Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Exchange 2007: TLS aktivieren

Frage Microsoft Exchange Server

Mitglied: thaefliger

thaefliger (Level 1) - Jetzt verbinden

23.12.2013, aktualisiert 26.12.2013, 9528 Aufrufe, 3 Kommentare

Hallo zusammen

Die ganze Thematik um Mail-Verschlüsselung ist mir leider nicht geläufig,
ich hoffe Ihr könnt mir helfen.

Wir haben einen Kunden, der hat einen SBS 2008 (mit Exchange 2007) im Einsatz.
Seine Versicherung pocht nun darauf, dass der Mailverkehr zwischen unserem Kunden
und der Versicherung mit TLS verschlüsselt wird.

Die eingehenden Mails werden via einen Mailrelay, der auf Spam/Viren prüft, dann
weiter zum Exchange des Kunden geschickt (normal SMTP Port 25).
Ausgehende Mails werden vom Exchange über den Mailserver der Swisscom verschickt, der als Smarthost dient.

Dazu habe ich ein paar Fragen:

- Welche Voraussetzungen müssen gegeben sein, dass der Exchange ein- und ausgehend TLS akzeptiert / Standardmässig versucht?
- Ist es mit der aktuellen Konfiguration/Konstellation überhaupt möglich?
- Was ist konkret am Exchange zu konfigurieren?
- Wenn der Exchange nun standardmässig die Mails mit TLS verschlüsselt, und die Gegenstelle kann das nicht, was passiert dann?


Danke schon für eure Hilfe.

Beste Grüsse
Thomas
Mitglied: colinardo
LÖSUNG 24.12.2013, aktualisiert 26.12.2013
Hallo Thomas,
Zitat von thaefliger:
- Welche Voraussetzungen müssen gegeben sein, dass der Exchange ein- und ausgehend TLS akzeptiert / Standardmässig
versucht?
Also, für eingehenden TLS-Verkehr brauchst zu aller erst am besten ein gültiges Zertifikat einer öffentlichen Zertifizierungsstelle das auf den DNS-Namen deines Mailservers ausgestellt ist. Hier liegt es nun an der Gegenstelle ob sie TLS verschlüsselt überträgt oder nicht, das musst du mit dem Mail-Relay abklären das dort die TLS-Option gesetzt wird. Bei Opportunistic TLS (wahlweises TLS) entscheiden beide Mailserver ob Mails verschlüsselt übertragen werden. Bietest du auf deinem Mailserver zusätzlich die Option TLS an und ein anderer Server auf dem ebenfalls die Option TLS gesetzt ist möchte eine Mail bei dir abladen, wird der Transport der Mail verschlüsselt abgewickelt. Kommt ein anderer Mailserver ohne aktivierte TLS-Option, wird unverschlüsselt übertragen. Bei Required TLS muss die Gegenstelle auf jeden Fall TLS unterstützen, diese Option ist bei einem öffentlichen Mailserver im Moment keine Option, denn ein sehr geringer Anteil der Server hat TLS auf SMTP aktiviert.

Wenn du das ganze mal testen willst (am besten erst mal in einer VM), installiere also ein Zertifikat in deinem Exchange und weise dieses dem SMTP-Dienst zu (Unter Serverkonfiguration > Zertifikate in der EMC). Dann aktivierst du auf dem Receive-Connector die Option TLS und Domänensicherheit aktivieren(Gegenseitige TLS-Authentifizierung) (zu finden unter Serverkonfiguration > Hub-Transport > Empfangsconnectors). Wenn nun alles korrekt eingestellt ist und das Zertifikat gültig ist, verbindest du dich mal mit Telnet auf den Server.
telnet smtp.mailserver.de 25
dann gibst du
ehlo localhost
ein. Der Server gibt nun die unterstützen Verfahren aus; Wenn dort die Option 250-STARTTLS aufgelistet wird steht der optionalen TLS-Übertragung nichts mehr im Wege. Siehe auch hier.

