Hur Exchange Online TLS för att skydda e-postanslutningarHow Exchange Online uses TLS to secure email connections

Lär dig Exchange Online och Microsoft 365 att använda TLS (Transport Layer Security) och FS (ForwardS) för att skydda e-postkommunikation.Learn how Exchange Online and Microsoft 365 use Transport Layer Security (TLS) and Forward Secrecy (FS) to secure email communications. Innehåller även information om det certifikat som utfärdats av Microsoft för Exchange Online.Also provides information about the certificate issued by Microsoft for Exchange Online.

Grunderna i TLS för Microsoft 365 och Exchange OnlineTLS basics for Microsoft 365 and Exchange Online

Transport Layer Security (TLS) och SSL som följde före TLS är kryptografiska protokoll som skyddar kommunikationen över ett nätverk genom att använda säkerhetscertifikat för att kryptera en anslutning mellan datorer.Transport Layer Security (TLS), and SSL that came before TLS, are cryptographic protocols that secure communication over a network by using security certificates to encrypt a connection between computers. TLS ersätter SSL (Secure Sockets Layer) och kallas ofta SSL 3.1.TLS supersedes Secure Sockets Layer (SSL) and is often referred to as SSL 3.1. För Exchange Online använder vi TLS för att kryptera anslutningarna mellan våra Exchange-servrar och anslutningarna mellan våra Exchange-servrar och andra servrar, till exempel dina lokala Exchange-servrar eller mottagarnas e-postservrar.For Exchange Online, we use TLS to encrypt the connections between our Exchange servers and the connections between our Exchange servers and other servers such as your on-premises Exchange servers or your recipients' mail servers. När anslutningen är krypterad skickas alla data som skickas genom anslutningen via den krypterade kanalen.Once the connection is encrypted, all data sent through that connection is sent through the encrypted channel. Om du vidarebefordrar ett meddelande som skickats via en TLS-krypterad anslutning är meddelandet inte nödvändigtvis krypterat.However, if you forward a message that was sent through a TLS-encrypted connection, that message isn't necessarily encrypted. Det beror på att meddelandet inte krypteras med TLS, bara anslutningen.This is because, in simple terms, TLS doesn't encrypt the message, just the connection.

Om du vill kryptera meddelandet måste du använda en krypteringsteknik som krypterar innehållet i meddelandet, till exempel något som Office meddelandekryptering.If you want to encrypt the message you need to use an encryption technology that encrypts the message contents, for example, something like Office Message Encryption. Mer information om alternativen för Office 365 och Meddelandekryptering i Office 365 finns i E-postkryptering i Office 365.See Email encryption in Office 365 and Office 365 Message Encryption (OME) for information on message encryption options in Office 365.

Vi rekommenderar att du använder TLS i situationer där du vill skapa en säker kanal för korrespondens mellan Microsoft och din lokala organisation eller en annan organisation, t.ex. en partner.We recommend using TLS in situations where you want to set up a secure channel of correspondence between Microsoft and your on-premises organization or another organization, such as a partner. Exchange Online alltid försöker använda TLS först för att skydda din e-post, men kan inte alltid göra detta om den andra parten inte erbjuder TLS-säkerhet.Exchange Online always attempts to use TLS first to secure your email but cannot always do this if the other party does not offer TLS security. Läs vidare för att ta reda på hur du kan skydda all e-post till dina lokala servrar eller viktiga partner genom att använda kopplingar.Keep reading to find out how you can secure all mail to your on-premises servers or important partners by using connectors.

För att våra kunder ska få bästa möjliga kryptering har Microsoft inaktuella TLS-versioner (Transport Layer Security) versionerna 1.0 och 1.1 i Office 365 och Office 365 GCC.To provide the best-in-class encryption to our customers, Microsoft has deprecated Transport Layer Security (TLS) versions 1.0 and 1.1 in Office 365 and Office 365 GCC. Du kan dock fortsätta att använda en okrypterad SMTP-anslutning utan TLS.However, you can continue to use an unencrypted SMTP connection without any TLS. Vi rekommenderar inte e-postöverföring utan kryptering.We don't recommend email transmission without any encryption.

