Wysyłanie e-maili przez bezpieczne połączenie TLS

Protokół TLS (Transport Layer Security) szyfruje wiadomości e-mail w celu zapewnienia bezpieczeństwa i prywatności. Protokół TLS zapobiega nieautoryzowanemu dostępowi do wiadomości, gdy są one wysyłane za pośrednictwem połączenia internetowego.

Domyślnie Gmail zawsze próbuje wysyłać wiadomości przy użyciu bezpiecznego połączenia TLS. Bezpieczne, pełne połączenie TLS wymaga, aby zarówno serwer wysyłający, jak i serwer odbierający korzystały z protokołu TLS. Gmail wyśle wiadomość, nawet jeśli serwer odbierający nie używa TLS. Jednak w takim przypadku połączenie nie jest bezpieczne.

Aby używać TLS do wysyłania i odbierania wiadomości w przypadku określonych przez Ciebie domen i adresów, użyj ustawienia Zgodność z TLS. To ustawienie obejmuje opcje wymagania certyfikatu podpisanego przez urząd certyfikacji, sprawdzania nazwy hosta powiązanej z certyfikatem i testowania połączenia TLS.

Jeśli w oknie nowej wiadomości w Gmailu obok adresu odbiorcy widoczna jest ikona kłódki, oznacza to, że wiadomość zostanie wysłana przy użyciu protokołu TLS. Ikona kłódki wyświetla się tylko w przypadku kont z subskrypcją Google Workspace, która obsługuje szyfrowanie S/MIME.

Google Workspace obsługuje TLS 1.0, 1.1, 1.2 i 1.3.

Zanim zaczniesz

Weryfikowanie obsługiwanych wersji TLS pod kątem zgodności ze standardami używanymi w Twojej organizacji

Zanim skonfigurujesz protokół TLS w konsoli administracyjnej Google, sprawdź, czy jego wersje są obsługiwane przez standardy zgodności i zabezpieczeń stosowane w Twojej organizacji. Nie wszystkie standardy akceptują wersje TLS obsługiwane przez Google Workspace.

Jeśli standardy używane w Twojej organizacji wymagają protokołu TLS, włącz go za pomocą ustawienia Zgodność z TLS.

Wiadomości wysyłane do serwerów (lub odbierane z nich), które nie używają protokołu TLS

Ustawienie Zgodność z TLS wpływa na dostarczanie wiadomości wysyłanych z wykorzystaniem połączeń bez szyfrowania TLS w przypadku adresów i domen określonych w tym ustawieniu.

Wiadomości wychodzące Wiadomości nie są dostarczane – są odrzucane. Otrzymasz raport o niedoręczeniu. Gmail podejmuje tylko 1 próbę wysłania wiadomości przy użyciu połączenia bez szyfrowania TLS.
Wiadomości przychodzące Wiadomości przychodzące od nadawców niekorzystających z szyfrowania TLS są odrzucane. Nie otrzymujesz żadnego powiadomienia. Nadawca otrzyma w takim przypadku raport o niedoręczeniu.

Dodawanie ustawienia zgodności z TLS

  1. W konsoli administracyjnej Google otwórz Menu a potem Aplikacjea potem Google Workspacea potem Gmaila potem Zgodność z przepisami.

    Wymaga uprawnień administratora Ustawienia Gmaila.

  2. Po lewej stronie wybierz jednostkę organizacyjną.
  3. Najedź kursorem na Zgodność z TLS i kliknij Skonfiguruj. Aby dodać więcej ustawień TLS, kliknij Dodaj kolejną regułę.

  4. W oknie Dodaj ustawienie wpisz nazwę ustawienia i wykonaj te czynności:

    Ustawienie Co zrobić
    1. E-maile objęte działaniem reguły

    Wybierz Przychodzące, Wychodzące lub obie te opcje. Aby wymusić używanie TLS w przypadku wiadomości przychodzących i wychodzących, musisz korzystać z listy adresów. Listę adresów skonfigurujesz w następnym kroku.

    Podczas dopasowywania do listy adresów Gmail uwzględnia nadawcę Od: w przypadku wiadomości przychodzących, a odbiorców w przypadku wiadomości wychodzących. W przypadku wiadomości przychodzących adres nadawcy w polu Od: musi być zgodny z adresem lub domeną w ustawieniu. Wiadomości wychodzące są sprawdzane pod kątem wymagań dotyczących uwierzytelniania.

