Drachie 0 Geschrieben 16. Juni 2015 Melden Teilen Geschrieben 16. Juni 2015 Guten Abend, hab folgende Problem: im netzwerk von einem Kunden, der ein SBS2011 einsetzt werden bei den benutzer mehrere Mailkonten in Outlook eingebunden per imap. Diese liegen auf dem SBS2011. alle cleint können drauf zugreifen und die Mails abrufen usw. bis auf 2.. im Eventlig des server tauch beim versuch auf IMAP zuzugreifen folgende Fehler auf: Es wurde eine schwerwiegende Warnung generiert:40. Der interne FehlerStatus lautet: 1205 Der Fehler geht einher mit der Event ID 36874 ==> TLS Verbindungsanforderung wurde übermittelt.... jedcoh werden keine der Verschlüsselungssammlungen, die von der Clientanwendung unterstütz werden, vom Server unterstützt Fehler bei der SSL-Verbindunganforderung den googlematen ahbe ich schojn befragt und zu der Fehlerkonstelation leider keine Lösung gefunden. vielleicht weis einer von euch wie ich den Fehler beseitigen kann, und nein, der Fehler soll niht ausgeschaltet werde im Log Zitieren Link zu diesem Kommentar
Sanches 22 Geschrieben 16. Juni 2015 Melden Teilen Geschrieben 16. Juni 2015 Guten Abend, geprüft hast du schon, ob in den Useroptionen bei diesen Usern IMAP aktiv ist? Irgendwelche Unterschiede zu anderen (funktionierenden) Usern? Optional könntest du das IMAP Logging (im Exchange) aktivieren und nachlesen, was genau stört. Gruß Sebastian Zitieren Link zu diesem Kommentar
Reingucker 3 Geschrieben 16. Juni 2015 Melden Teilen Geschrieben 16. Juni 2015 Für mich hört sich das so an dass der Exchange eine andere Verschlüsselungstiefe benutzt als der Client, oder anders herum. Vielleicht benutzt der Client z.B. 128 bit weil es eventuell ein XP ist oder fest eingestellt ist und der Exchange kann nur minimum 256 oder mehr. Zitieren Link zu diesem Kommentar
Nobbyaushb 1.487 Geschrieben 17. Juni 2015 Melden Teilen Geschrieben 17. Juni 2015 Moin, wobei sich mir nicht so ganz erschließt, warum man imap verwendet, wenn der Client Outlook ist. Egal, was ist mit dem Zertifikat? :rolleyes: Zitieren Link zu diesem Kommentar
Drachie 0 Geschrieben 17. Juni 2015 Autor Melden Teilen Geschrieben 17. Juni 2015 Moin zusammen, Egal, was ist mit dem Zertifikat? :rolleyes: Die Zertifikate sind alle gültig bis 2019 Guten Abend, geprüft hast du schon, ob in den Useroptionen bei diesen Usern IMAP aktiv ist? Irgendwelche Unterschiede zu anderen (funktionierenden) Usern? Optional könntest du das IMAP Logging (im Exchange) aktivieren und nachlesen, was genau stört. Gruß Sebastian Bei allen Usern ist IMAP Aktiv. es besteht kein unterscheid zu den Anderen Usern. Alle client ahbe die gleichen einstellungen für den IMAP zugriff auf den Excahnge. auch für das gleiche Postfach Für mich hört sich das so an dass der Exchange eine andere Verschlüsselungstiefe benutzt als der Client, oder anders herum. Vielleicht benutzt der Client z.B. 128 bit weil es eventuell ein XP ist oder fest eingestellt ist und der Exchange kann nur minimum 256 oder mehr. das werde ich heute prüfen... Zitieren Link zu diesem Kommentar
Nobbyaushb 1.487 Geschrieben 17. Juni 2015 Melden Teilen Geschrieben 17. Juni 2015 Moin, da habe ich mich nicht klar genug ausgedrückt, sorry. - passen die URL zu dem Cert - ist das extern oder intern ausgestellt? ;) Zitieren Link zu diesem Kommentar
Drachie 0 Geschrieben 17. Juni 2015 Autor Melden Teilen Geschrieben 17. Juni 2015 Moin, da habe ich mich nicht klar genug ausgedrückt, sorry. - passen die URL zu dem Cert - ist das extern oder intern ausgestellt? ;) Ja, die URLs passen zu der Cert sowohl intern als auch Extern anbei hänge ich mal einen ausschnitt vom IMAP Loggin von einem der Betreffenen cleints an: Imap-Loggin.txt Zitieren Link zu diesem Kommentar