Hur Exchange Online använder TLS mellan Exchange Online kunderHow Exchange Online uses TLS between Exchange Online customers

Exchange Online krypterar alltid anslutningar till andra Exchange Online och dataservrar i våra datacenter med TLS 1.2.Exchange Online servers always encrypt connections to other Exchange Online servers in our datacenters with TLS 1.2. När du skickar e-post till en mottagare inom organisationen skickas det e-postmeddelandet automatiskt via en anslutning som är krypterad med TLS.When you send mail to a recipient that is within your organization, that email is automatically sent over a connection that is encrypted using TLS. Dessutom skickas all e-post som du skickar till andra kunder via anslutningar som krypteras med TLS och skyddas med vidarebefordran av kunder.Also, all email that you send to other customers is sent over connections that are encrypted using TLS and are secured using Forward Secrecy.

Hur Microsoft 365 använder TLS mellan Microsoft 365 externa och betrodda partnerHow Microsoft 365 uses TLS between Microsoft 365 and external, trusted partners

Som standard använder Exchange Online alltid opportunistisk TLS.By default, Exchange Online always uses opportunistic TLS. Det innebär Exchange Online alltid försöker kryptera anslutningar med den säkraste versionen av TLS först, och sedan arbetar sig nedåt i listan med TLS-chiffer tills det hittar en som båda parter kan komma överens om.This means Exchange Online always tries to encrypt connections with the most secure version of TLS first, then works its way down the list of TLS ciphers until it finds one on which both parties can agree. Om du inte har konfigurerat Exchange Online för att säkerställa att meddelanden till den mottagaren endast skickas via säkra anslutningar kommer meddelandet som standard att skickas okrypterat om mottagarorganisationen inte stöder TLS-kryptering.Unless you have configured Exchange Online to ensure that messages to that recipient are only sent through secure connections, then by default the message will be sent unencrypted if the recipient organization doesn't support TLS encryption. Opportunistisk TLS är tillräckligt för de flesta företag.Opportunistic TLS is sufficient for most businesses. För företag som har efterlevnadskrav, till exempel sjukvårds-, bank- eller myndighetsorganisationer, kan du konfigurera Exchange Online kräva eller tvinga TLS.However, for business that have compliance requirements such as medical, banking, or government organizations, you can configure Exchange Online to require, or force, TLS. Instruktioner finns i Konfigurera e-postflöde med kopplingar i Office 365.For instructions, see Configure mail flow using connectors in Office 365.

Om du bestämmer dig för att konfigurera TLS mellan din organisation och en betrodd partnerorganisation kan Exchange Online använda tvingad TLS för att skapa betrodda kommunikationskanaler.If you decide to configure TLS between your organization and a trusted partner organization, Exchange Online can use forced TLS to create trusted channels of communication. Tvingad TLS kräver att partnerorganisationen autentiserar sig för Exchange Online med ett säkerhetscertifikat för att kunna skicka e-post till dig.Forced TLS requires your partner organization to authenticate to Exchange Online with a security certificate in order to send mail to you. Din partner måste hantera sina egna certifikat för att kunna göra detta.Your partner will need to manage their own certificates in order to do this. I Exchange Online använder vi kopplingar för att skydda meddelanden som du skickar från obehörig åtkomst innan de kommer till mottagarens e-postleverantör.In Exchange Online, we use connectors to protect messages that you send from unauthorized access before they arrive at the recipient's email provider. Information om hur du använder kopplingar för att konfigurera e-postflödet finns i Konfigurera e-postflöde med kopplingar i Office 365.For information on using connectors to configure mail flow, see Configure mail flow using connectors in Office 365.

