Como o Exchange Online usa TLS para proteger conexões de e-mail
Saiba como Exchange Online e o Microsoft 365 usam o TLS (Transport Layer Security) e o Forward Secrecy (FS) para proteger as comunicações de email.
Dica
Se você não for um cliente E5, use a avaliação de soluções do Microsoft Purview de 90 dias para explorar como recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de avaliações portal de conformidade do Microsoft Purview. Saiba mais sobre os termos de inscrição e avaliação.
Noções básicas do TLS para Microsoft 365 e Exchange Online
TLS (Transport Layer Security) e Secure Sockets Layer (SSL) que vieram antes do TLS são protocolos criptográficos. Esses protocolos protegem a comunicação em uma rede usando certificados de segurança para criptografar uma conexão entre computadores. O TLS substitui o SSL e geralmente é chamado de SSL 3.1. Exchange Online usa o TLS para criptografar as conexões entre servidores exchange e as conexões entre servidores exchange e outros servidores. Por exemplo, o TLS é usado para criptografar a conexão entre Exchange Online e os servidores locais do Exchange ou os servidores de email dos destinatários. Depois que a conexão é criptografada, todos os dados enviados por essa conexão passam pelo canal criptografado.
O TLS não criptografa a mensagem, apenas a conexão. Portanto, se você encaminhar uma mensagem enviada por meio de uma conexão criptografada por TLS para uma organização de destinatário que não dá suporte à criptografia TLS, essa mensagem não será necessariamente criptografada.
Se você quiser criptografar a mensagem, use uma tecnologia de criptografia que criptografa o conteúdo da mensagem. Por exemplo, você pode usar Criptografia de Mensagens do Microsoft Purview ou S/MIME. Consulte Email criptografia no Office 365 e criptografia de mensagens para obter informações sobre criptografia de mensagens no Office 365.
Use o TLS em situações em que você deseja configurar um canal seguro de correspondência entre a Microsoft e sua organização local ou outra organização, como um parceiro. Exchange Online sempre tenta usar o TLS primeiro para proteger seu email, mas não pode se a outra parte não oferecer segurança TLS. Continue lendo para saber como proteger todos os emails para seus servidores locais ou parceiros importantes usando conectores.
Para fornecer a melhor criptografia da classe para nossos clientes, a Microsoft preteriu as versões 1.0 e 1.1 em Office 365 e Office 365 GCC. No entanto, você pode continuar a usar uma conexão SMTP não criptografada sem nenhum TLS. Não recomendamos transmissão de email sem criptografia.
Como o Exchange Online usa o TLS entre clientes do Exchange Online
Exchange Online servidores sempre criptografam conexões com outros servidores Exchange Online em nossos data centers com o TLS 1.2. Quando você envia uma mensagem para um destinatário que está dentro de sua organização, Exchange Online envia automaticamente a mensagem por meio de uma conexão criptografada usando o TLS. Exchange Online também envia email que você envia para outros clientes por meio de conexões criptografadas usando TLS que são protegidas usando o Segredo de Encaminhamento.
Como o Microsoft 365 usa o TLS entre o Microsoft 365 e parceiros externos e confiáveis
Por padrão, o Exchange Online sempre usa o TLS oportunista. TLS oportunista significa que Exchange Online sempre tenta criptografar conexões com a versão mais segura do TLS primeiro, em seguida, funciona seu caminho para baixo na lista de cifras TLS até encontrar uma em que ambas as partes podem concordar. A menos que você configure Exchange Online para garantir que as mensagens para esse destinatário devem usar uma conexão segura, então, por padrão, o Exchange envia a mensagem sem criptografia se a organização do destinatário não dá suporte à criptografia TLS. O TLS oportunista é suficiente para a maioria das empresas. No entanto, para empresas que têm requisitos de conformidade, como as empresas do setor médico e bancário ou as organizações governamentais, você pode configurar o Exchange Online para exigir ou forçar TLS. Para obter instruções, consulte Configurar fluxo de email usando conectores no Office 365.
Se você decidir configurar o TLS entre sua organização e uma organização de parceiro confiável, o Exchange Online pode usar o TLS forçado para criar canais de comunicação confiáveis. O TLS forçado exige que sua organização parceira se autentique para Exchange Online com um certificado de segurança para enviar emails para você. Seu parceiro precisa gerenciar seus próprios certificados. Exchange Online usa conectores para proteger as mensagens que você envia de acesso não autorizado antes que eles cheguem ao provedor de email do destinatário. Para obter informações sobre como usar conectores para configurar o fluxo de email, consulte Configurar fluxo de email usando conectores no Office 365.
TLS e implantações híbridas do Exchange Server
Se você estiver gerenciando uma implantação híbrida do Exchange, o servidor do Exchange local precisa se autenticar no Microsoft 365 usando um certificado de segurança para enviar emails para destinatários cujas caixas de correio estão apenas em Office 365. Como resultado, você precisa gerenciar seus próprios certificados de segurança para seus servidores locais do Exchange. Você também deve armazenar e manter esses certificados de servidor de maneira segura. Para obter mais informações sobre como gerenciar certificados em implantações híbridas, confira Requisitos de certificado para implantações híbridas.
Como configurar o TLS Forçado para Exchange Online no Office 365
Para clientes do Exchange Online, para que o TLS forçado proteja todos os emails enviados e recebidos, é necessário configurar mais de um conector que exija TLS. Você precisa de um conector para mensagens enviadas às caixas de correio do usuário e outro conector para mensagens enviadas de caixas de correio de usuário. Crie esses conectores no Centro de administração do Exchange no Office 365. Para obter instruções, consulte Configurar fluxo de email usando conectores no Office 365.
Informações do certificado TLS para o Exchange Online
As informações do certificado usadas pelo Exchange Online são descritas na tabela a seguir. Se seu parceiro de negócios estiver configurando o TLS forçado em seu servidor de email, você precisará fornecer essas informações a eles. Por motivos de segurança, nossos certificados mudam de vez em quando. O certificado atual é válido a partir de 24 de setembro de 2020.
Informações atuais do certificado válidas a partir de 24 de setembro de 2020
Atributo | Valor |
---|---|
Emissor da raiz da autoridade de certificação | Ac DigiCert - 1 |
Nome do certificado | mail.protection.outlook.com |
Organização | Microsoft Corporation |
Unidade organizacional | www.digicert.com |
Nível de segurança da chave do certificado | 2048 |
Obter mais informações sobre certificados, certificados e TLS e Microsoft 365 e baixar certificados
Cadeias de criptografia do Microsoft 365 e downloads de certificados
Cadeias de criptografia do Microsoft 365 e downloads de certificados – DOD e GCC High
Para obter uma lista de pacotes de criptografia com suporte, consulte Detalhes de referência técnica sobre criptografia.
Configurar conectores para fluxo de email seguro com uma organização parceira