Gửi email qua một kết nối TLS an toàn

Bảo mật tầng truyền tải (TLS) là một giao thức mã hoá thư email để đảm bảo an ninh và quyền riêng tư. TLS ngăn chặn hành vi truy cập trái phép vào thư khi thư được gửi qua kết nối Internet.

Theo mặc định, Gmail luôn cố gắng gửi thư qua kết nối TLS an toàn. Để có kết nối TLS an toàn từ đầu đến cuối, cả máy chủ gửi và máy chủ nhận đều phải sử dụng TLS. Nếu máy chủ nhận không sử dụng TLS, Gmail vẫn gửi thư nhưng kết nối sẽ không an toàn.

Để sử dụng TLS cho thư được gửi đến và gửi đi từ các miền và địa chỉ mà bạn chỉ định, hãy sử dụng chế độ cài đặt Tuân thủ truyền tải an toàn (TLS). Chế độ cài đặt này bao gồm các lựa chọn để yêu cầu chứng chỉ có chữ ký của tổ chức cấp chứng chỉ (CA), xác minh tên máy chủ được liên kết với chứng chỉ và kiểm tra kết nối TLS.

Khi bạn soạn thư mới trong Gmail, hình ảnh ổ khoá bên cạnh địa chỉ người nhận có nghĩa là thư sẽ được gửi bằng TLS. Ổ khoá chỉ xuất hiện đối với những tài khoản có gói thuê bao Google Workspace hỗ trợ tính năng mã hoá S/MIME encryption.

Google Workspace hỗ trợ các phiên bản TLS 1.0, 1.1, 1.2 và 1.3.

Trước khi bắt đầu

Xác minh các phiên bản TLS được hỗ trợ cho các tiêu chuẩn được sử dụng trong tổ chức của bạn

Trước khi thiết lập TLS trong Bảng điều khiển dành cho quản trị viên của Google, hãy xác minh các phiên bản TLS được hỗ trợ bởi mọi tiêu chuẩn tuân thủ, bảo mật hoặc các tiêu chuẩn khác được sử dụng trong tổ chức của bạn. Không phải tiêu chuẩn nào cũng hỗ trợ các phiên bản TLS mà Google Workspace hỗ trợ.

Nếu các tiêu chuẩn được sử dụng trong tổ chức của bạn yêu cầu TLS, hãy bật TLS bằng chế độ cài đặt Tuân thủ truyền tải an toàn (TLS).

Thư được gửi đến hoặc gửi đi từ các máy chủ không sử dụng TLS

Chế độ cài đặt Tuân thủ truyền tải an toàn (TLS) ảnh hưởng đến việc gửi thư được gửi qua các kết nối không phải TLS, đối với các địa chỉ và miền được chỉ định trong chế độ cài đặt.

Thư gửi đi Thư không được gửi và sẽ bị trả lại. Bạn sẽ nhận được một thông báo không gửi được. Gmail chỉ cố gắng gửi thư một lần qua kết nối không phải TLS.
Thư đến Thư đến từ các kết nối không phải TLS sẽ bị từ chối. Bạn không nhận được thông báo. Người gửi sẽ nhận được một thông báo không gửi được.

Thêm chế độ cài đặt tuân thủ TLS

  1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến Trình đơn sau đó  Ứng dụng sau đó Google Workspace sau đó Gmail sau đó Tuân thủ.

    Bạn phải có đặc quyền của quản trị viên trong phần Cài đặt Gmail.

  2. Ở bên trái, hãy chọn một đơn vị tổ chức.
  3. Trỏ đến Tuân thủ truyền tải an toàn (TLS) rồi nhấp vào Cấu hình. Để thêm các chế độ cài đặt TLS khác, hãy nhấp vào Thêm chế độ cài đặt khác.

  4. Trong hộp Thêm chế độ cài đặt, hãy nhập tên cho chế độ cài đặt rồi thực hiện các bước sau:

    Tên chế độ cài đặt Việc nên làm
    1. Các thư email sẽ bị ảnh hưởng

    Chọn Thư đến, Thư đi hoặc cả hai. Bạn phải sử dụng danh sách địa chỉ để thực thi TLS cho thư đến và thư đi. Bạn sẽ thiết lập danh sách địa chỉ trong bước tiếp theo.

    Đối với việc so khớp danh sách địa chỉ, Gmail sử dụng người gửi Từ: cho thư đến và người nhận cho thư đi. Đối với thư đến, người gửi Từ: phải khớp chính xác với một địa chỉ hoặc miền trong chế độ cài đặt. Các yêu cầu về việc xác thực được kiểm tra đối với thư gửi đi.

    Chọn Thư đi – các thư yêu cầu phương thức Truyền tải an toàn thông qua một chế độ cài đặt khác cho những thư đi có các chế độ cài đặt kết nối an toàn khác. Ví dụ: bạn có thể thiết lập quy tắc định tuyến email để gửi thư đi thông qua một kết nối an toàn hoặc bạn có thể thiết lập một tuyến an toàn thay thế cho thư đi.
    2. Sử dụng TLS để truyền tải an toàn khi trao đổi thư từ với các miền / địa chỉ email này.