TLS- och Exchange Server distributionerTLS and hybrid Exchange Server deployments

Om du hanterar en hybrid-Exchange-distribution måste den lokala Exchange-servern autentiseras på Microsoft 365 med hjälp av ett säkerhetscertifikat för att kunna skicka e-post till mottagare vars postlådor endast finns i Office 365.If you are managing a hybrid Exchange deployment, your on-premises Exchange server needs to authenticate to Microsoft 365 using a security certificate in order to send mail to recipients whose mailboxes are only in Office 365. Därför måste du hantera dina egna säkerhetscertifikat för dina lokala Exchange servrar.As a result, you need to manage your own security certificates for your on-premises Exchange servers. Du måste också på ett säkert sätt lagra och underhålla dessa servercertifikat.You must also securely store and maintain these server certificates. Mer information om hur du hanterar certifikat i hybriddistributioner finns i Certifikatkrav för hybriddistributioner.For more information about managing certificates in hybrid deployments, see Certificate requirements for hybrid deployments.

Ställa in tvingade TLS för Exchange Online i Office 365How to set up forced TLS for Exchange Online in Office 365

För Exchange Online kunder måste du konfigurera flera kopplingar som kräver TLS för att kunna tvinga TLS att arbeta för att skydda all skickad och mottagen e-post.For Exchange Online customers, in order for forced TLS to work to secure all of your sent and received email, you need to set up more than one connector that requires TLS. Du behöver en anslutare för e-post som skickas till dina användarpostlådor och en annan anslutare för e-post som skickas från dina användarpostlådor.You'll need one connector for email sent to your user mailboxes and another connector for email sent from your user mailboxes. Skapa dessa kopplingar i Exchange administrationscenter i Office 365.Create these connectors in the Exchange admin center in Office 365. Instruktioner finns i Konfigurera e-postflöde med kopplingar i Office 365.For instructions, see Configure mail flow using connectors in Office 365.

Information om TLS-certifikat för Exchange OnlineTLS certificate information for Exchange Online

Certifikatinformationen som används av Exchange Online beskrivs i följande tabell.The certificate information used by Exchange Online is described in the following table. Om din affärspartner ställer in tvingad TLS på sin e-postserver, måste du ge denna information till dem.If your business partner is setting up forced TLS on their email server, you will need to provide this information to them. Av säkerhetsskäl ändras våra certifikat då och då.Be aware that for security reasons, our certificates do change from time to time. Vi har distribuerat en uppdatering av vårt certifikat i våra datacenter.We have rolled out an update to our certificate within our datacenters. Det nya certifikatet är giltigt från den 3 september 2018.The new certificate is valid from September 3, 2018.

Aktuell certifikatinformation som är giltig från den 3 september 2018Current certificate information valid from September 3, 2018

AttributAttribute VärdeValue
Certifikatutfärdare rotutfärdareCertificate authority root issuer
GlobalSign Root CA – R1GlobalSign Root CA – R1
CertifikatnamnCertificate name
mail.protection.outlook.commail.protection.outlook.com
OrganisationOrganization
Microsoft CorporationMicrosoft Corporation
OrganisationsenhetOrganization unit

CertifikatnyckelstyrkaCertificate key strength
20482048

Inaktuell certifikatinformation som är giltig till den 3 september 2018Deprecated certificate information valid until September 3, 2018

För att säkerställa en smidig övergång kommer vi att fortsätta att tillhandahålla den gamla certifikatinformationen för referensen en stund, men från och med nu bör du använda den aktuella certifikatinformationen.To help ensure a smooth transition, we will continue to provide the old certificate information for your reference for some time, however, you should use the current certificate information from now on.


