Aller au contenu

Utilisation de connexions TLS

Vous pouvez utiliser les connexions TLS (Transport Layer Security) pour la messagerie électronique.

Si vous rencontrez des problèmes avec les connexions TLS, assurez-vous que TLS est activée, avec la version correcte et les bons chiffrements. Si les problèmes persistent, contactez le support Sophos Email.

Pour obtenir de l’aide sur le chiffrement de la messagerie, consultez Méthodes pour les messages sécurisés.

Remarque

Assurez-vous que TLS 1.3 est activée sur votre passerelle de messagerie avant de l’appliquer sur tous les domaines. Sinon, la connexion avec Sophos sera interrompue et vous ne pourrez pas envoyer ou recevoir d’emails. Les chiffrements requis sont « TLSv1.2+FIPS:kRSA+FIPS:!eNULL:!aNULL »

Échecs de TLS

Si Sophos Email ne parvient pas à établir de connexion TLS, l’email n’est pas envoyé. L’email est mis en file d’attente de livraison pendant 7 jours. Après cette période, il est supprimé.

Consignation des erreurs de connexion TLS

Chaque fois que Sophos Email ne peut pas envoyer d’email en raison d’un échec de la connexion TLS, il crée une entrée dans le journal d’historique.

Après l’échec final, une entrée indiquant que l’email a été supprimé en raison de la stratégie TLS est ajoutée au journal. Les entrées ont le format suivant : "Processing: Check TLS".

Détails du certificat Sophos TLS

Voici les détails du certificat que nous utilisons avec les connexions TLS.

Paramètre Valeur
Nom commun *.api-upe.p.hmr.sophos.com
SAN DNS :*.api-upe.p.hmr.sophos.com, DNS :*.prod.hydra.sophos.com, DNS :api-upe.p.hmr.sophos.com
Organisation SOPHOS LIMITED
Emplacement géographique C=GB, ST=Oxfordshire, L=Abingdon,
Numéro de série 42:05:5f:21:c1:9b:e9:f0:e8:8a:bb:0c
Algorithme de signature sha256WithRSAEncryption
Émetteur C=BE, O=GlobalSign nv-sa, CN=GlobalSign RSA OV SSL CA 2018

Fin du support TLS 1.0 et 1.1

Depuis le 1er janvier 2024, les protocoles Transport Layer Security (TLS) 1.0 et 1.1 ne sont plus pris en charge pour la distribution des emails entrants et sortants. Voir Versions 1.0 et 1.1 de TLS non autorisées.

TLSv1.0 et TLSv1.1 sont tous deux vulnérables aux attaques de sécurité et, par conséquent, l’utilisation de ces versions a été supprimée de nombreux serveurs.

Qui est concerné

Tous les clients qui utilisent actuellement les versions 1.0 et 1.1 de TLS sur leurs serveurs de messagerie pourraient rencontrer des erreurs d’échec de livraison TLS si ces versions ne sont pas désactivées.

Actions à mener

Pour atténuer les risques, vous pouvez procéder comme suit :

  • Assurez-vous que votre serveur de messagerie n’est pas limité à TLSv1.0 ou TLSv1.1 uniquement.
  • Assurez-vous que TLSv1.0 ou TLSv1.1 sont désactivés sur votre serveur de messagerie.
  • Utilisez les versions TLS recommandées, telles que TLSv1.2 ou TLSv1.3, prises en charge par Sophos Email.

    Retrouvez plus de renseignements sur les versions TLS recommandées sur Authentification TLS.

Si vous ne configurez pas votre serveur de messagerie, la communication par email sera interrompue.