Forstå TLS (Transport Layer Security) i FOPE

 

Gjelder: Office 365 Enterprise, Live@edu, Forefront Online Protection for Exchange

Emne sist endret: 2012-05-02

TLS (Transport Layer Security) er en protokoll som brukes til å kryptere meldinger og levere dem trygt, og forhindrer tyvlytting og "forfalsking" mellom e-postservere. TLS sikrer e-postsikkerhet på to grunnleggende måter:

  1. Kryptering av meldinger: TLS bruker PKI (Public Key Infrastructure) til å kryptere meldinger mellom e-postservere. Dette gjør det vanskelig for hackere å fange opp og vise meldinger.

  2. Godkjenning av meldinger: TLS-godkjenning bruker digitale sertifikater til å kontrollere at serverne som sender (eller mottar) meldingene, faktisk er det som IDene angir at de er. Dette er med på å forhindre forfalsking.

Alle meldinger som behandles av Forefront Online Protection for Exchange (FOPE), krypteres ved hjelp av TLS (Transport Layer Security). For å være med på å sikre personvern og meldingsintegritet prøver tjenesten å sende og motta meldinger til/fra servere ved hjelp av TLS, men den går automatisk over til SMTP hvis sende- eller målserverne ikke er konfigurert slik at TLS brukes.

Hvis TLS er konfigurert med et sertifikat på serveren, inkludert de som er generert av din egen sertifiseringsinstansserver, TLS-krypteres all innkommende og utgående trafikk mellom FOPE-datasentre og nettverket ditt. FOPE-tjenesten støtter opportunistisk TLS. Det betyr at den først prøver å sende via TLS, men hvis den ikke kan opprette en TLS-tilkobling med målserveren, sender den via vanlig SMTP.

Det kan hende at e-postservere setter et "stempel" på en melding som angir at den er TLS-kryptert. Hvis meldingen er "stemplet", vises en linje i meldingshodene som ligner på følgende eksempel:

«ved hjelp av TLSv1 med siffer EDH-RSA-DES-CBC3-SHA (168/168-bits)»

Eksemplet ovenfor viser hvilke algoritmer og bitstørrelser som ble brukt til å kryptere meldingen.

Med FOPE-tjenesten kan du opprette policyregler som aktiverer Tvungen TLS ved å bruke innstillingene under delen Handling i ruten Innstillinger for policyregel. Denne innstillingen for policyregel tvinger TLS mellom utgående MTA (Mail Transfer Agent) og mottakerens MTA. Når du konfigurerer denne policyregelen, brukes begrensningene ved Tvungen TLS på samsvarende utgående e-postmeldinger, og de håndheves på tvers av hele domenet.

NoteObs! 
Hvis en TLS-tilkobling ikke kan opprettes mellom de utgående tjenestene og mottakerens meldingsmiljø, utsettes levering av meldingen i 24 timer. Hvis meldingen ikke kan leveres, sendes en returmelding til avsenderen. Serveren må ha et gyldig, kjent sertifikat for å kunne motta returmeldingen.

Når du oppretter en policyregel som aktiverer Tving TLS, kan du aktivere Opportunistisk TLS for uspesifiserte mottakere (i Mottaker-området under Treff - ny policyregel). Hvis du merker av i denne avmerkingsboksen, håndheves fortsatt godkjent TLS for mottakeren som samsvarer med regelen, men i tillegg kan alle andre mottakere overføres ved hjelp av Opportunistisk TLS hvis alle forsøk på å håndheve TLS mislykkes. FOPE-tjenesten bruker alltid det høyeste krypteringsnivået som er tilgjengelig, ved overføring av meldingene, og hvis det ikke er tilgjengelig, brukes et lavere krypteringsnivå. Hvis det ikke er merket av for Aktiver opportunistisk TLS for uspesifiserte mottakere, forgrenes ikke de utgående meldingene. Dette betyr at godkjent TLS (Transport Layer Security) håndheves ved levering til alle mottakere av meldingen, der mottakerne samsvarer med policyfilterregelen og mottaker-MTA (Mail Transfer Agent) er konfigurert slik at TLS-baserte tilkoblinger (inkludert gyldige fellessertifikat) godtas. Hvis én av mottakerne har en MTA som ikke støtter TLS-tilkoblinger, sendes ikke meldingen til denne mottakeren. Hvis du vil ha mer informasjon om denne policyregelen og innstillingene for den, kan du se Forstå innstillinger for policyregel.

