了解 FOPE 中的傳輸層安全性 (TLS)

 

適用於: Office 365 Enterprise, Live@edu, Forefront Online Protection for Exchange

主題上次修改日期: 2012-05-02

傳輸層安全性 (TLS) 是一種加密郵件並以安全方式傳遞郵件的通訊協定,其作用是在郵件伺服器之間防止竊取和「詐騙」。為了確保電子郵件安全性,TLS 會以兩種基本方式運作:

  1. 加密郵件:TLS 會使用公開金鑰基礎結構 (PKI) 來加密郵件伺服器之間的郵件,這樣做會讓駭客難以攔截和檢視郵件。

  2. 驗證郵件:TLS 驗證會使用數位憑證來確認傳送 (或接收) 郵件的伺服器確實是郵件識別碼所指出的伺服器,這樣做有助於防止詐騙。

所有經 Forefront Online Protection for Exchange (FOPE) 處理的郵件皆採用 TLS 加密。為了協助確保隱私權和郵件完整性,此服務會嘗試使用 TLS 在伺服器之間傳送和接收郵件,不過如果傳送或目的地伺服器沒有設定為使用 TLS,它將自動變換成 SMTP。

如果使用您伺服器上的憑證設定 TLS (包括您自己的憑證授權單位 (CA) 伺服器已經產生的憑證),則 FOPE 資料中心與網路之間的所有內送和外寄流量都將進行 TLS 加密。FOPE 服務支援 Opportunistic TLS,這表示它會先嘗試傳遞 TLS,但是如果無法與目的地伺服器建立 TLS 連線,就會經由一般 SMTP 傳遞。

郵件伺服器不一定會為郵件加上「戳記」,表示它已經過 TLS 加密。如果郵件沒有「戳記」,您就會在郵件標頭中看到類似於下列範例的文字行:

「使用以 EDH-RSA-DES-CBC3-SHA (168/168 位元) 加密的 TLSv1」

以上範例說明加密郵件所使用的演算法與位元大小。

FOPE 服務可讓您使用 [原則規則設定] 窗格的 [動作] 區段來建立啟用 [強制 TLS] 的原則規則。這個原則規則設定會在外寄郵件傳輸代理程式 (MTA) 與收件者的 MTA 之間強制執行 TLS。當您設定此原則規則時,[強制 TLS] 限制會套用至相符的外寄電子郵件,並且在整個網域之間強制執行。

注意事項注意:
如果無法在您的輸出服務與收件者的郵件環境之間建立 TLS 連線,郵件將會延遲 24 個小時。如果郵件傳遞失敗,則會傳送退回的郵件給寄件者。為了接收退回的郵件,您的伺服器必須擁有有效的已知憑證。

當您建立啟用 [強制 TLS] 的原則規則時,也可以選擇針對未指定的收件者啟用 Opportunistic TLS (在 [符合 - 新的原則規則] 底下的 [收件者] 區域中)。核取此方塊時,仍然會在符合規則的收件者上強制執行驗證的 TLS,但如果執行 TLS 的所有嘗試都失敗,也允許其他所有收件者使用 Opportunistic TLS 進行傳輸。FOPE 服務將一律使用可用的最高層級加密來傳輸郵件,如果不可用,則將使用較低層級。如果取消核取了 [為未指定的收件者啟用 Opportunistic TLS] 方塊,則外寄郵件將不會分支。也就是說,只要任一收件者符合原則篩選規則,而且該收件者郵件傳輸代理程式 (MTA) 設定為接受以 TLS 為基礎的連線 (包括有效的公用憑證),就會對所有郵件收件者的傳遞作業強制執行驗證的 TLS。如果其中一個收件者有不支援 TLS 連線的 MTA,則傳遞給所有收件者的郵件都將遭到拒絕。如需有關此原則規則及其設定的詳細資訊,請參閱了解原則規則設定

FOPE 服務需使用標準 X.509 TLS/SSL 憑證。您必須同時安裝最新的 GTE Cybertrust Root 憑證以及您的憑證。您應該直接向憑證授權單位 (CA) 或授權的憑證經銷商購買憑證。FOPE 支援許多常見的根 CA。FOPE 的原則是只支援目前屬於 Microsoft 根憑證計劃成員的有效根 CA。如果您考慮搭配數位憑證使用 FOPE,請透過 Microsoft 根憑證計劃成員取得最新的數位憑證。如果您喜好的 CA 沒有列出來,請參閱 Microsoft 根憑證計劃 (可能為英文網頁),了解 CA 申請加入計劃的相關資訊。

有時候,FOPE 客戶會遇到 TLS 交握失敗的情況。TLS 交握失敗的原因可能有許多個。最常見的案例如下所示:

  1. 用於交握的 TLS/SSL 憑證已過期或已遭撤銷。

  2. 您的 MTA 可能尚未啟用 TLS。請檢查以確定您的 MTA 是否已啟用 TLS。

  3. 處理連線的防火牆可能沒有設定為允許 TLS 通訊通過通訊埠 25。

此外,用於 TLS 的大量錯誤報告是疑難排解您可能遇到之任何交握或連線問題的絕佳方式。

以下是 FOPE 服務客戶對 TLS 提出的一些常見問題。

答:您的郵件伺服器必須已安裝 TLS/SSL 通訊協定堆疊 (大部分的新作業系統預設已安裝),而且它必須設定為使用 TLS 來起始 SMTP 連線。此外,你也必須安裝最新的憑證。

答:大部分防火牆都會預先設定為允許通訊埠 25 的 TLS/SSL 流量。如果您不確定防火牆是否支援這項功能,或者是否需要進行設定,請詢問您的防火牆廠商。

答:有兩種基本方式可判斷伺服器是否具備 TLS 功能:

  1. 從伺服器傳送和接收郵件,然後檢查郵件的標頭。如果您看見任何有關 TLS 的項目,就表示伺服器很可能已啟用 TLS。

  2. 使用 Telnet 連線來測試伺服器。

以下是進入 FOPE 資料中心之 Telnet 工作階段的範例,其中顯示 STARTTLS 選項。您可以在任何郵件伺服器上執行這項測試。下列範例取自 FOPE 伺服器:

CMD:telnet mail.global.frontbridge.com 25

220 mail77-red.bigfish.com ESMTP Postfix EGGS and Butter

CMD:ehlo test

250-mail77-red.bigfish.com

250-PIPELINING

250-SIZE 150000000

250-ETRN

250-STARTTLS

250 8BITMIME

CMD:starttls

220 Ready to start TLS

“220 Ready to start TLS” 表示伺服器準備要啟動 TLS 連線。

 
顯示: