Protokół TLS (Transport Layer Security) szyfruje e-maile, aby zapewnić bezpieczeństwo i prywatność. TLS zapobiega nieautoryzowanemu dostępowi do wiadomości wysyłanych przez internet.
Domyślnie Gmail zawsze próbuje wysłać wiadomości przez bezpieczne połączenie TLS. Bezpieczne, pełne połączenie TLS wymaga, aby zarówno serwer wysyłający, jak i serwer odbierający korzystały z protokołu TLS. Gmail wysyła wiadomości przy użyciu protokołu TLS, nawet jeśli serwer odbierający nie używa TLS, ale połączenie nie jest bezpieczne.
Aby używać TLS do wysyłania i odbierania wiadomości w przypadku określonych przez Ciebie domen i adresów, użyj ustawienia Zgodność z TLS. To ustawienie obejmuje opcje wymagania certyfikatu podpisanego przez urząd certyfikacji, sprawdzania nazwy hosta powiązanej z certyfikatem i testowania połączenia TLS.
Jeśli w oknie nowej wiadomości w Gmailu obok adresu odbiorcy widoczna jest ikona kłódki, oznacza to, że wiadomość zostanie wysłana przy użyciu protokołu TLS. Ikona kłódki wyświetla się tylko w przypadku kont z subskrypcją Google Workspace, która obsługuje szyfrowanie S/MIME.
Google Workspace obsługuje TLS 1.0, 1.1, 1.2 i 1.3.
Zanim zaczniesz
Weryfikowanie obsługiwanych wersji TLS pod kątem zgodności ze standardami używanymi w Twojej organizacji
Ustawienie Zgodność z TLS – w przypadku określonych w nim adresów i domen – wpływa na dostarczanie wiadomości wysyłanych z wykorzystaniem połączeń bez szyfrowania TLS.
Wiadomości wychodzące | Wiadomości nie są dostarczane – są odrzucane. Otrzymujesz raport o niedoręczeniu. Gmail podejmuje tylko 1 próbę wysłania wiadomości przy użyciu połączenia bez szyfrowania TLS. |
Wiadomości przychodzące | Wiadomości przychodzące od nadawców niekorzystających z szyfrowania TLS są odrzucane. Nie otrzymujesz żadnego powiadomienia. Nadawca otrzyma w takim przypadku raport o nieudanym doręczeniu. |
Dodawanie ustawienia zgodności z TLS
-
Zaloguj się w usłudze konsoli administracyjnej Google.
Użyj swojego konta administratora (jego adres nie kończy się na @gmail.com).
-
W konsoli administracyjnej otwórz menu AplikacjeGoogle WorkspaceGmailZgodność z przepisami.
- Po lewej stronie wybierz jednostkę organizacyjną.
- Najedź kursorem na Zgodność z TLS i kliknij Skonfiguruj. Aby dodać więcej ustawień TLS, kliknij Dodaj kolejną regułę.
- W polu Dodaj ustawienie wpisz nazwę ustawienia i wykonaj te czynności:
Ustawienie Co robić 1. E-maile objęte działaniem reguły Zaznacz Przychodzące, Wychodzące lub obie te opcje. Musisz korzystać z listy adresów, aby wymusić używanie TLS w przypadku wiadomości przychodzących i wychodzących. Listę adresów skonfigurujesz w następnym kroku.
Podczas dopasowywania do listy adresów Gmail uwzględnia nadawcę Od: w przypadku wiadomości przychodzących, a odbiorców w przypadku wiadomości wychodzących. W przypadku wiadomości przychodzących adres nadawcy w polu Od: musi być zgodny z adresem lub domeną w ustawieniu. Wiadomości wychodzące są sprawdzane pod kątem wymagań dotyczących uwierzytelniania.
Wybierz Wychodzące – wiadomości wymagające protokołu TLS włączanego w innym ustawieniu w przypadku wiadomości wychodzących, do których zastosowanie ma inne ustawienie zabezpieczeń połączenia. Możesz na przykład skonfigurować routing poczty e-mail tak, aby w przypadku wiadomości wychodzących używać bezpiecznego połączenia. Możesz też ustawić dla nich dodatkową trasę zabezpieczoną.
