Wie Exchange Online mithilfe von TLS E-Mail-Verbindungen in Office 365 sichert

 

Gilt für:Exchange Online, Office 365

Letztes Änderungsdatum des Themas:2017-02-23

Zusammenfassung: Es wird beschrieben, wie Exchange Online und Office 365 Transport Layer Security (TLS) und Forward Secrecy (FS) zum Sichern der E-Mail-Kommunikation nutzen. Bietet außerdem Informationen über das von Microsoft für Exchange Online ausgestellte Zertifikat.

Transport Layer Security (TLS) und SSL, das vor TLS vorhanden war, sind kryptografische Protokolle, die die Kommunikation über ein Netzwerk sichern, indem Sicherheitszertifikate zum Verschlüsseln einer Verbindung zwischen Computern verwendet werden. TLS ersetzt Secure Sockets Layer (SSL) und wird häufig als SSL 3.1 bezeichnet. Für Exchange Online wird TLS zum Verschlüsseln von Verbindungen zwischen den Exchange-Servern und den Verbindungen zwischen den Exchange-Servern und anderen Servern verwendet, wie z. B. Ihre lokalen Exchange-Server oder die E-Mail-Server Ihrer Empfänger. Nachdem die Verbindung verschlüsselt ist, werden alle über diese Verbindung gesendeten Daten über den verschlüsselten Kanal gesendet. Wenn Sie eine Nachricht weiterleiten, die über eine TLS-verschlüsselte Verbindung gesendet wurde, ist diese Nachricht nicht unbedingt verschlüsselt. Dies liegt einfach ausgedrückt daran, dass TSL nicht die Nachricht, sondern lediglich die Verbindung verschlüsselt.

Wenn Sie die Nachricht verschlüsseln möchten, müssen Sie eine Verschlüsselungstechnologie verwenden, die den Nachrichteninhalt verschlüsselt, z. B. Office-Nachrichtenverschlüsselung. Unter E-Mail-Verschlüsselung in Office 365 und Office 365-Nachrichtenverschlüsselung (OME) erhalten Sie weitere Informationen zu den Verschlüsselungsoptionen für Nachrichten in Office 365.

Es wird empfohlen, TLS in Situationen zu verwenden, in denen Sie einen sicheren Kanal für die Korrespondenz zwischen Office 365 und Ihrer lokalen Organisation oder einer anderen Organisation, z. B. einem Partner, einrichten möchten. Exchange Online versucht stets, zuerst TLS zum Sichern Ihrer E-Mails zu verwenden. Dieses ist aber nicht immer möglich, wenn die andere Partei keine TLS-Sicherheit bietet. Lesen Sie weiter, um zu erfahren, wie Sie mithilfe von Connectors alle E-Mail-Nachrichten auf Ihren lokalen Servern oder an wichtige Partner sichern können.

Exchange Online-Server verschlüsseln Verbindungen mit anderen Exchange Online-Servern in unseren Datencentern immer mithilfe von TLS 1.2. Wenn Sie E-Mails an einen Empfänger senden, der zu Ihrer Office 365-Organisation gehört, wird diese E-Mail-Nachricht automatisch über eine Verbindung gesendet, die mithilfe von TLS verschlüsselt ist. Darüber hinaus werden alle E-Mail-Nachrichten, die Sie an andere Office 365-Kunden senden, über Verbindungen gesendet, die mithilfe von TLS verschlüsselt und mit Forward Secrecy gesichert werden.

