E-mail verzenden via een beveiligde TLS-verbinding

Transport Layer Security (TLS) is een protocol dat e-mailberichten versleutelt voor beveiliging en privacy. TLS voorkomt ongeautoriseerde toegang tot berichten wanneer deze via internetverbindingen worden verzonden.

Standaard probeert Gmail berichten altijd via een beveiligde TLS-verbinding te verzenden. Een beveiligde TLS-verbinding van begin tot eind vereist dat zowel de verzendende als de ontvangende server TLS gebruiken. Als de ontvangende server geen TLS gebruikt, verzendt Gmail de berichten wel, maar is de verbinding niet beveiligd.

Om TLS te gebruiken voor berichten die worden verzonden naar en van domeinen en adressen die u opgeeft, gebruikt u de instelling voor beveiligde transport (TLS)-conformiteit . Deze instelling bevat opties om een ​​door een certificeringsinstantie ondertekend certificaat te vereisen, de hostnaam die aan het certificaat is gekoppeld te verifiëren en de TLS-verbinding te testen.

Wanneer je een nieuw bericht opstelt in Gmail, betekent een hangslotpictogram naast het e-mailadres van de ontvanger dat het bericht met TLS wordt verzonden. Het hangslotpictogram wordt alleen weergegeven voor accounts met een Google Workspace-abonnement dat S/MIME-versleuteling ondersteunt .

Google Workspace ondersteunt TLS-versies 1.0, 1.1, 1.2 en 1.3.

Voordat je begint

Controleer welke TLS-versies worden ondersteund voor de standaarden die binnen uw organisatie worden gebruikt.

Voordat u TLS instelt in uw Google-beheerconsole, controleert u welke TLS-versies worden ondersteund door de nalevings-, beveiligings- of andere standaarden die binnen uw organisatie worden gebruikt. Niet alle standaarden ondersteunen de TLS-versies die Google Workspace ondersteunt.

Als de standaarden die in uw organisatie worden gebruikt TLS vereisen, schakelt u dit in met de instelling 'Beveiligd transport (TLS)' .

Berichten verzonden naar of ontvangen van servers die geen TLS gebruiken.

De instelling voor naleving van beveiligde transportprotocollen (TLS) is van invloed op de bezorging van berichten die via niet-TLS-verbindingen worden verzonden, voor de adressen en domeinen die in de instelling zijn gespecificeerd.

Uitgaande berichten Berichten worden niet bezorgd en zullen worden teruggestuurd. Je ontvangt een melding dat het bericht niet is bezorgd. Gmail doet slechts één poging om berichten te verzenden via een verbinding die geen TLS-ondersteuning biedt.
Inkomende berichten Inkomende berichten van niet-TLS-verbindingen worden geweigerd. U ontvangt geen melding. De afzender krijgt een melding dat het bericht niet is bezorgd.

Voeg een TLS-compatibiliteitsinstelling toe

  1. Ga in de Google Admin-console naar Menu. en dan Apps en dan Google Werkruimte en dan Gmail en dan Naleving .

    Hiervoor is beheerdersrechten voor de Gmail-instellingen vereist.

  2. Selecteer aan de linkerkant een organisatie-eenheid.
  3. Wijs naar 'Beveiligde transport (TLS)-naleving' en klik op 'Configureren' . Om meer TLS-instellingen toe te voegen, klikt u op 'Nog een toevoegen '.

  4. Voer in het vak 'Instelling toevoegen ' een naam in voor de instelling en volg deze stappen:

    Instelling Wat te doen
    1. E-mailberichten die van invloed zijn

    Selecteer Inkomend , Uitgaand of beide. U moet een adreslijst gebruiken om TLS af te dwingen voor inkomende en uitgaande berichten. U stelt de adreslijst in de volgende stap in.

    Voor het matchen van adressenlijsten gebruikt Gmail het ' Van:' -veld voor inkomende berichten en de ontvangers voor uitgaande berichten. Voor inkomende berichten moet het 'Van:' -veld exact overeenkomen met een adres of domein in de instellingen. Voor uitgaande berichten worden authenticatievereisten gecontroleerd.

