Gửi email qua một kết nối TLS an toàn

Bảo mật tầng truyền tải (TLS) là một giao thức mã hoá thư điện tử để đảm bảo tính bảo mật và quyền riêng tư. TLS ngăn chặn truy cập trái phép vào thư khi thư được gửi qua kết nối Internet.

Theo mặc định, Gmail luôn cố gắng gửi thư qua một kết nối TLS an toàn. Để có kết nối TLS an toàn, hai chiều, cả máy chủ gửi và máy chủ nhận đều phải sử dụng TLS. Nếu máy chủ nhận không sử dụng TLS, Gmail vẫn gửi thư nhưng kết nối sẽ không an toàn.

Để sử dụng TLS cho thư gửi đến và gửi đi từ các miền và địa chỉ mà bạn chỉ định, hãy sử dụng chế độ cài đặt Tuân thủ giao thức truyền tải an toàn (TLS). Chế độ cài đặt này bao gồm các lựa chọn để yêu cầu chứng chỉ đã ký của CA, xác minh tên máy chủ được liên kết với chứng chỉ và kiểm tra kết nối TLS.

Khi bạn soạn thư mới trong Gmail, hình ảnh ổ khoá bên cạnh địa chỉ người nhận có nghĩa là thư sẽ được gửi bằng TLS. Biểu tượng khoá chỉ xuất hiện đối với những tài khoản có gói thuê bao Google Workspace hỗ trợ mã hoá S/MIME.

Google Workspace hỗ trợ các phiên bản TLS 1.0, 1.1, 1.2 và 1.3.

Trước khi bắt đầu

Xác minh các phiên bản TLS được hỗ trợ cho các tiêu chuẩn mà tổ chức của bạn sử dụng

Trước khi thiết lập TLS trong Bảng điều khiển dành cho quản trị viên của Google, hãy xác minh các phiên bản TLS mà mọi tiêu chuẩn về việc tuân thủ, bảo mật hoặc các tiêu chuẩn khác được dùng trong tổ chức của bạn hỗ trợ. Không phải tiêu chuẩn nào cũng hỗ trợ các phiên bản TLS mà Google Workspace hỗ trợ.

Nếu các tiêu chuẩn được sử dụng trong tổ chức của bạn yêu cầu TLS, hãy bật TLS bằng chế độ cài đặt Tuân thủ truyền tải an toàn (TLS).

Thư được gửi đến hoặc từ các máy chủ không sử dụng TLS

Chế độ cài đặt Tuân thủ truyền tải an toàn (TLS) ảnh hưởng đến việc gửi thư được gửi qua các kết nối không phải TLS, đối với những địa chỉ và miền được chỉ định trong chế độ cài đặt này.

Tin nhắn đi Tin nhắn không được gửi và sẽ bị trả lại. Bạn sẽ nhận được một báo cáo không gửi được. Gmail chỉ cố gắng gửi thư một lần qua kết nối không sử dụng TLS.
Tin nhắn đến Thư đến từ các kết nối không sử dụng TLS sẽ bị từ chối. Bạn sẽ không nhận được thông báo. Người gửi sẽ nhận được thông báo không gửi được.

Thêm chế độ cài đặt tuân thủ TLS

  1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến biểu tượng Trình đơn sau đó Ứng dụngsau đóGoogle Workspacesau đóGmailsau đóTuân thủ.

    Bạn phải có đặc quyền của quản trị viên trong phần Cài đặt Gmail.

  2. Ở bên trái, hãy chọn một đơn vị tổ chức.
  3. Trỏ vào Tuân thủ truyền tải an toàn (TLS) rồi nhấp vào Định cấu hình. Để thêm các chế độ cài đặt TLS khác, hãy nhấp vào Thêm chế độ cài đặt khác.

  4. Trong hộp Thêm chế độ cài đặt, hãy nhập tên cho chế độ cài đặt và làm theo các bước sau:

    Cài đặt Việc nên làm
    1. Các email sẽ bị ảnh hưởng

    Chọn Đến, Đi hoặc cả hai. Bạn phải sử dụng danh sách địa chỉ để thực thi TLS cho thư đi và thư đến. Bạn sẽ thiết lập danh sách địa chỉ ở bước tiếp theo.

    Đối với tính năng so khớp danh sách địa chỉ, Gmail sử dụng người gửi Từ: cho thư đến và người nhận cho thư đi. Đối với thư đến, người gửi trong trường Từ: phải khớp chính xác với một địa chỉ hoặc miền trong chế độ cài đặt. Hệ thống sẽ kiểm tra các yêu cầu xác thực đối với thư gửi đi.

    Chọn Thư đi – các thư yêu cầu phương thức Truyền tải an toàn thông qua một chế độ cài đặt khác cho những thư đi có các chế độ cài đặt kết nối an toàn khác. Ví dụ: bạn có thể thiết lập định tuyến email để gửi thư đi qua một kết nối bảo mật hoặc bạn có thể thiết lập một tuyến bảo mật thay thế cho thư đi.
    2. Dùng phương thức Bảo mật lớp truyền tải (TLS) để truyền tải an toàn khi trao đổi thư từ với các miền / địa chỉ email này.

