Quirk18231 0 Geschrieben 24. Februar 2023 Melden Teilen Geschrieben 24. Februar 2023 (bearbeitet) Hi, ich habe von unserem externen Mailanbieter eine Mail bekommen, dass unser Exchange noch unverschlüsselt sendet/empfängt. Da dies bald nicht mehr geht, soll ich auf TLS1.2 vorbereiten. Der PopReciever holt die Mails per SSL/TLS ab. Beim Smarthost hole ich dachte ich auch per TLS ab, aber anscheinend nicht, wie kann ich dies prüfen/einstellen? Per Einstellung ist der Haken " Standardauthentifizierung erst nach dem Start von TLS anbieten " im Sendeconnector/Smarthost gesetzt und der Connector arbeitet auf Port 587. Name : connect Port : 587 ProtocolLoggingLevel : Verbose Region : NotSpecified RequireOorg : False RequireTLS : False (liegt hier der Fehler? - muss das geforced werden?) SmartHostAuthMechanism : BasicAuthRequireTLS healthchecker von github sagt alle tls Versionen werden unterstützt ... - kann/muss ich jetzt einfach alle alten TLS Versionen abschalten ? Danke! Q bearbeitet 24. Februar 2023 von Quirk18231 Zitieren Link zu diesem Kommentar
testperson 1.677 Geschrieben 24. Februar 2023 Melden Teilen Geschrieben 24. Februar 2023 Hi, ich vermute, du holst die Mails beim Provider (IONOS?) per Pop Connector ab und versendest über deren SmartHost? Dann wäre wohl der beste Plan, dir die Mails - wie üblich - zu stellen zu lassen und ohne SmartHost zu versenden: Exchange Server: Umstellung von POP Abruf zu MX Record - Frankys Web Dann hast du (nicht nur) TLS komplett selber in der Hand. Gruß Jan Zitieren Link zu diesem Kommentar
Nobbyaushb 1.471 Geschrieben 24. Februar 2023 Melden Teilen Geschrieben 24. Februar 2023 (bearbeitet) vor einer Stunde schrieb testperson: Dann hast du (nicht nur) TLS komplett selber in der Hand. Interessant wäre auch mal, über was für einen Exchange mit welchem Stand reden (ich habe neulich tatsächlich bei einem Kunden einen 2003 gefunden - in RTM Version) Über wie viele Postfächer / User reden wir denn? Ggf. wäre die Cloud eine Alternative? Vorteil wäre, das SPAM und AV nicht mehr euer Problem wären... Habe ich erwähnt, das PopConnectoren egal von wem Mist sind? bearbeitet 24. Februar 2023 von Nobbyaushb 1 Zitieren Link zu diesem Kommentar
Quirk18231 0 Geschrieben 25. Februar 2023 Autor Melden Teilen Geschrieben 25. Februar 2023 (bearbeitet) Hi, der Exchange ist Version 2016 und es geht um 15 User/Postfächer. Wie kann ich dem Connector denn sagen, dass er alles (alle Domainen) über TLS1.2 sendet? Danke! Q bearbeitet 25. Februar 2023 von Quirk18231 Zitieren Link zu diesem Kommentar
Nobbyaushb 1.471 Geschrieben 25. Februar 2023 Melden Teilen Geschrieben 25. Februar 2023 vor 1 Stunde schrieb Quirk18231: der Exchange ist Version 2016 und es geht um 15 User/Postfächer Das man den Leuten immer alles aus der Nase ziehen muss.. https://www.nobbysweb.de/blog/index.php?entry/41-build-nummern-tabellarisch/ Das fehlt noch das SU vom Februar Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 25. Februar 2023 Melden Teilen Geschrieben 25. Februar 2023 vor 2 Stunden schrieb Quirk18231: Wie kann ich dem Connector denn sagen, dass er alles (alle Domainen) über TLS1.2 sendet? Der sendet gar nix (ok evtl. Je nach Produkt intern). irgendwie verdrehst du vollkommen die Richtungen. Der popconnector holt ab vom Anbieter. Lt. deiner Aussage tut er das per tls. Wenn du sendest, macht das sehr wahrscheinlich der Exchange mit seinem SENDEconnector. Wie der Name schon sagt, ist der zum senden! Und da wäre zu prüfen, warum er dann nicht per tls sendet. und den Hinweis zum popconnector kannst du zwar ignorieren, aber er ist trotzdem wichtig und richtig. bye norbert Zitieren Link zu diesem Kommentar
Quirk18231 0 Geschrieben 25. Februar 2023 Autor Melden Teilen Geschrieben 25. Februar 2023 (bearbeitet) @nobert: mir geht es nur um den Sendeconnector - das popmodul holt mit ssl/tls ab ! @nobby: Version 15.1 (Build 2507.17) --- 1.) Das hier denke habe ich gesucht - kann ich die beiden letzten Punkte weglassen? Sendet er dann alles über tls auf dem sendeconnector? Set-SendConnector -Identity "sendconnect" -RequireTls $true -TlsAuthLevel DomainValidation -TlsDomain *.outlook.com 2.) Das ps-skript hier hab ich gefunden: deaktiviere alle alten tls versionen und setzte auf tsl 1.2: Wären das die Lösungen für mein IONOS TLS 1.2 Problem? Danke! Q # Enable TLS 1.2 If (-Not (Test-Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server')) { New-Item 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server' -Force | Out-Null } New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server' -Name 'Enabled' -value '1' -PropertyType 'DWord' -Force | Out-Null New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server' -Name 'DisabledByDefault' -value 0 -PropertyType 'DWord' -Force | Out-Null If (-Not (Test-Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client')) { New-Item 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client' -Force | Out-Null } New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client' -Name 'Enabled' -value '1' -PropertyType 'DWord' -Force | Out-Null New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client' -Name 'DisabledByDefault' -value 0 -PropertyType 'DWord' -Force | Out-Null Write-Host 'TLS 1.2 has been enabled.' -ForegroundColor Cyan # Enable TLS 1.2 for .NET 4.x If (-Not (Test-Path 'HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319')) { New-Item 'HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319' -Force | Out-Null } New-ItemProperty -Path 'HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319' -Name 'SystemDefaultTlsVersions' -value '1' -PropertyType 'DWord' -Force | Out-Null New-ItemProperty -Path 'HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319' -Name 'SchUseStrongCrypto' -value '1' -PropertyType 'DWord' -Force | Out-Null If (-Not (Test-Path 'HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319')) { New-Item 'HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319' -Force | Out-Null } New-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319' -Name 'SystemDefaultTlsVersions' -value '1' -PropertyType 'DWord' -Force | Out-Null New-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319' -Name 'SchUseStrongCrypto' -value '1' -PropertyType 'DWord' -Force | Out-Null Write-Host 'TLS 1.2 for .NET 4.x has been enabled.' -ForegroundColor Cyan # Enable TLS 1.2 for .NET 3.5 If (-Not (Test-Path 'HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v2.0.50727')) { New-Item 'HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v2.0.50727' -Force | Out-Null } New-ItemProperty -Path 'HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v2.0.50727' -Name 'SystemDefaultTlsVersions' -value '1' -PropertyType 'DWord' -Force | Out-Null New-ItemProperty -Path 'HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v2.0.50727' -Name 'SchUseStrongCrypto' -value '1' -PropertyType 'DWord' -Force | Out-Null If (-Not (Test-Path 'HKLM:\SOFTWARE\Microsoft\.NETFramework\v2.0.50727')) { New-Item 'HKLM:\SOFTWARE\Microsoft\.NETFramework\v2.0.50727' -Force | Out-Null } New-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\.NETFramework\v2.0.50727' -Name 'SystemDefaultTlsVersions' -value '1' -PropertyType 'DWord' -Force | Out-Null New-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\.NETFramework\v2.0.50727' -Name 'SchUseStrongCrypto' -value '1' -PropertyType 'DWord' -Force | Out-Null Write-Host 'TLS 1.2 for .NET 3.5 has been enabled.' -ForegroundColor Cyan # Disable TLS 1.0 If (-Not (Test-Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server')) { New-Item 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server' -Force | Out-Null } New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server' -Name 'Enabled' -value '0' -PropertyType 'DWord' -Force | Out-Null New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server' -Name 'DisabledByDefault' -value 1 -PropertyType 'DWord' -Force | Out-Null If (-Not (Test-Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client')) { New-Item 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client' -Force | Out-Null } New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client' -Name 'Enabled' -value '0' -PropertyType 'DWord' -Force | Out-Null New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client' -Name 'DisabledByDefault' -value 1 -PropertyType 'DWord' -Force | Out-Null Write-Host 'TLS 1.0 has been disabled.' -ForegroundColor Cyan # Disable TLS 1.1 If (-Not (Test-Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server')) { New-Item 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server' -Force | Out-Null } New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server' -Name 'Enabled' -value '0' -PropertyType 'DWord' -Force | Out-Null New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server' -Name 'DisabledByDefault' -value 1 -PropertyType 'DWord' -Force | Out-Null If (-Not (Test-Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client')) { New-Item 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client' -Force | Out-Null } New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client' -Name 'Enabled' -value '0' -PropertyType 'DWord' -Force | Out-Null New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client' -Name 'DisabledByDefault' -value 1 -PropertyType 'DWord' -Force | Out-Null Write-Host 'TLS 1.1 has been disabled.' -ForegroundColor Cyan # Disable TLS 1.3 If (-Not (Test-Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.3\Server')) { New-Item 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.3\Server' -Force | Out-Null } New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.3\Server' -Name 'Enabled' -value '0' -PropertyType 'DWord' -Force | Out-Null New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.3\Server' -Name 'DisabledByDefault' -value 1 -PropertyType 'DWord' -Force | Out-Null If (-Not (Test-Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.3\Client')) { New-Item 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.3\Client' -Force | Out-Null } New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.3\Client' -Name 'Enabled' -value '0' -PropertyType 'DWord' -Force | Out-Null New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.3\Client' -Name 'DisabledByDefault' -value 1 -PropertyType 'DWord' -Force | Out-Null Write-Host 'TLS 1.3 has been disabled.' -ForegroundColor Cyan Write-Host 'You must restart the Windows Server for the changes to take effect.' -ForegroundColor Cyan bearbeitet 25. Februar 2023 von Quirk18231 Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 25. Februar 2023 Melden Teilen Geschrieben 25. Februar 2023 Am 24.2.2023 um 08:51 schrieb Quirk18231: Per Einstellung ist der Haken " Standardauthentifizierung erst nach dem Start von TLS anbieten " im Sendeconnector/Smarthost gesetzt und der Connector arbeitet auf Port 587 vor 27 Minuten schrieb Quirk18231: nobert: mir geht es nur um den Sendeconnector - das popmodul holt mit ssl/tls ab ! Siehe oben. ;) vor 28 Minuten schrieb Quirk18231: 1.) Das hier denke habe ich gesucht - kann ich die beiden letzten Punkte weglassen? Sendet er dann alles über tls auf dem sendeconnector? Exchange sendet per default immer per tls. Nennt sich opportunistic tls. Wenn er das bei dir nicht tut, wäre zu klären wo das Problem liegt. Steht was im logfile? Zitieren Link zu diesem Kommentar
Quirk18231 0 Geschrieben 25. Februar 2023 Autor Melden Teilen Geschrieben 25. Februar 2023 hi, vorher wurde über Port 25 gesendet - das habe ich geändert. Dann sollte er jetzt wohl tlssen Danke! Q Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 25. Februar 2023 Melden Teilen Geschrieben 25. Februar 2023 Port 25 sendet genauso tls. Zitieren Link zu diesem Kommentar
Quirk18231 0 Geschrieben 25. Februar 2023 Autor Melden Teilen Geschrieben 25. Februar 2023 ja, ich denke nur das ionos deswegen meckerte - deswegen der Portwechsel :) Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 25. Februar 2023 Melden Teilen Geschrieben 25. Februar 2023 Na du machst das schon. 1 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.