none
EX 2010 - SMTP - TLS - SSL RRS feed

  • Frage

  • Hallo Forengemeinde!

    Ich bin gerade dabei, ein bisschen an meiner eigenen "E-Mail made in Germany" zu basteln.

    U.a. wollte ich dazu den Versand von E-Mails (läuft bei uns über einen Smarthost, nämlich den SMTP-Server unseres Providers) absichern.

    Das ich damit nur den Transport von uns zum Provider beeinflussen kann und keine Kontrolle darüber habe, wie unser Provider die E-Mails dann weiter versendet, ist mir klar. Das dabei nicht die Mails selbst sondern nur die Übertragung verschlüsselt wird, ist mir ebenfalls klar.

    Unser Provider ist Domainfactory (DF), uns werden von dort zwei SMTP-Server angeboten. Zum einen ist es "unser eigener" unter der Adresse "smtp.unseredomain.de" und Port 25. Zum anderen betreibt DF unter dem Namen "smtprelaypool.ispgateway.de" einen zweiten Serverpool für den SSL-Versand von E-Mails. Hier ist dann lt. DF auch nicht mehr Port 25 sondern Port 465 zu verwenden.

    Ich habe also meinen Sende-Connector angepasst, indem ich statt unseres Servers (s.o.) die Adresse des Serverpools eingetragen und via Powershell den Port für diesen Connector von 25 auf 465 geändert habe. Und siehe da: Es gehen keine Mails mehr raus und in der Warteschlange wird zu allem Unglück bei „letzter Fehler“ nicht angezeigt, obwohl der Protokolliergrad auf „Ausführlich“ steht.

    Nach langem googeln meine ich nun folgendes herausgefunden zu haben, würde mir das aber hier gerne bestätigen lassen:

    EX2010 kann gar keinen SSL-Versand sondern kann „nur“ TLS-Versand.
    1. Ist das so zutreffend?

    Da die Server bei DF (auch unser eigener, s.o.) StartTLS unterstützen, das habe ich via Telnet abgefragt, der Parameter „Ignore StartTLS“ bei uns auf „False“ steht und TLS ja auch über Port 25 funktioniert, hätte ich mir die ganze Mühe sparen können. Wenn das so ist, wird der E-Mail-Transport nämlich auch mit den alten Einstellungen (unser Server auf Port 25 als Smarthost) schon verschlüsselt. Der Smart-Host bietet bei der Kontaktaufnahme durch unseren EX StartTLS an, das nimmt unser EX dankend an und es wird verschlüsselt.
    2. Ist das so ebenfalls zutreffend?

    Das einzige, dass ich dann noch optimieren könnte, wäre der Haken bei „Standardauthentifizierung über TLS“. Der ist im Moment (noch) nicht gesetzt. Dieser  Haken würde aber „nur“ bewirken, das neben der E-Mail selbst auch die Anmeldedaten TLS-abgesichert an den Smart-Host übertragen werden, die Übertragung der E-Mails selbst wird auch ohne diesen Haken verschlüsselt.
    3. Ist das so ebenfalls zutreffend?

    VIELEN DANK IM VORAUS!!!

    TJ

    Sonntag, 17. August 2014 12:39

Antworten

  • Moin,

    zu 1. Korrekt. SSL spielt bei SMTP in der Server-zu-Server Kommunikation keine Rolle. Exchange kann daher nur TLS, so wie jeder andere Server, der verschlüsselt.

    zu 2.: Korrekt: Exchange verschlüsselt ausgehend, wenn der Partner TLS anbietet und bietet eingehend von sich aus TLS an (ein korrektes Zertifikat sollte vorhanden sein, sonst gibt es Fehler im Eventlog).

    Im Standard verschlüsselt Exchange damit immer, wenn die Gegenseite mitspielt, das nennt man auch "opportunistic TLS". Bei Bedarf kann man das auf "mutual" setzen, d.h. TLS verpflichtend einstellen (wobei mutual TLS noch einen Schritt weitergeht und auch die Korrektheit von Zertifikaten prüft).

