Как использовать защищенное соединение (TLS) для передачи почты

TLS – это протокол, который обеспечивает шифрование электронной почты для ее защиты. Он пришел на смену протоколу SSL. В Gmail протокол TLS используется по умолчанию.

Примечание. Пользователи G Suite с подпиской, которая совместима с S/MIME, при создании сообщения будут видеть справа от адреса получателя серый значок замка, указывающий на TLS-шифрование.

Чтобы соединение было безопасным, протокол TLS должны использовать как отправитель, так и получатель почты. Если установить безопасное соединение не удается, доставка писем выполняется через незащищенное соединение. Однако TLS можно настроить таким образом, чтобы обмен почтой с определенными доменами или адресами выполнялся только через безопасное соединение.

Важно! Мы рекомендуем установить в настройках TLS требование для Gmail всегда использовать защищенное соединение для определенных доменов и почтовых адресов.

Что происходит с почтой поступающей из доменов, не использующих TLS, или отправляемой туда?
Исходящая почта Почта не доставляется и отклоняется. Вы получаете отчет о недоставке. Выполняется только одна попытка отправки сообщения (без повторных попыток).
Входящая почта Почта отклоняется. Вы не получаете оповещения об этом, но отправитель получает отчет о недоставке.

Как настроить совместимость с протоколом TLS

  1. Войдите в Консоль администратора Google.

    Используйте аккаунт администратора (он не заканчивается на @gmail.com).

  2. На главной странице консоли администратора выберите Приложенияа затемGoogle Workspaceа затемGmailа затемСоблюдение нормативных требований.

    Примечание. Вы можете найти эту настройку в разделе Приложения а затем G Suite а затем Gmail а затем Расширенные настройки.

  3. Слева выберите организацию.
  4. В разделе Соблюдение нормативных требований наведите указатель на параметр Совместимость с протоколом TLS и нажмите Настроить. Если параметр уже настроен, выберите Изменить или Добавить.
  5. Если параметр не настроен, введите описание.
  6. Выберите входящие или исходящие сообщения.

    Установите флажок Исходящие – письма, для которых нужно использовать безопасную передачу данных. Этот параметр применяется, например, в том случае, если для исходящих сообщений выбран альтернативный защищенный маршрут или в настройках маршрутизации почты задана отправка только через защищенное соединение. Чтобы настроить применение протокола TLS для всех входящих и исходящих сообщений, создайте список доменов или адресов.

  7. Создайте список доменов или адресов, для которых передача почты будет выполняться только через защищенное соединение (TLS).

    Примечание. Чтобы настроить применение протокола TLS для всех входящих и исходящих сообщений, создайте список доменов или адресов.

    Примечание. Чтобы определить совпадение со списком адресов, в G Suite анализируются отправитель для полученной почты и получатели для отправленных писем. Для отправителей также проверяются требования аутентификации. Поэтому, чтобы для входящего сообщения использовалось только защищенное соединение, адрес в поле "От:" должен точно соответствовать адресу или домену, который вы добавили.

    Узнайте больше о списках адресов: их поиске, просмотре и сопоставлении с ними.

    1. Нажмите Создайте новый список или используйте существующий.
    2. Укажите название нового списка и нажмите Создать.

      Совет. Чтобы использовать существующий список, нажмите на его название.

    3. Наведите указатель на название списка и нажмите Изменить.
    4. Нажмите Добавить "".
    5. Введите данные через запятую или пробел.

    6. Нажмите Сохранить.

  8. Рекомендуем включить следующие параметры для выполнения условий, описанных на шаге 6 и 7:
    • Выполнить поиск MX на хосте: доставка будет осуществляться на хосты MX, связанные с указанным доменным именем.
    • Использовать защищенное соединение (TLS) для передачи почты (рекомендуется): письма будут шифроваться с помощью протокола TLS при пересылке между почтовыми серверами.
    • Запрашивать подписанный сертификат (рекомендуется): SMTP-сервер клиента должен предоставить сертификат, выданный центром сертификации, который Google считает доверенным.
    • Проверять имя хоста сертификата (рекомендуется): система проверяет, соответствует ли имя хоста получателя указанному в сертификате SMTP-сервера.
  9. Нажмите Проверить соединение TLS для проверки соединения с почтовым сервером получателя.
  10. Нажмите Добавление настроек или Сохранить.
  11. В нижней части страницы Соблюдение нормативных требований Gmail нажмите Сохранить.

Изменения вступают в силу в течение 24 часов. Их можно отслеживать в журнале аудита в консоли администратора.

Что делать, если отображается ошибка "Не удается проверить сертификат"

После нажатия на кнопку Проверить соединение TLS может появиться ошибка "Не удалось проверить сертификат". В этом случае вы можете сохранить новый маршрут для почты, но письма, отправленные сотрудниками организации, будут возвращаться. 

Чтобы устранить эту проблему, попробуйте сделать следующее:

  • Если у вашего почтового сервера несколько имен хоста, убедитесь, что вы используете имя, указанное в сертификате сервера.

  • Если у вас есть доступ к почтовому серверу маршрута, установите новый сертификат доверенного центра сертификации. Убедитесь, что в новом сертификате указано корректное имя хоста.

  • Если вы используете сторонний сервис ретрансляции почты, обратитесь за помощью к поставщику услуг.

  • Включите или отключите все или один из указанных ниже параметров.
    • Использовать защищенное соединение (TLS) для передачи почты
    • Использовать только сертификат, подписанный центром сертификации
    • Проверять имя хоста сертификата 

      Важно! Рекомендуем по возможности оставить все эти параметры включенными, чтобы соединение можно было проверить.
Эта информация оказалась полезной?
Как можно улучшить эту статью?

Требуется помощь?

Войдите в свой аккаунт, чтобы мы могли предоставить вам дополнительные варианты поддержки и быстрее решить вашу проблему.