    Selecteer Uitgaand - berichten die beveiligd transport vereisen via een andere instelling voor uitgaande berichten met andere beveiligde verbindingsinstellingen. U kunt bijvoorbeeld e-mailroutering instellen om uitgaande berichten via een beveiligde verbinding te verzenden, of u kunt een alternatieve beveiligde route voor uitgaande berichten instellen.

    2. Gebruik TLS voor een veilige overdracht van gegevens bij communicatie met deze domeinen/e-mailadressen.

    Om een ​​bestaande adressenlijst te selecteren die de domeinen of e-mailadressen bevat waarvoor TLS-verbindingen vereist zijn:

    1. Klik op 'Bestaande lijst gebruiken' . Het venster ' Adreslijst selecteren' wordt geopend.
    2. Selecteer een of meer adreslijsten die u wilt gebruiken met de TLS-instelling.
    3. Klik op de X linksboven om het venster 'Adreslijst selecteren' te sluiten.

    Om een ​​nieuwe adreslijst te maken met de domeinen of e-mailadressen die een TLS-verbinding vereisen:

    1. Klik op Lijst maken of bewerken . De pagina Adreslijsten beheren wordt in een nieuw tabblad geopend.
    2. Klik op de pagina 'Adreslijsten beheren' op 'Adreslijst toevoegen' . Het venster 'Adreslijst toevoegen' wordt geopend.
    3. Voer in het veld 'Naam' een unieke naam in voor de adreslijst.
    4. Om adressen of domeinen aan de nieuwe adreslijst toe te voegen, klikt u op 'Adressen in bulk toevoegen' of 'Adres toevoegen' .
    5. Voer e-mailadressen of domeinnamen in. Scheid de vermeldingen met een spatie of komma.
    6. Klik op Opslaan en ga vervolgens terug naar het tabblad Compliance om de TLS-configuratie te voltooien.

    Voor meer informatie over het maken en gebruiken van adreslijsten, ga naar Gmail-instellingen toepassen op specifieke afzenders of domeinen .

    3. Opties

    Selecteer instellingsopties:

    Certificaat met CA-ondertekening vereist (aanbevolen)—De SMTP-server van de client moet een certificaat presenteren dat is ondertekend door een vertrouwde certificeringsinstantie.

    Certificaathostnaam valideren (aanbevolen)—Verifieert of de ontvangende hostnaam overeenkomt met het certificaat dat door de SMTP-server wordt aangeboden.

    Test de TLS-verbinding (Optioneel) Klik op TLS-verbinding testen om de verbinding met de ontvangende mailserver te controleren.

  5. Klik onderaan in het venster 'Instelling toevoegen' op 'Opslaan '. De nieuwe instelling verschijnt in de tabel met instellingen voor Secure Transport (TLS)-conformiteit .

Wijzigingen kunnen tot 24 uur duren, maar worden doorgaans sneller doorgevoerd. Lees meer .

U kunt wijzigingen volgen in het auditlogboek van de beheerdersconsole .

Problemen met TLS-fouten oplossen

Als je een foutmelding krijgt tijdens het instellen van TLS, volg dan de aanbevelingen in dit gedeelte.

Als u op 'TLS-verbinding testen' klikt en een certificaatvalidatiefout krijgt, worden berichten die vanuit uw organisatie worden verzonden, geweigerd, zelfs als u de nieuwe e-mailroute hebt opgeslagen.

Om de fout te verhelpen, probeer een of meer van deze oplossingen:

  • Als uw mailserver meerdere hostnamen heeft, zorg er dan voor dat u de hostnaam gebruikt die op het certificaat van de server staat.
  • Als u toegang hebt tot de mailserver op de route, installeer dan een nieuw certificaat van een vertrouwde certificeringsinstantie. Controleer of het nieuwe certificaat de juiste hostnaam bevat.
  • Als u gebruikmaakt van een externe e-mailrelaydienst, neem dan contact op met de betreffende dienstaanbieder over deze fout.
  • Schakel het selectievakje voor een of meer van deze opties uit:
    • Vereis dat e-mail via een beveiligde transportverbinding (TLS) wordt verzonden.
    • Een door CA ondertekend certificaat is vereist.
    • Valideer de hostnaam van het certificaat 
    <p><b>Important:</b> We recommend keeping these options turned on whenever possible so the connection can be verified.</p>

E-mail verzenden via een alternatieve beveiligde route (TLS)