Mode d’utilisation de TLS par Exchange Online pour sécuriser les connexions de messagerieHow Exchange Online uses TLS to secure email connections

Découvrez comment Exchange Online et Microsoft 365 utilisent TLS (Transport Layer Security) et FS (Forward Secrecy) pour sécuriser les communications électroniques.Learn how Exchange Online and Microsoft 365 use Transport Layer Security (TLS) and Forward Secrecy (FS) to secure email communications. Fournit également des informations sur le certificat émis par Microsoft pour Exchange Online.Also provides information about the certificate issued by Microsoft for Exchange Online.

Informations de base sur TLS pour Microsoft 365 et Exchange OnlineTLS basics for Microsoft 365 and Exchange Online

Les protocoles TLS (Transport Layer Security) et SSL (antérieur au protocole TLS) sont des protocoles de chiffrement qui sécurisent les communications sur un réseau à l’aide de certificats de sécurité pour chiffrer une connexion entre plusieurs ordinateurs.Transport Layer Security (TLS), and SSL that came before TLS, are cryptographic protocols that secure communication over a network by using security certificates to encrypt a connection between computers. Le protocole TLS remplace le protocole SSL et est couramment appelé SSL 3.1.TLS supersedes Secure Sockets Layer (SSL) and is often referred to as SSL 3.1. Pour Exchange Online, nous utilisons TLS pour chiffrer les connexions entre nos serveurs Exchange et les connexions entre nos serveurs Exchange et d’autres serveurs tels que vos serveurs Exchange locaux ou les serveurs de messagerie de vos destinataires.For Exchange Online, we use TLS to encrypt the connections between our Exchange servers and the connections between our Exchange servers and other servers such as your on-premises Exchange servers or your recipients' mail servers. Une fois la connexion chiffrée, toutes les données envoyées via cette connexion sont envoyées par le biais du canal chiffré.Once the connection is encrypted, all data sent through that connection is sent through the encrypted channel. Toutefois, si vous transférez un message qui a été envoyé par le biais d’une connexion chiffrée via le protocole TLS, ce message n’est pas nécessairement chiffré.However, if you forward a message that was sent through a TLS-encrypted connection, that message isn't necessarily encrypted. En effet, en termes simples, TLS ne chiffre pas le message, mais uniquement la connexion.This is because, in simple terms, TLS doesn't encrypt the message, just the connection.

Si vous souhaitez chiffrer le message, vous devez utiliser une technologie de chiffrement qui chiffre le contenu du message, par exemple, le chiffrement de messages Office.If you want to encrypt the message you need to use an encryption technology that encrypts the message contents, for example, something like Office Message Encryption. Voir Email encryption in Office 365 et Office 365 Message Encryption (OME) pour plus d’informations sur les options de chiffrement de messages dans Office 365.See Email encryption in Office 365 and Office 365 Message Encryption (OME) for information on message encryption options in Office 365.

Nous vous recommandons d’utiliser TLS dans les situations où vous souhaitez configurer un canal sécurisé de correspondance entre Microsoft et votre organisation locale ou une autre organisation, telle qu’un partenaire.We recommend using TLS in situations where you want to set up a secure channel of correspondence between Microsoft and your on-premises organization or another organization, such as a partner. Exchange Online tente toujours d’utiliser TLS en premier pour sécuriser votre messagerie, mais cette initiative peut s’avérer impossible si l’autre partie n’offre pas de sécurité TLS.Exchange Online always attempts to use TLS first to secure your email but cannot always do this if the other party does not offer TLS security. Continuez à lire pour savoir comment sécuriser tous les messages vers vos serveurs locaux ou vos partenaires importants à l’aide de connecteurs.Keep reading to find out how you can secure all mail to your on-premises servers or important partners by using connectors.

Pour fournir le meilleur chiffrement de classe à nos clients, Microsoft a supprimé les versions TLS 1.0 et 1.1 dans Office 365 et Office 365 GCC.To provide the best-in-class encryption to our customers, Microsoft has deprecated Transport Layer Security (TLS) versions 1.0 and 1.1 in Office 365 and Office 365 GCC. Toutefois, vous pouvez continuer à utiliser une connexion SMTP non chiffrée sans TLS.However, you can continue to use an unencrypted SMTP connection without any TLS. Nous vous déconseillons de transmettre le courrier électronique sans chiffrement.We don't recommend email transmission without any encryption.

