שליחת אימיילים דרך חיבור TLS מאובטח

‫Transport Layer Security ‏(TLS) הוא פרוטוקול להצפנה של הודעות אימייל לצרכי ביטחון ופרטיות. TLS מונע גישה לא מורשית להודעות שלכם כשהן נשלחות דרך חיבורי אינטרנט.

כברירת מחדל, Gmail תמיד מנסה לשלוח הודעות דרך חיבור TLS מאובטח. כדי שחיבור TLS יהיה מאובטח מקצה לקצה, גם השרת השולח וגם השרת המקבל צריכים להשתמש ב-TLS. אם השרת המקבל לא משתמש ב-TLS‏, הודעות מ-Gmail עדיין יישלחו דרך TLS אבל החיבור לא יהיה מאובטח.

כדי להשתמש ב-TLS להודעות שנשלחות לכתובות אימייל או לדומיינים שאתם מגדירים – או מתקבלות מהם – צריך להשתמש בהגדרה תאימות לתעבורה מאובטחת (TLS). ההגדרה הזו כוללת אפשרויות לדרוש אישור חתום על ידי הרשות שמנפיקה את האישורים (CA), לאמת את שם המארח שמשויך לאישור ולבדוק את חיבור ה-TLS.

כשכותבים הודעה חדשה ב-Gmail, כשליד הכתובת של הנמען מופיעה תמונה של מנעול, משמעותה היא שההודעה תישלח עם TLS. המנעול מוצג רק לחשבונות עם מינוי Google Workspace שתומך בהצפנת S/MIME.

Google Workspace supports TLS versions 1.0, 1.1, 1.2, and 1.3.

לפני שמתחילים

צריך לבדוק באילו גרסאות TLS תומכים התקנים שמשמשים את הארגון שלכם.

לפני שמגדירים TLS במסוף Google Admin, צריך לבדוק באילו גרסאות TLS תומכים תקני התאימות, האבטחה או אחרים שמשמשים את הארגון שלכם. לא כל התקנים תומכים בגרסאות TLS שנתמכות על ידי Google Workspace.

אם לפי התקנים שמשמשים את הארגון נדרש TLS, צריך להפעיל אותה באמצעות ההגדרה תאימות לתעבורה מאובטחת.

הודעות שנשלחות לשרתים שלא נעשה בהם שימוש ב-TLS, או מהם

ההגדרה תאימות לתעבורה מאובטחת (TLS) משפיעה על מסירת הודעות שנשלחות דרך חיבורים ללא TLS, עבור הכתובות והדומיינים שמצוינים בהגדרה.

הודעות יוצאות	ההודעות לא נמסרות, והשליחה שלהן תיכשל. תקבלו דוח הודעות שלא נשלחו. Gmail מבצע ניסיון אחד בלבד לשלוח את ההודעות דרך חיבור ללא TLS.
הודעות נכנסות	הודעות שנכנסות מחיבורים ללא TLS נדחות. לא תקבלו על כך הודעה. השולח מקבל דוח הודעות שלא נשלחו.

איך מוסיפים הגדרת תאימות ל-TLS

נכנסים אל מסוף Google Admin.
יש להיכנס באמצעות חשבון האדמין (חשבון שלא מסתיים ב-‎@gmail.com).
In the Admin console, go to Menu AppsGoogle WorkspaceGmailCompliance.
בצד ימין, בוחרים יחידה ארגונית.
מציבים את הסמן של העכבר מעל תאימות לתעבורה מאובטחת (TLS) ולוחצים על הגדרה. כדי להוסיף עוד הגדרות TLS, לוחצים על הוספת הגדרות.

בתיבה של הוספת הגדרה מזינים את שם ההגדרה ומבצעים את השלבים האלה:

