本文為澳洲政府組織提供使用傳輸層安全性 (TLS) 的指引,以協助保護安全性分類資訊。 其目的是協助政府組織瞭解其加密需求,以及如何設定 Microsoft 365 以符合這些需求。 本文中的指引已撰寫,以最符合 PSPF) 的保護安全性原則架構 和 ISM) (資訊安全性手冊 中所述的需求 (。
傳輸層安全性 (TLS) 是一種加密類型,在此上下文中,用於在傳輸過程中保護電子郵件。 TLS 會套用在 郵件伺服器 上,並套用至 從伺服器傳送的所有電子郵件,而不是使用者或用戶端層級。 如需 Microsoft 365 中 TLS 的詳細資訊,請參閱 Exchange Online 如何使用 TLS 來保護電子郵件連線。
TLS 是機會主義的,這表示 Exchange Online 一律會先嘗試使用最安全的 TLS 版本加密連線,然後向下移動 TLS 密碼清單,直到找到寄件者和收件者都同意的密碼為止。 機會性 TLS 可確保將郵件加密到電子郵件傳輸的最高級別。
依預設,Exchange Online 已啟用 TLS 機會,符合下列資訊安全手冊 (ISM) 需求:
| 需求 | 詳細資料 |
|---|---|
| ISM-0572 (2025 年 3 月) | 機會性 TLS 加密會在電子郵件伺服器上啟用,這些電子郵件伺服器會透過公用網路基礎結構建立傳入或傳出電子郵件連線。 |
ASD的安全雲藍圖中也討論了機會性TLS配置。
未加密電子郵件的風險
TLS 機會主義性質的一個缺點是它不是強制性的。 如果接收電子郵件伺服器未啟用 TLS,則可以在沒有 TLS 加密的情況下傳送電子郵件,從而導致純文字內容被攔截和解譯的可能性更高。 這不是產品缺陷,而是電子郵件安全演變的症狀。 強制所有電子郵件傳輸使用 TLS 加密可能會導致一小部分尚不支援 TLS 的電子郵件服務遺失或封鎖電子郵件。
為了協助評估選擇性 TLS 加密的風險,電子郵件系統管理員應該定期檢閱 Exchange Online 輸出郵件報告,其中會提供使用和不使用 TLS 加密傳送的電子郵件百分比摘要。 如需詳細資訊,請參閱 Exchange Online 中的訊息報表。
對敏感或安全機密資訊保留電子郵件加密可選會增加資訊遺失的風險。 我們應該考慮此風險以及 PSPF (保護性安全策略框架 第 9.3 節中的傳輸要求) :
| 分類 | 需求 |
|---|---|
| 受保護 | 使用受保護 (或更高版本) 網路,否則需要加密。 |
| 官方:敏感 | 使用官方:敏感 (或更高) 網路。 如果透過公用網路基礎設施或透過不安全的空間傳輸,則進行加密。 |
| 官員 | 建議加密,特別是對於透過公用網路基礎結構通訊的資訊。 |
政府組織應考慮減輕與機會主義 TLS 相關風險的方法。 策略可以包括:
- 對所有外寄郵件使用 強制 TLS 方法 。 這可確保 TLS 加密,無論套用的敏感度標籤或專案內容為何,但某些專案可能會產生無法傳遞的成本。 如需此方法的詳細資訊,請參閱如何在 Office 365 中設定 Exchange Online 的強制 TLS。
- 使用一組 需要 TLS 的合作夥伴連接器 ,以便在預先定義的組織清單之間進行通訊。 此方法可保護固定組織之間的通訊,但當資訊傳送給組織清單以外的收件者時,不會提供強制性 TLS 加密。 如需此方法的詳細資訊,請參閱 在 Exchange Online 中設定連接器,以與合作夥伴組織進行安全郵件流程。
- 使用需要 TLS 進行安全性分類電子郵件的 Exchange Online 傳輸設定。 此方法可以補充一組合作夥伴連接器,以確保所有安全性分類專案的傳輸都符合 PSPF 加密需求。
對於許多政府組織,尤其是服務型機構來說,他們的大部分資訊都屬於官方類別,對大量電子郵件使用強制 TLS 方法可能會對沒有 TLS 的個人和組織的業務產生重大影響。 建議使用風險型方法,並針對業務需求進行調整,對於許多組織來說,這可能會阻礙強制 TLS 方法的使用。 更可口的方法可能包括同時使用合作夥伴連接器和傳輸型設定。
ASD 的安全雲端藍圖 包含傳輸規則設定的相關資訊,以 要求 TLS 用於官方:敏感或受保護的電子郵件。 下一節將進一步詳細探討此設定。
強制執行安全分類電子郵件的 TLS
您可以建立 Exchange Online 郵件流程規則,以要求套用特定敏感度標籤的電子郵件進行 TLS 加密。 為了實現這一目標,我們首先需要識別應用了相關標籤的項目。
將敏感度標籤套用至電子郵件時,會將一組中繼資料放置在電子郵件的標頭中。 包含標籤資訊的標頭會命名 msip_labels ,並包含標籤 全域唯一識別碼 (GUIDs) ,對應至套用至專案的標籤。
若要取得環境的所有標籤 GUID,可以使用安全性 與合規性 PowerShell 。 若要檢視環境的標籤和相關聯的 GUID,請使用:
Get-label | select displayname,guid
感興趣的 GUID 是任何 OFFICIAL: 敏感和受保護標籤的 GUID,包括子標籤。
注意事項
標籤 GUID 僅限於單一 Microsoft 365 租用戶。 具有相同標籤命名的兩個租用戶不會共用相同的 GUID。
取得之後,應該記錄標籤名稱和 GUID,以便您可以將它們用於 Exchange 郵件流程規則設定。
如需建立郵件流程規則的一般指引,請參閱 在 Exchange Online 中管理郵件流程規則。
系統管理員必須使用 Exchange Online 管理員 Center 來建立尋找msip_labels標頭的郵件流程規則。 單一郵件流程規則可用來檢查多個標籤 GUID。 建立規則時,請確定您在標籤 GUID 之後包含 Enabled=True 。 下列範例會檢查 PROTECTED 標籤的六種變化 (包括環境中) 的資訊管理標記和警告。
郵件流程規則動作應該設定為 修改郵件安全性, 需要 TLS 加密。
下列範例會檢查 PROTECTED 標籤的六種變化的標籤 GUID,並需要 TLS 加密來傳輸任何套用標籤的電子郵件。
需要 TLS 的郵件流程規則範例
此郵件流程規則旨在防止安全性分類或敏感性電子郵件在沒有 TLS 加密的情況下透過因特網傳輸。
| 規則名稱 | [套用此規則情況] 選擇一個條件並輸入任何該條件所需的值。 | 請執行下列動作 |
|---|---|---|
| 需要 TLS 才能取得受保護的電子郵件 | 如果收件者是內部/外部,請套用此規則: - 組織外部 和 訊息標頭... 包括以下任何一個詞: 標題: msip_labels 言: - PROTECTED GUID - PROTECTED Personal Privacy GUID - PROTECTED Legal Privilege GUID - PROTECTED Legislative Secrecy GUID - PROTECTED CABINET GUID - PROTECTED NATIONAL CABINET GUID |
- 修改訊息安全 - 需要 TLS 加密 |
注意事項
在實作這類規則之前,也請考慮您的策略,以監視規則影響,以及因接收組織不支援 TLS 而延遲或封鎖的動作項目。