Comment Exchange Online utilise TLS entre des clients Exchange OnlineHow Exchange Online uses TLS between Exchange Online customers

Les serveurs Exchange Online chiffrent toujours les connexions à d’autres serveurs Exchange Online de nos centres de données avec le protocole TLS 1.2.Exchange Online servers always encrypt connections to other Exchange Online servers in our datacenters with TLS 1.2. Lorsque vous envoyez un courrier électronique à un destinataire qui se trouve au sein de votre organisation, ce courrier électronique est automatiquement envoyé via une connexion chiffrée à l’aide de TLS.When you send mail to a recipient that is within your organization, that email is automatically sent over a connection that is encrypted using TLS. En outre, tous les messages que vous envoyez à d’autres clients sont envoyés via des connexions chiffrées à l’aide de TLS et sécurisées à l’aide du secret de forward.Also, all email that you send to other customers is sent over connections that are encrypted using TLS and are secured using Forward Secrecy.

Comment Microsoft 365 utilise TLS entre Microsoft 365 et les partenaires externes et fiablesHow Microsoft 365 uses TLS between Microsoft 365 and external, trusted partners

Par défaut, Exchange Online utilise toujours le protocole TLS opportuniste.By default, Exchange Online always uses opportunistic TLS. Cela signifie qu’Exchange Online essaie toujours de chiffrer les connexions avec la version la plus sécurisée de protocole TLS en premier, puis suit l’ordre de la liste de chiffrement TLS jusqu’à ce qu’il trouve un chiffrement fonctionnant pour les deux parties.This means Exchange Online always tries to encrypt connections with the most secure version of TLS first, then works its way down the list of TLS ciphers until it finds one on which both parties can agree. Sauf si vous avez configuré Exchange Online pour vous assurer que les messages envoyés à ce destinataire sont uniquement envoyés par le biais de connexions sécurisées, le message sera envoyé par défaut non chiffré si l’organisation du destinataire ne prend pas en charge le chiffrement TLS.Unless you have configured Exchange Online to ensure that messages to that recipient are only sent through secure connections, then by default the message will be sent unencrypted if the recipient organization doesn't support TLS encryption. Le protocole TLS opportuniste est suffisant pour la plupart des entreprises.Opportunistic TLS is sufficient for most businesses. Toutefois, pour les entreprises qui ont des exigences de conformité telles que des organisations médicales, bancaires ou gouvernementales, vous pouvez configurer Exchange Online pour exiger ou forcer TLS.However, for business that have compliance requirements such as medical, banking, or government organizations, you can configure Exchange Online to require, or force, TLS. Pour obtenir des instructions, voir Configurer le flux de messagerie à l’aide de connecteurs dans Office 365.For instructions, see Configure mail flow using connectors in Office 365.

Si vous décidez de configurer TLS entre votre organisation et une organisation partenaire approuvée, Exchange Online peut utiliser le TLS forcé pour créer des canaux de communication approuvés.If you decide to configure TLS between your organization and a trusted partner organization, Exchange Online can use forced TLS to create trusted channels of communication. Le TLS forcé exige que votre organisation partenaire vous authentifie auprès d’Exchange Online avec un certificat de sécurité afin de vous envoyer des messages électroniques.Forced TLS requires your partner organization to authenticate to Exchange Online with a security certificate in order to send mail to you. Votre partenaire doit gérer ses propres certificats pour effectuer cette action.Your partner will need to manage their own certificates in order to do this. Dans Exchange Online, nous utilisons des connecteurs pour protéger les messages que vous envoyez contre tout accès non autorisé avant qu’ils n’arrivent chez le fournisseur de messagerie du destinataire.In Exchange Online, we use connectors to protect messages that you send from unauthorized access before they arrive at the recipient's email provider. Pour plus d’informations sur l’utilisation des connecteurs pour configurer le flux de messagerie, voir Configurer le flux de messagerie à l’aide de connecteurs dans Office 365.For information on using connectors to configure mail flow, see Configure mail flow using connectors in Office 365.

