Exchange Online 用途机会性 TLS其工作原理如下:
默认情况下,Exchange Online 始终使用机会性 TLS。这意味着 Exchange Online 始终首先尝试使用最安全的 TLS 版本加密连接,然后按照 TLS 密码列表向下搜索,直到找到双方都同意的密码。除非您已将 Exchange Online 配置为确保仅通过安全连接向该收件人发送邮件,否则如果收件人组织不支持 TLS 加密,则默认情况下将以未加密的形式发送邮件。
作为非特权用户(例如某人没有管理员权限),是否有办法确定特定合作伙伴组织是否配置了 TLS 加密强制?这对于我目前的情况非常重要,因为我们的公司在发送某些数据时必须遵守某些政府控制,并且更愿意强制使用 TLS 加密,而不是通过 GPG 等其他方式加密每个附件:
对于大多数企业来说,机会性 TLS 已足够。但是,对于有合规性要求的企业(例如医疗、银行或政府组织),您可以将 Exchange Online 配置为要求或强制使用 TLS。
管理员帐户可以快速查看邮件流连接器配置为确定此设置,但是否存在非特权用户可用的位置或方法来查看 TLS 加密是否强制或不?
答案1
由于这是服务器端设置,因此没有管理员权限就无法检查设置。Exchange 服务器可能有一些“变通方法”,因为大多数配置都存储在 ActiveDirectory 中,并且可能(取决于您的设置)通过 LDAP 检查 ActiveDirectory,但是对于 Exchange Online 来说,这可能行不通。
一个可行的选择是使用 nslookup,获取 MX 服务器,然后对该服务器运行 telnet,并检查它们是否提供 startTLS(参见示例这里)。但这并不意味着他们也会强制执行这一点,但你可以通过这种方式尝试。
顺便说一句,每个用户都可以检查 MailHeader,从而可以查看电子邮件是否通过 TLS 发送。电子邮件中的 TLS 部分可能如下所示:
Received: from p01c11m074.mxlogic.net (mxl144v247.mxlogic.net [2.2.2.2])
by abc.contoso.com (4.4.4/8.8.8) with ESMTP id r123456789
(version=TLSv1/SSLv3 cipher=DHE-RSA-AES256-SHA bits=256 verify=NOT)
for <[email protected]>; Mon, 19 Aug 2013 09:41:19 -0500
您在此处可以看到电子邮件中的 TLS 部分。但是您看不到该部分是否已强制执行。