Exchange 2010: TLS und Secure Mail

[MrKlixx 0]

Hallo zusammen,

 

ich lese hier oft mit und konnte das ein oder andere schon für mich nutzen, Danke dafür schonmal.

Nun habe ich leider ein kleines Problem und kann nur hoffen das Ihr mir weiterhelfen könnt, da ich

mehr oder weniger in's kalte Wasser geschmissen wurde was den Exchange Server betrifft.

 

Wir haben die Information von unserer Bank erhalten das eMails nicht verschlüsselt übertragen werden können, da der Server kein TLS unterstützt. Da ich bis auf die gängigen Funktionen wie Postfache einrichten etc noch nicht viele Berührungspunkte mit der Einstellung/Konfiguration hatte wende ich mich an Euch wie ich das Problem lösen kann.

 

Ich habe google bemüht und auch hier das Forum um ein wenig Hintergrundwissen zu erlangen, wie ich das "Problem" lösen kann, bin aber ehrlich gesagt nicht schlau draus geworden. Habe nur herausgefunden das es wohl unter anderem an den Empfangsconnector(en) liegt.

 

Wir haben 2 Empfangsconnectoren:

 

Default :

 

Port 25 für alle IP Adressen, TLS aktiviert, Standardauthentifizierung aktiviert, Windows Authentifizierung aktiviert, Berechtigung für Anonyme Benutzer , Exchange Benutzer

 

Nach meiner Recherche liegt hier wohl ein Fehler der Berechtigung vor, es sollten wohl nur Exchange Benutzer, Exchange Server und der Legacy-Exchange-Server die Berechtigung erhalten ???

 

Client :

Port 587 für alle IP Adressen, TLS nicht aktiviert, Standardauthentifizierung nicht aktiviert, Windows Authentifizierung aktiviert, Exchange Server Authentifizierung aktiviert, Berechtigung für Anonyme Benutzer , Exchange Benutzer

 

Abgesehen von meinem eigentlichen Problem ist es wohl falsch das der Anonyme Benutzer die Berechtigung hat, so wie ich gelesen habe ?! Lediglich der Exchange Benutzer sollte die Berechtigung haben, oder ?!

 

 

Wie kann ich nun einstellen das die eingehenden eMail auch verschlüsselt werden ? Reicht es bei dem Client Connector einfach TLS zu aktivieren oder steckt mehr dahinter ??

 

Bitte entschuldigt meine "Unwissenheit" und habt ein wenig Nachsicht mit mir. Wenn Screenshots oder ähnliches gebraucht werden, kein Thema .. sagt was Ihr braucht.

 

Vielen Dank für Eure Antworten.

 

 

[Sunny61 806]

Ein nicht ganz unwichtiger Punkt ist die exakte Build des eingesetzten Exchange Servers. Dazu findest Du hier weiterführende Informationen: http://blog-schulenburg.de/index.php/kategorie-als-blog/87-exchange-build-nummern

[MrKlixx 0]

Mist, ich wusste doch das ich was vergessen habe:

 

Edition: Standard

Version 14.1 (Build 218.15)

[NorbertFe 2.035]

Als erstes brauchst du ein Exchangezertifikat. Ich gehe davon aus, dass es zumindest ein selfsigned Zertifikat gibt (könnte natürlich sein, dass es abgelaufen ist), sonst würde Exchange Probleme machen. Ein Blick ins Eventlog sollte dir das mit Quelle Exchange Transport Service zeigen. Da gibt's dann auch bei Ablauf entsprechende Hinweise. Port 587 ist mit Sicherheit nicht das Problem, weil euch die Bank keine Mails auf Port 587 zustellt. Wenn dann ist es der Default Connector und der läuft auf Port 25. Da sollte TLS aber per Default aktiv sein. Also schau nach, dass dein Sendeconnector korrekt konfiguriert ist und nicht über einen nicht TLS fähigen Smarthost zur Bank schickt.

 

Und deinen Ka..ealten Exchange kannst du dann auch gleich auf SP3 + Rollup 14 hochziehen.

bearbeitet 30. Juni 2016 von NorbertFe

[MrKlixx 0]

Vielen Dank für Deine Antwort Norbert. Es gibt 2 Zertifikate als Exchange Zertifikate:

 

1. ohne Name, Selbstsigniert: Wahr, Status: Gültig, Dienst: None, Betreff: CN=WMSvc-SERVERNAME, Aussteller: CN=WMSvc-SERVERNAME

Gültig bis 05.09.2021

 

2. Microsoft Exchange, Selbstsigniert: Wahr, Status: Gültig, Dienst: IMAP,POP,IIS,SMTP, Betreff: CN=SERVERNAME, Aussteller: CN=SERVERNAME

Gültig bis 08.09.2016

 

Stimmt, das SP wäre mal dringend notwendig.

 

Im Eventlog habe ich folgendes entdeckt (EreignisID: 12014):

 

Microsoft Exchange konnte ein Zertifikat nicht finden, das den Domänennamen "mail.DOMAIN.de" im persönlichen Informationsspeicher auf dem lokalen Computer enthält. Daher kann die STARTTLS-SMTP-Aktionsart für den Connector "SMTP DOMAIN.de" mit einem FQDN-Parameter von "mail.DOMAIN.de" nicht unterstützt werden. Überprüfen Sie die Connectorkonfiguration sowie die installierten Zertifikate, damit sichergestellt wird, dass ein Zertifikat mit einem Domänennamen für jeden Connector-FQDN vorhanden ist. Wenn das Zertifikat vorhanden ist, führen Sie "Enable-ExchangeCertificate -Services SMTP" aus, damit sichergestellt ist, dass der Microsoft Exchange-Transportdienst auf den Zertifikatschlüssel zugreifen kann.

 

Puh ... jetzt wünsche ich mir bei Microsoft ausgebildet worden zu sein, nun gehts wohl an's eingemachte ...

bearbeitet 30. Juni 2016 von MrKlixx

[NorbertFe 2.035]

New-ExchangeCertificate -friendlyname neues-exchangezertifikat -KeySize 2048 -SubjectName "c=DE, s=11, l=XYZ, o=Privat, ou=IT, cn=mail.domain.tld" -DomainName mail.domain.tld, autodiscover.domain.tld, internerservername.ad-Domain.tld, internerservername -PrivateKeyExportable $True)

Da trägst du jetzt einfach deine Daten ein und führst es an der Exchange Powershell mal aus. Danach gibst du einfach bescheid. ;) bearbeitet 30. Juni 2016 von NorbertFe

[Sunny61 806]

Stimmt, das SP wäre mal dringend notwendig.

Und das RU14 gleich noch anschließend dazu installieren.

[MrKlixx 0]

New-ExchangeCertificate -friendlyname neues-exchangezertifikat -KeySize 2048 -SubjectName "c=DE, s=11, l=XYZ, o=Privat, ou=IT, cn=mail.domain.tld" -DomainName mail.domain.tld, autodiscover.domain.tld, internerservername.ad-Domain.tld, internerservername -PrivateKeyExportable $True)

Da trägst du jetzt einfach deine Daten ein und führst es an der Exchange Powershell mal aus. Danach gibst du einfach bescheid. ;)

 

 

Soll das vorhandene SMTP Standardzertifikat überschrieben werden ?

 

Aktuelles Zertifikat, läuft am 08.09.2016 ab (das wäre ja dann das von mir genannte "Microsoft Exchange" Zertifikat)

Ersetzen durch Zertifikat, läuft am 30.06.2021 ab ?

 

Ist es richtig das keine Dienste eingetragen werden im neuen Zertifikat, da im zu überschreibenden ja IMAP; POP, IIS und SMTP steht ?!

bearbeitet 30. Juni 2016 von MrKlixx

[NorbertFe 2.035]

Ja das für SMTP kannst du überschreiben. Das, welches jetzt an IMAP, POP und IIS gebunden ist, prüf dort, welche Namen drin stehen, und ob dein neues Zertifikat auch diese Namen beinhaltet. Ausserdem wirst du wenn du es an den IIS bindest allen deinen Clients dieses Zertifikat in den Trusted Root Store kopieren müssen.

[MrKlixx 0]

Ich komme mir gerade echt Dumm vor, bei dem "Fachchinesich" zum Exchange Server und Euch Experten ;)

Und bammel habe ich auch gerade im laufenden Betrieb das Zertifikat zu überschreiben (kann es auch nicht exportieren und sichern), hoffe das hat keine Auswirkung auf die User.

 

Bedeutet das aktuell, das das jetztige "Microsoft Exchange" Zertifikat an den IIS und den anderen Diensten gebunden WAR und zukünftig Durch das neue Zertifikat nicht mehr gebunden ist ? Hat das irgendwelche Auswirkungen/Nachteile/Vorteile ?

bearbeitet 30. Juni 2016 von MrKlixx

[NorbertFe 2.035]

Das für SMTP kannst du einfach überschreiben, da passiert nix, ausser dass er per Default dann dieses neue Zertifikat nutzt. An den IIS usw. mußt du das Zertifikat erstmal noch nicht binden.

[MrKlixx 0]

Ok, ich habe das Zertifikat überschrieben und in der Verwaltungskonsole sind nun 3 Zertifikate aufgelistet.

 

Wie oben beschrieben das ohne Namen, Microsoft Exchange und das von mir genannte "Exchange Certificate",

mit den Diensten IMAP, POP und SMTP. Das Zertifikat muss ich bestimmt noch installieren/importieren, da es

noch als "nicht vertrauenswürdig" eingestuft wird ?!

 

Den Eventlog habe ich auch mal geleert um zu sehen was da eventuell an Fehlermeldungen kommen.

Muss ein Dienst (Microsoft Exchange Transport oder ähnliches) neu gestartet werden ?

bearbeitet 30. Juni 2016 von MrKlixx