Exchange Online使用机会主义TLS ,其工作原理如下:
默认情况下,Exchange Online始终使用机会TLS。 这意味着Exchange Online总是先尝试使用最安全的TLS版本来encryption连接,然后在TLS密码列表中find它,直到find双方可以同意的连接。 除非您已将Exchange Onlineconfiguration为确保仅通过安全连接发送到该收件人的邮件,否则默认情况下,如果收件人组织不支持TLSencryption,邮件将以未encryption方式发送。
作为非特权用户(例如没有pipe理员权限的用户),是否有办法确定是否configuration了特定的合作伙伴组织,以便强制使用 TLSencryption? 在当前情况下,这一点非常重要,因为我们公司在发送某些数据时必须遵守一些政府的控制措施,并且宁愿强制使用TLSencryption,而不必通过其他方式(如GPG)对每个附件进行encryption:
机会主义的TLS对大多数企业来说已经足够。 但是,对于具有合规性要求的业务(例如医疗,银行或政府机构),可以将Exchange Onlineconfiguration为要求或强制执行TLS。
pipe理员帐户可以快速查看哪些邮件stream连接器configuration为确定此设置,但是有没有非特权用户可以查看TLSencryption是否被强制的位置或方法?
由于这是服务器端设置,因此无法在没有pipe理员权限的情况下检查设置。 Exchange服务器可能有一些“解决方法”,因为大多数configuration存储在ActiveDirectory中,可能(取决于您的设置)通过LDAP检查ActiveDirectory,但是对于Exchange Online,这可能不起作用。
一个可能的select可能是使用nslookup,获取MX服务器,然后运行一个telnet服务器,并检查它们是否提供startTLS(请看这里的例子)。 但这并不意味着他们也会强制执行,但是你可以通过这种方式尝试。
顺便说一下,每个用户都可以检查MailHeader,因此可以看到电子邮件是否通过TLS发送。 电子邮件中的TLS部分可能如下所示:
Received: from p01c11m074.mxlogic.net (mxl144v247.mxlogic.net [2.2.2.2]) by abc.contoso.com (4.4.4/8.8.8) with ESMTP id r123456789 (version=TLSv1/SSLv3 cipher=DHE-RSA-AES256-SHA bits=256 verify=NOT) for <[email protected]>; Mon, 19 Aug 2013 09:41:19 -0500 你在这里看到电子邮件里面的TLS部分。 但是,你不知道这是否被强制执行。