Общее представление о протоколе TLS в FOPE

  • Статья

 

Применимо к: Office 365 Enterprise, Live@edu, Forefront Online Protection for Exchange

Дата изменения раздела: 2012-05-02

TLS — это протокол шифрования, который обеспечивает защищенную передачу сообщений электронной почты между почтовыми серверами, предотвращая перехват сообщений и спуфинг. Для защиты электронной почты протокол TLS выполняет два основных действия:

  1. Шифрование сообщений электронной почты: Протокол TLS шифрует сообщения, передаваемые от одного почтового сервера другому, с использованием инфраструктуры открытых ключей (PKI). Шифрование затрудняет перехват и просмотр сообщений электронной почты злоумышленником.

  2. Проверка подлинности сообщений: Проверка подлинности TLS с использованием цифровых сертификатов позволяет убедиться, что серверы, отправляющие или получающие сообщения, не являются поддельными. Проверка подлинности сообщений позволяет предотвратить спуфинг.

Все сообщения, обрабатываемые службой Forefront Online Protection for Exchange (FOPE), шифруются с помощью протокола TLS. Для обеспечения конфиденциальности и целостности сообщений при отправке и получении сообщений служба попытается использовать протокол TLS. Если отправляющий или принимающий серверы не настроены для использования протокола TLS, служба будет автоматически использовать протокол SMTP.

Шифрование FOPE TLS

Если при настройке протокола TLS на сервере указан сертификат, включая сертификаты, созданные сервером центра сертификации (CA), весь входящий и исходящий трафик между центрами обработки данных службы FOPE и сетью будет шифроваться с помощью протокола TLS. Служба FOPE поддерживает уступающий TLS. Это означает, что изначально служба пытается использовать протокол TLS и в случае, если службе не удается установить подключение TLS к конечному серверу, используется протокол SMTP.

Чтобы указать, что сообщение зашифровано с помощью протокола TLS, почтовые серверы могут использовать отметку времени. Если сообщение имеет отметку времени, в заголовке сообщения отображается строка, похожая на строку в следующем примере:

"использование TLS версии 1 с шифром EDH-RSA-DES-CBC3-SHA (168/168 бит)"

Вышеприведенный пример показывает, какие алгоритмы и размеры битов использовались для шифрования сообщения.

Исходящие сообщения и принудительный TLS

Служба FOPE позволяет создавать правила политик с помощью раздела Действие области Параметры правила политики, которая используется для включения протокола ForceTLS. Этот параметр правила политики включает TLS между агентом передачи исходящих сообщений и агентом получателя. При настройке этого правила политики ограничения принудительного TLS применяются к исходящей электронной почте и действуют на уровне домене.

Примечание

Если между исходящими службами и почтовой средой получателя не удается установить TLS-подключение, сообщение будет задержано на 24 часа. Если доставка сообщения завершается с ошибкой, получателю будет отправлено сообщение о недоставке. Для получения сообщения о недоставке сервер должен иметь допустимый и известный сертификат.

При создании правила политики, включающего принудительный TLS, можно включить уступающий TLS для неуказанных получателей (в области Получатель раздела Сопоставление — новое правило политики). При установке этого флажка проверка подлинности TLS будет включена на получателе, который соответствует правилу, но позволит остальным получателям использовать уступающий TLS в случае, если все попытки включить TLS завершатся с ошибкой. Для передачи сообщений служба FOPE будет всегда использовать максимальный уровень шифрования, если более низкие уровни недоступны. Если флажок Включить уступающий TLS для неуказанных получателей не установлен, исходящие сообщения не будут раздваиваться. Это означает, что для доставки сообщения все получатели будут использовать проверку подлинности TLS, в которой все получатели соответствуют правилу фильтра политики, а агент передачи сообщений получателя настроен для приема подключений TLS (включая действительные общедоступные сертификаты). Если на одном из получателей установлен агент передачи сообщений, который не поддерживает подключения TLS, сообщения для этого получателя будут отклоняться. Дополнительные сведения об этом правиле политики и его параметрах см. в разделе Общее представление о параметрах правил политики.

Сертификаты TLS

Служба FOPE требует стандартный сертификат X.509 TLS/SSL. Помимо сертификата необходимо установить самый последний сертификат GTE Cybertrust Root. Сертификаты должны быть выданы центром сертификации или авторизованным поставщиком сертификатов. Служба FOPE поддерживает большое количество популярных корневых центров сертификации. Политика FOPE будет поддерживать только действительные корневые центры сертификации, которые входят в программу корневых сертификатов Майкрософт. Если для службы FOPE требуется цифровой сертификат, получите его у участника программы корневых сертификатов Майкрософт. Если предпочтительный центр сертификации отсутствует в списке, дополнительные сведения см. в разделе Программа корневых сертификатов Майкрософт.

Сбой TLS-подтверждения

Иногда у некоторых клиентов службы FOPE возникают сбои при TLS-подтверждении. Причины сбоя TLS-подтверждения могут быть разными. Наиболее распространенные причины сбоя:

  1. Истек срок действия TLS/SSL-сертификата, используемого для подтверждения, или сертификат был отозван.

  2. У агента передачи сообщений не включен протокол TLS. Убедитесь, что для агента передачи сообщений включен протокол TLS.

  3. Параметры брандмауэра не позволяют настроить подключение TLS через порт 25.

Средство отправки подробных сведений об ошибке, доступное в TLS, позволяет устранить любые неполадки подтверждения или проблемы подключения.

Вопросы и ответы: TLS

Ниже приведены ответы на наиболее распространенные вопросы клиентов службы FOPE.

В. Как вызвать сеанс TLS при отправке электронной почты?

О. На почтовом сервере должен быть установлен стек протоколов TLS/SSL (установлен по умолчанию при использовании последней версии операционной системы) и настроен для создания подключений SMTP с помощью TLS. Кроме того, необходимо установить действующий сертификат.

В. Требуется ли дополнительная настройка брандмауэра при использовании TLS?

О. Большинство брандмауэров предварительно настроены для разрешения трафика TLS/SSL на порту 25. Если вы не знаете, поддерживает ли брандмауэр TLS и требуется ли настройка, обратитесь к производителю брандмауэра.

В. Как узнать, поддерживает ли почтовый сервер TLS?

О. Существует два основных способа проверки поддержки TLS:

  1. Отправьте и получите сообщение с сервера и затем проверьте заголовки сообщения. Если в заголовке отображаются сведения, относящиеся к TLS, наиболее вероятно, что TLS включен.

  2. Проверьте сервер с помощью подключения Telnet.

Ниже приведен пример сеанса Telnet в центрах обработки данных службы FOPE, которые отображают параметр STARTTLS. Этот тест можно выполнить на любом почтовом сервере. Следующий пример взят с серверов службы FOPE.

CMD: telnet mail.global.frontbridge.com 25

220 mail77-red.bigfish.com ESMTP Postfix EGGS and Butter

CMD: ehlo test

250-mail77-red.bigfish.com

250-PIPELINING

250-SIZE 150000000

250-ETRN

250-STARTTLS

250 8BITMIME

CMD: starttls

220 Ready to start TLS

Строка "220 Ready to start TLS" указывает, что сервер готов к подключению TLS.