    W przypadku wiadomości wychodzących, do których zastosowanie ma inne ustawienie zabezpieczeń połączenia, wybierz Wychodzące – wiadomości wymagające protokołu TLS włączanego w innym ustawieniu. Możesz na przykład skonfigurować routing poczty e-mail tak, aby w przypadku wiadomości wychodzących używać bezpiecznego połączenia. Możesz też ustawić dla nich dodatkową trasę zabezpieczoną.
    2. Używaj TLS, aby zabezpieczać korespondencję z tymi domenami i adresami e-mail.

    Aby wybrać istniejącą listę adresów, która zawiera domeny lub adresy e-mail wymagające połączeń TLS:

    1. Kliknij Użyj istniejącej listy. Otworzy się pole listy Wybierz adres.
    2. Wybierz co najmniej jedną listę adresów, dla których chcesz używać ustawienia TLS.
    3. Kliknij X w lewym górnym rogu, aby zamknąć pole Wybierz listę adresów.

    Aby utworzyć nową listę adresów z domenami lub adresami e-mail, które wymagają połączeń TLS:

    1. Kliknij Utwórz lub edytuj listę. W nowej karcie przeglądarki otworzy się strona Zarządzaj listami adresów.
    2. Na stronie Zarządzaj listami adresów kliknij Dodaj listę adresów. Otworzy się okno Dodaj listę adresów.
    3. W polu Nazwa wpisz unikalną nazwę listy adresów.
    4. Aby dodać adresy lub domeny do nowej listy adresów, kliknij Dodaj adresy zbiorczo lub Dodaj adres.
    5. Wpisz adresy e-mail lub nazwy domen. Poszczególne wpisy rozdziel spacją lub przecinkiem.
    6. Kliknij Zapisz, a następnie wróć na kartę Zgodność, aby zakończyć konfigurowanie protokołu TLS.

    Więcej informacji o tworzeniu i używaniu list adresów znajdziesz w artykule Stosowanie ustawień Gmaila w przypadku konkretnych nadawców lub domen.
    3. Opcje

    Wybierz opcje ustawień:

    Wymagaj certyfikatu podpisanego przez urząd certyfikacji (zalecane) – wymaga, aby serwer SMTP klienta przedstawił certyfikat podpisany przez zaufany urząd certyfikacji.

    Weryfikuj nazwę hosta certyfikatu (zalecane) – sprawdza, czy otrzymywana nazwa hosta jest zgodna z certyfikatem prezentowanym przez serwer SMTP.
    Testowanie połączenia TLS (Opcjonalnie) Kliknij Testuj połączenie TLS, aby sprawdzić połączenie z serwerem poczty przychodzącej.

  5. U dołu okna Dodawanie ustawienia kliknij Zapisz. Nowe ustawienie pojawi się w tabeli Ustawienia zgodności z TLS.

Zastosowanie zmian może potrwać do 24 godzin, ale zwykle dzieje się to znacznie szybciej. Więcej informacji

Zmiany możesz śledzić w Dzienniku kontrolnym konsoli administracyjnej.

Rozwiązywanie problemów z TLS

Jeśli podczas konfigurowania protokołu TLS pojawi się błąd, postępuj zgodnie z zaleceniami opisanymi w tej sekcji.

Jeśli klikniesz Testuj połączenie TLS i pojawi się błąd weryfikacji certyfikatu, wiadomości wysłane z organizacji będą odsyłane, mimo że można było zapisać nową trasę poczty.

Aby rozwiązać problem, wypróbuj te rozwiązania:

  • Jeśli serwer poczty ma kilka nazw hosta, sprawdź, czy używasz nazwy hosta zgodnej z certyfikatem serwera.
  • Jeśli masz dostęp do serwera poczty na trasie, zainstaluj nowy certyfikat z zaufanego urzędu certyfikacji. Sprawdź, czy nowy certyfikat ma prawidłową nazwę hosta.
  • Jeśli korzystasz z usługi przekaźnika poczty innej firmy, w sprawie tego błędu skontaktuj się z dostawcą usług.
  • Odznacz co najmniej jedną z tych opcji:
    • Wymagaj przesyłania poczty przez bezpieczne połączenie TLS
    • Wymagaj certyfikatu podpisanego przez urząd certyfikacji
    • Weryfikuj nazwę hosta certyfikatu

    Ważne: jeśli to możliwe, zalecamy pozostawienie tych opcji włączonych, aby umożliwić zweryfikowanie połączenia.

Wysyłanie e-maili przez dodatkową trasę zabezpieczoną (TLS)