Reingucker 3 Geschrieben 17. Juni 2015 Melden Teilen Geschrieben 17. Juni 2015 Bezüglich Verschlüsselung und Bit (wie oben angemerkt) habe ich das hier gefunden Based on my Research, i figured out that SSL Tools (Example SSLScan) will check with more Cipher Suitesas supported in Windows Operating Systems during TLS/SSL handshake. A good explanation how TLS/SSL works here:http://technet.microsoft.com/en-us/library/cc783349(v=ws.10).aspx A good explanation about SSL/TLS Alert Protocol & the Alert Codes here:http://blogs.msdn.com/b/kaushal/archive/2012/10/06/ssl-tls-alert-protocol-amp-the-alert-codes.aspx In the event id 36888, the Error "fatal alert was generated: 40" in the Description field means:handshake_failure Here ist an Example Output with SSLscan, i checked only SSL 3.0 protocol: SSLScan>sslscan.exe --ssl3 server.domain.ch:443 Testing SSL server server.domain.ch on port 443 Supported Server Cipher(s): Failed SSLv3 256 bits ADH-AES256-SHA Failed SSLv3 256 bits DHE-RSA-AES256-SHA Failed SSLv3 256 bits DHE-DSS-AES256-SHA Failed SSLv3 256 bits AES256-SHA Failed SSLv3 128 bits ADH-AES128-SHA Failed SSLv3 128 bits DHE-RSA-AES128-SHA Failed SSLv3 128 bits DHE-DSS-AES128-SHA Failed SSLv3 128 bits AES128-SHA Failed SSLv3 168 bits ADH-DES-CBC3-SHA Failed SSLv3 56 bits ADH-DES-CBC-SHA Failed SSLv3 40 bits EXP-ADH-DES-CBC-SHA Failed SSLv3 128 bits ADH-RC4-MD5 Failed SSLv3 40 bits EXP-ADH-RC4-MD5 Failed SSLv3 168 bits EDH-RSA-DES-CBC3-SHA Failed SSLv3 56 bits EDH-RSA-DES-CBC-SHA Failed SSLv3 40 bits EXP-EDH-RSA-DES-CBC-SHA Failed SSLv3 168 bits EDH-DSS-DES-CBC3-SHA Failed SSLv3 56 bits EDH-DSS-DES-CBC-SHA Failed SSLv3 40 bits EXP-EDH-DSS-DES-CBC-SHA Accepted SSLv3 168 bits DES-CBC3-SHA Failed SSLv3 56 bits DES-CBC-SHA Failed SSLv3 40 bits EXP-DES-CBC-SHA Failed SSLv3 128 bits IDEA-CBC-SHA Failed SSLv3 40 bits EXP-RC2-CBC-MD5 Accepted SSLv3 128 bits RC4-SHA Accepted SSLv3 128 bits RC4-MD5 Failed SSLv3 40 bits EXP-RC4-MD5 Failed SSLv3 0 bits NULL-SHA Failed SSLv3 0 bits NULL-MD5 Prefered Server Cipher(s): SSLv3 128 bits RC4-SHA For each Cipher that failed on SSLv3, an Event ID 36888 and 36874 was logged as described above.So, i think those Events can safety ignore. If someone would hardening Windows IIS Servers (in my case Exchange 2010 on IIS 7.5), here is avery good compatibility Report:http://www.g-sec.lu/sslharden/SSL_comp_report2011.pdf Zitieren Link zu diesem Kommentar
Reingucker 3 Geschrieben 19. Juni 2015 Melden Teilen Geschrieben 19. Juni 2015 @Drachie Rein Interesse halber: Hast du mal mit sslscan.exe nachgeschaut was dein Server überhaupt annimmt und es dann mit dem was der Client benutzt verglichen? Zitieren Link zu diesem Kommentar
Beste Lösung Drachie 0 Geschrieben 29. Juni 2015 Autor Beste Lösung Melden Teilen Geschrieben 29. Juni 2015 moin, sry das ich mich erst jetzt melde zu diesen Thema: also die den Fehler habe ich beseitigt in dem ich alle Zertifikate die den Exchange und den IIS betreffen neu erstellt und singiert habe. diese dann den diensten zugewiesen, server neu gestartet und schon haben die beiden Cleints nicht mehr rumgemeckert und sich brav mit dem Server verbunden via imap. was mich stuzig macht an der sache ist, dass das alte Zertifikat die gleichen einstellungen hatte wie das neue. Mit dem neuen gehts und mit dem alten nicht.... wie dem auch sei ==> Topic Closed Zitieren Link zu diesem Kommentar
Reingucker 3 Geschrieben 29. Juni 2015 Melden Teilen Geschrieben 29. Juni 2015 Hm, das erschließt sich mir aber dann auch nicht. Aber danke für feedback. :) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.