E-Mails über eine sichere TLS-Verbindung senden

Transport Layer Security (TLS) ist ein Protokoll, mit dem E‑Mail-Nachrichten aus Sicherheits- und Datenschutzgründen verschlüsselt werden. Hiermit wird der unbefugte Zugriff auf Nachrichten verhindert, wenn diese über Internetverbindungen übertragen werden.

In Gmail wird standardmäßig immer versucht, Nachrichten über eine sichere TLS-Verbindung zu senden. Für eine sichere End-to-End-TLS-Verbindung müssen sowohl der sendende als auch der empfangende Server TLS verwenden. Wenn der Empfangsserver kein TLS verwendet, sendet Gmail die Nachrichten zwar trotzdem, aber die Verbindung ist nicht sicher.

Verwenden Sie die Einstellung TLS-Compliance (sichere Übertragung), um TLS für Nachrichten zu verwenden, die an und von Domains und Adressen gesendet werden, die Sie angeben. Mit dieser Einstellung können Sie festlegen, dass ein von einer Zertifizierungsstelle signiertes Zertifikat erforderlich ist, der mit dem Zertifikat verknüpfte Hostname geprüft und die TLS-Verbindung getestet werden.

Wenn Sie eine neue Nachricht in Gmail schreiben, bedeutet ein Vorhängeschloss-Symbol neben der Empfängeradresse, dass die Nachricht mit TLS gesendet wird. Das Vorhängeschloss wird nur für Konten mit einem Google Workspace-Abo angezeigt, das S/MIME-Verschlüsselung unterstützt.

Google Workspace unterstützt die TLS-Versionen 1.0, 1.1, 1.2 und 1.3.

Hinweis

Unterstützte TLS-Versionen für die in Ihrer Organisation verwendeten Standards prüfen

Bevor Sie TLS in der Admin-Konsole einrichten, müssen Sie prüfen, welche TLS-Versionen von Compliance-, Sicherheits- oder anderen Standards in Ihrer Organisation unterstützt werden. Nicht alle Standards sind kompatibel mit den TLS-Versionen, die von Google Workspace unterstützt werden.

Wenn die in Ihrer Organisation verwendeten Standards TLS erfordern, aktivieren Sie TLS mit der Einstellung TLS-Compliance (sichere Übertragung).

Nachrichten, die an Server oder von Servern gesendet werden, die kein TLS verwenden

Die Einstellung TLS-Compliance (sichere Übertragung) wirkt sich auf die Zustellung von Nachrichten aus, die über Nicht-TLS-Verbindungen gesendet werden, und zwar für Adressen und Domains, die in der Einstellung angegeben sind.

Ausgehende Nachrichten Nachrichten werden nicht zugestellt und als unzustellbar zurückgesendet. Sie erhalten einen Unzustellbarkeitsbericht. Gmail unternimmt nur einen Versuch, Nachrichten über eine Nicht-TLS-Verbindung zu senden.
Eingehende Nachrichten Eingehende Nachrichten von Nicht-TLS-Verbindungen werden abgelehnt. Sie werden nicht benachrichtigt. Der Absender erhält einen Unzustellbarkeitsbericht.

TLS-Compliance-Einstellung hinzufügen

  1. Gehen Sie in der Google Admin-Konsole zum Dreistrich-Menü und dannAppsund dannGoogle Workspaceund dannGmailund dannCompliance.

    Hierfür ist die Administratorberechtigung für die Gmail-Einstellungen erforderlich.

  2. Wählen Sie links eine Organisationseinheit aus.
  3. Bewegen Sie den Mauszeiger auf TLS-Compliance (sichere Übertragung) und klicken Sie auf Konfigurieren. Wenn Sie weitere TLS-Einstellungen hinzufügen möchten, klicken Sie auf Weitere hinzufügen.

  4. Geben Sie im Feld Einstellung hinzufügen einen Namen für die Einstellung ein und führen Sie folgende Schritte aus:

    Einstellung Was muss ich tun?
    1. Betroffene E‑Mails

    Wählen Sie Eingehend, Ausgehend oder beides aus. Sie müssen eine Adressliste verwenden, um TLS für eingehende und ausgehende Nachrichten zu erzwingen. Die Adressenliste legen Sie im nächsten Schritt fest.

    Für den Abgleich der Adressenliste verwendet Gmail die Absenderadresse in der Zeile Von: für eingehende Nachrichten und die Empfängeradressen für ausgehende Nachrichten. Die Absenderadresse in der Zeile Von: muss bei eingehenden Nachrichten genau mit der Adresse oder Domain in der Einstellung übereinstimmen. Die Authentifizierungsanforderungen werden für ausgehende Nachrichten geprüft.

