檢視次數:
傳輸層安全性 (TLS) 是一種通訊協定,有助於保護資料防護並確保端點之間的通訊隱私安全。雲端電子郵件閘道保護 允許您在 雲端電子郵件閘道保護 和指定的 TLS 對等端之間配置 TLS 加密策略。雲端電子郵件閘道保護 支援以下 TLS 通訊協定,按優先順序遞減排列:TLS 1.3、TLS 1.2、TLS 1.1 和 TLS 1.0。
為了防止對 TLS 連接的中間人攻擊,雲端電子郵件閘道保護 引入了基於 DNS 的命名實體驗證 (DANE) 和郵件傳輸代理 - 嚴格傳輸安全 (MTA-STS) 來驗證目標伺服器的身份。
注意
注意
您可以在輸出郵件傳送期間,啟用 雲端電子郵件閘道保護 和指定的 TLS 對等之間的 DANE 或 MTA-STS 驗證。
對於輸入郵件,雲端電子郵件閘道保護 在您設置 DNS 記錄和域的策略後,固有地支持 MTA-STS。詳情請參閱 關於輸入保護的 mta-sts 記錄
Transport Layer Security (TLS) Peers畫面使用以下重要術語:
術語
詳細資訊
Managed Domain 清單
狀態(受管理的網域)
  • 已啟動:網域已啟動
  • 已關閉:網域已停用
Default (for unspecified domains)
此配置適用於所有不在受管理網域清單中的網域
Domain TLS Peers 清單
狀態 (TLS 同儕)
  • 已啟動雲端電子郵件閘道保護 將您指定的 TLS 配置應用於對等端
  • 已關閉雲端電子郵件閘道保護 未對對等端應用您指定的 TLS 配置
    相反地,將套用 預設(針對未指定的對等端) TLS 設定。
TLS peer
雲端電子郵件閘道保護 可以在網路通訊期間與此對等方應用您指定的 TLS 配置。
Minimum TLS version
TLS 對等方必須使用的最低 TLS 版本,才能通過 TLS 通訊協定與 雲端電子郵件閘道保護 通訊。
  • TLS 1.3:TLS 對等方必須使用 TLS 1.3。
  • TLS 1.2:TLS 對等方必須使用 TLS 1.2 或更新版本。
  • No restriction:TLS 對等方可以使用任何 TLS 通訊協定。
Security level
  • Opportunistic TLS
    • 如果對等方支援並選擇使用 TLS,則使用加密進行通信
    • 如果對等方不支援 TLS,則未加密通信
    • 如果對等方支援 TLS 但選擇不使用 TLS,則未加密通信
  • Mandatory TLS
    • 如果對等方支援並選擇使用 TLS,則使用加密進行通信
    • 如果對等方不支援 TLS,則不進行通信
    • 如果對等方支援 TLS 但選擇不使用 TLS,則不進行通信
  • Opportunistic DANE TLS(僅限輸出保護)
    • 僅在遠端 SMTP 伺服器具有可用的 DANE TLSA 記錄且對等 DANE 驗證成功時使用加密進行通信
    • 如果所有 TLSA 記錄因不支援的參數或資料防護格式錯誤而無法使用,則降級至 Mandatory TLS
    • 在其他情況下,降級到Opportunistic TLS
  • Mandatory DANE TLS(僅限輸出保護)
    • 如果對等 DANE 驗證成功,則使用加密進行通信
    • 如果對等方未通過 DANE 驗證,則不進行通信
  • MTA-STS(僅限輸出保護)
    • 當 TLS 對等方使用enforcetesting的策略模式並通過 MTA-STS 驗證時,使用加密傳送訊息
    • 當 TLS 對等方使用政策模式 enforce 但未通過 MTA-STS 驗證時,不會傳送訊息
    • 當無法獲取 TLS 對等端的政策時,使用 Opportunistic TLS 傳送訊息,TLS 對等端使用政策模式 none,或 TLS 對等端使用政策模式 testing 但未通過 MTA-STS 驗證
注意
注意
當一個 TLS 對等端同時支援 DANE 和 MTA-STS 時,趨勢科技建議您選擇 DANE 與該對等端進行通訊。DANE 被認為比 MTA-STS 更能保護 SMTP 連接的安全性。
Default (for unspecified peers)
此配置適用於符合以下任一條件的所有對等端:
  • 對等端不在對等端列表中
  • 對等端在對等端列表中,但未啟動
相關資訊