要求通过安全 (TLS) 连接传送邮件

传输层安全协议 (TLS) 是一种安全协议,可以为电子邮件加密以保护隐私。TLS 协议的前身是安全套接字层 (SSL) 协议。默认情况下,Gmail 始终使用 TLS 协议。

注意:撰写邮件时,使用兼容 S/MIME 的订阅服务的 G Suite 用户会在收件人地址右侧看到灰色挂锁图标(这是 TLS 加密的标志)。

要创建安全连接,发件人和收件人都必须使用 TLS 协议。无法创建安全连接时,Gmail 会通过不安全的连接递送邮件。不过,您可以添加 TLS 设置,要求与特定网域或电子邮件地址通信时使用安全连接。

重要提示:我们建议您启用 TLS 设置,要求 Gmail 始终使用安全连接与特定网域和电子邮件地址通信。

系统会如何处理递送至(或来自)未使用 TLS 网域的电子邮件?
出站邮件 邮件无法递送,将被退回。您将收到递送失败报告 (NDR)。系统只会尝试发送一次(不会重试)。
入站邮件 邮件将被拒绝,您不会收到通知,但发件人将收到 NDR。

设置 TLS 合规性

  1. 登录您的Google 管理控制台

    请使用您的管理员帐号(不是以“@gmail.com”结尾的帐号)登录。

  2. 在管理控制台首页,转到应用 接着点击 Google Workspace 接着点击 Gmail接着点击 法规遵从

    注意:您可能会在应用 接着点击 G Suite 接着点击 Gmail 接着点击 高级设置中看到此设置。

  3. 在左侧,选择一个单位。
  4. 法规遵从部分,将光标指向安全传输 (TLS) 合规性,然后点击配置。如果此设置已经过配置,请将光标指向该设置,然后点击修改添加另一项
  5. 为新设置输入说明。
  6. 选择传入或外发邮件。

    为应用其他安全连接设置的出站邮件选择外发邮件 - 要求通过另一设置确保安全传输的邮件。例如,您可以设置电子邮件转送来通过安全连接发送出站邮件,或者为出站邮件设置备用安全递送路线。如要为任何入站或出站邮件强制执行 TLS 合规性设置,您必须创建域名或地址列表。

  7. 为要求采用 TLS 进行安全传输的特定域名或电子邮件地址创建一个列表。

    注意:请创建一个域名或地址列表,以便对任何入站或出站邮件强制执行 TLS 合规性设置。

    注意:为判断地址列表是否匹配,G Suite 会检查所收到邮件的“发件人”地址以及所发送邮件的收件人地址。对于发件人,G Suite 还会检查身份验证要求。因此,如要要求入站邮件必须符合 TLS 合规性要求,“发件人:”地址必须与您输入的地址或域名完全匹配。

    详细了解地址列表,包括如何搜索列表或查看列表中的所有条目,以及地址是如何与地址列表匹配的。

    1. 点击使用现有列表或新建一个列表
    2. 输入新列表名称,然后点击创建

      提示:如要将现有列表作为批准的发件人列表,请点击该列表的名称。

    3. 将光标移到列表名称上,然后点击修改
    4. 点击“添加”图标 ""
    5. 输入电子邮件地址或域名,并用空格或英文逗号分隔多个条目。

    6. 点击保存

  8. 我们建议您为第 6 步和第 7 步所设置的条件启用以下选项:
    • 在主机上执行 MX 查找:递送至与指定域名相关联的 MX 主机。
    • 要求通过安全传输(启用 TLS)连接传送邮件(推荐) - 使用传输层安全协议 (TLS) 加密发件服务器和收件服务器之间的邮件。
    • 需要 CA 签署的证书(推荐) - 客户端 SMTP 服务器必须提供受 Google 信任的证书授权机构签署的证书。
    • 验证证书主机名(推荐) - 验证接收邮件的主机名与 SMTP 服务器提供的证书主机名是否一致。
  9. 点击测试 TLS 连接来验证是否已连接至收件服务器。
  10. 点击添加设置保存
  11. Gmail 的“法规遵从”设置页面底部,点击保存

所做的更改最长可能需要 24 小时才能生效。您可以在管理控制台审核日志中跟踪更改。

如果您收到类似“无法验证证书”错误消息

点击测试 TLS 连接后,您可能会收到类似“无法验证证书…”错误消息。如果收到此错误消息,您可以保存此新的邮件路线,但从您单位发送的邮件将被退回。

要修正此错误,请尝试以下一种或多种解决方案:

  • 如果您的邮件服务器有多个主机名,请确保您使用的是服务器证书上的主机名。

  • 如果您可以访问此路线上的邮件服务器,请安装来自可信的证书授权机构的新证书,并验证新证书的主机名正确无误。

  • 如果您使用第三方邮件中继服务,请与相应服务提供商联系以修正此错误。

  • 关闭以下一个或多个选项:
    • 要求通过安全 (TLS) 连接传送邮件
    • 需要 CA 签署的证书
    • 验证证书主机名

      重要提示:我们建议您平时尽可能让这些选项处于开启状态,以便验证连接。
该内容对您有帮助吗?
您有什么改进建议?

需要更多帮助?

登录可获取更多支持选项,以便快速解决您的问题