    Wählen Sie Ausgehend – Nachrichten, deren sichere Übertragung durch eine andere Einstellung erzwungen wird für ausgehende Nachrichten aus, die andere Einstellungen für sichere Verbindungen haben. Beispiel: Sie können das E-Mail-Routing so einrichten, dass ausgehende Nachrichten über eine sichere Verbindung gesendet werden, oder für ausgehende Nachrichten eine alternative sichere Route festlegen.
    2. TLS für die sichere Übertragung verwenden, wenn mit den folgenden Domains bzw. E-Mail-Adressen kommuniziert wird:

    So wählen Sie eine vorhandene Adressenliste mit den Domains oder E-Mail-Adressen aus, für die TLS-Verbindungen erforderlich sind:

    1. Klicken Sie auf Vorhandene Liste verwenden. Das Listenfeld Adresse auswählen wird geöffnet.
    2. Wählen Sie mindestens eine Adressenliste aus, die mit der TLS-Einstellung verwendet werden soll.
    3. Klicken Sie links oben auf das „X“, um das Auswahlfeld für die Adressenliste zu schließen.

    So erstellen Sie eine neue Adressenliste mit den Domains oder E‑Mail-Adressen, für die TLS-Verbindungen erforderlich sind:

    1. Klicken Sie auf Liste erstellen oder bearbeiten. Die Seite Adressenlisten verwalten wird in einem neuen Tab geöffnet.
    2. Klicken Sie auf der Seite Adressenlisten verwalten auf Adressenliste hinzufügen. Das Feld Adressenliste hinzufügen wird geöffnet.
    3. Geben Sie im Feld Name einen eindeutigen Namen für die Adressenliste ein.
    4. Wenn Sie der neuen Adressenliste Adressen oder Domains hinzufügen möchten, klicken Sie auf Mehrere Adressen gleichzeitig hinzufügen oder Adresse hinzufügen.
    5. Geben Sie E-Mail-Adressen oder Domainnamen ein. Trennen Sie die Einträge durch ein Leerzeichen oder Komma.
    6. Klicken Sie auf Speichern und kehren Sie dann zum Tab Compliance zurück, um die Einrichtung von TLS abzuschließen.

    Weitere Informationen
    3. Optionen

    Wählen Sie Einstellungsoptionen aus:

    Von Zertifizierungsstelle signiertes Zertifikat erforderlich (empfohlen): Der Client-SMTP-Server muss ein von einer vertrauenswürdigen Zertifizierungsstelle signiertes Zertifikat vorweisen.

    Hostname des Zertifikats validieren (empfohlen): Es wird geprüft, ob der empfangende Hostname mit dem vom SMTP-Server bereitgestellten Zertifikat übereinstimmt.
    TLS-Verbindung testen Optional: Klicken Sie auf TLS-Verbindung testen, um die Verbindung zum empfangenden Mailserver zu überprüfen.

  5. Klicken Sie unten im Feld Einstellung hinzufügen auf Speichern. Die neue Einstellung wird in der Tabelle Complianceeinstellungen für TLS angezeigt.

Es kann bis zu 24 Stunden dauern, bis Änderungen wirksam werden, aber normalerweise geschieht dies eher. Weitere Informationen

Im Audit-Log für die Admin-Konsole können Sie Änderungen im Blick behalten.

TLS-Fehler beheben

Wenn Sie beim Einrichten von TLS eine Fehlermeldung erhalten, folgen Sie den Empfehlungen in diesem Abschnitt.

Wenn Sie auf TLS-Verbindung testen klicken und eine Fehlermeldung bei der Zertifikatsprüfung angezeigt wird, werden von Ihrer Organisation gesendete Nachrichten als unzustellbar zurückgesendet, obwohl Sie die neue E-Mail-Route speichern könnten.

Versuchen Sie Folgendes, um den Fehler zu beheben:

  • Wenn Ihr Mailserver mehr als einen Hostnamen hat, müssen Sie den Hostnamen verwenden, der im Zertifikat des Servers angegeben ist.
  • Wenn Sie Zugriff auf den E‑Mail-Server der Route haben, installieren Sie ein neues Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle. Prüfen Sie, ob das neue Zertifikat den richtigen Hostnamen hat.
  • Wenn Sie einen E-Mail-Relay-Dienst eines Drittanbieters nutzen, wenden Sie sich wegen dieses Fehlers an den Dienstanbieter.
  • Entfernen Sie das Häkchen aus dem Kästchen für eine oder mehrere der folgenden Optionen:
    • E-Mails müssen über eine sichere Verbindung (TLS) übertragen werden
    • Von Zertifizierungsstelle signiertes Zertifikat erforderlich
    • Hostname des Zertifikats validieren

    Wichtig:Wir empfehlen, diese Optionen nach Möglichkeit aktiviert zu lassen, damit die Verbindung überprüft werden kann.

E-Mails über eine alternative sichere Route (TLS) senden