    Siehe auch hier:

    http://technet.microsoft.com/de-de/library/bb430753(v=exchg.150).aspx

    zu 3.: Auch das ist korrekt. TLS bei Authentifizierung ist eigentlich die Standard-Einstellung, d.h. das Häkchen wurde bei der Einrichtung von Dir entfernt.

    Wenn man sich das genau schaut und dann sieht, was bei "E-Mail made in Germany" gemacht wird, dann merkt man, dass das zu 95% Marketing ist. 1% ist was neues (die Kennzeichnung, dass die Mail verschlüsselt übertragen wurde gibt es nicht in OWA 2010, erst aber 2013) und 4% sind falsche Werbeversprechen.


    Gruesse aus Berlin schickt Robert - MVP Exchange Server

    • Als Antwort markiert T.J. Hooker Sonntag, 17. August 2014 17:14
    Sonntag, 17. August 2014 15:08
  • Kann ich nicht vollziehen. Ich bin selbst bei dF und meine Mails gehen an "smtprelaypool.ispgateway.de" mit "Standardauthentifizierung erst nach dem Start von TLS anbieten" problemlos raus.

    Dein Zertifikat spielt dabei normalerweise keine Rolle, weil wie bei jeder SSL/TLS-Verschlüsselung das Zertifikat des Empfängers der Datenverbindung wichtig ist.

    Wie genau lautet denn der Fehler im Eventlog oder in der Warteschlange?


    Gruesse aus Berlin schickt Robert - MVP Exchange Server

    • Als Antwort markiert T.J. Hooker Sonntag, 17. August 2014 17:15
    Sonntag, 17. August 2014 16:47
  • Moin,

    wieso unterstellst Du das? Ich weiß doch, wie das funktioniert, also nehme ich das, was am einfachsten ist. Der einzige Unterschied ist, dass ich keine Self-Signed nehme, meine Zertifikate sind aus einer internen CA.

    Korrekt, Du musst den Relay-Server nehmen. Exchange überprüft den Servernamen und der passt nicht. Steht aber auch so in der sehr guten FAQ:

    http://www.df.eu/de/service/df-faq/e-mail/pop3-imap-postfaecher/mail-programme/#acc7209


    Gruesse aus Berlin schickt Robert - MVP Exchange Server

    • Als Antwort markiert T.J. Hooker Sonntag, 17. August 2014 17:14
    Sonntag, 17. August 2014 16:57

Alle Antworten

  • Moin,

    zu 1. Korrekt. SSL spielt bei SMTP in der Server-zu-Server Kommunikation keine Rolle. Exchange kann daher nur TLS, so wie jeder andere Server, der verschlüsselt.

    zu 2.: Korrekt: Exchange verschlüsselt ausgehend, wenn der Partner TLS anbietet und bietet eingehend von sich aus TLS an (ein korrektes Zertifikat sollte vorhanden sein, sonst gibt es Fehler im Eventlog).

    Im Standard verschlüsselt Exchange damit immer, wenn die Gegenseite mitspielt, das nennt man auch "opportunistic TLS". Bei Bedarf kann man das auf "mutual" setzen, d.h. TLS verpflichtend einstellen (wobei mutual TLS noch einen Schritt weitergeht und auch die Korrektheit von Zertifikaten prüft).

    Siehe auch hier:

    http://technet.microsoft.com/de-de/library/bb430753(v=exchg.150).aspx

    zu 3.: Auch das ist korrekt. TLS bei Authentifizierung ist eigentlich die Standard-Einstellung, d.h. das Häkchen wurde bei der Einrichtung von Dir entfernt.