AttributAttribute VärdeValue
Certifikatutfärdare rotutfärdareCertificate authority root issuer
Baltimore CyberTrust RootBaltimore CyberTrust Root
CertifikatnamnCertificate name
mail.protection.outlook.commail.protection.outlook.com
OrganisationOrganization
Microsoft CorporationMicrosoft Corporation
OrganisationsenhetOrganization unit
Microsoft CorporationMicrosoft Corporation
CertifikatnyckelstyrkaCertificate key strength
20482048

Förbereda det nya Exchange Online certifikatetPrepare for the new Exchange Online certificate

Det nya certifikatet har utfärdats av en annan certifikatutfärdare från det tidigare certifikatet som används av Exchange Online.The new certificate is issued by a different certificate authority (CA) from the previous certificate used by Exchange Online. Därför kan du behöva utföra vissa åtgärder för att kunna använda det nya certifikatet.As a result, you may need to perform some actions in order to use the new certificate.

Det nya certifikatet kräver att du ansluter till slutpunkterna för den nya certifikatutfärdaren som en del av certifikatets validering.The new certificate requires connecting to the endpoints of the new CA as part of validating the certificate. Om du inte gör det kan e-postflödet påverkas negativt.Failure to do so can result in mail flow being negatively affected. Om du skyddar dina e-postservrar med brandväggar som bara låter e-postservrarna ansluta till vissa destinationer behöver du kontrollera om servern kan validera det nya certifikatet.If you protect your mail servers with firewalls that only let the mail servers connect with certain destinations you need to check if your server is able to validate the new certificate. Bekräfta att servern kan använda det nya certifikatet genom att utföra följande steg:To confirm that your server can use the new certificate, complete these steps:

  1. Anslut till ditt lokala Exchange Server med Windows PowerShell och kör sedan följande kommando:Connect to your local Exchange Server using Windows PowerShell and then run the following command:
    certutil -URL https://crl.globalsign.com/gsorganizationvalsha2g3.crl

  2. I fönstret som visas väljer du Hämta.On the window that appears, choose Retrieve.

  3. När verktyget är klart sin kontroll returneras en status.When the utility completes its check it returns a status. Om statusen visar OK kan e-postservern verifiera det nya certifikatet.If the status displays OK, then your mail server can successfully validate the new certificate. Om det inte gör det måste du avgöra vad som orsakar att anslutningarna misslyckas.If not, you need to determine what is causing the connections to fail. Du måste förmodligen uppdatera inställningarna för en brandvägg.Most likely, you need to update the settings of a firewall. Den fullständiga listan över slutpunkter som behöver kommas åt är:The full list of endpoints that need to be accessed include:

    • ocsp.globalsign.comocsp.globalsign.com
    • crl.globalsign.comcrl.globalsign.com
    • secure.globalsign.comsecure.globalsign.com

Normalt får du uppdateringar av rotcertifikat automatiskt via Windows Uppdatering.Normally, you receive updates to your root certificates automatically through Windows Update. Vissa distributioner har dock ytterligare säkerhet på plats som förhindrar att dessa uppdateringar sker automatiskt.However some deployments have additional security in place that prevents these updates from occurring automatically. I de här låsta distributionerna där Windows Update inte kan uppdatera rotcertifikat automatiskt måste du se till att rätt rotcertifikat har installerats genom att utföra följande steg:In these locked-down deployments where Windows Update can't automatically update root certificates, you need to ensure that the correct root CA certificate is installed by completing these steps:

  1. Anslut till ditt lokala Exchange Server med Windows PowerShell och kör sedan följande kommando:Connect to your local Exchange Server using Windows PowerShell and then run the following command:
    certmgr.msc

  2. Under Trusted Root Certification Authority/Certificates bekräftar du att det nya certifikatet visas.Under Trusted Root Certification Authority/Certificates, confirm that the new certificate is listed.

Få mer information om TLS och Microsoft 365Get more information about TLS and Microsoft 365

En lista över chiffersviter som stöds finns i Teknisk referensinformation om kryptering.For a list of supported cipher suites, see Technical reference details about encryption.

Konfigurera kopplingar för säkert e-postflöde med en partnerorganisationSet up connectors for secure mail flow with a partner organization

Kopplingar med förbättrad e-postsäkerhetConnectors with enhanced email security

Kryptering i Microsoft 365Encryption in Microsoft 365