非特權使用者能否辨識 Office 365 是否強制與合作夥伴組織進行 TLS 加密?
Exchange Online 使用機會性 TLS,其工作原理如下:
預設情況下,Exchange Online 始終使用機會性 TLS。這意味著 Exchange Online 總是首先嘗試使用最安全的 TLS 版本加密連接,然後沿著 TLS 密碼列表向下工作,直到找到雙方都可以同意的密碼。除非您已將 Exchange Online 配置為確保僅通過安全連接向該收件人發送郵件,否則預設情況下,如果收件人組織不支持 TLS 加密,則郵件將不加密發送。
作為非特權使用者(例如沒有管理員權限的人),是否有辦法確定特定合作夥伴組織是否配置為強制TLS 加密?這在我目前的情況下很重要,因為我們公司在發送某些數據時必須遵守一些政府控制,並且寧願強制 TLS 加密而不是必須通過 GPG 等其他方式加密每個附件:
對於大多數企業來說,機會性 TLS 就足夠了。但是,對於具有合規性要求的企業(例如醫療、銀行或政府組織),您可以將 Exchange Online 配置為要求或強制使用 TLS。
管理員帳戶可以快速查看配置了哪些郵件流連接器來確定此設置,但是否有非特權使用者可以查看是否強制使用 TLS 加密的位置或方法?
由於這是伺服器端設置,因此無法在沒有管理員訪問權限的情況下檢查設置。Exchange 伺服器可能有一些“解決方法”,因為大多數配置都儲存在 ActiveDirectory 中,並且可能(取決於您的設置)可以通過 LDAP 檢查 ActiveDirectory,但是對於 Exchange Online,這可能不起作用。
您可能的選擇是使用 nslookup,獲取 MX 伺服器,然後針對該伺服器執行 telnet 並檢查它們是否提供 startTLS(參見此處的範例)。但這並不意味著他們也會強制執行,但您可以通過這種方式嘗試。
順便說一句,每個使用者都可以檢查 MailHeader,因此可以查看電子郵件是否通過 TLS 發送。電子郵件中的 TLS 部分可能如下所示:
Received: from p01c11m074.mxlogic.net (mxl144v247.mxlogic.net [2.2.2.2]) by abc.contoso.com (4.4.4/8.8.8) with ESMTP id r123456789 (version=TLSv1/SSLv3 cipher=DHE-RSA-AES256-SHA bits=256 verify=NOT) for <someone@contoso.com>; Mon, 19 Aug 2013 09:41:19 -0500
您可以在此處看到電子郵件中的 TLS 部分。但是,您看不到這是否已強制執行。