Déploiements Exchange Server hybrides et TLSTLS and hybrid Exchange Server deployments

Si vous gérez un déploiement Exchange hybride, votre serveur Exchange local doit s’authentifier à Microsoft 365 à l’aide d’un certificat de sécurité afin d’envoyer des messages aux destinataires dont les boîtes aux lettres sont uniquement dans Office 365.If you are managing a hybrid Exchange deployment, your on-premises Exchange server needs to authenticate to Microsoft 365 using a security certificate in order to send mail to recipients whose mailboxes are only in Office 365. Par conséquent, vous devez gérer vos propres certificats de sécurité pour vos serveurs Exchange locaux.As a result, you need to manage your own security certificates for your on-premises Exchange servers. Vous devez également stocker et conserver ces certificats de serveur de manière sécurisée.You must also securely store and maintain these server certificates. Pour plus d’informations sur la gestion des certificats dans les déploiements hybrides, voir Certificate requirements for hybrid deployments.For more information about managing certificates in hybrid deployments, see Certificate requirements for hybrid deployments.

Configuration du TLS forcé pour Exchange Online dans Office 365How to set up forced TLS for Exchange Online in Office 365

Pour les clients Exchange Online, afin que le TLS forcé sécurise l’ensemble de vos messages électroniques envoyés et reçus, vous devez configurer plusieurs connecteurs nécessitant TLS.For Exchange Online customers, in order for forced TLS to work to secure all of your sent and received email, you need to set up more than one connector that requires TLS. Vous avez besoin d’un connecteur pour les messages envoyés à vos boîtes aux lettres d’utilisateur, et un autre connecteur pour les messages envoyés à partir de vos boîtes aux lettres d’utilisateur.You'll need one connector for email sent to your user mailboxes and another connector for email sent from your user mailboxes. Créez ces connecteurs dans le Centre d’administration Exchange dans Office 365.Create these connectors in the Exchange admin center in Office 365. Pour obtenir des instructions, voir Configurer le flux de messagerie à l’aide de connecteurs dans Office 365.For instructions, see Configure mail flow using connectors in Office 365.

Informations de certificat TLS pour Exchange OnlineTLS certificate information for Exchange Online

Les informations du certificat utilisées par Exchange Online sont décrites dans le tableau suivant.The certificate information used by Exchange Online is described in the following table. Si votre partenaire commercial configure le TLS forcé sur son serveur de messagerie, vous devez lui fournir ces informations.If your business partner is setting up forced TLS on their email server, you will need to provide this information to them. N’oubliez pas que, pour des raisons de sécurité, nos certificats sont modifiés de temps à autre.Be aware that for security reasons, our certificates do change from time to time. Nous avons déployé une mise à jour de notre certificat dans nos centres de données.We have rolled out an update to our certificate within our datacenters. Le nouveau certificat est valide à partir du 3 septembre 2018.The new certificate is valid from September 3, 2018.

Informations de certificat actuelles valides depuis le 3 septembre 2018Current certificate information valid from September 3, 2018

AttributAttribute ValeurValue
Émetteur racine de l’autorité de certificationCertificate authority root issuer
GlobalSign Root CA – R1GlobalSign Root CA – R1
Nom du certificatCertificate name
mail.protection.outlook.commail.protection.outlook.com
OrganisationOrganization
Microsoft CorporationMicrosoft Corporation
Unité d’organisationOrganization unit

Puissance de clé de certificatCertificate key strength
20482048

Informations de certificats supprimés valides jusqu’au 3 septembre 2018Deprecated certificate information valid until September 3, 2018

Pour garantir une transition fluide, nous continuerons à fournir les anciennes informations de certificat pour votre référence pendant un certain temps. Toutefois, vous devez utiliser les informations de certificat actuelles à partir de maintenant.To help ensure a smooth transition, we will continue to provide the old certificate information for your reference for some time, however, you should use the current certificate information from now on.


