4
MAPI E-Email Versand - Verständnisfrage
Hallo,
Outlook bzw. Exchange nutzt ja das MS eigene proprietäre MAPI Protokoll für die Anbindung der Outlook Clients an Exchange.
Wenn der Exchange gleichzeitig auch der Mailserver ist der direkt Mails empfängt und ins Internet raus schickt, welches Protokoll nutzt dann Exchange für eine sichere Verbindung?
Ich kenne es aus der Praxis nur so, dass der Exchange meist vorgeschalten ist vor einem SMTP-Proxy und über einen Smarthost Mails versendet.
Wird ein Exchange Server heutzutage überhaupt noch mit dem Port 25 betrieben als SMTP Ausgang? Wie sieht das in der Praxis aus, sollten nicht alle Mails STARTTLS nutzen die rausgehen?
Vielen Dank
Outlook bzw. Exchange nutzt ja das MS eigene proprietäre MAPI Protokoll für die Anbindung der Outlook Clients an Exchange.
Wenn der Exchange gleichzeitig auch der Mailserver ist der direkt Mails empfängt und ins Internet raus schickt, welches Protokoll nutzt dann Exchange für eine sichere Verbindung?
Ich kenne es aus der Praxis nur so, dass der Exchange meist vorgeschalten ist vor einem SMTP-Proxy und über einen Smarthost Mails versendet.
Wird ein Exchange Server heutzutage überhaupt noch mit dem Port 25 betrieben als SMTP Ausgang? Wie sieht das in der Praxis aus, sollten nicht alle Mails STARTTLS nutzen die rausgehen?
Vielen Dank
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 281105
Url: https://administrator.de/contentid/281105
Printed on: April 26, 2024 at 18:04 o'clock
4 Comments
Latest comment
Hi,
E.
Outlook bzw. Exchange nutzt ja das MS eigene proprietäre IMAP Protokoll für die Anbindung der Outlook Clients an
Exchange.
Du meinst sicher MAPI.Exchange.
Wenn der Exchange gleichzeitig auch der Mailserver ist der direkt Mails empfängt und ins Internet raus schickt, welches
Protokoll nutzt dann Exchange für eine sichere Verbindung?
Ich kenne es aus der Praxis nur so, dass der Exchange meist vorgeschalten ist vor einem SMTP-Proxy und über einen Smarthost
Mails versendet.
Exchange ist ein "normaler" SMTP-Server. D.h. er kommuniziert mit anderen SMTP-Server, welche keine Exchange Server aus seiner eigenen Organisation sind, über SMTP.Protokoll nutzt dann Exchange für eine sichere Verbindung?
Ich kenne es aus der Praxis nur so, dass der Exchange meist vorgeschalten ist vor einem SMTP-Proxy und über einen Smarthost
Mails versendet.
E.
Exchange nutzt dafür aus- als auch eingehend SMTP. Egal, ob da noch ein Gateway dazwischenhängt.
Ein Gateway wird in der Regel als zusätzliche Schutzschicht verwendet um z.B. Spam oder Viren auszufiltern. Auch ist hier oft der Gedanke, dass bei einem (D)DOS-Angriff nur das Gateway lahmgelegt wird und nicht der eigentlich Server.
StartTLS ist eine Option innerhalb von SMTP. Dazu wird zunächst eine normale unverschlüsselte SMTP-Verbindung zum Zielserver aufgebaut und wenn sich beide auf StartTLS verständigen können, darauf umgeschaltet. Der empfangende Server muss dabei ein Zertifikat haben und StartTLS während der SMTP-Aushandlung anbieten.
Exchange kann dies sowohl sendend als auch empfangend. Während beim senden nichts extra eingerichtet werden muss, benötigt er zum verschlüsselten Empfangen ein Zertifikat, das auf den öffentlichen Hostnamen lautet. Exchange kann dazu entweder ein selfsigned erstellen oder man gibt ihm besser eins von einer anerkannten CA. Sobald Exchange eins hat, bietet er StartTLS automatisch an.
Ein Gateway wird in der Regel als zusätzliche Schutzschicht verwendet um z.B. Spam oder Viren auszufiltern. Auch ist hier oft der Gedanke, dass bei einem (D)DOS-Angriff nur das Gateway lahmgelegt wird und nicht der eigentlich Server.
StartTLS ist eine Option innerhalb von SMTP. Dazu wird zunächst eine normale unverschlüsselte SMTP-Verbindung zum Zielserver aufgebaut und wenn sich beide auf StartTLS verständigen können, darauf umgeschaltet. Der empfangende Server muss dabei ein Zertifikat haben und StartTLS während der SMTP-Aushandlung anbieten.
Exchange kann dies sowohl sendend als auch empfangend. Während beim senden nichts extra eingerichtet werden muss, benötigt er zum verschlüsselten Empfangen ein Zertifikat, das auf den öffentlichen Hostnamen lautet. Exchange kann dazu entweder ein selfsigned erstellen oder man gibt ihm besser eins von einer anerkannten CA. Sobald Exchange eins hat, bietet er StartTLS automatisch an.
Zitat von @DerSchorsch:
Exchange nutzt dafür aus- als auch eingehend SMTP. Egal, ob da noch ein Gateway dazwischenhängt.
Ein Gateway wird in der Regel als zusätzliche Schutzschicht verwendet um z.B. Spam oder Viren auszufiltern. Auch ist hier oft
der Gedanke, dass bei einem (D)DOS-Angriff nur das Gateway lahmgelegt wird und nicht der eigentlich Server.
StartTLS ist eine Option innerhalb von SMTP. Dazu wird zunächst eine normale unverschlüsselte SMTP-Verbindung zum
Zielserver aufgebaut und wenn sich beide auf StartTLS verständigen können, darauf umgeschaltet. Der empfangende Server
muss dabei ein Zertifikat haben und StartTLS während der SMTP-Aushandlung anbieten.
Exchange kann dies sowohl sendend als auch empfangend. Während beim senden nichts extra eingerichtet werden muss,
benötigt er zum verschlüsselten Empfangen ein Zertifikat, das auf den öffentlichen Hostnamen lautet. Exchange kann
dazu entweder ein selfsigned erstellen oder man gibt ihm besser eins von einer anerkannten CA. Sobald Exchange eins hat, bietet er
StartTLS automatisch an.
Exchange nutzt dafür aus- als auch eingehend SMTP. Egal, ob da noch ein Gateway dazwischenhängt.
Ein Gateway wird in der Regel als zusätzliche Schutzschicht verwendet um z.B. Spam oder Viren auszufiltern. Auch ist hier oft
der Gedanke, dass bei einem (D)DOS-Angriff nur das Gateway lahmgelegt wird und nicht der eigentlich Server.
StartTLS ist eine Option innerhalb von SMTP. Dazu wird zunächst eine normale unverschlüsselte SMTP-Verbindung zum
Zielserver aufgebaut und wenn sich beide auf StartTLS verständigen können, darauf umgeschaltet. Der empfangende Server
muss dabei ein Zertifikat haben und StartTLS während der SMTP-Aushandlung anbieten.
Exchange kann dies sowohl sendend als auch empfangend. Während beim senden nichts extra eingerichtet werden muss,
benötigt er zum verschlüsselten Empfangen ein Zertifikat, das auf den öffentlichen Hostnamen lautet. Exchange kann
dazu entweder ein selfsigned erstellen oder man gibt ihm besser eins von einer anerkannten CA. Sobald Exchange eins hat, bietet er
StartTLS automatisch an.
Ah vielen dank für die verständliche Antwort.
D.h man kann sagen jeder Mailserver der heute Mails versendet ist eigentlich mit einem SSL Zertifikat ausgestattet, da glaube ich viele Anbietet garkeine unverschlüsselten Mails auf Port 25 annehmen oder?
D.h in der Praxis, mein Exchange geht hin sendet über Port 25 (unverschlüsselt) eine Anfrage beim Zielserver ob ein SSL/TLS-Zertifikat verfügbar ist, wenn ja bekommt er eine Antwort und sendet anschließend erst die Mail mit Port 587 an den Zielserver. So korrekt?
Hallo,
Zumindest für öffentlich erreichbare Systeme ist dies im Standard so definiert.
Natürlich kann man das für bestimmte Systeme anderst konfigurieren, so könnten z.B. Partnerunternehmen definieren, dass es hier zwangsweise gilt. Scheitert die StartTLS-Aushandlung zwischen den definierten Systemen, schlägt die Übermittlung dann fehl.
Natürlich sollten heutzutage alle Mailserver StartTLS anbieten können.
Port 587 ist der sogenannte Submission Port. Eigentlich ist Port 25 nur für die Verbindung zwischen Servern gedacht gewesen. Damit ein Client (z.b. Thunderbird) Mails an einen Server übermitteln kann, wurde dieser Port eingeführt. Soweit zur Theorie, in der Praxis wurde meist doch auch Port 25 hierfür verwendet. Der Submission Port hat aber der Vorteil, dass man hier ganz offiziell Authentifizierung und Verschlüsselung (StartTLS) erzwingen kann.
Ein gültiges Szenario sieht z.B. so aus:
Der Server lauscht auf Port 25 und bietet StartTLS an. Angenommen werden jedoch nur Mails für eigene existierende Empfänger. Ebenso lauscht er auf 587, erzwing hier aber Authentifizierung und Verschlüsselung. Ein Client der sich hier erfolgreich angemeldet hat, darf Mails an beliebige Empfänger sichen. Ist das Ziel nicht lokal, wird der zuständige Server gesucht und auf Port 25 kontaktiert. Bietet dieser StarTLS an wird verschlüsselt übermittelt, ansonsten unverschlüsselt.
D.h man kann sagen jeder Mailserver der heute Mails versendet ist eigentlich mit einem SSL Zertifikat ausgestattet,
Nein, nicht der sendende sondern der empfangende Mailserver muss das Zertifikat haben. Es ist durchaus möglich, dass man mehrere Server einsetzt, von denen einige nur zum Empfang, die anderen nur fürs Senden gedacht sind. In diesem Fall würden für die sendenden keine Zertifikate benötigt. In der Praxis dürften die meisten Mailserver beide Funktionen ausführen und trennen dies nur in Unterprogramme auf.da glaube ich viele Anbietet garkeine unverschlüsselten Mails auf Port 25 annehmen oder?
Doch, alle tun das, denn StartTLS ist optional. Wenn die beteiligten Systeme sich nicht auf eine Verschlüsselung einigen können, wird unverschlüsselt gesendet. Dies kann passsieren, wenn der Empfänger kein Zertifikat hat oder generell dafür konfiguriert ist oder es keine gemeinsamen Algotithmen gibt.Zumindest für öffentlich erreichbare Systeme ist dies im Standard so definiert.
Natürlich kann man das für bestimmte Systeme anderst konfigurieren, so könnten z.B. Partnerunternehmen definieren, dass es hier zwangsweise gilt. Scheitert die StartTLS-Aushandlung zwischen den definierten Systemen, schlägt die Übermittlung dann fehl.
Natürlich sollten heutzutage alle Mailserver StartTLS anbieten können.
D.h in der Praxis, mein Exchange geht hin sendet über Port 25 (unverschlüsselt) eine Anfrage beim Zielserver ob ein
SSL/TLS-Zertifikat verfügbar ist, wenn ja bekommt er eine Antwort und sendet anschließend erst die Mail mit Port 587 an
den Zielserver. So korrekt?
Nein, StartTLS baut keine neue Sitzung zu einem anderen Port auf. Es wird einfach mit der bereits vorhandenen Sitzung weitergearbeitet.SSL/TLS-Zertifikat verfügbar ist, wenn ja bekommt er eine Antwort und sendet anschließend erst die Mail mit Port 587 an
den Zielserver. So korrekt?
Port 587 ist der sogenannte Submission Port. Eigentlich ist Port 25 nur für die Verbindung zwischen Servern gedacht gewesen. Damit ein Client (z.b. Thunderbird) Mails an einen Server übermitteln kann, wurde dieser Port eingeführt. Soweit zur Theorie, in der Praxis wurde meist doch auch Port 25 hierfür verwendet. Der Submission Port hat aber der Vorteil, dass man hier ganz offiziell Authentifizierung und Verschlüsselung (StartTLS) erzwingen kann.
Ein gültiges Szenario sieht z.B. so aus:
Der Server lauscht auf Port 25 und bietet StartTLS an. Angenommen werden jedoch nur Mails für eigene existierende Empfänger. Ebenso lauscht er auf 587, erzwing hier aber Authentifizierung und Verschlüsselung. Ein Client der sich hier erfolgreich angemeldet hat, darf Mails an beliebige Empfänger sichen. Ist das Ziel nicht lokal, wird der zuständige Server gesucht und auf Port 25 kontaktiert. Bietet dieser StarTLS an wird verschlüsselt übermittelt, ansonsten unverschlüsselt.