Exchange 2010 + TLS

[Dutch_OnE 39]

Hallo,

ich versuche auf einem Exchange 2010 Server (aktueller Patch) die TLS Option zu aktivieren.

https://www.checktls.com/TestReceiver

Wenn ich den Test laufen lasse, kommt immer die Meldung TLS is not an Option on this server

 

Der Server steht selbst im Internet (kein POP3 Connector), MX beim Provider auf feste IP vom Server geleitet.

In den Empfangsconnector habe ich unter Auth. nur TLS und Domänensicherheit aktivieren angehakt.

 

Für das LAN habe ich noch einen zweiten Connector. Hier ist bis auf extern gesichert, alles aktiviert.

 

Der Server verschickt selbstständig ohne weiteren Smarthost.

 

Jemand eine Idee, warum der Server laut Test kein TLS kann?

 

Gruß DO

 

Ich habe ein öffentliches Zertifikat, aber leider nicht auf den Namen mail. sondern nur owa. und autodiscover.

Ist das das Problem?

 

bearbeitet 7. September 2019 von Dutch_OnE

[NorbertFe 2.035]

Landest du überhaupt von extern auf dem exchange? Kenne genügend Kunden, die ne Firewall davor habe die am smtp rumpopelt und dann geht bspw. Tls nicht mehr.

[Dutch_OnE 39]

Ja das funktioniert, aber es meldet sich dann remote.domain.local.

Das ist doch Blödsinn.

[NorbertFe 2.035]

Wieso ist das blödsinn? Offenbar hast du das ja so konfiguriert. wenn du das doof findest, dann konfiguriers doch um. ;)

[Dutch_OnE 39]

Kann das der Grund für kein TLS sein?

 

Alle 2010er Server die über einen Provider Smarthost verschicken funktionieren mit TLS, nur der eine der selbst verschickt nicht. 

[NorbertFe 2.035]

Nein. Der helo String sollte auf die Verwendung von tls keinen Einfluss haben. Und ändern kannst du den sowieso im default nur, wenn du ihn „umkonfigurierst“. Dann solltest du aber besser einen eigenen smtp connector nur dafür (den anonymen Empfang aus dem Internet) anlegen. Abgesehen davon ist verschicken und empfangen ja was verschiedenes. ;) also solltest du evtl. Eher mal den sende connector anschauen?

bearbeitet 8. September 2019 von NorbertFe

[Dutch_OnE 39]

Hallo Norbert, ich hatte noch in einem alten Thread von Dir den Tip bekommen das Tool IISCrypto von Nartac mit Best Practices zu nutzen. Das habe ich für diese Problem gemacht und seitdem funktioniert der Test von https://de.ssl-tools.net/ schon einmal. Woher kennt man solche Programme? Machst Du eigentlich nur Exchange oder warum könntest Du der Seite von Frankys Exchange Konkurrenz machen? 

[NorbertFe 2.035]

vor 3 Stunden schrieb Dutch_OnE:

Woher kennt man solche Programme?

Weil man genug mit dem Kram zu tun hat. ;)

 

vor 3 Stunden schrieb Dutch_OnE:

Machst Du eigentlich nur Exchange oder warum könntest Du der Seite von Frankys Exchange Konkurrenz machen?

Nein ich mache nicht nur Exchange aber schon lange und oft. ;) Und Konkurrenz will ich da gar nicht machen, aber man ergänzt sich halt.

 

Bye

Norbert

[NilsK 2.934]

Moin,

 

vor 3 Stunden schrieb Dutch_OnE:

warum könntest Du der Seite von Frankys Exchange Konkurrenz machen? 

weil Franky schon ein Guter ist, aber es ja noch viele andere Gute gibt.

 

Gruß, Nils

 

[Dutch_OnE 39]

Microsoft verweist ja auch öfters auf Franky.

Meine Fehlermeldung im Betrieb ist aber trotzdem noch da, obwohl der TLS Test jetzt funktioniert hat.

#530 5.7.0  - Sender Address rejected: Must use TLS

Wenn der Client von unserem Server zum anderen Ziel schickt, generiert unser Server diese Meldung.

 

Kann es am Zertifikat liegen? Dort steht owa.domain.de und autodiscover.domain.de, während der TLS Tester https://www.checktls.com/TestReceiver sagt, dass mail.domain.de != owa.domain.de ist.

bearbeitet 9. September 2019 von Dutch_OnE

[Dutch_OnE 39]

Kurze konkrete Frage. Wenn ich im Sendeconnector Port 587 einstelle, geht keine Mail mehr raus. Reicht es nicht Domänensicherheit aktivieren (Gegenseitige TLS Authentifizierung) zu setzen?

Oder muss Port 587 zwingend ausgewählt sein?

[NorbertFe 2.035]

Port 587 aufm Sendeconnector? Wäre mir neu, dass dir irgendein Server (Server to Server) dabei Mails abnehmen wird.

[Dutch_OnE 39]

Man liest ja überall das die Leute beim Exchange 2010 das auf 587 umstellen wollen, um TLS zu bekommen. Allerdings nutzen die alle einen Smarthost während wir MX eingestellt haben. Dann kann ich das laut dieser Aussage bei 25 lassen? 

 

Per my research, port 25 is used for the type of routing mails with MX record by default.  If you want to use port 587 to send messages, you would need a Smarthost to route mails.

[NorbertFe 2.035]

vor einer Stunde schrieb Dutch_OnE:

Man liest ja überall das die Leute beim Exchange 2010 das auf 587 umstellen wollen, um TLS zu bekommen.

Das hat aber nichts mit Servern zu tun, sondern bezieht sich eben auf 587 (Client Submission Port). Und Exchange spricht auch auf Port 25 schon ewig TLS.

vor einer Stunde schrieb Dutch_OnE:

Per my research, port 25 is used for the type of routing mails with MX record by default.  If you want to use port 587 to send messages, you would need a Smarthost to route mails.

Die Aussage sagt ja mal genau nix aus. ;)