Wie Exchange Online mithilfe von TLS E-Mail-Verbindungen schützt

Erfahren Sie, wie Exchange Online und Microsoft 365 Transport Layer Security (TLS) und Forward Secrecy (FS) verwenden, um die E-Mail-Kommunikation zu schützen.

Tipp

Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre organization die Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Beginnen Sie jetzt im Microsoft Purview-Complianceportal Testversionshub. Erfahren Sie mehr über die Anmelde- und Testbedingungen.

TLS-Grundlagen für Microsoft 365 und Exchange Online

Transport Layer Security (TLS) und Secure Sockets Layer (SSL), die vor TLS verfügbar waren, sind kryptografische Protokolle. Diese Protokolle schützen die Kommunikation über ein Netzwerk, indem Sicherheitszertifikate verwendet werden, um eine Verbindung zwischen Computern zu verschlüsseln. TLS ersetzt SSL und wird häufig als SSL 3.1 bezeichnet. Exchange Online verwendet TLS, um die Verbindungen zwischen Exchange-Servern und die Verbindungen zwischen Exchange-Servern und anderen Servern zu verschlüsseln. Tls wird beispielsweise verwendet, um die Verbindung zwischen Exchange Online und Ihren lokalen Exchange-Servern oder den E-Mail-Servern Ihrer Empfänger zu verschlüsseln. Nachdem die Verbindung verschlüsselt ist, werden alle über diese Verbindung gesendeten Daten über den verschlüsselten Kanal gesendet.

TLS verschlüsselt die Nachricht nicht, nur die Verbindung. Wenn Sie also eine Nachricht weiterleiten, die über eine TLS-verschlüsselte Verbindung an einen Empfänger organization gesendet wurde, der keine TLS-Verschlüsselung unterstützt, wird diese Nachricht nicht unbedingt verschlüsselt.

Wenn Sie die Nachricht verschlüsseln möchten, verwenden Sie eine Verschlüsselungstechnologie, die den Nachrichteninhalt verschlüsselt. Sie können beispielsweise Microsoft Purview-Nachrichtenverschlüsselung oder S/MIME verwenden. Informationen zur Nachrichtenverschlüsselung in Office 365 finden Sie unter Email-Verschlüsselung in Office 365 und Nachrichtenverschlüsselung.

Verwenden Sie TLS in Situationen, in denen Sie einen sicheren Korrespondenzkanal zwischen Microsoft und Ihren lokalen organization oder einem anderen organization, z. B. einem Partner, einrichten möchten. Exchange Online versucht immer zuerst, TLS zu verwenden, um Ihre E-Mails zu schützen, aber nicht, wenn die andere Partei keine TLS-Sicherheit anbietet. Lesen Sie weiter, um herauszufinden, wie Sie alle E-Mails auf Ihren lokalen Servern oder wichtigen Partnern mithilfe von Connectors schützen können.

Um unseren Kunden die bestmögliche Verschlüsselung zu bieten, hat Microsoft die TLS-Versionen 1.0 und 1.1 in Office 365 und Office 365 GCC als veraltet eingestuft. Sie können jedoch weiterhin eine unverschlüsselte SMTP-Verbindung ohne TLS verwenden. Wir empfehlen keine E-Mail-Übertragung ohne Verschlüsselung.

Wie Exchange Online TLS bei Exchange Online-Kunden verwendet

Exchange Online Server verschlüsseln Verbindungen mit anderen Exchange Online Servern in unseren Rechenzentren immer mit TLS 1.2. Wenn Sie eine Nachricht an einen Empfänger senden, der sich in Ihrem organization befindet, sendet Exchange Online die Nachricht automatisch über eine verschlüsselte Verbindung mithilfe von TLS. Exchange Online sendet auch E-Mails, die Sie an andere Kunden über verschlüsselte Verbindungen mit TLS senden, die mit Forward Secrecy geschützt sind.