    Cách chọn một danh sách địa chỉ hiện có có các miền hoặc địa chỉ email yêu cầu kết nối TLS:

    1. Nhấp vào Sử dụng danh sách hiện có. Hộp Chọn địa chỉ sẽ mở ra.
    2. Chọn một hoặc nhiều danh sách địa chỉ để sử dụng với chế độ cài đặt TLS.
    3. Nhấp vào dấu X ở phía trên cùng bên trái để đóng hộp Chọn danh sách địa chỉ.

    Cách tạo danh sách địa chỉ mới có các miền hoặc địa chỉ email yêu cầu kết nối TLS:

    1. Nhấp vào Tạo hoặc chỉnh sửa danh sách. Trang Quản lý danh sách địa chỉ sẽ mở ra trong một thẻ mới.
    2. Trên trang Quản lý danh sách địa chỉ, hãy nhấp vào Thêm danh sách địa chỉ. Hộp Thêm danh sách địa chỉ sẽ mở ra.
    3. Trong trường Tên, hãy nhập một tên duy nhất cho danh sách địa chỉ.
    4. Để thêm địa chỉ hoặc miền vào danh sách địa chỉ mới, hãy nhấp vào Thêm địa chỉ hàng loạt hoặc Thêm địa chỉ.
    5. Nhập địa chỉ email hoặc tên miền. Phân tách các mục nhập bằng dấu cách hoặc dấu phẩy.
    6. Nhấp vào Lưu, sau đó quay lại thẻ Tuân thủ để hoàn tất việc thiết lập TLS.

    Để tìm hiểu thêm về cách tạo và sử dụng danh sách địa chỉ, hãy xem bài viết Áp dụng chế độ cài đặt Gmail cho những người gửi hoặc miền cụ thể.
    3. Tùy chọn

    Chọn các lựa chọn cài đặt:

    Yêu cầu chứng chỉ có chữ ký của tổ chức cấp chứng chỉ (Khuyên dùng) – Yêu cầu máy chủ SMTP của ứng dụng gửi một chứng chỉ do một Tổ chức cấp chứng chỉ đáng tin cậy ký.

    Xác thực tên máy chủ của chứng chỉ (Khuyên dùng) – Xác minh rằng tên máy chủ nhận khớp với chứng chỉ do máy chủ SMTP gửi.
    Kiểm tra kết nối TLS (Không bắt buộc) Nhấp vào Kiểm tra kết nối TLS để xác minh kết nối với máy chủ thư nhận.

  5. Ở cuối hộp Thêm chế độ cài đặt, hãy nhấp vào Lưu. Chế độ cài đặt mới sẽ xuất hiện trong bảng Chế độ cài đặt tuân thủ truyền tải an toàn (TLS).

Thay đổi có thể mất đến 24 giờ mới có hiệu lực, nhưng thường thì nhanh hơn. Tìm hiểu thêm

Bạn có thể theo dõi các thay đổi trong nhật ký kiểm tra của Bảng điều khiển dành cho quản trị viên log.

Khắc phục lỗi TLS

Nếu bạn gặp lỗi khi thiết lập TLS, hãy làm theo các đề xuất trong phần này.

Nếu bạn nhấp vào Kiểm tra kết nối TLS và gặp lỗi xác thực chứng chỉ, thì thư được gửi từ tổ chức của bạn sẽ bị trả lại, ngay cả khi bạn có thể lưu tuyến thư mới.

Để khắc phục lỗi này, hãy thử một hoặc nhiều giải pháp sau:

  • Nếu máy chủ thư của bạn có nhiều tên máy chủ, hãy đảm bảo bạn đang sử dụng tên máy chủ có trong chứng chỉ của máy chủ.
  • Nếu bạn có quyền truy cập vào máy chủ thư trên tuyến, hãy cài đặt một chứng chỉ mới từ một Tổ chức cấp chứng chỉ đáng tin cậy. Xác minh rằng chứng chỉ mới có tên máy chủ chính xác.
  • Nếu bạn sử dụng dịch vụ máy chủ chuyển tiếp thư của bên thứ ba, hãy liên hệ với nhà cung cấp dịch vụ về lỗi này.
  • Bỏ chọn hộp cho một hoặc nhiều lựa chọn sau:
    • Yêu cầu gửi thư qua kết nối truyền tải an toàn (TLS)
    • Yêu cầu chứng chỉ có chữ ký của tổ chức cấp chứng chỉ
    • Xác thực tên máy chủ của chứng chỉ

    Quan trọng: Bạn nên bật các lựa chọn này bất cứ khi nào có thể để có thể xác minh kết nối.

Gửi email qua một tuyến an toàn thay thế (TLS)