Ansichten:
Transport Layer Security (TLS) ist ein Protokoll, das hilft, Daten zu sichern und die Kommunikationsdatenschutz zwischen Endpunkten zu gewährleisten. Cloud Email Gateway Protection ermöglicht es Ihnen, TLS-Verschlüsselungsrichtlinien zwischen Cloud Email Gateway Protection und angegebenen TLS-Peers zu konfigurieren. Cloud Email Gateway Protection unterstützt die folgenden TLS-Protokolle in absteigender Reihenfolge der Priorität: TLS 1.3, TLS 1.2, TLS 1.1 und TLS 1.0.
Um Man-in-the-Middle-Angriffe auf TLS-Verbindungen zu verhindern, führt Cloud Email Gateway Protection die DNS-basierte Authentifizierung benannter Entitäten (DANE) und Mail Transfer Agent - Strict Transport Security (MTA-STS) ein, um die Identität der Zielserver zu überprüfen.
Hinweis
Hinweis
Sie können DANE- oder MTA-STS-Authentifizierung zwischen Cloud Email Gateway Protection und angegebenen TLS-Peers während der ausgehenden Mail-Zustellung aktivieren.
Für eingehende E-Mails unterstützt Cloud Email Gateway Protection von Natur aus MTA-STS, nachdem Sie einen DNS-Eintrag und eine Richtlinie für Ihre Domain eingerichtet haben. Weitere Informationen finden Sie unter Über MTA-STS-Einträge für eingehenden Schutz.
Im Fenster Transport Layer Security (TLS) Peers werden die folgenden wichtigen Begriffe verwendet:
Begriff
Details
Verwaltete Domäne-Liste
Status (Verwaltete Domäne)
  • Aktiviert: Domain ist aktiviert
  • Deaktiviert: Domain ist deaktiviert
Default (for unspecified domains)
Diese Konfiguration gilt für alle Domänen, die nicht in der verwalteten Domänenliste enthalten sind
Domain TLS Peers-Liste
Status (TLS-Peer)
  • Aktiviert: Cloud Email Gateway Protection wendet Ihre angegebene TLS-Konfiguration auf den Peer an
  • Deaktiviert: Cloud Email Gateway Protection wendet Ihre angegebene TLS-Konfiguration nicht auf den Peer an
    Stattdessen gilt die TLS-Konfiguration Default (for unspecified peers).
TLS-Peer
Cloud Email Gateway Protection kann Ihre angegebene TLS-Konfiguration mit diesem Peer während der Netzwerkkommunikation anwenden.
Minimum TLS version
Minimale TLS-Version, die der TLS-Peer verwenden muss, um über das TLS-Protokoll mit Cloud Email Gateway Protection zu kommunizieren.
  • TLS 1.3: Der TLS-Peer muss TLS 1.3 verwenden.
  • TLS 1.2: Der TLS-Peer muss TLS 1.2 oder höher verwenden.
  • No restriction: Der TLS-Peer kann jedes TLS-Protokoll verwenden.
Sicherheitsstufe
  • !!Opportunistic TLS!!:
    • Kommuniziert unter Verwendung von Verschlüsselung, wenn der Partner TLS unterstützt und sich dafür entscheidet, es zu verwenden
    • Kommuniziert ohne Verschlüsselung, wenn der Partner TLS nicht unterstützt
    • Kommuniziert ohne Verschlüsselung, wenn der Partner TLS unterstützt, sich jedoch entscheidet, TLS nicht zu verwenden
  • !!Mandatory TLS!!:
    • Kommuniziert unter Verwendung von Verschlüsselung, wenn der Partner TLS unterstützt und sich dafür entscheidet, es zu verwenden
    • Kommuniziert nicht, wenn der Partner TLS nicht unterstützt
    • Kommuniziert nicht, wenn der Peer TLS unterstützt, sich jedoch entscheidet, TLS nicht zu verwenden
  • !!Opportunistic DANE TLS!! (Nur ausgehender Schutz)
    • Kommuniziert nur mit Verschlüsselung, wenn der entfernte SMTP-Server verwendbare DANE TLSA-Datensätze hat und die DANE-Authentifizierung des Gegenübers erfolgreich ist
    • Wird auf !!Mandatory TLS!! herabgestuft, wenn alle TLSA-Datensätze aufgrund nicht unterstützter Parameter oder fehlerhafter Daten unbrauchbar sind
    • In anderen Fällen, Herabstufungen auf !!Opportunistic TLS!!
  • !!Mandatory DANE TLS!! (nur Ausgehender Schutz)
    • Kommuniziert unter Verwendung von Verschlüsselung, wenn die DANE-Authentifizierung erfolgreich ist
    • Kommuniziert nicht, wenn der Partner die DANE-Authentifizierung nicht übergeht
  • MTA-STS (nur Ausgehender Schutz)
    • Übermittelt die Nachricht unter Verwendung der Verschlüsselung, wenn der TLS-Peer den Richtlinienmodus enforce oder testing verwendet und die MTA-STS-Validierung übergeht
    • Zustellung der Nachricht erfolgt nicht, wenn der TLS-Peer den Richtlinienmodus enforce verwendet, aber die MTA-STS-Validierung fehlschlägt
    • Verwendet !!Opportunistic TLS!!, um die Nachricht zu übermitteln, wenn die Richtlinie des TLS-Peers nicht abgerufen werden kann, der TLS-Peer den Richtlinienmodus Keine verwendet oder der TLS-Peer den Richtlinienmodus testing verwendet, aber die MTA-STS-Validierung fehlschlägt
Hinweis
Hinweis
Wenn ein TLS-Peer sowohl DANE als auch MTA-STS unterstützt, empfiehlt Trend Micro, DANE für die Kommunikation mit dem Peer auszuwählen. DANE gilt als sicherer als MTA-STS zum Schutz von SMTP-Verbindungen.
Default (for unspecified peers)
Diese Konfiguration gilt für alle Peers, die eines der folgenden Kriterien erfüllen:
  • Peer ist nicht in der Peer-Liste
  • Peer ist in der Peer-Liste, aber nicht aktiviert
Zugehörige Informationen