Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Exchange 2003 SMTP Verbindung mit SSL TLS

Frage Microsoft Exchange Server

Mitglied: joergx66

joergx66 (Level 1) - Jetzt verbinden

18.11.2013, aktualisiert 09:31 Uhr, 16271 Aufrufe, 22 Kommentare

Hallo,

wir haben ein SBS 2003 mit Exchange-Server. Nun möchte ich den ausgehenden Mailverkehr auf SSL/TLS umstellen. Das geht ja bei jedem beliebigen Email-Programm völlig problemlos, nur bei anscheinend bei Exchange nicht. Die mails werden über den Server smtp.strato.de veschickt, dies ist auch im SMTP-Connector so eingetragen, funktioniert problemlos.Wenn ich jetzt unter Erweitert/Ausgehende Sicherheit das Häckchen TSL-Verschlüsselung aktiviere, dann werden die mails nicht verschickt. Ich hab etwas recherschiert, anscheinend muss erst ein Zertifikat installiert werden??
Gibt es keine einfache Möglichkeit, das einzurichten?
Wenn die mails direkt über Outlook oder ein anderes Programm verschickt werden, dann geht das ja auch....
Mitglied: Chonta
18.11.2013 um 11:14 Uhr
Hallo,

was genau willst Du einrichten?
Die Kommunikation zwischen deinem Exchange und seinen Clients für TLS oder die TLS Kommunikation zwischen Exchange und dem Relayhost bei Strato?

Gruß

Chonta

PS: Wenn der Stratoserver kein TLS kann und Du von deinem Mailserver verlangst nur über TLS zu versenden, wird er die Mails behalten, bis Strator auch TLS erlaubt und vorallem deine Verwendeten Zertifikate für OK befindet.
TLS ist wichtig für die Kommunikation zwischen deinem Mailserver und den Mailclients, damit die Benutzerdaten nicht so ohne weiteres ausgelesen werden, aber TLS zwischen Mailservern, naja macht die Mail nicht wirklich sicher.
Sichere Email ist immer PGP verschlüsselt womit wir wieder bei Einfach währen.
Bitte warten ..
Mitglied: joergx66
18.11.2013 um 11:52 Uhr
Zitat von Chonta:

Hallo,

was genau willst Du einrichten?
Die Kommunikation zwischen deinem Exchange und seinen Clients für TLS oder die TLS Kommunikation zwischen Exchange und dem
Relayhost bei Strato?

Die Kommunikation zwischen Exchange und dem Relayhost bei Strato. Bei jedem "normalen" Mailprogramm muss man nur als Ausgangsserver "smtp.strato.de" eingeben, als Port 465 und das Häkchen bei SSL oder TLS setzen. Zertifikate werden keine benötigt. Das muss doch bei Exchange auch gehen...


Gruß

Chonta

PS: Wenn der Stratoserver kein TLS kann und Du von deinem Mailserver verlangst nur über TLS zu versenden, wird er die Mails
behalten, bis Strator auch TLS erlaubt und vorallem deine Verwendeten Zertifikate für OK befindet.
TLS ist wichtig für die Kommunikation zwischen deinem Mailserver und den Mailclients, damit die Benutzerdaten nicht so ohne
weiteres ausgelesen werden, aber TLS zwischen Mailservern, naja macht die Mail nicht wirklich sicher.
Sichere Email ist immer PGP verschlüsselt womit wir wieder bei Einfach währen.
Bitte warten ..
Mitglied: Chonta
18.11.2013 um 16:16 Uhr
Hallo,

Exchange ist ein MAILSERVER/Groupware und nicht irgendein Mailclient wie Outlook/Thunderbird.
Bei den Mailprogrammen wird für die Verbindung von TLS auf der Seite des Servers ein Zertifikat abgefragt und wird dann überprüft.
Wenn das Zertifikat des Servers von einer Zertifizierungsstelle kommt welche der Client vertraut ist alles Ok ansonsten gibt es erstmal ne Warnung.

Ein Check über Telnet, der Stratoserver bietet Starttls an.


http://www.networkworld.com/news/2007/011807-tls4.html

Gruß

Chonta
Bitte warten ..
Mitglied: Adomi66
18.11.2013 um 19:35 Uhr
Da muss ich Chonta beipflichten. Exchange ist ja selbst ein Mailserver und kein Mail-Client wie Thunderbird oder Outlook. Bei den Clients ist TLS (Verschlüsselung über Standardport 25) oder besser SSL (vollständige Ende-zu-Ende-Verschlüsselung via SMTP/465 oder SMTP/587) essentiell, damit die Kommunikation zwischen den Clients und dem Exchange Mailserver nicht abgehört werden kann, um etwa Account-Daten auszuspähen. Dabei fragt der Mail-Client wie Chonta schon sagt die für die Verbindung via TLS benötigten Zertifikate des Servers ab. Wenn Du also beispielsweise Deinen eigenen Exchange-Server Deinen Clients gegenüber als SMTP-Server anbietest, muss der über ein Zertifikat verfügen. Man kann entweder selber eines erstellen (wenn das mitgelieferte abgelaufen oder was auch immer ist) oder eines von einer öffentlichen CA kaufen. Wenn Deine Clients der CA vertrauen ist alles OK. Bei einem selbst erstellten Zertifikat müssen die eine Warnung bestätigen. Wenn es Dir in erster Linie um sicheres E-Mail geht, müssen Deine Nutzer den Content via S/MIME oder PGP verschlüsseln. Dann kann die Mail zwar beim Übertragen mitgelesen werden, der Angreifer hat dann aber nichts mehr davon. Zwischen Mailservern aber ist TLS eigentlich nicht üblich und der Aufwand wäre auch viel zu groß. Man stelle sich nur vor, mit wie vielen externen Mailservern der kommuniziert? Selbst bei einen Anbieter wie Strato oder GMX steht ja nicht nur ein einziger Mail-Server, sondern eine ganze Serverfarm und bei jedem kann sich die Konfiguration auch wieder ändern. Zudem könnte eine Mail ja auch beim jeweiligen Backup-MX landen und der wäre dann mitunter auch nicht für TLS konfiguriert. Auch wenn SSL zwischen Mailservern prinzipiell möglich ist, ist das in diesem Kontext nicht die Aufgabe von SMTP.

Da es Dir also offenbar und verständlicherweise um Sicherheit geht, sensibilisiere Deine Nutzer für PGP oder S/Mime. Ferner wundert es mich, dass Du zwar großen Wert auf E-Mail-Sicherheit legen willst, aber einen betagten SBS 2003 verwendest. Selbst der SBS 2011 ist ja inzwischen eingestellt worden. Wie lange da MS noch Patches liefert, weiß ich gerade auch nicht, aber in der Community wird seit Monaten darüber diskutiert, was tun mit einem auslaufenden SBS 2011. Wir haben z.B. vor rund einem Jahr auf Linux umgestellt, konkret einem Univention Corporate Server 3.1(http://www.univention.de/produkte/ucs/ucs-komponenten/) als SBS-Ersatz mit Zarafa (http://www.univention.de/produkte/ucs/app-katalog/app/details/zarafa) als Exchange-Ersatz. Beides kostet uns deutlich weniger als die vergleichbaren MS-Lizenzen und das Gespann bietet die gleichen Funktionalitäten und darüber hinaus noch Einiges mehr. Zarafa lässt sich in der webbasierten Administrationskonsole des UCS als App installieren. Sogar Outlook lässt sich weiter als Client verwenden und selbstverständlich übernimmt der UCS Server auch die Benutzer-Authentifizierung und dient dank Samba 4 gleichermaßen als Active Directory Controller und als File-Server. Das nur ein Tipp am Rande. Es gibt übrigens zum Ausprobieren eine Demo, eine Testversion und sogar eine voll funktionsfähige für private Nutzung kostenlose Version.
Bitte warten ..
Mitglied: joergx66
19.11.2013 um 08:00 Uhr
Es geht mir eigentlich darum, dass die meisten Provider ab 2014 nur noch eine verschlüsselte Kommunikation per SSL zulassen und Strato wird wohl auch dazugehören. Daher möchte ich das frühzeitig einrichten. Die mails per POP3 abholen ist kein Problem, wir haben hier den Popbeamer und der kann POP3 mit SSL/TLS. Nur weiß ich eben nicht, wie ich das für SMTP mit Exchange einrichten soll....
Bitte warten ..
Mitglied: Chonta
19.11.2013 um 09:11 Uhr
Hallo,

das mit der TLS Kommunikation zwischen den Mailservern der "meißten Anbieter" ist in meinen Augen nur Augenwischerei.
Warum?
In der Sekunte wo mails zu einem Mailserver geschickt werden, der kein TLS unterstützt, (warum auch immer) ist die Kette unterbrochen und der Schutz ist nicht mehr gegeben.
Wenn die Mail auf dem Mailserver eingegangen ist, kann sie dort auch gelesen werden, wenn die Mail an sich nicht verschlüsselt ist.
Mit anderen Worten, in Deinem Fall einer bei Strato lange weile hat, kann der alle Mails die über den Server bei ihm gehen auch lesen, weil nur der Weg von deinem Server zu seinem Server und von seinem Server zum Zielserver (über X Server dazwischen für die das selbe gillt!) verschlüsselt ist. Die Verarbeitung der mails auf dem jeweiligen Server ist nicht abgesichert.

So da Du die Mails per POP abholst und nicht vom Stratoserver per SMTP zugestellt bekommst, und Deinerseits die Mails nicht selber verschickst sondern über Strato als Relay arbeitet Dein vollwertiger Mailserver wie ein Mailclient.
Bedeutet: Du musst überprüfen wie die Autentifizierung denes Servers bei Strato abläuft. Login oder IP? Wenn Du zur Autentifizierung Logindaten an den Stratoserver übermittels, sollte zwischen Dir und Strato eine TLS Verbindung genutzt werden, dafür musst Du keine Zertifikate haben sondern musst nur dessen Zertifikate akzeptieren.

Gruß

Chonta
Bitte warten ..
Mitglied: joergx66
19.11.2013 um 10:38 Uhr
Zitat von Chonta:


So da Du die Mails per POP abholst und nicht vom Stratoserver per SMTP zugestellt bekommst, und Deinerseits die Mails nicht selber
verschickst sondern über Strato als Relay arbeitet Dein vollwertiger Mailserver wie ein Mailclient.
Genauso ist es.

Bedeutet: Du musst überprüfen wie die Autentifizierung denes Servers bei Strato abläuft. Login oder IP? Wenn Du zur
Autentifizierung Logindaten an den Stratoserver übermittels, sollte zwischen Dir und Strato eine TLS Verbindung genutzt
werden, dafür musst Du keine Zertifikate haben sondern musst nur dessen Zertifikate akzeptieren.

Und da liegt das Problem, ich bekomme das einfach nicht hin. Die "normale" SMTP-Verbindung über Port 25 ohne TLS funktioniert ohne Probleme, als Autentifizierung werden die Logindaten übermittelt. Dies ist auch so im SMTP-Connector eingetragen. Der Stratoserver verlangt für TLS Port 465. Ich kann diesen im "virtuellen Standartserver für SMTP" zwar von 25 auf 465 ändern und auch das Häckchen bei TLS setzen, die mails werden aber nicht übermittelt und hängen in der Warteschlange.
Bitte warten ..
Mitglied: Chonta
19.11.2013 um 14:13 Uhr
Hallo,

was sagt das Logfile (Server als auch Exchangelog)?
Was sagt Wireshark?
Könnte eine Firewallregel was blocken?
Evtl mal Screenshots machen was angeklickt wurde.

Gruß

Chonta
Bitte warten ..
Mitglied: Wonder2010
04.02.2014 um 17:12 Uhr
Hallo,

da ja nun Strato Ernst macht stehen nun viele Admins vor dem selben Problem.
Wie kann ich bei Exchange 2003 die Mails über TLS an Strato versenden?

Ich habe bislang keine Möglichkeit gefunden.
Wer kann mir hier helfen.

Ich habe bereits folgende Versuche unternommen:
Ausgehender Connector:
- Erweitert
- Ausgehende Sicherheit
- Haken bei TLS-Verschlüsselung

Virtueller Standardserver
- Allgemein
- Ports umgestellt auf vin 25 auf 465 umgestellt
- Zugriff - Zugriffskontrolle - Authentifizierung
- TLS-Verschlüsselung erforderlich

Dann habe ich folgende Dienste neu gestartet:
- Exchange Routingmodul (RESvc)
- Simple Mail Transfer Protocol (SMTP)

Gruß

Arne
Bitte warten ..
Mitglied: Chonta
04.02.2014 um 17:26 Uhr
Hallo,

wenn Du im Routingconnector bei Ausgehender Sicherheit einstellst, TLS, dann wird der SBS auch TLS versuchen.
Aber damit das geht, muss dem Zertifikat was beim Stratomailserver dahinter sthet vertraut werden.
Kein vertrauen kein TLS und Fallback ohne TLS.

Wie wird Autentifiziert? Über eure IP-adresse oder habt ihr da Logindaten mit denen sich euer Server bei deren Server melden muss?
Das wird sich aber nicht Ändern, außer Strato sagt, das ändert sich auch und gibt Anweisungen dafür.

Das Du deine Empfangports umstellst ist ja gut und schön, aber bringt dich nicht weiter und ggf Probleme soltest Du deinen Exchange als echten Mailserver verwenden.

Gruß

Chonta
Bitte warten ..
Mitglied: Wonder2010
04.02.2014 um 18:07 Uhr
Hallo Chonta,

ich habe nun im "Virtuelle Standard-Server für SMTP" unter Übermittlung "Ausgehende Sicherheit" TLS-Verschlüsselung gewählt.
Aus meiner Sicht sollte es im Ausgangsconnector im Exchange 2003 eingetragen sein??

Authentifiziert wird über Username+Passwort.
Ich sehe aber keine Chance an das Zertifikat für den Host smtp.strato.de zu kommen.
Wenn ich es doch irgendwie bekomme, wo muss es denn in meinem Zertifikatsstore landen?

Gibt es denn irgendwo eine funktionierende Anleitung, die ich bislang übersehen haben.

Wir haben zwar eine feste IP, aber ich komme nicht kurzfristig an das Reverse-DNS Mapping ran.

Da wir aber einige andere Kunden haben, auf die das Problem zukommen wird, hätte ich gerne eine Lösung über den Smarthost von Strato.

Gruß

Arne
Bitte warten ..
Mitglied: joergx66
04.02.2014 um 20:05 Uhr
Hallo zusammen,

Nachdem ich wirklich alles versucht habe und mir der Strato-Support auch keine Lösung anbieten konnte, bin ich auf das Programm Multisendcon Lite (http://www.servolutions.de/multisendcon.htm) gestoßen.

Es dient als Relayserver für Exchange und leitet die mails dann an Strato weiter, sogar mit SSL (Port 465).

Habe die 30-Tage Testversion installiert und nach einigem Konfigurationsaufwand scheint alles zu funktionieren, die mails gehen jetzt problemlos raus.
Eigentlich genau das, was ich wollte.

Ich werde das noch einige Zeit beobachten und wenn alles klappt, die Vollversion kaufen.

Ich hoffe, dass das Problem damit endlich gelöst ist!

Gruß Jörg
Bitte warten ..
Mitglied: Wonder2010
04.02.2014 um 22:12 Uhr
Hallo Jörg,

hast du es mit einem Exchange 2003 Server realisiert?
Ich quäle mich gerade damit rum.

Gruß

Arne
Bitte warten ..
Mitglied: joergx66
04.02.2014 um 22:53 Uhr
Ja, mit Exchange 2003 und SBS 2003. Läuft jetzt seit einer Woche ohne Probleme.


Gruß Jörg
Bitte warten ..
Mitglied: wolf2006
03.03.2014 um 17:20 Uhr
Hallo Jörg,

vielen Dank für Deine Nachricht.

Hattest Du auch probiert, den Default-Port im Virtuellen Standard Server auf 587 umzustellen und anschließend das TLS im Exchange Server aktiviert?

Dies sollte ja eigentlich funktionieren, tut es bei mir seltsamerweise aber nicht...

Danke für Deine Antwort und viele Grüße

Wolf
Bitte warten ..
Mitglied: joergx66
03.03.2014 um 21:16 Uhr
Ja habe ich probiert, hat aber auch nicht funktioniert.

Die einzig funktionierende Lösung war bei mir die oben beschriebene.
Bitte warten ..
Mitglied: wolf2006
03.03.2014 um 21:19 Uhr
Hallo Jörg,

vielen Dank für Deine Antwort.

Ich habe nun auch MultiSendCon installiert und es läuft alles wunderbar!

Tausend Dank für den Tip.

Grüße

Wolf
Bitte warten ..
Mitglied: hobala
01.10.2014 um 22:14 Uhr
Habe eben eine funktionierende (kostenlose) Lösung gefunden:

Problembeschreibung:
Es wurden bisher Mails über einen sogenannten smart relay host an post.strato.de über das Account xxx@meinedaomain.de per SMTP/Port 25 verschickt (SMTP_AUTH)
Strato hat zum 30.09.2014 offenbar diesen Versand beendet und erfordert SSL/TLS Authentifizierung.
Dadurch konnten keine Emails mehr verschickt werden.

Lösung:
a) Es musste von "post.strato.de" auf „smtp.strato.de“ umgestellt werden.
b) Es musste TLS eingestellt werden.
c) Es musste von Port 25 auf Port 587 umgestellt werden.
Hinweis: Exchange Server können kein SSL sondern nur TLS-Verschlüsselung. Diese wird von Strato nur noch auf dem Port 587 zur Verfügung gestellt!
sh. dazu auch den Artikel bei Strato (mit Hinweis auf Exchange 2003):

Hinweis auf der Seite: http://strato-faq.de/article/118/Wie-kann-ich-meine-E-Mails-%C3%BCber-e ...

Bitte beachten Sie: Bei der Verwendung als Smarthost (Relay), bspw. über Exchange 2003, verwenden Sie bitte die Standardauthentifizierung per TLS (STARTTLS) über den Port 587 (alternativ Port 25). Zur Authentifizierung verwenden Sie bitte wie gewohnt Ihre E-Mailadresse sowie das dazu gehörige E-Mailpasswort.


Die Nutzung als offenes Mail-Relay ist nicht möglich, da ausschließlich das SMTP-Auth-Verfahren unterstützt wird.


Start – Alle Programme – Microsoft Exchange – System-Manager starten

Rechte Maustaste auf dem Virtuellen Standard Server für SMTP
Eigenschaften
Karte „Übermittlung“ öffnen
Schaltfläche „Ausgehende Sicherheit“ öffnen und dort „TLS-Verschlüsselung“ aktivieren.
Schaltfläche „Ausgeh. Verbindungen“ öffnen und dort den Port auf „587“ umstellen (Feld „TCP-Anschluss“).
Karte „Nachrichten“ öffnen und dort den Server auf „smtp.strato.de“ umstellen.

Im Exchange System-Manager dann zum smtp-Connector (für smart relay host) wechseln:

Rechte Maustaste Eigenschaften
Unter „Allgemein“ den Server auf „smtp.strato.de“ umstellen (gesamte Mail an diesen Host weiterleiten …)
Karte „Erweitert“: Hier unter „Ausgehende Sicherheit“ auf TLS-Verschlüsselung umstellen.
Den Exchange System-Manager schließen (erst dann werden die Änderungen aktiv …)
Bitte warten ..
Mitglied: maverick-w
11.03.2015 um 21:05 Uhr
Hallo hobala

ich habe deinen Lösungsvorschlag ausprobiert, leider funktioniert dieser bei mir nicht... Alle Mails bleiben in der Warteschlange (unten steht "Es ist ein SSL-Fehler aufgetreten"). Die Ereignisanzeige liefert leider nichts...

Vielleicht kannst Du nochmals nachschauen und mir Tipps geben:

Unter "Virtueller Standardserver.."->Übermittlung->Ausgehende Sicherheit: - Standardauthentifizierung auswählen und Strato Zugangsdaten eingeben?
Unter "Virtueller Standardserver.."->Übermittlung->Erweitert: - Smarthost smtp.strato.de eintragen? FQDN ist die domain.tld?

Zur Struktur hier: Die Domäne ist eine 2003er domainxxx.local, die domainxxx.de liegt bei Strato, MX-Record ist auf die feste IP, Versand über Smarthost.

Viele Dank!
Bitte warten ..
Mitglied: hobala
14.03.2015, aktualisiert um 01:31 Uhr
Strato scheint seit letzten Freitag nun TLS v1.0 nicht mehr zu unterstützen: auch bei mir blieben nun die mails in der Queue mit SSL Fehler hängen.
Konnte mir helfen, indem ich den hmailserver installiert habe, der nun an Stelle des originalen smtp Dienstes über den Strato smarthost (über TLS v1.2) sendet.
Bitte warten ..
Mitglied: maverick-w
14.03.2015 um 09:06 Uhr
Besten dank für die Nachricht. Hatte das gleiche gemacht, allerdings mit dem MultiSendCon.
Bitte warten ..
Mitglied: hobala
14.03.2015 um 09:23 Uhr
hmailserver ist halt kostenlos ,..
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Exchange Server
Exchange 2003 auf 2007 Implace Migration (18)

Frage von Herbrich19 zum Thema Exchange Server ...

Vmware
SSL TLS Fehler Veeam VMware (3)

Information von hagerino zum Thema Vmware ...

Exchange Server
Exchange 2010 SMTP-Connector - zusätzliches Relay (6)

Frage von FA-jka zum Thema Exchange Server ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Festplatten, SSD, Raid
M.2 SSD wird nicht erkannt (14)

Frage von uridium69 zum Thema Festplatten, SSD, Raid ...