Um usuário não privilegiado pode identificar se o Office 365 força a criptografia TLS com uma organização parceira?

1

O Exchange Online usa o TLS oportunista , que funciona da seguinte maneira:

By default, Exchange Online always uses opportunistic TLS. This means Exchange Online always tries to encrypt connections with the most secure version of TLS first, then works its way down the list of TLS ciphers until it finds one on which both parties can agree. Unless you have configured Exchange Online to ensure that messages to that recipient are only sent through secure connections, then by default the message will be sent unencrypted if the recipient organization doesn’t support TLS encryption.

Como usuário não privilegiado (por exemplo, alguém sem privilégios de administrador), existe uma maneira de determinar se uma determinada organização parceira está configurada para que a criptografia TLS seja forçado ? Isso é importante na minha situação atual, pois nossa empresa deve adotar alguns controles governamentais ao enviar determinados dados e preferiria a criptografia TLS forçada por ter que criptografar todos os anexos por outros meios, como o GPG:

Opportunistic TLS is sufficient for most businesses. However, for business that have compliance requirements such as medical, banking, or government organizations, you can configure Exchange Online to require, or force, TLS.

Uma conta de administrador pode ver rapidamente quais conectores de fluxo de mensagens estão configurados para determinar essa configuração, mas existe um local ou método que um usuário não privilegiado tenha disponível para ver se a criptografia TLS é forçada ou não?

    
por John Eisbrener 29.08.2017 / 18:29

1 resposta

1

Como esta é uma configuração do lado do servidor, não é possível verificar a configuração sem acesso de administrador. Pode haver algumas "soluções alternativas" para o servidor Exchange, pois a maioria das configurações é armazenada no ActiveDirectory e pode (dependendo da sua configuração) ser possível verificar o ActiveDirectory via LDAP, no entanto, com o Exchange Online, isso pode não funcionar.

Uma opção possível para você pode ser usar o nslookup, obter o MX Server, executar um telnet com esse servidor e verificar se eles oferecem startTLS (veja um exemplo aqui ). Mas isso não significa que eles também imporão isso, mas você pode tentar isso dessa maneira.

A propósito, cada usuário pode verificar o MailHeader e, portanto, pode ver se o email foi enviado via TLS ou não. A parte do TLS em um email pode ser semelhante a:

Received: from p01c11m074.mxlogic.net (mxl144v247.mxlogic.net [2.2.2.2])
    by abc.contoso.com (4.4.4/8.8.8) with ESMTP id r123456789
    (version=TLSv1/SSLv3 cipher=DHE-RSA-AES256-SHA bits=256 verify=NOT)
    for <[email protected]>; Mon, 19 Aug 2013 09:41:19 -0500

Você vê aqui a seção TLS dentro do email. No entanto, você não vê se isso foi aplicado ou não.

    
por 30.08.2017 / 20:25