Exiger que les messages soient transmis par le biais d'une connexion sécurisée (TLS)

Le protocole de sécurité TLS (Transport Layer Security) permet de chiffrer les messages afin de protéger les données qu'ils contiennent. Il succède au protocole SSL (Secure Sockets Layer). Gmail utilise par défaut le protocole TLS, mais lorsqu'une connexion sécurisée n'est pas disponible (une connexion n'étant sécurisée que si l'expéditeur et le destinataire recourent tous deux au protocole TLS), Gmail distribue les messages de manière non sécurisée.

Vous avez toutefois la possibilité de configurer le paramètre TLS de manière à exiger que les messages envoyés à des domaines ou adresses e-mail spécifiques (ou reçus depuis ces derniers) soient distribués via une connexion sécurisée.

Qu'advient-il des messages échangés avec des domaines qui n'utilisent pas le protocole TLS ?
Message sortant Le message n'est pas distribué et est renvoyé à l'expéditeur. Vous recevez un avis de non-distribution. Une seule tentative d'envoi est effectuée.
Message entrant Le message est rejeté sans que vous en soyez informé. L'expéditeur reçoit toutefois un avis de non-distribution.

Configurer la conformité au protocole TLS

  1. Connectez-vous à la Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2. Sur la page d'accueil de la console d'administration, accédez à Applications puis G Suite puis Gmail puis Paramètres avancés.

    Conseil : Pour voir l'option "Paramètres avancés", faites défiler la page des paramètres de Gmail vers le bas.

  3. Sur la gauche, sélectionnez une organisation.
  4. Dans la section "Conformité", passez la souris sur Conformité au protocole TLS, puis cliquez sur Configurer. Si le paramètre est déjà configuré, passez la souris dessus, puis cliquez sur Modifier ou En ajouter un autre.
  5. S'il s'agit d'une nouvelle configuration, saisissez une description.
  6. Sélectionnez les options voulues (messages entrants et/ou messages sortants).

    Sélectionnez l'option Sortants - Messages nécessitant un transfert sécurisé par le biais d'un autre paramètre pour les messages sortants concernés par un autre paramètre de connexion sécurisée. Vous pouvez par exemple configurer les options de la section Routage des e-mails afin d'envoyer les messages via une connexion sécurisée, ou définir un routage sécurisé secondaire.Vous devez créer un domaine ou une liste d'adresses pour appliquer la conformité TLS à tous les messages entrants ou sortants.

  7. Créez une liste répertoriant les domaines ou les adresses e-mail nécessitant un transport sécurisé avec le protocole TLS.

    Remarque : La création d'une liste de domaines ou d'adresses est impérative pour appliquer la conformité TLS aux messages entrants ou sortants.

    1. Cliquez sur Utiliser une liste existante ou en créer une.
    2. Saisissez un nouveau nom pour la liste, puis cliquez sur Créer.

      Conseil : Pour utiliser une liste existante comme liste d'expéditeurs approuvés, cliquez sur le nom de la liste souhaitée.

    3. Placez le curseur sur le nom de la liste souhaitée, puis cliquez sur Modifier.
    4. Cliquez sur Ajouter Ajouter.
    5. Si vous saisissez plusieurs adresses e-mail ou noms de domaine, séparez chaque valeur par une espace ou une virgule.

    6. Cliquez sur Enregistrer.

    Remarque : Pour déterminer si la liste d'adresses correspond, G Suite vérifie le champ "De" du message reçu et les destinataires du message envoyé. Les conditions requises pour l'authentification des expéditeurs sont également vérifiées. Par conséquent, l'expéditeur mentionné dans le champ "De" doit correspondre exactement à l'adresse ou au domaine que vous avez saisi pour que la conformité au protocole TLS soit appliquée aux messages entrants.

    Consultez cette page pour en savoir plus sur les listes d'adresses et sur la correspondance entre les adresses et les listes d'adresses, en découvrant par exemple comment effectuer une recherche ou comment afficher toutes les entrées de la liste.

  8. (Facultatif) Cochez l'option Exiger un certificat signé par une autorité de certification lors de l'envoi de messages aux domaines TLS spécifiés ci-dessus.

    Si vous cochez cette case, le serveur SMTP client doit fournir un certificat signé par une autorité de certification valide pour les messages remplissant les critères que vous avez définis aux étapes 6 et 7. Ce certificat est exigé uniquement pour les messages correspondant à ces critères. Par exemple, si vous sélectionnez Sortants – Messages nécessitant un transfert sécurisé par le biais d'un autre paramètre à l'étape 6, seuls les messages sortants envoyés par le biais d'un hôte actif ou d'un routage sécurisé secondaire requièrent un certificat signé par une autorité de certification. Les messages envoyés par le biais d'un autre routage sont distribués sans qu'un certificat soit nécessaire.

  9. Cliquez sur Ajouter un paramètre ou sur Enregistrer.
  10. Au bas de la page "Paramètres avancés" de Gmail, cliquez sur Enregistrer.

Un délai d'une heure peut être nécessaire pour que vos modifications soient appliquées. Vous pouvez consulter les modifications dans le journal d'audit de la console d'administration.

Ces informations vous-ont elles été utiles ?
Comment pouvons-nous l'améliorer ?