FOPE-tjenesten krever X.509 TLS/SSL-standardsertifikatet. Du må ha det siste GTE Cybertrust Root-sertifikatet installert sammen med sertifikatet. Sertifikater må kjøpes direkte fra en sertifiseringsinstans eller fra en autorisert sertifikatforhandler. FOPE støtter mange populære rot-sertifiseringsinstanser. Det er en policy at FOPE bare støtter gyldige rotsertifiseringsinstanser som er en del av Microsofts rotsertifikatprogram. Hvis du har tenkt å bruke et digitalt sertifikat med FOPE, må du skaffe et gjeldende sertifikat fra et medlem i Microsofts rotsertifikatprogram. Hvis din foretrukne sertifiseringsinstans ikke vises, kan du se Microsoft Root Certificate Program for å finne informasjon om hvordan de kan søke om å bli med i programmet.

Noen ganger kan FOPE-kunder oppleve et mislykket TLS-håndtrykk. Et TLS-håndtrykk kan mislykkes av flere årsaker. De vanligste scenariene er som følger:

  1. TLS/SSL-sertifikatet som brukes i håndtrykket, er utløpt eller tilbakekalt.

  2. MTAen har kanskje ikke TLS aktivert. Kontroller at MTAen har TLS aktivert.

  3. Brannmuren som håndterer tilkoblingen, er kanskje ikke konfigurert slik at TLS-kommunikasjon tillates gjennom port 25.

Den omfattende feilrapporteringen som brukes i TLS, er glimrende å bruke til å feilsøke eventuelle håndtrykks- eller tilkoblingsproblemer som kan oppstå.

Nedenfor finner du noen av de mest vanlige spørsmålene som FOPE-kunder har om TLS.

Svar: TLS/SSL-protokollstakken må være installert på e-postserveren (den er installert som standard på de fleste nye operativsystemer), og den må konfigureres slik at den starter SMTP-tilkoblinger ved hjelp av TLS. Du må i tillegg ha et gjeldende sertifikat installert.

Svar: De fleste brannmurer er forhåndskonfigurert slik at TLS/SSL-trafikk tillates på port 25. Kontakt brannmurleverandøren hvis du ikke er sikker på om brannmuren støtter dette eller må konfigureres.

Svar: Du kan finne ut om en server støtter TLS på to ulike måter:

  1. Send og motta en melding til og fra serveren, og undersøk deretter meldingshodene. Hvis du ser noe TLS-relatert, er serveren mest sannsynlig TLS-aktivert.

  2. Test serveren ved å bruke en Telnet-tilkobling.

Nedenfor vises et eksempel på en Telnet-økt inn til et FOPE-datasenter som viser alternativet STARTTLS. Du kan utføre denne testen på en hvilken som helst e-postserver. Det følgende eksemplet ble tatt fra FOPE-servere:

CMD: telnet mail.global.frontbridge.com 25

220 mail77-red.bigfish.com ESMTP Postfix EGGS and Butter

CMD: ehlo test

250-mail77-red.bigfish.com

250-PIPELINING

250-SIZE 150000000

250-ETRN

250-STARTTLS

250 8BITMIME

CMD: starttls

220 Ready to start TLS

"220 Ready to start TLS" angir at serveren er klar til å starte en TLS-tilkobling.

 
Vis: