Назад | Перейти на главную страницу

Может ли непривилегированный пользователь определить, использует ли Office 365 принудительное шифрование TLS в партнерской организации?

Exchange Online использует оппортунистический TLS который работает следующим образом:

По умолчанию Exchange Online всегда использует гибкую TLS. Это означает, что Exchange Online всегда сначала пытается зашифровать соединения с помощью наиболее безопасной версии TLS, а затем продвигается вниз по списку шифров TLS, пока не найдет тот, с которым могут согласиться обе стороны. Если вы не настроили Exchange Online так, чтобы сообщения этому получателю отправлялись только через безопасные соединения, то по умолчанию сообщение будет отправлено незашифрованным, если организация-получатель не поддерживает шифрование TLS.

Как непривилегированный пользователь (например, кто-то без права администратора), есть ли способ определить, настроена ли конкретная партнерская организация так, чтобы шифрование TLS было вынужденный? Это важно в моей текущей ситуации, поскольку наша компания должна придерживаться некоторых правительственных мер контроля при отправке определенных данных и предпочла бы принудительное шифрование TLS, а не шифровать каждое вложение другими способами, такими как GPG:

Для большинства предприятий достаточно оппортунистического TLS. Однако для предприятий, у которых есть требования соответствия, например медицинских, банковских или государственных организаций, вы можете настроить Exchange Online на требование или принудительное использование TLS.

Учетная запись администратора может быстро посмотреть, что соединители потока почты настроены для определения этого параметра, но есть ли у непривилегированного пользователя место или метод, чтобы проверить, работает ли шифрование TLS. вынужденный или не?

Поскольку это настройка на стороне сервера, ее невозможно проверить без доступа администратора. Для сервера Exchange могут существовать некоторые «обходные пути», поскольку большая часть конфигурации хранится в ActiveDirectory, и может (в зависимости от ваших настроек) проверить ActiveDirectory через LDAP, однако с Exchange Online это может не работать.

Возможным вариантом для вас может быть использование nslookup, получение сервера MX, затем запуск Telnet для этого сервера и проверка, предлагают ли они startTLS (см. Пример Вот). Но это не означает, что они также будут обеспечивать это, но вы можете попробовать это таким образом.

Кстати, каждый пользователь может проверить MailHeader и, следовательно, увидеть, было ли письмо отправлено через TLS или нет. Часть TLS в электронном письме может выглядеть так:

Received: from p01c11m074.mxlogic.net (mxl144v247.mxlogic.net [2.2.2.2])
    by abc.contoso.com (4.4.4/8.8.8) with ESMTP id r123456789
    (version=TLSv1/SSLv3 cipher=DHE-RSA-AES256-SHA bits=256 verify=NOT)
    for <someone@contoso.com>; Mon, 19 Aug 2013 09:41:19 -0500

Вы видите здесь раздел TLS внутри письма. Однако вы не видите, было ли это принудительным или нет.