Hoe Exchange Online TLS gebruikt om e-mailverbindingen te beveiligenHow Exchange Online uses TLS to secure email connections

Lees hoe Exchange Online en Microsoft 365 Transport Layer Security (TLS) en Forward Geheimhouding (FS) gebruiken om e-mailcommunicatie te beveiligen.Learn how Exchange Online and Microsoft 365 use Transport Layer Security (TLS) and Forward Secrecy (FS) to secure email communications. Geeft ook informatie over het certificaat dat is uitgegeven door Microsoft voor Exchange Online.Also provides information about the certificate issued by Microsoft for Exchange Online.

TLS-basisprincipes voor Microsoft 365 en Exchange OnlineTLS basics for Microsoft 365 and Exchange Online

Transport Layer Security (TLS) en SSL die vóór TLS zijn gebruikt, zijn cryptografische protocollen die communicatie via een netwerk beveiligen met behulp van beveiligingscertificaten om een verbinding tussen computers te versleutelen.Transport Layer Security (TLS), and SSL that came before TLS, are cryptographic protocols that secure communication over a network by using security certificates to encrypt a connection between computers. TLS komt in plaats van Secure Sockets Layer (SSL) en wordt vaak SSL 3.1 genoemd.TLS supersedes Secure Sockets Layer (SSL) and is often referred to as SSL 3.1. Voor Exchange Online gebruiken we TLS om de verbindingen tussen onze Exchange-servers en de verbindingen tussen onze Exchange-servers en andere servers te versleutelen, zoals uw on-premises Exchange-servers of de e-mailservers van uw geadresseerden.For Exchange Online, we use TLS to encrypt the connections between our Exchange servers and the connections between our Exchange servers and other servers such as your on-premises Exchange servers or your recipients' mail servers. Wanneer de verbinding is versleuteld, worden alle gegevens die via die verbinding worden verzonden via het versleutelde kanaal verzonden.Once the connection is encrypted, all data sent through that connection is sent through the encrypted channel. Als u echter een bericht doorsturen dat is verzonden via een TLS-versleutelde verbinding, is dat bericht niet per se versleuteld.However, if you forward a message that was sent through a TLS-encrypted connection, that message isn't necessarily encrypted. Dit komt omdat TLS in eenvoudige termen het bericht niet versleutelt, alleen de verbinding.This is because, in simple terms, TLS doesn't encrypt the message, just the connection.

Als u het bericht wilt versleutelen, moet u een versleutelingstechnologie gebruiken die de inhoud van het bericht versleutelt, bijvoorbeeld iets Office Berichtversleuteling.If you want to encrypt the message you need to use an encryption technology that encrypts the message contents, for example, something like Office Message Encryption. Zie E-mailversleuteling in Office 365 en Office 365-berichtversleuteling (OME) voor informatie over opties voor berichtversleuteling in Office 365.See Email encryption in Office 365 and Office 365 Message Encryption (OME) for information on message encryption options in Office 365.

We raden u aan TLS te gebruiken in situaties waarin u een beveiligd communicatiekanaal wilt instellen tussen Microsoft en uw on-premises organisatie of een andere organisatie, zoals een partner.We recommend using TLS in situations where you want to set up a secure channel of correspondence between Microsoft and your on-premises organization or another organization, such as a partner. Exchange Online probeert altijd eerst TLS te gebruiken om uw e-mail te beveiligen, maar dit kan niet altijd als de andere partij geen TLS-beveiliging biedt.Exchange Online always attempts to use TLS first to secure your email but cannot always do this if the other party does not offer TLS security. Lees verder om te zien hoe u alle e-mail kunt beveiligen op uw on-premises servers of belangrijke partners met behulp van connectors.Keep reading to find out how you can secure all mail to your on-premises servers or important partners by using connectors.

Om onze klanten de beste versleuteling te bieden, heeft Microsoft de TLS-versies 1.0 en 1.1 in Office 365 en Office 365 GCC.To provide the best-in-class encryption to our customers, Microsoft has deprecated Transport Layer Security (TLS) versions 1.0 and 1.1 in Office 365 and Office 365 GCC. U kunt echter wel een niet-versleutelde SMTP-verbinding zonder TLS blijven gebruiken.However, you can continue to use an unencrypted SMTP connection without any TLS. Het is niet raadzaam om e-mail te verzenden zonder versleuteling.We don't recommend email transmission without any encryption.