Wie Microsoft 365 TLS zwischen Microsoft 365 und externen, vertrauenswürdigen Partnern verwendet

Standardmäßig verwendet Exchange Online immer opportunistisches TLS. Opportunistisches TLS bedeutet Exchange Online immer versucht, Verbindungen mit der sichersten TLS-Version zuerst zu verschlüsseln, sich dann in der Liste der TLS-Verschlüsselungen nach unten arbeitet, bis eine gefunden wird, auf die sich beide Parteien einigen können. Sofern Sie Exchange Online nicht konfigurieren, um sicherzustellen, dass Nachrichten an diesen Empfänger eine sichere Verbindung verwenden müssen, sendet Exchange die Nachricht standardmäßig ohne Verschlüsselung, wenn die organization des Empfängers keine TLS-Verschlüsselung unterstützt. Opportunistische TLS ist für die meisten Unternehmen ausreichend. Für Unternehmen, die Complianceanforderungen haben, z. B. medizinische, Bank- oder Regierungsorganisationen, können Sie jedoch Exchange Online konfigurieren, um TLS zu verlangen oder zu erzwingen. Anweisungen finden Sie unter Konfigurieren des Nachrichtenflusses mithilfe von Connectors in Office 365.

Wenn Sie TLS zwischen Ihrer Organisation und einer vertrauenswürdigen Partnerorganisation konfigurieren möchten, kann Exchange Online die erzwungene TLS verwenden, um vertrauenswürdige Kommunikationskanäle zu erstellen. Für erzwungenes TLS muss sich Ihr Partner organization bei Exchange Online mit einem Sicherheitszertifikat authentifizieren, um E-Mails an Sie zu senden. Ihr Partner muss seine eigenen Zertifikate verwalten. Exchange Online verwendet Connectors, um Nachrichten zu schützen, die Sie vor unbefugtem Zugriff senden, bevor sie beim E-Mail-Anbieter des Empfängers eingehen. Informationen zur Verwendung von Connectors zum Konfigurieren des Nachrichtenflusses finden Sie unter Konfigurieren des Nachrichtenflusses mithilfe von Connectors in Office 365.

TLS und Exchange Server-Hybridbereitstellungen

Wenn Sie eine Exchange-Hybridbereitstellung verwalten, muss sich Ihr lokaler Exchange-Server mithilfe eines Sicherheitszertifikats bei Microsoft 365 authentifizieren, um E-Mails an Empfänger zu senden, deren Postfächer sich nur in Office 365 befinden. Daher müssen Sie Ihre eigenen Sicherheitszertifikate für Ihre lokalen Exchange-Server verwalten. Sie müssen diese Serverzertifikate auch sicher speichern und verwalten. Weitere Informationen zum Verwalten von Zertifikaten in Hybridbereitstellungen finden Sie unter Zertifikatanforderungen für Hybridbereitstellungen.

Einrichten von erzwungener TLS für Exchange Online in Office 365

Damit bei Exchange Online-Kunden die erzwungene TLS so funktioniert, dass alle Ihre gesendeten und empfangenen E-Mails gesichert werden, müssen Sie mehrere Connectors einrichten, für die TLS erforderlich ist. Sie benötigen einen Connector für Nachrichten, die an Benutzerpostfächer gesendet werden, und einen anderen Connector für Nachrichten, die von Benutzerpostfächern gesendet werden. Erstellen Sie diese Connectors in der Exchange-Verwaltungskonsole in Office 365. Anweisungen finden Sie unter Konfigurieren des Nachrichtenflusses mithilfe von Connectors in Office 365.

TLS-Zertifikatinformationen für Exchange Online

Die von Exchange Online verwendeten Zertifikatinformationen werden in der folgenden Tabelle beschrieben. Wenn Ihr Geschäftspartner erzwungenes TLS auf dem E-Mail-Server ein richtet, müssen Sie ihnen diese Informationen bereitstellen. Aus Sicherheitsgründen ändern sich unsere Zertifikate von Zeit zu Zeit. Das aktuelle Zertifikat ist ab dem 24. September 2020 gültig.

Aktuelle Zertifikatinformationen, gültig ab dem 24. September 2020

Attribut Wert
Aussteller des Stammzertifikats der Zertifizierungsstelle DigiCert CA – 1
Name des Zertifikats mail.protection.outlook.com
Organisation Microsoft Corporation
Organisationseinheit www.digicert.com
Schlüsselstärke des Zertifikats 2048

Rufen Sie weitere Informationen zu TLS, Zertifikaten und Microsoft 365 ab, und laden Sie Zertifikate herunter.

Microsoft 365-Verschlüsselungsketten und Zertifikatdownloads

Microsoft 365-Verschlüsselungsketten und Zertifikatdownloads – DOD und GCC High

Eine Liste der unterstützten Verschlüsselungssammlungen finden Sie unter Technische Referenzdetails zur Verschlüsselung.

Einrichten von Connectors für den sicheren Nachrichtenfluss mit einer Partnerorganisation

Connectors mit erweiterter E-Mail-Sicherheit

Verschlüsselung in Microsoft 365