2. Używaj TLS, aby zabezpieczać korespondencję z tymi domenami i adresami e-mail. Aby wybrać istniejącą listę adresów, która zawiera domeny lub adresy e-mail wymagające połączeń TLS:
- Kliknij Użyj istniejącej listy. Otworzy się pole listy Wybierz adres.
- Wybierz co najmniej jedną listę adresów, dla których chcesz używać ustawienia TLS.
- Kliknij X w lewym górnym rogu, aby zamknąć pole Wybierz listę adresów.
Aby utworzyć nową listę adresów z domenami lub adresami e-mail, które wymagają połączeń TLS:
- Kliknij Utwórz lub edytuj listę. W nowej karcie przeglądarki otworzy się strona Zarządzaj listami adresów.
- Na stronie Zarządzaj listami adresów kliknij Dodaj listę adresów. Otworzy się okno Dodaj listę adresów.
- W polu Nazwa wpisz unikalną nazwę listy adresów.
- Aby dodać adresy lub domeny do nowej listy, kliknij Dodaj adresy zbiorczo lub Dodaj adres.
- Wpisz adresy e-mail lub nazwy domen. Poszczególne wpisy rozdziel spacją lub przecinkiem.
- Kliknij Zapisz, a następnie wróć na kartę Zgodność, aby zakończyć konfigurowanie protokołu TLS.
Więcej informacji o tworzeniu i używaniu list adresów znajdziesz w artykule Stosowanie ustawień Gmaila w przypadku konkretnych nadawców lub domen.
3. Opcje Wybierz opcje ustawień:
Wymagaj certyfikatu podpisanego przez urząd certyfikacji (zalecane) – wymaga, aby serwer SMTP klienta przedstawił certyfikat podpisany przez zaufany urząd certyfikacji.
Weryfikuj nazwę hosta certyfikatu (zalecane) – sprawdza, czy otrzymywana nazwa hosta jest zgodna z certyfikatem prezentowanym przez serwer SMTP.
Testuj połączenie TLS (Opcjonalnie) Kliknij Testuj połączenie TLS, aby sprawdzić połączenie z serwerem poczty przychodzącej. - U dołu okna Dodaj ustawienie kliknij Zapisz. Nowe ustawienie pojawi się w tabeli Ustawienia zgodności z TLS.
Zmiany mogą zacząć obowiązywać w ciągu 24 godzin, ale zwykle dzieje się to znacznie szybciej. Więcej informacji
Zmiany możesz śledzić w Dzienniku kontrolnym konsoli administracyjnej.
Rozwiązywanie problemów z TLS
Jeśli podczas konfigurowania protokołu TLS pojawi się błąd, postępuj zgodnie z zaleceniami opisanymi w tej sekcji.
Jeśli klikniesz Testuj połączenie TLS i pojawi się błąd weryfikacji certyfikatu, wiadomości wysłane z organizacji będą odsyłane, mimo że można było zapisać nową trasę poczty.
Aby rozwiązać problem, wypróbuj te rozwiązania:
- Jeśli serwer poczty ma kilka nazw hosta, sprawdź, czy używasz nazwy hosta zgodnej z certyfikatem serwera.
- Jeśli masz dostęp do serwera poczty na trasie, zainstaluj nowy certyfikat z zaufanego urzędu certyfikacji. Sprawdź, czy nowy certyfikat ma prawidłową nazwę hosta.
- Jeśli korzystasz z usługi przekaźnika poczty innej firmy, w sprawie tego błędu skontaktuj się z dostawcą usług.
- Odznacz co najmniej jedną z tych opcji:
- Wymagaj przesyłania poczty przez bezpieczne połączenie TLS
- Wymagaj certyfikatu podpisanego przez urząd certyfikacji
- Weryfikuj nazwę hosta certyfikatu
Ważne: jeśli to możliwe, zalecamy pozostawienie tych opcji włączonych, aby umożliwić zweryfikowanie połączenia.
Powiązane artykuły
Wysyłanie e-maili przy użyciu dodatkowej trasy zabezpieczonej (TLS)