Hoe Exchange Online TLS gebruikt tussen Exchange Online klantenHow Exchange Online uses TLS between Exchange Online customers

Exchange Online servers versleutelen altijd verbindingen met andere Exchange Online servers in onze datacenters met TLS 1.2.Exchange Online servers always encrypt connections to other Exchange Online servers in our datacenters with TLS 1.2. Wanneer u e-mail verzendt naar een geadresseerde binnen uw organisatie, wordt die e-mail automatisch verzonden via een verbinding die wordt versleuteld met TLS.When you send mail to a recipient that is within your organization, that email is automatically sent over a connection that is encrypted using TLS. Alle e-mail die u naar andere klanten verzendt, wordt ook verzonden via verbindingen die zijn versleuteld met TLS en die zijn beveiligd met Forward Geheimhouding.Also, all email that you send to other customers is sent over connections that are encrypted using TLS and are secured using Forward Secrecy.

Hoe Microsoft 365 TLS gebruikt tussen Microsoft 365 en externe, vertrouwde partnersHow Microsoft 365 uses TLS between Microsoft 365 and external, trusted partners

Standaard wordt Exchange Online altijd gebruikgemaakt van een opportunistische TLS.By default, Exchange Online always uses opportunistic TLS. Dit betekent dat Exchange Online altijd eerst verbindingen met de veiligste versie van TLS probeert te versleutelen en vervolgens de lijst met TLS-cijfers omlaag werkt totdat er een wordt gevonden waarover beide partijen het eens kunnen worden.This means Exchange Online always tries to encrypt connections with the most secure version of TLS first, then works its way down the list of TLS ciphers until it finds one on which both parties can agree. Tenzij u Exchange Online hebt geconfigureerd om ervoor te zorgen dat berichten naar die geadresseerde alleen via beveiligde verbindingen worden verzonden, wordt het bericht standaard niet-versleuteld verzonden als de geadresseerde geen ondersteuning biedt voor TLS-versleuteling.Unless you have configured Exchange Online to ensure that messages to that recipient are only sent through secure connections, then by default the message will be sent unencrypted if the recipient organization doesn't support TLS encryption. Een opportunistische TLS is voldoende voor de meeste bedrijven.Opportunistic TLS is sufficient for most businesses. Voor bedrijven met nalevingsvereisten, zoals medische, bank- of overheidsorganisaties, kunt u echter Exchange Online TLS vereisen of dwingen.However, for business that have compliance requirements such as medical, banking, or government organizations, you can configure Exchange Online to require, or force, TLS. Zie E-mailstroom configureren met behulp van verbindingslijnen inOffice 365.For instructions, see Configure mail flow using connectors in Office 365.

Als u besluit om TLS te configureren tussen uw organisatie en een vertrouwde partnerorganisatie, kunnen Exchange Online gedwongen TLS gebruiken om vertrouwde communicatiekanalen te maken.If you decide to configure TLS between your organization and a trusted partner organization, Exchange Online can use forced TLS to create trusted channels of communication. Voor gedwongen TLS moet uw partnerorganisatie zich verifiëren Exchange Online met een beveiligingscertificaat om e-mail naar u te verzenden.Forced TLS requires your partner organization to authenticate to Exchange Online with a security certificate in order to send mail to you. Uw partner moet hiervoor hun eigen certificaten beheren.Your partner will need to manage their own certificates in order to do this. In Exchange Online gebruiken we verbindingslijnen om berichten te beveiligen die u vanuit niet-geautoriseerde toegang verzendt voordat ze bij de e-mailprovider van de geadresseerde aankomen.In Exchange Online, we use connectors to protect messages that you send from unauthorized access before they arrive at the recipient's email provider. Zie E-mailstroom configureren met behulp van verbindingslijnen in Office 365 voor informatie over het gebruik van verbindingslijnen voor het configureren van e-mailstroom.For information on using connectors to configure mail flow, see Configure mail flow using connectors in Office 365.

