Dirk-HH-83 14 Geschrieben 18. März 2019 Melden Teilen Geschrieben 18. März 2019 Hallo, ein Versicherungsgeber erzwingt TLS Empfang und Versand für die Emails. Problem: Der erste MX des Versicherungsnehmers ist ein zentrales Spamgateway das für mehrere Domains Emails annimmt. (kein öffentlich signiertes TLS Zertifikat vorhanden) Der zweite MX ist der lokale Exchange Server der ein öffentlich signiertes Zertifikat bekommen könnte. Wenn der Versicherungsgeber nun eine Mail sendet und feststellt das der erste nicht "TLS fähig ist", probiert er es dann automatisch beim sekundären MX? Vielen Dank! Zitieren Link zu diesem Kommentar
NorbertFe 2.035 Geschrieben 18. März 2019 Melden Teilen Geschrieben 18. März 2019 Warum fragst du das nicht den Absender=Versicherungsgeber? Warum sollte ein zentrales Spamgateway kein TLS können? Ein öffentlich signiertes Zertifikat ist hierfür nicht erforderlich, es sei denn es gibt diese Anforderung. Und üblicherweise wird ein Zustellversuch nicht an den zweiten MX übergeben, wenn der erste als nicht geeignet vom Absender angesehen wird. Aber auch da kommts ggf. drauf an, was dieser konfiguriert hat. Zitieren Link zu diesem Kommentar
Dirk-HH-83 14 Geschrieben 19. März 2019 Autor Melden Teilen Geschrieben 19. März 2019 Hallo, der Versicherungsgeber ist schlecht erreichbar. Ich probiere es da nochmal >Warum sollte ein zentrales Spamgateway kein TLS können? Weil es fremdverwaltet ist und Extrawünsche ggf. nicht flexibel integrierbar sind. >Und üblicherweise wird ein Zustellversuch nicht an den zweiten MX übergeben, wenn der erste als nicht geeignet vom Absender angesehen wird. Aber auch da kommts ggf. drauf an, was dieser konfiguriert hat. Danke für die Einschätzung, ist es üblich das ein Versender den zweiten MX probiert wenn er beim ersten MX geblockt wird? Würde behaupten Nein. Das variiert je nach Versender. (kommt wohl darauf an wie er blockiert wird oder?) Zitieren Link zu diesem Kommentar
gelöscht 0 Geschrieben 19. März 2019 Melden Teilen Geschrieben 19. März 2019 (bearbeitet) vor 11 Stunden schrieb Dirk-HH-83: Wenn der Versicherungsgeber nun eine Mail sendet und feststellt das der erste nicht "TLS fähig ist", probiert er es dann automatisch beim sekundären MX Normalerweise nein. Die MX mit niedrigerer Priorität werden nur verwendet, wenn der erste (höhere) überhaupt nicht erreichbar ist. Der Plan hört sich auch nicht nach einem guten Workaround an. Wie Norbert geschrieben hat, ist ein öffentliches Zertifikat nicht zwingend erforderlich. Daneben verwenden viel SPAM Versender bewusst den zweiten MX, das wäre in Deiner Konfiguration ein willkommenes Loch für SPAM/Phishing etc. -> Lösche den zweiten MX ASAP und korrigiere die TLS Einstellungen auf dem Gateway. ASR bearbeitet 19. März 2019 von ASR Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.