    Wenn man sich das genau schaut und dann sieht, was bei "E-Mail made in Germany" gemacht wird, dann merkt man, dass das zu 95% Marketing ist. 1% ist was neues (die Kennzeichnung, dass die Mail verschlüsselt übertragen wurde gibt es nicht in OWA 2010, erst aber 2013) und 4% sind falsche Werbeversprechen.


    Gruesse aus Berlin schickt Robert - MVP Exchange Server

    • Als Antwort markiert T.J. Hooker Sonntag, 17. August 2014 17:14
    Sonntag, 17. August 2014 15:08
  • Hallo Robert!

    DANKE!!!

    Zu 3:
    Ich habe vorhin mal versuch, auch den Haken bei „Standardauthentifizierung über TLS“ (wieder) zu setzen. Leider gehen danach keine Mails mehr raus, Fehlermeldung bezieht sich auf einen Zertifikatsfehler.

    Nach allem, was ich mir dazu ergoogeln konnte, nehme ich an, dass der Grund dafür das noch von der Installation vorhandene selbstsignierte Zertifikat ist. Mit dem kann das Gegenüber nichts anfangen und deswegen geht die Authentifizierung über TLS nicht. Jetzt gerade frage ich mich allerdings: Wenn das an diesem Zertifikat scheitert, erfolgt dann die Übertragung der eigentlichen Mail auch nicht verschlüsselt, oder wird dazu wiederum kein korrektes Zertifikat benötigt?

    Danke!

    TJ

    • Bearbeitet T.J. Hooker Sonntag, 17. August 2014 15:20
    • Als Antwort markiert T.J. Hooker Sonntag, 17. August 2014 17:14
    • Tag als Antwort aufgehoben T.J. Hooker Sonntag, 17. August 2014 17:14
    Sonntag, 17. August 2014 15:20
  • Kann ich nicht vollziehen. Ich bin selbst bei dF und meine Mails gehen an "smtprelaypool.ispgateway.de" mit "Standardauthentifizierung erst nach dem Start von TLS anbieten" problemlos raus.

    Dein Zertifikat spielt dabei normalerweise keine Rolle, weil wie bei jeder SSL/TLS-Verschlüsselung das Zertifikat des Empfängers der Datenverbindung wichtig ist.

    Wie genau lautet denn der Fehler im Eventlog oder in der Warteschlange?


    Gruesse aus Berlin schickt Robert - MVP Exchange Server

    • Als Antwort markiert T.J. Hooker Sonntag, 17. August 2014 17:15
    Sonntag, 17. August 2014 16:47
  • Hi!

    Danke!

    Ich unterstelle, falls es doch daran liegt, mal, dass du ein "vernünftiges" Zertifikat hast, anders als ich, oder?
    Ich nutzt an Stelle von "smtprelaypool.ispgateway.de" aktuell "smtp.meinedomain.de". vlt. ist das der Grund. Ich stelle das mal um und melde mich dann noch mal...

    TJ
    Sonntag, 17. August 2014 16:53
  • Moin,

    wieso unterstellst Du das? Ich weiß doch, wie das funktioniert, also nehme ich das, was am einfachsten ist. Der einzige Unterschied ist, dass ich keine Self-Signed nehme, meine Zertifikate sind aus einer internen CA.

    Korrekt, Du musst den Relay-Server nehmen. Exchange überprüft den Servernamen und der passt nicht. Steht aber auch so in der sehr guten FAQ:

    http://www.df.eu/de/service/df-faq/e-mail/pop3-imap-postfaecher/mail-programme/#acc7209


    Gruesse aus Berlin schickt Robert - MVP Exchange Server

    • Als Antwort markiert T.J. Hooker Sonntag, 17. August 2014 17:14
    Sonntag, 17. August 2014 16:57
  • Hi!

    ...weil ich davon ausgehe, dass Du etwas "professioneller" unterwegs bist als ich...

    smtprelaypool.ispgateway.de:
    Kaum macht man´s richtig - schon funktioniert´s!

    Once more: DANKE!

    TJ
    Sonntag, 17. August 2014 17:14