteller des Stammzertifikats der Zertifizierungsstelle
GlobalSign-Stammzertifizierungsstelle – R1
Name des Zertifikats
mail.protection.outlook.com
Organization (Organisation)
Microsoft Corporation
Organisationseinheit

Schlüsselstärke des Zertifikats
2048

Veraltete Zertifikatinformationen, die bis zum 3. September 2018 gültig sind

Um einen reibungslosen Übergang sicherzustellen, stellen wir die alten Zertifikatinformationen für Ihre Referenz für einige Zeit bereit. Sie sollten jedoch ab jetzt die aktuellen Zertifikatinformationen verwenden.


Attribut Wert
Aussteller des Stammzertifikats der Zertifizierungsstelle
Baltimore CyberTrust Root
Name des Zertifikats
mail.protection.outlook.com
Organization (Organisation)
Microsoft Corporation
Organisationseinheit
Microsoft Corporation
Schlüsselstärke des Zertifikats
2048

Vorbereiten des neuen Exchange Online Zertifikats

Das neue Zertifikat wird von einer anderen Zertifizierungsstelle (CA) als dem vorherigen Zertifikat ausgestellt, das von Exchange Online verwendet wurde. Daher müssen Sie möglicherweise einige Aktionen ausführen, um das neue Zertifikat zu verwenden.

Das neue Zertifikat erfordert eine Verbindung mit den Endpunkten der neuen Zertifizierungsstelle als Teil der Überprüfung des Zertifikats. Wenn dies nicht der Fall ist, kann dies zu negativen Auswirkungen auf den Nachrichtenfluss führen. Wenn Sie Ihre E-Mail-Server mit Firewalls schützen, mit denen die E-Mail-Server nur eine Verbindung mit bestimmten Zielen herstellen können, müssen Sie überprüfen, ob Ihr Server das neue Zertifikat überprüfen kann. Führen Sie die folgenden Schritte aus, um zu bestätigen, dass Ihr Server das neue Zertifikat verwenden kann:

  1. Verbinden mit Windows PowerShell zu Ihrem lokalen Exchange Server, und führen Sie dann den folgenden Befehl aus:
    certutil -URL https://crl.globalsign.com/gsorganizationvalsha2g3.crl

  2. Wählen Sie im angezeigten Fenster "Abrufen" aus.

  3. Wenn das Hilfsprogramm seine Überprüfung abgeschlossen hat, wird ein Status zurückgegeben. Wenn der Status "OK" anzeigt, kann Ihr E-Mail-Server das neue Zertifikat erfolgreich überprüfen. Wenn nicht, müssen Sie ermitteln, was dazu führt, dass die Verbindungen fehlschlagen. Höchstwahrscheinlich müssen Sie die Einstellungen einer Firewall aktualisieren. Die vollständige Liste der Endpunkte, auf die zugegriffen werden muss, umfasst:

    • ocsp.globalsign.com
    • crl.globalsign.com
    • secure.globalsign.com

Normalerweise erhalten Sie Updates für Ihre Stammzertifikate automatisch über Windows Update. Einige Bereitstellungen verfügen jedoch über zusätzliche Sicherheit, die verhindert, dass diese Updates automatisch ausgeführt werden. In diesen gesperrten Bereitstellungen, in denen Windows Update stammzertifikate nicht automatisch aktualisieren kann, müssen Sie sicherstellen, dass das richtige Zertifikat der Stammzertifizierungsstelle installiert ist, indem Sie die folgenden Schritte ausführen:

  1. Verbinden mit Windows PowerShell zu Ihrem lokalen Exchange Server, und führen Sie dann den folgenden Befehl aus:
    certmgr.msc

  2. Vergewissern Sie sich unter "Vertrauenswürdige Stammzertifizierungsstelle/Zertifikate", dass das neue Zertifikat aufgeführt ist.

Weitere Informationen zu TLS und Microsoft 365

Eine Liste der unterstützten Verschlüsselungssammlungen finden Sie unter Technische Referenzdetails zur Verschlüsselung.

Einrichten von Connectors für den sicheren Nachrichtenfluss mit einer Partnerorganisation

Connectors mit erweiterter E-Mail-Sicherheit

Verschlüsselung in Microsoft 365