Hur Exchange Online TLS för att skydda e-postanslutningar

Lär dig Exchange Online hur Microsoft 365 använder TLS (Transport Layer Security) och FS (ForwardS) för att skydda e-postkommunikationen. Innehåller även information om det certifikat som utfärdats av Microsoft för Exchange Online.

Grunderna i TLS för Microsoft 365 och Exchange Online

Transport Layer Security (TLS) och SSL som följde före TLS är kryptografiska protokoll som skyddar kommunikationen över ett nätverk genom att använda säkerhetscertifikat för att kryptera en anslutning mellan datorer. TLS ersätter SSL (Secure Sockets Layer) och kallas ofta SSL 3.1. Exchange Online använder TLS för att kryptera anslutningarna mellan Exchange-servrar och anslutningarna mellan Exchange-servrar och andra servrar, till exempel dina lokala Exchange-servrar eller mottagarnas e-postservrar. När anslutningen är krypterad skickas alla data som skickas genom anslutningen via den krypterade kanalen. Om du vidarebefordrar ett meddelande som skickats via en TLS-krypterad anslutning är meddelandet inte nödvändigtvis krypterat. TLS krypterar inte meddelandet, bara anslutningen.

Om du vill kryptera meddelandet använder du en krypteringsteknik som krypterar innehållet i meddelandet. Du kan till exempel använda Office meddelandekryptering eller S/MIME. Mer information om meddelandekryptering i Office 365 och Meddelandekryptering i Office 365 (OME) finns i E-postkryptering i Office 365.

Använd TLS i situationer där du vill skapa en säker kanal för korrespondens mellan Microsoft och din lokala organisation eller en annan organisation, t.ex. en partner. Exchange Online alltid försöker använda TLS först för att skydda din e-post men kan inte göra det om den andra parten inte erbjuder TLS-säkerhet. Läs vidare för att ta reda på hur du kan skydda all e-post till dina lokala servrar eller viktiga partner genom att använda kopplingar.

För att våra kunder ska få den bästa krypteringen har Microsoft inaktuella TLS-versioner (Transport Layer Security) versionerna 1.0 och 1.1 i Office 365 och Office 365 GCC. Du kan dock fortsätta att använda en okrypterad SMTP-anslutning utan TLS. Vi rekommenderar inte e-postöverföring utan kryptering.

Hur Exchange Online TLS mellan Exchange Online kunder

Exchange Online krypterar alltid anslutningar till andra Exchange Online och servrar i våra datacenter med TLS 1.2. När du skickar ett meddelande till en mottagare i organisationen skickas Exchange Online automatiskt meddelandet via en krypterad anslutning med TLS. Exchange Online också e-postmeddelanden som du skickar till andra kunder via krypterade anslutningar med TLS som är skyddade med vidarebefordran av kunder.

Hur Microsoft 365 TLS mellan externa Microsoft 365 och externa betrodda partner

Som standard använder Exchange Online alltid opportunistisk TLS. Opportunistisk TLS innebär att Exchange Online alltid försöker kryptera anslutningar med den säkraste versionen av TLS först och sedan arbetar sig nedåt i listan med TLS-chiffer tills den hittar en som båda parter kan komma överens om. Om du inte har konfigurerat Exchange Online för att säkerställa att meddelanden till den mottagaren måste använda säkra anslutningar skickas meddelandet som standard utan kryptering om mottagarorganisationen inte stöder TLS-kryptering. Opportunistisk TLS är tillräckligt för de flesta företag. För företag som har efterlevnadskrav, till exempel sjukvårds-, bank- eller myndighetsorganisationer, kan du konfigurera Exchange Online kräva eller tvinga TLS. Instruktioner finns i Konfigurera e-postflöde med kopplingar i Office 365.

Om du bestämmer dig för att konfigurera TLS mellan din organisation och en betrodd partnerorganisation kan Exchange Online använda tvingad TLS för att skapa betrodda kommunikationskanaler. Tvingade TLS kräver att partnerorganisationen autentiserar sig för att Exchange Online med ett säkerhetscertifikat för att skicka e-post till dig. Din partner måste hantera sina egna certifikat. Exchange Online använder kopplingar för att skydda meddelanden som du skickar från obehörig åtkomst innan de kommer till mottagarens e-postleverantör. Information om hur du använder kopplingar för att konfigurera e-postflödet finns i Konfigurera e-postflöde med kopplingar i Office 365.

TLS- och Exchange Server distributioner

Om du hanterar en hybrid-Exchange-distribution måste den lokala Exchange-servern autentiseras för Microsoft 365 med hjälp av ett säkerhetscertifikat för att skicka e-post till mottagare vars postlådor endast finns i Office 365. Därför måste du hantera dina egna säkerhetscertifikat för dina lokala Exchange servrar. Du måste också på ett säkert sätt lagra och underhålla dessa servercertifikat. Mer information om hur du hanterar certifikat i hybriddistributioner finns i Certifikatkrav för hybriddistributioner.

Ställa in tvingade TLS för Exchange Online i Office 365

För Exchange Online kunder måste du konfigurera fler än en anslutning som kräver TLS för att TLS ska fungera för att skydda all skickad och mottagen e-post. Du behöver en anslutare för meddelanden som skickas till användarnas postlådor och en annan anslutning för meddelanden som skickas från användarnas postlådor. Skapa dessa kopplingar i Exchange administrationscenter i Office 365. Instruktioner finns i Konfigurera e-postflöde med kopplingar i Office 365.

Information om TLS-certifikat för Exchange Online

Certifikatinformationen som används av Exchange Online beskrivs i följande tabell. Om din affärspartner ställer in tvingad TLS på sin e-postserver måste du ge denna information till dem. Av säkerhetsskäl ändras våra certifikat då och då. Det aktuella certifikatet är giltigt från den 24 september 2020.

Aktuell certifikatinformation giltig från den 24 september 2020

Attribut Värde
Certifikatutfärdare rotutfärdare DigiCert CA – 1
Certifikatnamn mail.protection.outlook.com
Organisation Microsoft Corporation
Organisationsenhet www.digicert.com
Certifikatnyckelstyrka 2048

Få mer information om TLS, certifikat Microsoft 365 och ladda ned certifikat

Microsoft 365 krypterande kedjor och certifikatnedladdningar

Microsoft 365 krypterade kedjor och certifikatnedladdningar – DOD och GCC High

En lista över vilka chiffersviter som stöds finns i Teknisk referensinformation om kryptering.

Konfigurera kopplingar för säkert e-postflöde med en partnerorganisation

Kopplingar med förbättrad e-postsäkerhet

Kryptering i Microsoft 365