E-mail verzenden via een beveiligde TLS-verbinding

Transport Layer Security (TLS) is a protocol that encrypts email messages for security and privacy. TLS prevents unauthorized access of messages when they're sent over internet connections.

Standaard probeert Gmail berichten altijd via een beveiligde TLS-verbinding te verzenden. Een beveiligde TLS-verbinding van begin tot eind vereist dat zowel de verzendende als de ontvangende server TLS gebruiken. Als de ontvangende server geen TLS gebruikt, verzendt Gmail de berichten wel, maar is de verbinding niet beveiligd.

Om TLS te gebruiken voor berichten die worden verzonden naar en van domeinen en adressen die u opgeeft, gebruikt u de instelling voor beveiligde transport (TLS)-conformiteit . Deze instelling bevat opties om een ​​door een certificeringsinstantie ondertekend certificaat te vereisen, de hostnaam die aan het certificaat is gekoppeld te verifiëren en de TLS-verbinding te testen.

Wanneer je een nieuw bericht opstelt in Gmail, betekent een hangslotpictogram naast het e-mailadres van de ontvanger dat het bericht met TLS wordt verzonden. Het hangslotpictogram wordt alleen weergegeven voor accounts met een Google Workspace-abonnement dat S/MIME-versleuteling ondersteunt .

Google Workspace ondersteunt TLS-versies 1.0, 1.1, 1.2 en 1.3.

Voordat je begint

Verify supported TLS versions for standards used in your organization

Voordat u TLS instelt in uw Google-beheerconsole, controleert u welke TLS-versies worden ondersteund door de nalevings-, beveiligings- of andere standaarden die binnen uw organisatie worden gebruikt. Niet alle standaarden ondersteunen de TLS-versies die Google Workspace ondersteunt.

If the standards used in your organization require TLS, enable it with the Secure transport (TLS) compliance setting.

Berichten verzonden naar of ontvangen van servers die geen TLS gebruiken.

The Secure transports (TLS) compliance setting affects delivery of messages sent over non-TLS connections, for the addresses and domains specified in the setting.

Uitgaande berichten Berichten worden niet bezorgd en zullen worden teruggestuurd. Je ontvangt een melding dat het bericht niet is bezorgd. Gmail doet slechts één poging om berichten te verzenden via een verbinding die geen TLS-ondersteuning biedt.
Inkomende berichten Inkomende berichten van niet-TLS-verbindingen worden geweigerd. U ontvangt geen melding. De afzender krijgt een melding dat het bericht niet is bezorgd.

Voeg een TLS-compatibiliteitsinstelling toe

  1. Ga in de Google Admin-console naar Menu. en dan Apps en dan Google Werkruimte en dan Gmail en dan Naleving .

    Hiervoor is beheerdersrechten voor de Gmail-instellingen vereist.

  2. Selecteer aan de linkerkant een organisatie-eenheid.
  3. Wijs naar 'Beveiligde transport (TLS)-naleving' en klik op 'Configureren' . Om meer TLS-instellingen toe te voegen, klikt u op 'Nog een toevoegen '.

  4. In the Add setting box, enter a name for the setting and take these steps:

    Instelling Wat te doen
    1. E-mailberichten die van invloed zijn

    Selecteer Inkomend , Uitgaand of beide. U moet een adreslijst gebruiken om TLS af te dwingen voor inkomende en uitgaande berichten. U stelt de adreslijst in de volgende stap in.

    Voor het matchen van adressenlijsten gebruikt Gmail het ' Van:' -veld voor inkomende berichten en de ontvangers voor uitgaande berichten. Voor inkomende berichten moet het 'Van:' -veld exact overeenkomen met een adres of domein in de instellingen. Voor uitgaande berichten worden authenticatievereisten gecontroleerd.

    Selecteer Uitgaand - berichten die beveiligd transport vereisen via een andere instelling voor uitgaande berichten met andere beveiligde verbindingsinstellingen. U kunt bijvoorbeeld e-mailroutering instellen om uitgaande berichten via een beveiligde verbinding te verzenden, of u kunt een alternatieve beveiligde route voor uitgaande berichten instellen.

    2. Gebruik TLS voor een veilige overdracht van gegevens bij communicatie met deze domeinen/e-mailadressen.

    To select an existing address list that has the domains or email addresses that require TLS connections:

    1. Klik op 'Bestaande lijst gebruiken' . Het venster ' Adreslijst selecteren' wordt geopend.
    2. Selecteer een of meer adreslijsten die u wilt gebruiken met de TLS-instelling.
    3. Klik op de X linksboven om het venster 'Adreslijst selecteren' te sluiten.

    Om een ​​nieuwe adreslijst te maken met de domeinen of e-mailadressen die een TLS-verbinding vereisen:

    1. Klik op Lijst maken of bewerken . De pagina Adreslijsten beheren wordt in een nieuw tabblad geopend.
    2. Klik op de pagina 'Adreslijsten beheren' op 'Adreslijst toevoegen' . Het venster 'Adreslijst toevoegen' wordt geopend.
    3. Voer in het veld 'Naam' een unieke naam in voor de adreslijst.
    4. Om adressen of domeinen aan de nieuwe adreslijst toe te voegen, klikt u op 'Adressen in bulk toevoegen' of 'Adres toevoegen' .
    5. Voer e-mailadressen of domeinnamen in. Scheid de vermeldingen met een spatie of komma.
    6. Klik op Opslaan en ga vervolgens terug naar het tabblad Compliance om de TLS-configuratie te voltooien.

    Voor meer informatie over het maken en gebruiken van adreslijsten, ga naar Gmail-instellingen toepassen op specifieke afzenders of domeinen .

    3. Opties

    Selecteer instellingsopties:

    Certificaat met CA-ondertekening vereist (aanbevolen)—De SMTP-server van de client moet een certificaat presenteren dat is ondertekend door een vertrouwde certificeringsinstantie.

    Certificaathostnaam valideren (aanbevolen)—Verifieert of de ontvangende hostnaam overeenkomt met het certificaat dat door de SMTP-server wordt aangeboden.

    Test de TLS-verbinding (Optioneel) Klik op TLS-verbinding testen om de verbinding met de ontvangende mailserver te controleren.

  5. Klik onderaan in het venster 'Instelling toevoegen' op 'Opslaan '. De nieuwe instelling verschijnt in de tabel met instellingen voor Secure Transport (TLS)-conformiteit .

Wijzigingen kunnen tot 24 uur duren, maar worden doorgaans sneller doorgevoerd. Lees meer .

U kunt wijzigingen volgen in het auditlogboek van de beheerdersconsole .

Problemen met TLS-fouten oplossen

Als je een foutmelding krijgt tijdens het instellen van TLS, volg dan de aanbevelingen in dit gedeelte.

Als u op 'TLS-verbinding testen' klikt en een certificaatvalidatiefout krijgt, worden berichten die vanuit uw organisatie worden verzonden, geweigerd, zelfs als u de nieuwe e-mailroute hebt opgeslagen.

Om de fout te verhelpen, probeer een of meer van deze oplossingen:

  • Als uw mailserver meerdere hostnamen heeft, zorg er dan voor dat u de hostnaam gebruikt die op het certificaat van de server staat.
  • Als u toegang hebt tot de mailserver op de route, installeer dan een nieuw certificaat van een vertrouwde certificeringsinstantie. Controleer of het nieuwe certificaat de juiste hostnaam bevat.
  • Als u gebruikmaakt van een externe e-mailrelaydienst, neem dan contact op met de betreffende dienstaanbieder over deze fout.
  • Schakel het selectievakje voor een of meer van deze opties uit:
    • Vereis dat e-mail via een beveiligde transportverbinding (TLS) wordt verzonden.
    • Een door CA ondertekend certificaat is vereist.
    • Valideer de hostnaam van het certificaat 
    <p><b>Important:</b> We recommend keeping these options turned on whenever possible so the connection can be verified.</p>

E-mail verzenden via een alternatieve beveiligde route (TLS)