Standardmäßig verwendet Exchange Online immer opportunistisches TLS. Dies bedeutet, dass Exchange Online stets versucht, Verbindungen zunächst mit der sichersten TLS-Version zu verschlüsseln. Anschließend wird die Liste der TLS-Verschlüsselungen durchgegangen, bis eine Verschlüsselung gefunden wird, mit der beide Parteien einverstanden sind. Wenn Sie Exchange Online nicht so konfiguriert haben, dass sichergestellt ist, dass Nachrichten an diesen Empfänger nur über sichere Verbindungen gesendet werden, wird die Nachricht in diesem Fall standardmäßig unverschlüsselt gesendet, wenn die Organisation des Empfängers die TLS-Verschlüsselung nicht unterstützt. Opportunistisches TLS ist für die meisten Unternehmen ausreichend. Für Unternehmen, die Compliance-Anforderungen aufweisen, z. B. Medizinunternehmen, Banken oder auch Behörden, können Sie Exchange Online so konfigurieren, dass TLS erforderlich ist oder erzwungen wird. Anweisungen finden Sie unter Konfigurieren des Nachrichtenflusses mit Connectors in Office 365.

Wenn Sie TLS zwischen Ihrer Organisation und einer vertrauenswürdigen Partnerorganisation konfigurieren möchten, kann Exchange Online die erzwungene TLS verwenden, um vertrauenswürdige Kommunikationskanäle zu erstellen. Bei der erzwungenen TLS ist es erforderlich, dass sich die Partnerorganisation bei Exchange Online mit einem Sicherheitszertifikat authentifiziert, sodass E-Mail-Nachrichten an Sie gesendet werden können. Ihr Partner muss seine eigenen Zertifikate verwalten, um dies zu tun. In Exchange Online werden Connectors verwendet, um von Ihnen gesendete Nachrichten vor unberechtigtem Zugriff zu schützen, bevor sie beim E-Mail-Anbieter des Empfängers ankommen. Weitere Informationen zum Verwenden von Connectors zum Konfigurieren des Nachrichtenflusses finden Sie unter Konfigurieren des Nachrichtenflusses mit Connectors in Office 365.

Wenn Sie eine Exchange-Hybridbereitstellung verwalten, muss sich Ihr lokaler Exchange-Server bei Office 365 mithilfe eines Sicherheitszertifikats authentifizieren, sodass E-Mail-Nachrichten an Empfänger gesendet werden, deren Postfächer nur in Office 365 vorhanden sind. Daher müssen Sie Ihre eigenen Sicherheitszertifikate für Ihre lokalen Exchange-Server verwalten. Sie müssen diese Serverzertifikate auch sicher speichern und verwalten. Weitere Informationen zum Verwalten von Zertifikaten in Hybridbereitstellungen finden Sie unter Zertifikatanforderungen für Hybridbereitstellungen.

Damit bei Exchange Online-Kunden die erzwungene TLS so funktioniert, dass alle Ihre gesendeten und empfangenen E-Mails gesichert werden, müssen Sie mehrere Connectors einrichten, für die TLS erforderlich ist. Sie benötigen einen Connector für E-Mails, die an Ihre Benutzerpostfächer gesendet werden, und ein weiterer Connector ist für E-Mails erforderlich, die von Ihren Benutzerpostfächern gesendet werden. Erstellen Sie diese Connectors in der Exchange-Verwaltungskonsole in Office 365. Anweisungen dazu finden Sie unter Konfigurieren des Nachrichtenflusses mit Connectors in Office 365.

Die von Exchange Online verwendeten Zertifikatinformationen werden in der folgenden Tabelle beschrieben. Wenn Ihr Geschäftspartner die erzwungene TLS auf seinem E-Mail-Server einrichtet, müssen Sie ihm diese Informationen bereitstellen. Beachten Sie, dass unsere Zertifikate aus Sicherheitsgründen von Zeit zu Zeit geändert werden. Derzeit wird ein Update an unserem Zertifikat in unseren Rechenzentren eingeführt. Das neue Zertifikat ist ab dem 15. April 2016 gültig.

Aktuelle Zertifikatinformationen, die ab dem 15. April 2016 gültig sind

 

Attribut Wert

Aussteller des Stammzertifikats der Zertifizierungsstelle

Baltimore CyberTrust Root

Name des Zertifikats

mail.protection.outlook.com

Organisation

Microsoft Corporation

Organisationseinheit

Microsoft Corporation

Schlüsselstärke des Zertifikats

2048

 
Anzeigen: