firebb 10 Geschrieben 25. März 2021 Melden Teilen Geschrieben 25. März 2021 Hallo, wir haben einen Exchange 2019 Server. Für die weitere Korrespondenz mit einem Versicherungsunternehmen hat uns dieses darauf hingewiesen, dass wir in Zukunft mindestens den TLS Standard 1.2 auf unserem Mailserver für die Kommunikation verwenden müssen. Andernfalls ist keine E-Mail Korrespondenz mehr möglich. Im Default Frontend Empfangsconnector ist unter Sicherheit bereits folgendes eingestellt: Beim TLS- Check über die Webseite checktls.com erhalte ich als Ergebnis immer "Not Secure". Versucht habe ich außerdem noch die "Best Practize" Einstellung von IISCrypto mit anschließendem Neustart. Könnt Ihr mir sagen, wie bzw. wo ich am Exchange Server die TLS- Verschlüsselung aktivieren kann? Liebe Grüße firebb Zitieren Link zu diesem Kommentar
testperson 1.677 Geschrieben 25. März 2021 Melden Teilen Geschrieben 25. März 2021 Hi, Exchange 2019 spricht AFAIK per Default TLS 1.2. Die Frage wäre, ob euer Exchange tatsächlich direkt per tcp 25 / smtp aus dem Internet erreichbar ist oder ob sich da ein Mailgateway vor befindet. Dann müsstest du natürlich an der vordersten Front TLS1.2 aktivieren bzw. die Konfiguration vornehmen. Gruß Jan Zitieren Link zu diesem Kommentar
firebb 10 Geschrieben 25. März 2021 Autor Melden Teilen Geschrieben 25. März 2021 Hi Jan, genau das dachte ich mir nämlich auch. Und konnte mir deswegen auch nicht erklären warum wir von der Empfängerseite diesen Hinweis auf Aktivierung von TLS 1.2 oder höher erhalten haben. Der Exchange ist per SMTP aus dem Internet erreichbar. Mailgateway ist keines vorhanden. Ein Test mittels Telnet zeigt auch direkt den Exchange an. Liebe Grüße firebb Zitieren Link zu diesem Kommentar
Dukel 454 Geschrieben 25. März 2021 Melden Teilen Geschrieben 25. März 2021 https://www.frankysweb.de/exchange-server-und-tls-1-2/ https://www.frankysweb.de/exchange-server-tls-versionen-der-server-clients-ermitteln/ -> https://techcommunity.microsoft.com/t5/exchange-team-blog/exchange-server-tls-guidance-part-2-enabling-tls-1-2-and/ba-p/607761 Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 25. März 2021 Melden Teilen Geschrieben 25. März 2021 Das kann auch passieren, wenn davor eine Firewall steht, die im SMTP Traffic rumpfuscht. ;) Ansonsten passiert sowas, wenn man im Receiveconnector das Zertifikat manuell vergißt anzugeben und EHLO und ZErtifikatsname nicht übereinstimmen, was üblicherweise immer dann der Fall ist, wenn man intern einen anderen Servernamen verwendet als man im public DNS eingetragen hat. Da hilft dann am besten einen neuen Internet Receive Connector anzulegen, bei dem man den EHLO Namen anpaßt (auf den externen Namen) und vorher im bestehenden Default Front End Connector die 0.0.0.0-255.255.255.255 durch die eigenen "INTERNEN" IP Bereiche ersetzt. Bye Norbert Zitieren Link zu diesem Kommentar
testperson 1.677 Geschrieben 25. März 2021 Melden Teilen Geschrieben 25. März 2021 Evtl. ist auch ein "self signed" Zertifikat oder eines einer internen CA für "Not Secure" verantwortlich. Zitieren Link zu diesem Kommentar
firebb 10 Geschrieben 25. März 2021 Autor Melden Teilen Geschrieben 25. März 2021 vor 46 Minuten schrieb NorbertFe: Das kann auch passieren, wenn davor eine Firewall steht, die im SMTP Traffic rumpfuscht. ;) Ansonsten passiert sowas, wenn man im Receiveconnector das Zertifikat manuell vergißt anzugeben und EHLO und ZErtifikatsname nicht übereinstimmen, was üblicherweise immer dann der Fall ist, wenn man intern einen anderen Servernamen verwendet als man im public DNS eingetragen hat. Da hilft dann am besten einen neuen Internet Receive Connector anzulegen, bei dem man den EHLO Namen anpaßt (auf den externen Namen) und vorher im bestehenden Default Front End Connector die 0.0.0.0-255.255.255.255 durch die eigenen "INTERNEN" IP Bereiche ersetzt. Bye Norbert Danke für den Hinweis, dem werde ich gleich einmal nachgehen. Es ist nämlich ein Virenscan auf der Firewall für den SMTP Traffic aktiv. vor 35 Minuten schrieb testperson: Evtl. ist auch ein "self signed" Zertifikat oder eines einer internen CA für "Not Secure" verantwortlich. Ja, der Server besitzt nur ein CA einer internen CA. Liebe Grüße firebb Zitieren Link zu diesem Kommentar
Dukel 454 Geschrieben 25. März 2021 Melden Teilen Geschrieben 25. März 2021 Ja, der Server besitzt nur ein Zertifizierungsstelle einer internen zertifizierungsstelle? Du meinst Zertifikat und nicht CA. Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 25. März 2021 Melden Teilen Geschrieben 25. März 2021 vor 26 Minuten schrieb firebb: Danke für den Hinweis, dem werde ich gleich einmal nachgehen. Es ist nämlich ein Virenscan auf der Firewall für den SMTP Traffic aktiv. Checkpoint? Zitieren Link zu diesem Kommentar
firebb 10 Geschrieben 25. März 2021 Autor Melden Teilen Geschrieben 25. März 2021 vor 1 Stunde schrieb Dukel: Ja, der Server besitzt nur ein Zertifizierungsstelle einer internen zertifizierungsstelle? Du meinst Zertifikat und nicht CA. Sorry, ja genau. Der Server besitzt nur ein Zertifikat welches von einer internen Zertifizierungsstelle ausgestellt wurde. Es gibt kein gekauftes Zertifikat. vor 1 Stunde schrieb NorbertFe: Checkpoint? Nein, SonicWall (Gateway AntiVirus) LG firebb Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 25. März 2021 Melden Teilen Geschrieben 25. März 2021 Gerade eben schrieb firebb: Nein, SonicWall (Gateway AntiVirus) Wenn das Ding die Mails (SMTP) auf Viren untersucht, muss an der Stelle logischerweise TLS unterbrochen werden. Insofern würde ich empfehlen entweder das Feature zu deaktivieren, oder ein entsprechendes Relay zu nutzen, was die gewünschte AV-Funktionalität anbietet. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.