TLS- en hybride Exchange Server implementatiesTLS and hybrid Exchange Server deployments

Als u een hybride Exchange-implementatie beheert, moet uw on-premises Exchange-server zich verifiëren bij Microsoft 365 met behulp van een beveiligingscertificaat om e-mail te verzenden naar geadresseerden van wie de postvakken alleen in Office 365.If you are managing a hybrid Exchange deployment, your on-premises Exchange server needs to authenticate to Microsoft 365 using a security certificate in order to send mail to recipients whose mailboxes are only in Office 365. Hierdoor moet u uw eigen beveiligingscertificaten beheren voor uw on-premises Exchange servers.As a result, you need to manage your own security certificates for your on-premises Exchange servers. U moet deze servercertificaten ook veilig opslaan en onderhouden.You must also securely store and maintain these server certificates. Zie Certificaatvereisten voor hybride implementaties voor meer informatie over het beheren van certificaten in hybride implementaties.For more information about managing certificates in hybrid deployments, see Certificate requirements for hybrid deployments.

Gedwongen TLS instellen voor Exchange Online in Office 365How to set up forced TLS for Exchange Online in Office 365

Voor Exchange Online klanten moet u meer dan één verbindingslijn instellen die TLS vereist om te kunnen werken om al uw verzonden en ontvangen e-mail te beveiligen.For Exchange Online customers, in order for forced TLS to work to secure all of your sent and received email, you need to set up more than one connector that requires TLS. U hebt één connector nodig voor e-mail die naar uw gebruikerspostvakken wordt verzonden en een andere connector voor e-mail die vanuit uw gebruikerspostvakken wordt verzonden.You'll need one connector for email sent to your user mailboxes and another connector for email sent from your user mailboxes. Maak deze verbindingslijnen in het Exchange-beheercentrum in Office 365.Create these connectors in the Exchange admin center in Office 365. Zie E-mailstroom configureren met behulp van verbindingslijnen inOffice 365.For instructions, see Configure mail flow using connectors in Office 365.

TLS-certificaatgegevens voor Exchange OnlineTLS certificate information for Exchange Online

De certificaatgegevens die door Exchange Online worden gebruikt, worden in de volgende tabel beschreven.The certificate information used by Exchange Online is described in the following table. Als uw zakenpartner gedwongen TLS in de e-mailserver instelt, moet u deze informatie aan hen verstrekken.If your business partner is setting up forced TLS on their email server, you will need to provide this information to them. Let op: om veiligheidsredenen veranderen onze certificaten van tijd tot tijd.Be aware that for security reasons, our certificates do change from time to time. We hebben een update voor ons certificaat in onze datacenters uitgerold.We have rolled out an update to our certificate within our datacenters. Het nieuwe certificaat is geldig vanaf 3 september 2018.The new certificate is valid from September 3, 2018.

Huidige certificaatgegevens geldig vanaf 3 september 2018Current certificate information valid from September 3, 2018

AttribuutAttribute WaardeValue
Hoofduitgever van certificeringsinstantieCertificate authority root issuer
GlobalSign Root CA – R1GlobalSign Root CA – R1
CertificaatnaamCertificate name
mail.protection.outlook.commail.protection.outlook.com
OrganisatieOrganization
Microsoft CorporationMicrosoft Corporation
Organisatie-eenheidOrganization unit

Sterkte certificaatcodeCertificate key strength
20482048

Afgeschafte certificaatgegevens geldig tot 3 september 2018Deprecated certificate information valid until September 3, 2018

Om ervoor te zorgen dat de overgang soepel verloopt, blijven we de oude certificaatgegevens voor uw verwijzing enige tijd verstrekken, maar vanaf nu moet u de huidige certificaatgegevens gebruiken.To help ensure a smooth transition, we will continue to provide the old certificate information for your reference for some time, however, you should use the current certificate information from now on.


AttribuutAttribute WaardeValue
Hoofduitgever van certificeringsinstantieCertificate authority root issuer
Baltimore CyberTrust RootBaltimore CyberTrust Root
CertificaatnaamCertificate name
mail.protection.outlook.commail.protection.outlook.com
OrganisatieOrganization
Microsoft CorporationMicrosoft Corporation
Organisatie-eenheidOrganization unit
Microsoft CorporationMicrosoft Corporation
Sterkte certificaatcodeCertificate key strength
20482048

Voorbereiden op het nieuwe Exchange Online certificaatPrepare for the new Exchange Online certificate

Het nieuwe certificaat wordt uitgegeven door een andere certificeringsinstantie (CA) dan het vorige certificaat dat door de Exchange Online.The new certificate is issued by a different certificate authority (CA) from the previous certificate used by Exchange Online. Hierdoor moet u mogelijk enkele acties uitvoeren om het nieuwe certificaat te kunnen gebruiken.As a result, you may need to perform some actions in order to use the new certificate.

