Modalità d'uso di TLS in Exchange Online per proteggere le connessioni di posta elettronica

Informazioni su come Exchange Online e Microsoft 365 usano Transport Layer Security (TLS) e Forward Secrecy (FS) per proteggere le comunicazioni di posta elettronica.

Consiglio

Se non si è un cliente E5, usare la versione di valutazione delle soluzioni Microsoft Purview di 90 giorni per esplorare in che modo funzionalità aggiuntive di Purview possono aiutare l'organizzazione a gestire le esigenze di sicurezza e conformità dei dati. Iniziare ora dall'hub delle versioni di valutazione Portale di conformità di Microsoft Purview. Informazioni dettagliate sull'iscrizione e le condizioni di valutazione.

Nozioni di base su TLS per Microsoft 365 e Exchange Online

Transport Layer Security (TLS) e Secure Sockets Layer (SSL) che sono arrivati prima di TLS sono protocolli di crittografia. Questi protocolli garantiscono la comunicazione tramite una rete usando i certificati di sicurezza per crittografare una connessione tra computer. TLS sostituisce SSL ed è spesso definito SSL 3.1. Exchange Online usa TLS per crittografare le connessioni tra i server Exchange e le connessioni tra i server Exchange e altri server. Ad esempio, TLS viene usato per crittografare la connessione tra Exchange Online e i server Exchange locali o i server di posta elettronica dei destinatari. Una volta crittografata la connessione, tutti i dati inviati mediante tale connessione utilizzano il canale crittografato.

TLS non crittografa il messaggio, ma solo la connessione. Pertanto, se si inoltra un messaggio inviato tramite una connessione crittografata TLS a un'organizzazione di destinatari che non supporta la crittografia TLS, tale messaggio non è necessariamente crittografato.

Se si vuole crittografare il messaggio, usare una tecnologia di crittografia che crittografa il contenuto del messaggio. Ad esempio, è possibile usare Microsoft Purview Message Encryption o S/MIME. Per informazioni sulla crittografia dei messaggi in Office 365, vedere crittografia Email in Office 365 e Crittografia messaggi.

Usare TLS in situazioni in cui si vuole configurare un canale sicuro di corrispondenza tra Microsoft e l'organizzazione locale o un'altra organizzazione, ad esempio un partner. Exchange Online tenta sempre di usare TLS per proteggere la posta elettronica, ma non può se l'altra parte non offre sicurezza TLS. Continuare a leggere per scoprire in che modo è possibile proteggere tutta la posta per i server locali o i partner importanti utilizzando i connettori.

Per fornire la crittografia migliore ai clienti, Microsoft ha deprecato le versioni 1.0 e 1.1 di Transport Layer Security (TLS) in Office 365 e Office 365 GCC. È tuttavia possibile continuare a usare una connessione SMTP non crittografata senza TLS. Non è consigliabile trasmettere messaggi di posta elettronica senza crittografia.

Come viene utilizzato TLS in Exchange Online tra clienti di Exchange Online

Exchange Online server crittografa sempre le connessioni ad altri server Exchange Online nei data center con TLS 1.2. Quando si invia un messaggio a un destinatario all'interno dell'organizzazione, Exchange Online invia automaticamente il messaggio tramite una connessione crittografata tramite TLS. Exchange Online invia anche messaggi di posta elettronica inviati ad altri clienti tramite connessioni crittografate tramite TLS protette tramite forward secrecy.

Come Microsoft 365 usa TLS tra Microsoft 365 e partner esterni attendibili

Per impostazione predefinita, Exchange Online usa sempre TLS opportunistico. TLS opportunistico significa Exchange Online tenta sempre di crittografare le connessioni con la versione più sicura di TLS, quindi fa la sua strada verso il basso l'elenco di crittografie TLS fino a quando non trova una su cui entrambe le parti possono concordare. A meno che non si configuri Exchange Online per garantire che i messaggi a tale destinatario debbano usare una connessione sicura, per impostazione predefinita Exchange invia il messaggio senza crittografia se l'organizzazione del destinatario non supporta la crittografia TLS. TLS opportunistico è sufficiente per la maggior parte delle aziende. Tuttavia, per le aziende che hanno requisiti di conformità, ad esempio organizzazioni mediche, bancarie o governative, è possibile configurare Exchange Online per richiedere o forzare TLS. Per istruzioni, vedere Configurare il flusso di posta usando i connettori in Office 365.

Se si decide di configurare TLS tra la propria organizzazione e un'organizzazione partner attendibile, in Exchange Online è possibile utilizzare TLS forzato per creare canali di comunicazione attendibili. TLS forzato richiede all'organizzazione partner di eseguire l'autenticazione a Exchange Online con un certificato di sicurezza per l'invio di messaggi di posta elettronica. Il partner deve gestire i propri certificati. Exchange Online usa i connettori per proteggere i messaggi inviati da accessi non autorizzati prima che arrivino al provider di posta elettronica del destinatario. Per informazioni sull'uso dei connettori per configurare il flusso di posta, vedere Configurare il flusso di posta usando i connettori in Office 365.

TLS e distribuzioni ibride di Exchange Server

Se si gestisce una distribuzione ibrida di Exchange, il server Exchange locale deve eseguire l'autenticazione a Microsoft 365 usando un certificato di sicurezza per inviare posta ai destinatari le cui cassette postali si trovano solo in Office 365. Di conseguenza, è necessario gestire i propri certificati di sicurezza per i server Exchange locali. Inoltre, è necessario archiviare e conservare questi certificati per i server in modo sicuro. Per altre informazioni sulla gestione dei certificati nelle distribuzioni ibride, vedere Requisiti dei certificati per le distribuzioni ibride.

Come configurare TLS forzato per Exchange Online in Office 365

Per i clienti di Exchange Online, affinché TLS forzato sia utilizzato per proteggere tutta la posta elettronica inviata e ricevuta, è necessario configurare più di un connettore che richiede TLS. È necessario un connettore per i messaggi inviati alle cassette postali utente e un altro connettore per i messaggi inviati dalle cassette postali degli utenti. Creare tali connettori nell'interfaccia di amministrazione di Exchange in Office 365. Per istruzioni, vedere Configurare il flusso di posta usando i connettori in Office 365.

Informazioni sul certificato TLS per Exchange Online

Le informazioni sul certificato utilizzate da Exchange Online sono descritte nella tabella seguente. Se il partner aziendale sta configurando TLS forzato nel server di posta elettronica, è necessario fornire queste informazioni. Per motivi di sicurezza, i certificati cambiano di volta in volta. Il certificato corrente è valido dal 24 settembre 2020.

Informazioni sul certificato correnti valide dal 24 settembre 2020

Attributo Valore
Autorità di certificazione principale CA DigiCert - 1
Nome certificato mail.protection.outlook.com
Organizzazione Microsoft Corporation
Unità organizzativa www.digicert.com
Forza della chiave del certificato 2048

Ottenere altre informazioni su TLS, certificati e Microsoft 365 e scaricare i certificati

Catene di crittografia di Microsoft 365 e download di certificati

Catene di crittografia e download di certificati di Microsoft 365 - DOD e GCC High

Per un elenco dei pacchetti di crittografia supportati, vedere Informazioni di riferimento tecniche sulla crittografia.

Impostare i connettori per il flusso di posta sicura con un'organizzazione partner

Connettori con sicurezza avanzata della posta elettronica

Crittografia in Microsoft 365