Exiger que les messages soient transmis par le biais d'une connexion sécurisée (TLS)

Le protocole de sécurité TLS (Transport Layer Security) permet de chiffrer les messages afin de protéger les données qu'ils contiennent. Il succède au protocole SSL (Secure Sockets Layer). Gmail utilise toujours le protocole TLS par défaut.

Remarque : Lorsqu'ils rédigent un message, les utilisateurs G Suite qui possèdent un abonnement compatible S/MIME voient une icône représentant un cadenas gris à droite de l'adresse du destinataire (indiquant le chiffrement TLS).

Pour que la connexion soit sécurisée, l'expéditeur et le destinataire doivent tous deux utiliser TLS. Lorsqu'une connexion sécurisée ne peut pas être créée, Gmail distribue les messages via des connexions non sécurisées. Toutefois, vous pouvez ajouter des paramètres TLS qui nécessitent une connexion sécurisée pour les e-mails échangés avec des domaines ou des adresses e-mail spécifiques.

Important : Nous vous recommandons d'activer les paramètres TLS qui exigent que Gmail utilise toujours des connexions sécurisées pour envoyer et recevoir des e-mails provenant de domaines et d'adresses e-mail spécifiques.

Qu'advient-il des e-mails envoyés vers ou depuis des domaines qui n'utilisent pas le protocole TLS ?
Message sortant Le message n'est pas distribué et est renvoyé à l'expéditeur. Vous recevez un avis de non-distribution. Une seule tentative d'envoi est effectuée (pas de nouvelle tentative).
Message entrant Le message est rejeté sans que vous en soyez informé. L'expéditeur reçoit toutefois un avis de non-distribution.

Configurer la conformité avec le protocole TLS

  1. Connectez-vous à la Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2. Sur la page d'accueil de la console d'administration, accédez à Applications puis G Suite puis Gmail puis Conformité.

    Remarque : Vous pouvez trouver ce paramètre dans Applications puis G Suite puis Gmail puis Paramètres avancés.

  3. Sur la gauche, sélectionnez une organisation.
  4. Dans la section Conformité, placez le curseur sur Conformité avec le protocole TLS et cliquez sur Configurer. Si le paramètre est déjà configuré, placez le curseur dessus, puis cliquez sur Modifier ou sur En ajouter un autre.
  5. S'il s'agit d'une nouvelle configuration, saisissez une description.
  6. Indiquez si le paramètre doit s'appliquer aux messages entrants ou sortants.

    Sélectionnez l'option Sortants - Messages nécessitant un transfert sécurisé par le biais d'un autre paramètre pour les messages sortants concernés par un autre paramètre de connexion sécurisée. Vous pouvez par exemple configurer les options de la section Routage des e-mails afin d'envoyer les messages via une connexion sécurisée, ou définir un routage sécurisé secondaire. Vous devez créer un domaine ou une liste d'adresses pour appliquer la conformité TLS aux messages entrants ou sortants.

  7. Créez une liste répertoriant les domaines ou les adresses e-mail nécessitant un transport sécurisé avec le protocole TLS.

    Remarque : Créez une liste de domaines ou d'adresses pour forcer l'application de la conformité TLS aux messages entrants ou sortants.

    Remarque : Pour déterminer si la liste d'adresses correspond, G Suite vérifie le champ "De" du message reçu et les destinataires du message envoyé. Les conditions requises pour l'authentification des expéditeurs sont également vérifiées. Par conséquent, l'expéditeur mentionné dans le champ "De" doit correspondre exactement à l'adresse ou au domaine que vous avez saisi pour que la conformité au protocole TLS soit appliquée aux messages entrants.

    Consultez cette page pour en savoir plus sur les listes d'adresses et sur la correspondance entre les adresses et les listes d'adresses, en découvrant par exemple comment effectuer une recherche ou comment afficher toutes les entrées de la liste.

    1. Cliquez sur Utiliser une liste existante ou en créer une.
    2. Saisissez un nouveau nom pour la liste, puis cliquez sur Créer.

      Conseil : Pour utiliser une liste existante comme liste d'expéditeurs approuvés, cliquez sur le nom de la liste souhaitée.

    3. Placez le curseur sur le nom de la liste souhaitée, puis cliquez sur Modifier.
    4. Cliquez sur Ajouter "".
    5. Si vous saisissez plusieurs adresses e-mail ou noms de domaine, séparez chaque valeur par une espace ou une virgule.

    6. Cliquez sur Enregistrer.

  8. Nous vous recommandons d'activer ces options pour les conditions définies aux étapes 6 et 7 :
    • Exécuter une consultation MX sur l'hôte : la distribution est effectuée sur les hôtes MX associés au nom de domaine spécifié.
    • Demander que le courrier soit routé via une connexion TLS sécurisée (recommandé) : chiffrez les messages entre les serveurs d'envoi et de réception à l'aide du protocole TLS (Transport Layer Security).
    • Exiger un certificat signé par une autorité de certification (recommandé) : le serveur SMTP client doit présenter un certificat signé par une autorité de certification approuvée par Google.
    • Valider le nom d'hôte du certificat (recommandé) : vérifiez que le nom d'hôte de réception correspond au certificat présenté par le serveur SMTP.
  9. Cliquez sur Tester la connexion TLS pour vérifier la connexion au serveur de réception.
  10. Cliquez sur Ajouter un paramètre ou sur Enregistrer.
  11. Au bas de la page Paramètres de conformitéde Gmail, cliquez sur Enregistrer.

La prise en compte des modifications peut prendre jusqu'à 24 heures. Vous pouvez consulter les modifications dans le journal d'audit de la console d'administration.

Si vous obtenez le message d'erreur "Impossible de valider le certificat"

Lorsque vous cliquez sur Tester la connexion TLS, le message d'erreur "Impossible de valider le certificat…" s'affiche parfois. Si vous obtenez ce message d'erreur, vous pouvez enregistrer le nouveau routage des e-mails, mais les messages envoyés par votre organisation seront renvoyés.

Pour corriger l'erreur, essayez l'une ou plusieurs des solutions suivantes :

  • Si votre serveur de messagerie possède plusieurs noms d'hôte, assurez-vous d'utiliser celui figurant sur le certificat du serveur.

  • Si vous avez accès au serveur de messagerie associé au routage, installez un nouveau certificat provenant d'une autorité de certification de confiance. Vérifiez que le nom d'hôte du nouveau certificat est correct.

  • Si vous utilisez un service de relais de messagerie tiers, contactez le fournisseur de services au sujet de cette erreur.

  • Désactivez une ou plusieurs des options suivantes :
    • Demander que le courrier soit routé via une connexion TLS sécurisée
    • Exiger un certificat signé par une autorité de certification
    • Valider le nom d'hôte du certificat

      Important : Nous vous recommandons de garder ces options activées pour pouvoir vérifier la connexion.
Ces informations vous-ont elles été utiles ?
Comment pouvons-nous l'améliorer ?