Den ausgehenden TLS-Verkehr kannst du in deiner Konstellation bei der Verwendung eines Smarthosts eigentlich nur mit einem zusätzlichen Send-Connector lösen (ich weiß gerade nicht ob der SBS2008 mehrere Send-Connectors unterstützt) welcher die Mails direkt an den Server der Versicherung zustellt, oder einem anderen Mailserver mit öffentlicher IP den du unter deiner Kontrolle hast. Für die erste Lösung erstellst einen neuen Send-Connector der nur den SMTP-Namensraum der Versicherung beinhaltet (z.B. versicherung-yx.de), aktivierst dort das Senden über DNS(via MX) und die Option Domänensicherheit aktivieren(Gegenseitige TLS-Authentifizierung). Dieser Connector springt also nur an wenn Mails an die Versicherung raus gehen, bei anderen wird weiterhin der Smarthost verwendet. Für die direkte Kommunikation mit dem Mailserver der Versicherung benötigst du dann aber normalerweise eine feste externe IP-Adresse damit die Mails am Server der Versicherung nicht abgelehnt werden (dynamische IP-Adressen werden ja meistens geblockt).

Damit aber die Transport-Verschlüsselungskette zur und von der Versicherung vollständig ist muss das genannte Mailrelay ebenfalls die TLS-Option eingehend und ausgehend unterstützen, sonst ist das ganze witzlos. Und noch zu Erinnerung: TLS verschlüsselt nur den Transport nicht aber die Mail selber. Folgender Beitrag klärt auch darüber auf: http://www.administrator.de/forum/e-mail-%C3%9Cbertragung-zwischen-mail ...
Da hat wohl wieder ein Manager der Versicherung Anweisungen an die IT gegeben ohne darüber aufgeklärt worden zu sein

Hoffe das klärt deine Fragen dazu soweit erst mal.
Grüße Uwe

Hier das ganze nochmal grafisch:

0fad75337ddd836e398bf373ac1d2308 - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: thaefliger
26.12.2013 um 22:40 Uhr
Hallo Uwe

Wow, deine Beschreibung ist ja wie ein Weihnachtsgeschenk! Vielen Dank!

Frage zum Zertifikat: es gibt bereits ein SSL-Zertifikat, welches auf remote.firma.ch ausgestellt ist.
Ich nehme mal nicht an, dass ich dieses gleich dafür verwenden kann, oder? Wäre wohl zu schön...

Und es macht wohl durchaus Sinn, bevor ich grosse Aufwände starte, mal alle beteiligten Server
(also Swisscom Smarthost, Mailrelay) auch mal mit ehlo abzufragen, ob die das überhaupt können?

Fixe öffentliche IP ist natürlich vorhanden, nur den Reverse-DNS Eintrag gibt's glaub noch nicht.


Gruss
thomas
Bitte warten ..
Mitglied: colinardo
27.12.2013, aktualisiert um 11:38 Uhr
Zitat von thaefliger:
Frage zum Zertifikat: es gibt bereits ein SSL-Zertifikat, welches auf remote.firma.ch ausgestellt ist.
Ich nehme mal nicht an, dass ich dieses gleich dafür verwenden kann, oder? Wäre wohl zu schön...
wenn der FQDN des Zertifikates dem des Servers entspricht und dieser diesen Namen auch in der Rückmeldung über Telnet ausgibt und das Zertifikat folgende Erweiterungen besitzt Digitale Signatur, Schlüsselverschlüsselung dann schon.
Es ist zwar so das viele Mailserver die Zertifikate bei STARTTLS nicht auf Gültigkeit prüfen, aber darauf würde ich mich in Zukunft nicht verlassen, sondern es gleich mit einem gültigen Zertifikat umsetzen.

Und es macht wohl durchaus Sinn, bevor ich grosse Aufwände starte, mal alle beteiligten Server
(also Swisscom Smarthost, Mailrelay) auch mal mit ehlo abzufragen, ob die das überhaupt können?
sicher kannst du das machen, so kannst du aber nur feststellen ob der jeweilige Server auf eingehenden Seite TLS akzeptiert. Auf ausgehender Seite musst du entweder die Verantwortlichen für die Systeme fragen oder testweise den Netzwerkverkehr mit Wireshark mitschneiden, wenn eine Mail vom Relay reinkommt.

Fixe öffentliche IP ist natürlich vorhanden, nur den Reverse-DNS Eintrag gibt's glaub noch nicht.
den solltest du dann dort beantragen wo die feste IP bezogen wurde.

Grüße Uwe
Bitte warten ..
Ähnliche Inhalte
Exchange Server
Exchange 2007 ECP aktivieren
Frage von taK1993xExchange Server1 Kommentar

Hallo liebe Community, und zwar würde ich gerne das ECP aktivieren. Wenn ich im Exchange unter "Serverkonfiguration" -> "Clientzugriff" ...

Windows Server
TLS 1.2 will sich auf dem SBS 2011 nicht aktivieren
Frage von cymodeWindows Server5 Kommentare

Guten Morgen, Ich habe hier die Anleitung befolgt: Siehe Bild hier von der Konfiguration: Alle Server und Client Ordner ...

Exchange Server
TLS Update bei SBS2003 Exchange
Frage von MickiExchange Server2 Kommentare

Gibt es die Möglichkeit bei einem Exchangeserver von SBS2003 die TLS Version auf 1.2 upzudaten?

Exchange Server
Exchange 2007 auf sbs2008 Sendeconnector TLS wegen 1und1 Umstellung
Frage von elpresidente1982Exchange Server1 Kommentar

Hallo Leute wir nutzen POPCON auf dem Server über POP3-SSL . Soweit so gut. Doch wie und wo muss ...

Neue Wissensbeiträge
Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 8 StundenInternet2 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 12 StundenDSL, VDSL1 Kommentar

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Windows 10

Microsoft bestätigt DMA-Policy-Problem in Win10 v1709

Information von DerWoWusste vor 12 StundenWindows 10

Wer sein Gerät mit der DMA-Policy absichert, bekommt evtl. Hardwareprobleme in v1709 von Win10. Warum? Weil v1709 endlich "richtig" ...

Verschlüsselung & Zertifikate

Die Hölle friert ein weiteres Stück zu: Microsoft integriert OpenSSH in Windows

Information von ticuta1 vor 15 StundenVerschlüsselung & Zertifikate

Interessant Die Hölle friert ein weiteres Stück zu: Microsoft integriert OpenSSH in Windows SSH-Kommando in CMD.exe und PowerShell

Heiß diskutierte Inhalte
Netzwerkmanagement
Mehrere Netzwerkadapter in einem PC zu einem Switch zusammenfügen
Frage von prodriveNetzwerkmanagement21 Kommentare

Hallo zusammen Vorweg, ich konnte schon einige IT-Probleme mit Hilfe dieses Forums lösen. Wirklich klasse hier! Doch für das ...

Hardware
Links klick bei Maus funktioniert nicht
gelöst Frage von Pablu23Hardware16 Kommentare

Hallo erstmal. Ich habe ein Problem mit meiner relativ alten maus jedoch denke ich nicht das es an der ...

Windows Server
Anmeldung direkt am DC nicht möglich
Frage von ThomasGrWindows Server15 Kommentare

Hallo, ich habe bei unserem Server 2016 Standard ein Problem. Keine Ahnung wie das auf einmal passiert ist. Ich ...

TK-Netze & Geräte
VPN-fähige IP-Telefone
Frage von the-buccaneerTK-Netze & Geräte14 Kommentare

Hi! Weiss noch jemand ein VPN-fähiges IP-Telefon mit dem man z.B. einen Heimarbeitsplatz gesichert anbinden könnte? Habe nur einen ...