    Cách chọn một danh sách địa chỉ hiện có có chứa các miền hoặc địa chỉ email yêu cầu kết nối TLS:

    1. Nhấp vào Sử dụng danh sách hiện có. Hộp danh sách Chọn địa chỉ sẽ mở ra.
    2. Chọn một hoặc nhiều danh sách địa chỉ để sử dụng với chế độ cài đặt TLS.
    3. Nhấp vào dấu X ở trên cùng bên trái để đóng hộp Chọn danh sách địa chỉ.

    Cách tạo danh sách địa chỉ mới gồm các miền hoặc địa chỉ email yêu cầu kết nối TLS:

    1. Nhấp vào Tạo hoặc chỉnh sửa danh sách. Trang Quản lý danh sách địa chỉ sẽ mở ra trong một thẻ mới.
    2. Trên trang Quản lý danh sách địa chỉ, hãy nhấp vào Thêm danh sách địa chỉ. Hộp Thêm danh sách địa chỉ sẽ mở ra.
    3. Trong trường Name (Tên), hãy nhập một tên riêng biệt cho danh sách địa chỉ.
    4. Để thêm địa chỉ hoặc miền vào danh sách địa chỉ mới, hãy nhấp vào Thêm địa chỉ hàng loạt hoặc Thêm địa chỉ.
    5. Nhập địa chỉ email hoặc tên miền. Phân tách các mục nhập bằng dấu cách hoặc dấu phẩy.
    6. Nhấp vào Lưu, sau đó quay lại thẻ Tuân thủ để hoàn tất việc thiết lập TLS.

    Để tìm hiểu thêm về cách tạo và sử dụng danh sách địa chỉ, hãy xem bài viết Áp dụng chế độ cài đặt Gmail cho người gửi hoặc miền cụ thể.
    3. Tùy chọn

    Chọn các chế độ cài đặt:

    Cần có chứng chỉ có dấu của tổ chức cấp chứng chỉ (Khuyên dùng) – Yêu cầu máy chủ SMTP của ứng dụng gửi một chứng chỉ có chữ ký của một Tổ chức cấp chứng chỉ đáng tin cậy.

    Xác thực tên máy chủ của chứng chỉ (Nên dùng) – Xác minh rằng tên máy chủ nhận khớp với chứng chỉ do máy chủ SMTP cung cấp.
    Kiểm tra kết nối TLS (Không bắt buộc) Nhấp vào Kiểm tra kết nối TLS để xác minh kết nối với máy chủ thư nhận.

  5. Ở dưới cùng của hộp Thêm chế độ cài đặt, hãy nhấp vào Lưu. Chế độ cài đặt mới sẽ xuất hiện trong bảng Chế độ cài đặt tuân thủ truyền tải an toàn (TLS).

Các thay đổi có thể mất đến 24 giờ mới có hiệu lực, nhưng thường thì nhanh hơn. Tìm hiểu thêm

Bạn có thể theo dõi các thay đổi trong Nhật ký kiểm tra Bảng điều khiển dành cho quản trị viên.

Khắc phục lỗi TLS

Nếu bạn gặp lỗi khi thiết lập TLS, hãy làm theo các đề xuất trong phần này.

Nếu bạn nhấp vào Kiểm tra kết nối TLS và gặp lỗi xác thực chứng chỉ, thì thư do tổ chức của bạn gửi sẽ bị trả lại, ngay cả khi bạn có thể lưu tuyến thư mới.

Để khắc phục lỗi này, hãy thử một hoặc nhiều giải pháp sau:

  • Nếu máy chủ thư của bạn có nhiều tên máy chủ, hãy đảm bảo rằng bạn đang sử dụng tên máy chủ có trên chứng chỉ của máy chủ.
  • Nếu bạn có quyền truy cập vào máy chủ thư trên tuyến đường, hãy cài đặt một chứng chỉ mới từ một Cơ quan cấp chứng chỉ đáng tin cậy. Xác minh rằng chứng chỉ mới có tên máy chủ chính xác.
  • Nếu bạn sử dụng dịch vụ chuyển tiếp thư của bên thứ ba, hãy liên hệ với nhà cung cấp dịch vụ đó để báo cáo lỗi này.
  • Bỏ đánh dấu hộp cho một hoặc nhiều lựa chọn sau:
    • Cần gửi thư qua đường kết nối truyền tải an toàn (TLS)
    • Yêu cầu chứng chỉ có chữ ký của tổ chức phát hành chứng chỉ
    • Xác thực tên máy chủ của chứng chỉ

    Lưu ý quan trọng: Bạn nên bật các lựa chọn này bất cứ khi nào có thể để xác minh kết nối.

Gửi email qua một tuyến an toàn thay thế (TLS)