传输层安全协议 (TLS) 是一种可为电子邮件加密以确保安全性和隐私权的协议。TLS 可以防止邮件在通过互联网连接发送时遭到未经授权的访问。
默认情况下,Gmail 会始终尝试通过安全的 TLS 连接发送邮件。安全的端到端 TLS 连接要求邮件发送和接收服务器都使用 TLS。如果邮件接收服务器未使用 TLS,Gmail 仍会使用 TLS 发送邮件,但连接是不安全的。
如要对通过您指定的网域和地址收发的邮件使用 TLS,请使用安全传输 (TLS) 合规性设置。此设置包含各种选项,用于要求使用证书授权机构 (CA) 签署的证书、验证与证书关联的主机名以及测试 TLS 连接。
在 Gmail 中撰写新邮件时,如果收件人地址旁边有挂锁图标,则表示系统将使用 TLS 发送邮件。只有在账号使用支持 S/MIME 加密的 Google Workspace 订阅时,才会显示该挂锁图标。
Google Workspace 支持 TLS 1.0、1.1、1.2 和 1.3 版。
准备工作
验证贵组织使用的标准所支持的 TLS 版本
安全传输 (TLS) 合规性设置会影响通过未使用 TLS 的连接,针对设置中指定的地址和网域发送的邮件的递送。
外发的邮件 | 邮件无法递送,将被退回。您将收到递送失败报告。Gmai 仅会尝试一次通过未使用 TLS 的连接发送邮件。 |
收到的邮件 | 系统会拒绝通过未使用 TLS 的连接收到的邮件。您不会收到通知。发件人会收到递送失败报告。 |
添加 TLS 合规性设置
-
-
在管理控制台中,依次点击“菜单”图标 应用 Google Workspace Gmail 法规遵从。
- 在左侧选择一个组织部门。
- 将光标指向安全传输 (TLS) 合规性,然后点击配置。如要添加其他 TLS 设置,请点击再添加一项。
- 在添加设置框中输入设置名称,然后执行以下步骤:
设置 具体步骤 1. 受影响的电子邮件 选择入站和/或出站。您必须使用地址列表来为入站和出站邮件强制使用 TLS。您将在下一步中设置地址列表。
对于入站邮件,Gmail 会使用发件人:中的地址与地址列表进行匹配;对于出站邮件,Gmail 会使用收件人地址与地址列表进行匹配。入站邮件的发件人:地址必须与设置中的地址或网域完全匹配。系统会为外发的邮件检查身份验证要求。
为启用了其他安全连接设置的出站邮件选择外发 - 要求通过其他设置确保安全传输的邮件。例如,您可以设置电子邮件转送来通过安全连接发送出站邮件,或者为出站邮件设置备用安全递送路线。
2. 在与这些网域/电子邮件地址通信时,使用传输层安全协议 (TLS) 来确保安全传输。 如要选择的现有地址列表包含需要 TLS 连接的网域或电子邮件地址,请执行以下操作:
- 点击使用现有列表。系统会打开选择地址列表框。
- 选择一个或多个要用于 TLS 设置的地址列表。
- 点击左上角的“X”以关闭选择地址列表框。
如要新建的地址列表包含需要 TLS 连接的网域或电子邮件地址,请执行以下操作:
- 点击创建或修改地址列表。系统会在新的标签页中打开管理地址列表页面。
- 在管理地址列表页面上,点击添加地址列表。系统会打开添加地址列表框。
- 在名称字段中,为地址列表输入一个唯一名称。
- 如要向新地址列表添加地址或域名,请点击批量添加地址或添加地址。
- 输入电子邮件地址或域名。如要输入多个条目,请使用空格或英文逗号分隔各个条目。
- 点击保存,然后返回法规遵从标签页,完成 TLS 设置。
如要详细了解如何创建和使用地址列表,请参阅将 Gmail 设置应用于特定的发件人或网域。
3. 选项 选择设置选项:
需要 CA 签署的证书(推荐)- 要求客户端 SMTP 服务器提供由受信任证书授权机构签署的证书。
验证证书主机名(推荐)- 验证接收邮件的主机名与 SMTP 服务器提供的证书上的主机名是否一致。
测试 TLS 连接 点击测试 TLS 连接,验证可否连接至邮件接收服务器。 - 在添加设置框的底部,点击保存。新设置会显示在安全传输 (TLS) 合规性设置表格中。
更改最长可能需要 24 小时才会生效,但通常不需要这么久。了解详情
您可以在管理控制台审核日志中监控更改。
排查 TLS 错误
如果您在设置 TLS 时出错,请按照本部分中的建议操作。
如果您点击测试 TLS 连接后收到证书验证错误,即使您能保存新的邮件递送路线,从贵组织发送的邮件仍会被退回。
要修正此错误,请尝试以下一种或多种解决方案:
- 如果您的邮件服务器有多个主机名,请确保您使用的是服务器证书上的主机名。
- 如果您可以访问此路线上的邮件服务器,请安装来自可信的证书授权机构的新证书,并验证新证书的主机名正确无误。
- 如果您使用第三方邮件中继服务,请与相应服务提供商联系以修正此错误。
- 取消选中以下一个或多个选项的复选框:
- 要求通过安全 (TLS) 连接传送邮件
- 需要 CA 签署的证书
- 验证证书主机名
重要提示:我们建议您平时尽可能让这些选项处于开启状态,以便验证连接。