Transport Layer Security (TLS) is een protocol waarmee e-mailberichten worden versleuteld voor beveiliging en privacy. TLS voorkomt ongeautoriseerde toegang tot berichten terwijl ze worden gestuurd via een internetverbinding.
Gmail probeert berichten altijd te sturen via een beveiligde TLS-verbinding. Voor een beveiligde, end-to-end TLS-verbinding moet zowel de verzend- als de ontvangstserver TLS gebruiken. Als de ontvangstserver geen TLS gebruikt, stuurt Gmail wel berichten via TLS, maar is de verbinding niet beveiligd.
Als u TLS wilt gebruiken voor berichten die zijn gestuurd van en naar domeinen en adressen die u opgeeft, gebruikt u de instelling Compliance van veilige verzending (TLS). Deze instelling bevat opties om een CA-ondertekend certificaat te vereisen, de hostnaam die aan het certificaat is gekoppeld te verifiëren en de TLS-verbinding te testen.
Als u een nieuw bericht opstelt in Gmail en er een slotje naast het adres van de ontvanger staat, betekent dit dat het bericht wordt verstuurd met TLS. Het slotje wordt alleen getoond voor accounts met een Google Workspace-abonnement waarvoor S/MIME-versleuteling wordt ondersteund.
Google Workspace ondersteunt TLS-versie 1.0, 1.1, 1.2 en 1.3.
Voordat u begint
Ondersteunde TLS-versies verifiëren voor standaarden die worden gebruikt in uw organisatie
De instelling Compliance van veilige verzending (TLS) heeft gevolgen voor berichten die worden gestuurd via een verbinding zonder TLS, voor adressen en domeinen die zijn opgegeven in de instelling.
Uitgaande berichten | Berichten worden niet bezorgd, maar komen terug. U krijgt een weigeringsrapport. Google probeert slechts één keer om berichten via een verbinding zonder TLS te sturen. |
Inkomende berichten | Inkomende berichten via verbindingen zonder TLS worden geweigerd. U krijgt hier geen melding van. De afzender krijgt een weigeringsrapport. |
Een instelling voor TLS-compliance toevoegen
-
Log in bij de Google Beheerdersconsole.
Log in met uw beheerdersaccount (dit eindigt niet op @gmail.com).
-
Ga in de Beheerdersconsole naar Menu AppsGoogle WorkspaceGmailCompliance.
- Selecteer links een organisatie-eenheid.
- Plaats de muisaanwijzer op Naleving van veilige verzending (TLS) en klik op Configureren. Als u meer TLS-instellingen wilt toevoegen, klikt u op Nog een toevoegen.
- Voer in het vak Instelling toevoegen een naam voor de instelling in en voer deze stappen uit:
Instelling Wat u moet doen 1. E-mailberichten waarvoor dit geldt Selecteer Binnenkomend, Uitgaand of beide. U moet een adreslijst gebruiken om TLS af te dwingen voor inkomende en uitgaande berichten. In de volgende stap stelt u de adreslijst in.
Gmail controleert of de Van-afzender voor inkomende berichten en de ontvangers voor uitgaande berichten op de adreslijst staan. Voor inkomende berichten moet de Van-afzender exact overeenkomen met een van de adressen of domeinen in de instelling. Verificatievereisten worden gecontroleerd voor uitgaande berichten.
Selecteer Uitgaand - berichten waarvoor beveiligd transport nodig is via een andere instelling voor uitgaande berichten waarvoor een andere instelling voor beveiligde verbindingen geldt. U kunt bijvoorbeeld E-mailrouting instellen zodat uitgaande berichten via een beveiligde verbinding worden gestuurd, of een alternatieve beveiligde route instellen voor uitgaande berichten.
2. TLS gebruiken voor veilig transport bij communicatie met deze domeinen/e-mailadressen. Zo selecteert u een bestaande adreslijst met de domeinen of e-mailadressen waarvoor TLS-verbindingen vereist zijn:
- Klik op Bestaande lijst gebruiken. De keuzelijst Adres selecteren wordt geopend.
- Selecteer een of meer adreslijsten om te gebruiken met de TLS-instelling.
- Klik linksboven op de X om het vak Adreslijst selecteren te sluiten.
Zo maakt u een nieuwe adreslijst met de domeinen of e-mailadressen waarvoor TLS-verbindingen vereist zijn:
- Klik op Lijst maken of bewerken. De pagina Adreslijsten beheren wordt geopend in een nieuw tabblad.
- Klik op de pagina Adreslijsten beheren op Adreslijst toevoegen. Het dialoogvenster Adreslijst toevoegen wordt geopend.
- Voer in het veld Naam een unieke naam in voor de adreslijst.
- Klik op Adressen met meerdere tegelijk toevoegen of op Adres toevoegen om adressen of domeinen op de nieuwe adreslijst te zetten.
- Voer e-mailadressen of domeinnamen in. Als u meerdere adressen of namen invoert, scheid u deze met een spatie of komma.
- Klik op Opslaan en ga terug naar het tabblad Compliance om het instellen van TLS af te ronden.
Ga naar Gmail-instellingen toepassen op specifieke afzenders of domeinen voor meer informatie over hoe u adreslijsten kunt maken en gebruiken.
3. Opties Selecteer instellingsopties:
CA-ondertekend certificaat vereist (aanbevolen): Hiervoor moet de SMTP-server van de client een certificaat presenteren dat is ondertekend door een vertrouwde certificeringsinstantie (CA).
Certificaathostnaam valideren (aanbevolen): Hiermee wordt bevestigd dat de ontvangende hostnaam overeenkomt met het certificaat van de SMTP-server.
TLS-verbinding testen (Optioneel) Klik op TLS-verbinding testen om de verbinding met de ontvangende e-mailserver te bevestigen. - Klik onder in het dialoogvenster Instelling toevoegen op Opslaan. De nieuwe instelling staat in de tabel met instellingen voor naleving van veilige verzending (TLS).
Wijzigingen verwerken kan tot 24 uur duren, maar meestal gaat het sneller. Meer informatie
U kunt wijzigingen aan instellingen controleren in het controlelogboek van de Beheerdersconsole.
TLS-fouten oplossen
Als u een foutmelding krijgt wanneer u TLS instelt, volgt u de aanbevelingen in dit gedeelte.
Als u op TLS-verbinding testen klikt en een certificaatvalidatiefout ziet, worden berichten die vanuit uw organisatie worden gestuurd geweigerd, zelfs als u de nieuwe e-mailroute kunt opslaan.
Probeer een of meer van de volgende oplossingen om deze fout op te lossen:
- Als uw e-mailserver meer dan één hostnaam heeft, controleert u of u de hostnaam gebruikt die op het certificaat van de server staat.
- Als u toegang heeft tot de e-mailserver op de route, installeert u een nieuw certificaat van een vertrouwde certificeringsinstantie. Controleer of het nieuwe certificaat de juiste hostnaam bevat.
- Als u een mail relay-service van derden gebruikt, neemt u contact op met de serviceprovider over deze fout.
- Vink het vakje uit voor een of meer van deze opties:
- Vereisen dat e-mail wordt verzonden via een beveiligde transportverbinding (TLS)
- Door CA ondertekend certificaat vereist
- Certificaathostnaam valideren
Belangrijk: We raden u aan deze opties waar mogelijk aan te laten staan zodat de verbinding kan worden geverifieerd.