none
POP3/SMTP über SSL mit Exchange 2010 RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo, ich betreibe einen Exchange 2010.

    Einige externe User greifen ausschließlich per POP/SMTP auf ihre Emails zu.
    Bisher immer unverschlüsselt über POP3 (Port110) und SMTP (Port587).
    Da das aber sehr unsicher ist möchte ich die Übertragung der Emailclients jetzt mit SSL verschlüsseln.

    Nun habe ich ein Thawte SSL-Zertifikat erfolgreich auf dem Server installiert und der Abruf über Outlook
    POP3 SSL/Port 995 klappt auch problemlos. Was nicht klappt ist der Versand über SMTP SSL/Port 587.
    Wenn man aus Outlook eine Email verschicken will kommt immer die Meldung "0x800CCC1A - Ihr Server unterstützt nicht den angegebenen Verschlüsselungstyp"

    Ich komme hier einfach nicht weiter, von den Einstellungen her sehe ich nicht wo da noch was fehlen soll.
    Bin für alle Tips dankbar!

    Sonntag, 12. August 2012 20:31
    |

Antworten

  • Question
    Anmelden
    2
    Anmelden

    Hallo Michael,

    Exchange kennt gar kein echtes SSL bei SMTP, nur TLS. SSL in der alten Terminologie gibt es eigentlich offiziell an der Stelle gar nicht, nur die Weiterentwicklung TLS.

    Mir ist zwar aufgefallen, dass Du die ganze Zeit von SSL gesprochen hast, aber wenn ich ehrlich bin: Die meisten Leute wissen gar nicht, dass SSL und TLS nicht das gleiche ist - auch wenn die Unterschiede sehr gering sind und SSL der Vorgänger von TLS ist.

    Ich bin also davon ausgegangen, dass Du eigentlich immer TLS meinst, auch wenn Du von SSL sprichst.

    Ich weiß aber, dass viele Hersteller von Produkten die Anwender nicht überfordern wollen und von SSL bei SMTP reden. Einer Hausfrau zu erklären, dass SSL nicht TLS ist und sie schauen müssen, ob die gegenüberliegende Seite "nur" TLS spricht oder auch noch SSL könnte, ist vermutlich auch nicht so einfach.

    Also: SMTP per Exchange offiziell nur mit echtem TLS (IMHO nur TLS 1.0). Und der FQDN muss auch stimmen.

    Grüße aus Berlin schickt Robert
    MVP Exchange Server
    Freitag, 24. August 2012 07:08
    |
  • Question
    Anmelden
    1
    Anmelden

    Hi Michael,

    Soll ich das mit dem POP3 Logging jetzt trotzdem mal machen? Wird da auch das Versenden protokolliert?

    da bin ich jetzt durcheinander gekommen.

    Beim Telnet ist es bei mir genauso wie bei Dir: (995 erscheint nicht einmal der Banner in meiner Testumgebung während 110 alles iO) - Aber wie gesagt, abholen geht ja verschlüsselt.Auf Port 587 komme ich mit Telnet ebenfalls ohne Problem.

    Gut zu wissen.

    Ich wollte Dich noch mal was wegen der Certs fragen bevor ich die überflüssigen lösche.
    Bei Cert 1, 4 und 5 sind keine Dienste gebunden, aber bei Cert Nr. 3 ist auch SMTP als Dienst gebunden.
    Habe mal versucht, das da wegzuklicken, aber der Dienst scheint da mit diesem Cert fest verschweißt.

    Manche Verknüpfungen muss man hart mit dem Cert zusammen löschen. Einigen Diensten kann man mehrere Certs zuordenen und es wird dann das Beste genommen:
    Certificate Selection
    http://technet.microsoft.com/en-us/library/bb851505(v=exchg.80).aspx

    Hier für Ex2010:
    http://technet.microsoft.com/en-us/library/bb430748.aspx

    Das POP3-Logging brauchst du dann natürlich nicht und es sollte ein Blick ins SMTP-Log reichen. Du aktivierst es am Receive-Connector.