הגדרה	מה לעשות
1. הודעות האימייל שיושפעו מההגדרה	בוחרים באפשרות הודעות נכנסות או הודעות יוצאות או בשתיהן. צריך להשתמש ברשימת כתובות כדי לאכוף TLS עבור הודעות נכנסות ויוצאות. בשלב הבא תגדירו את רשימת הכתובות. כדי למצוא התאמה לרשימת הכתובות, Gmail משתמש בשולח שבשדה מאת: להודעות נכנסות, ובנמענים להודעות יוצאות. בהודעות נכנסות, השולח שבשדה מאת: צריך להתאים בצורה מדויקת לכתובת או לדומיין שבהגדרה. דרישות התאימות נבדקות עבור הודעות יוצאות. בוחרים באפשרות יוצאות – הודעות שנדרשת עבורן העברה מאובטחת דרך הגדרה אחרת להודעות יוצאות שיש להן הגדרה אחרת של העברה מאובטחת. למשל, אפשר להגדיר ניתוב אימיילים לשליחת הודעות יוצאות דרך חיבור מאובטח, או שאפשר להגדיר נתיב מאובטח חלופי להודעות יוצאות.
2. שימוש ב-TLS לתעבורה מאובטחת של הודעות מול הדומיינים / כתובות האימייל האלה.	כדי לבחור רשימת כתובות קיימת שיש בה דומיינים או כתובות אימייל שנדרשים עבורם חיבורי TLS: לוחצים על שימוש ברשימה קיימת. נפתחת תיבת הרשימה בחירת כתובת. בוחרים רשימת כתובות אחת או יותר שתשמש את הגדרת ה-TLS. לוחצים על ה-X בצד ימין למעלה כדי לסגור את התיבה בחירת רשימת כתובות. כדי ליצור רשימת כתובות חדשה עם הדומיינים או כתובות האימייל שנדרשים עבורם חיבורי TLS: לוחצים על יצירה או עריכה של הרשימה. הדף ניהול רשימות של כתובות נפתח בכרטיסייה חדשה. בדף ניהול רשימות של כתובות, לוחצים על הוספה של רשימת כתובות. נפתחת התיבה הוספה של רשימת כתובות. בשדה שם, מזינים שם ייחודי לרשימת הכתובות. כדי להוסיף כתובות או דומיינים לרשימת הכתובות החדשה, לוחצים על הוספת כתובות רבות בפעולה אחת או על הוספת כתובת. מזינים כתובות אימייל או שמות דומיינים. מפרידים בין הרשומות באמצעות רווח או פסיק. לוחצים על שמירה, ואז חוזרים לכרטיסייה תאימות כדי לסיים להגדיר TLS. למידע נוסף על יצירת רשימת כתובות ושימוש בהן, כדאי לעיין במאמר החלת הגדרות Gmail על שולחים או דומיינים מסוימים.
3. אפשרויות	בוחרים אפשרויות להגדרה: דרישת אישור חתום על ידי רשות האישורים (מומלץ) — שרת ה-SMTP הלקוח צריך להציג אישור חתום על ידי רשות אישורים מהימנה. אימות שם המארח באישור (מומלץ) — מאמת ששמות המארחים המקבלים מתאימים לאישור שמוצג על ידי שרת ה-SMTP.
בדיקת חיבור TLS (אבטחת שכבת התעבורה)	(אופציונלי) לוחצים על בדיקת חיבור TLS כדי לאמת את החיבור לשרת הדואר המקבל.

בחלק התחתון של התיבה הוספת הגדרה, לוחצים על שמירה. ההגדרה החדשה מופיעה בטבלה הגדרות התאימות של תעבורה מאובטחת (TLS).

בדרך כלל השינויים נכנסים לתוקף בתוך דקות, אבל עשוי להיות עיכוב של עד 24 שעות. אפשר לקרוא פרטים נוספים במאמר איך השינויים חלים על שירותי Google.

אפשר לעקוב אחרי השינויים ביומן הביקורת של מסוף Admin.

פתרון בעיות ב-TLS

אם מופיעה שגיאה כשמגדירים TLS, צריך לפעול לפי ההמלצות שבקטע הזה.

If you click Test TLS connection and get a certificate validation error, messages sent from your organization will bounce, even though you could save the new mail route.

To fix the error, try one or more of these solutions:

If your mail server has more than one host name, make sure you’re using the host name that’s on the server’s certificate.
If you have access to the mail server on the route, install a new certificate from a trusted Certificate Authority. Verify the new certificate has the correct host name.
If you use a third-party mail relay service, contact the service provider about this error.
Uncheck the box for one or more of these options:
- Require mail to be transmitted over a secure transport (TLS) connection
- Require CA signed certificate
- Validate certificate hostname
Important: We recommend keeping these options turned on whenever possible so the connection can be verified.

נושאים קשורים

שליחת אימיילים דרך נתיב מאובטח חלופי (TLS)

האם המידע הועיל?

איך נוכל לשפר את המאמר?