Voor het nieuwe certificaat is verbinding nodig met de eindpunten van de nieuwe ca als onderdeel van het valideren van het certificaat.The new certificate requires connecting to the endpoints of the new CA as part of validating the certificate. Als u dit niet doet, kan dit leiden tot negatieve gevolgen voor de e-mailstroom.Failure to do so can result in mail flow being negatively affected. Als u uw e-mailservers beschermt met firewalls die alleen de e-mailservers verbinding laten maken met bepaalde bestemmingen, moet u controleren of uw server het nieuwe certificaat kan valideren.If you protect your mail servers with firewalls that only let the mail servers connect with certain destinations you need to check if your server is able to validate the new certificate. Als u wilt bevestigen dat uw server het nieuwe certificaat kan gebruiken, gaat u als volgende stappen te werk:To confirm that your server can use the new certificate, complete these steps:

  1. Verbinding maken naar uw lokale Exchange Server met Windows PowerShell en voer vervolgens de volgende opdracht uit:Connect to your local Exchange Server using Windows PowerShell and then run the following command:
    certutil -URL https://crl.globalsign.com/gsorganizationvalsha2g3.crl

  2. Kies ophalen in het venster dat wordt weergegeven.On the window that appears, choose Retrieve.

  3. Wanneer het hulpprogramma de controle voltooit, wordt een status als retourneert.When the utility completes its check it returns a status. Als de status OK wordt weergegeven, kan uw e-mailserver het nieuwe certificaat valideren.If the status displays OK, then your mail server can successfully validate the new certificate. Zo niet, dan moet u bepalen wat de oorzaak is van het mislukken van de verbindingen.If not, you need to determine what is causing the connections to fail. Waarschijnlijk moet u de instellingen van een firewall bijwerken.Most likely, you need to update the settings of a firewall. De volledige lijst met eindpunten die moeten worden gebruikt, bevat:The full list of endpoints that need to be accessed include:

    • ocsp.globalsign.comocsp.globalsign.com
    • crl.globalsign.comcrl.globalsign.com
    • secure.globalsign.comsecure.globalsign.com

Normaal gesproken ontvangt u automatisch updates voor uw hoofdcertificaten via Windows Update.Normally, you receive updates to your root certificates automatically through Windows Update. Sommige implementaties hebben echter extra beveiliging, waardoor deze updates niet automatisch kunnen worden geïmplementeerd.However some deployments have additional security in place that prevents these updates from occurring automatically. In deze vergrendelde implementaties waarbij Windows Update niet automatisch hoofdcertificaten kan bijwerken, moet u ervoor zorgen dat het juiste hoofd-CA-certificaat is geïnstalleerd door de volgende stappen uit te voeren:In these locked-down deployments where Windows Update can't automatically update root certificates, you need to ensure that the correct root CA certificate is installed by completing these steps:

  1. Verbinding maken naar uw lokale Exchange Server met Windows PowerShell en voer vervolgens de volgende opdracht uit:Connect to your local Exchange Server using Windows PowerShell and then run the following command:
    certmgr.msc

  2. Controleer onder Vertrouwde hoofdcertificeringsinstantie/certificaten of het nieuwe certificaat wordt vermeld.Under Trusted Root Certification Authority/Certificates, confirm that the new certificate is listed.

Meer informatie over TLS en Microsoft 365Get more information about TLS and Microsoft 365

Zie Technische naslaginformatie over versleuteling voor een lijst met ondersteunde cijfersuites.For a list of supported cipher suites, see Technical reference details about encryption.

Connectors instellen voor een veilige e-mailstroom met een partnerorganisatieSet up connectors for secure mail flow with a partner organization

Connectors met verbeterde e-mailbeveiligingConnectors with enhanced email security

Versleuteling in Microsoft 365Encryption in Microsoft 365