AttributAttribute ValeurValue
Émetteur racine de l’autorité de certificationCertificate authority root issuer
Baltimore CyberTrust RootBaltimore CyberTrust Root
Nom du certificatCertificate name
mail.protection.outlook.commail.protection.outlook.com
OrganisationOrganization
Microsoft CorporationMicrosoft Corporation
Unité d’organisationOrganization unit
Microsoft CorporationMicrosoft Corporation
Puissance de clé de certificatCertificate key strength
20482048

Préparer le nouveau certificat Exchange OnlinePrepare for the new Exchange Online certificate

Le nouveau certificat est émis par une autorité de certification différente du certificat précédent utilisé par Exchange Online.The new certificate is issued by a different certificate authority (CA) from the previous certificate used by Exchange Online. Par conséquent, vous devrez peut-être effectuer certaines actions pour utiliser le nouveau certificat.As a result, you may need to perform some actions in order to use the new certificate.

Le nouveau certificat nécessite une connexion aux points de terminaison de la nouvelle ca dans le cadre de la validation du certificat.The new certificate requires connecting to the endpoints of the new CA as part of validating the certificate. Si vous ne le faites pas, le flux de messagerie peut être affecté de manière négative.Failure to do so can result in mail flow being negatively affected. Si vous protégez vos serveurs de messagerie à l’aide de pare-feu qui leur permet uniquement de se connecter à certaines destinations, vous devez vérifier si votre serveur est en mesure de valider le nouveau certificat.If you protect your mail servers with firewalls that only let the mail servers connect with certain destinations you need to check if your server is able to validate the new certificate. Pour confirmer que votre serveur peut utiliser le nouveau certificat, complétez les étapes suivantes :To confirm that your server can use the new certificate, complete these steps:

  1. Connectez-vous à votre Exchange Server à l’Windows PowerShell puis exécutez la commande suivante :Connect to your local Exchange Server using Windows PowerShell and then run the following command:
    certutil -URL https://crl.globalsign.com/gsorganizationvalsha2g3.crl

  2. Dans la fenêtre qui s’affiche, choisissez Récupérer.On the window that appears, choose Retrieve.

  3. Lorsque l’utilitaire termine sa vérification, il renvoie un état.When the utility completes its check it returns a status. Si l’état affiche OK, votre serveur de messagerie peut valider correctement le nouveau certificat.If the status displays OK, then your mail server can successfully validate the new certificate. Si ce n’est pas le cas, vous devez déterminer la cause de l’échec des connexions.If not, you need to determine what is causing the connections to fail. Vous devez probablement mettre à jour les paramètres d’un pare-feu.Most likely, you need to update the settings of a firewall. La liste complète des points de terminaison qui doivent être accessibles est la suivante :The full list of endpoints that need to be accessed include:

    • ocsp.globalsign.comocsp.globalsign.com
    • crl.globalsign.comcrl.globalsign.com
    • secure.globalsign.comsecure.globalsign.com

Normalement, vous recevez automatiquement des mises à jour de vos certificats racine via Windows Update.Normally, you receive updates to your root certificates automatically through Windows Update. Toutefois, certains déploiements ont mis en place une sécurité supplémentaire qui empêche ces mises à jour de se produire automatiquement.However some deployments have additional security in place that prevents these updates from occurring automatically. Dans ces déploiements verrouillés où Windows Update ne peut pas mettre à jour automatiquement les certificats racines, vous devez vous assurer que le certificat d’ac racine correct est installé en effectuant les étapes suivantes :In these locked-down deployments where Windows Update can't automatically update root certificates, you need to ensure that the correct root CA certificate is installed by completing these steps:

  1. Connectez-vous à votre Exchange Server à l’Windows PowerShell puis exécutez la commande suivante :Connect to your local Exchange Server using Windows PowerShell and then run the following command:
    certmgr.msc

  2. Sous Autorité de certification racine de confiance/Certificats, confirmez que le nouveau certificat est répertorié.Under Trusted Root Certification Authority/Certificates, confirm that the new certificate is listed.

Obtenir plus d’informations sur TLS et Microsoft 365Get more information about TLS and Microsoft 365

Pour obtenir la liste des suites de chiffrement pris en charge, voir détails de référence technique sur le chiffrement.For a list of supported cipher suites, see Technical reference details about encryption.

Configurer des connecteurs pour un flux de messagerie sécurisé avec une organisation partenaireSet up connectors for secure mail flow with a partner organization

Connecteurs avec sécurité de messagerie électronique renforcéeConnectors with enhanced email security

Chiffrement dans Microsoft 365Encryption in Microsoft 365