    Viele Grüße
    Christian

    Donnerstag, 23. August 2012 05:16
    |
    Moderator

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Moin,

    poste doch mal bitte die Ausgabe von:

    get-receiveconnector client* | fl
    Grüße aus Berlin schickt Robert
    MVP Exchange Server
    Montag, 13. August 2012 05:56
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo, Robert.

    Vielen Dank erst mal, hier sind die Daten:

    RunspaceId                              : 1f8ad3ee-4d36-4aac-99fd-8b8bb8afc1f1
    AuthMechanism                           : Tls, Integrated, BasicAuth, BasicAuthRequireTLS
    Banner                                  :
    BinaryMimeEnabled                       : True
    Bindings                                : {192.168.1.30:587}
    ChunkingEnabled                         : True
    DefaultDomain                           :
    DeliveryStatusNotificationEnabled       : True
    EightBitMimeEnabled                     : True
    BareLinefeedRejectionEnabled            : False
    DomainSecureEnabled                     : False
    EnhancedStatusCodesEnabled              : True
    LongAddressesEnabled                    : False
    OrarEnabled                             : False
    SuppressXAnonymousTls                   : False
    AdvertiseClientSettings                 : False
    Fqdn                                    : (Hier nicht sichtbar aus Sicherheitsgründen, falls dies wichtig ist kann ich Dir das gerne per mail schicken)
    Comment                                 :
    Enabled                                 : True
    ConnectionTimeout                       : 00:10:00
    ConnectionInactivityTimeout             : 00:05:00
    MessageRateLimit                        : unlimited
    MessageRateSource                       : IPAddress
    MaxInboundConnection                    : 5000
    MaxInboundConnectionPerSource           : 20
    MaxInboundConnectionPercentagePerSource : 2
    MaxHeaderSize                           : 64 KB (65,536 bytes)
    MaxHopCount                             : 60
    MaxLocalHopCount                        : 12
    MaxLogonFailures                        : 3
    MaxMessageSize                          : 48.83 MB (51,200,000 bytes)
    MaxProtocolErrors                       : 5
    MaxRecipientsPerMessage                 : 200
    PermissionGroups                        : ExchangeUsers
    PipeliningEnabled                       : True
    ProtocolLoggingLevel                    : None
    RemoteIPRanges                          : {0.0.0.0-255.255.255.255}
    RequireEHLODomain                       : False
    RequireTLS                              : False
    EnableAuthGSSAPI                        : False
    ExtendedProtectionPolicy                : None
    LiveCredentialEnabled                   : False
    TlsDomainCapabilities                   : {}
    Server                                  : 2011-SBS
    SizeEnabled                             : Enabled
    TarpitInterval                          : 00:00:05
    MaxAcknowledgementDelay                 : 00:00:00
    AdminDisplayName                        :
    ExchangeVersion                         : 0.1 (8.0.535.0)
    Name                                    : POP-SMTP für externe Mitarbeiter
    DistinguishedName                       : CN=POP-SMTP für externe Mitarbeiter,CN=SMTP Receive Connectors,CN=Protocols,C
                                              N=2011-SBS,CN=Servers,CN=Exchange Administrative Group (FYDIBOHF23SPDLT),CN=A
                                              dministrative Groups,CN=First Organization,CN=Microsoft Exchange,CN=Services,
                                              CN=Configuration,DC=zatronnet,DC=local
    Identity                                : 2011-SBS\POP-SMTP für externe Mitarbeiter
    Guid                                    : a0bd9f96-4ba9-42cf-a0a3-c4170fa8752d
    ObjectCategory                          : zatronnet.local/Configuration/Schema/ms-Exch-Smtp-Receive-Connector
    ObjectClass                             : {top, msExchSmtpReceiveConnector}
    WhenChanged                             : 13.08.2012 22:33:42
    WhenCreated                             : 31.10.2011 11:06:39
    WhenChangedUTC                          : 13.08.2012 20:33:42
    WhenCreatedUTC                          : 31.10.2011 10:06:39
    OrganizationId                          :
    OriginatingServer                       : 2011-SBS.zatronnet.local
    IsValid                                 : True

    Montag, 13. August 2012 20:57
    |
  • Question
    Anmelden
    1
    Anmelden

    Hi Michael29062050,

    Fqdn                                    : (Hier nicht sichtbar aus Sicherheitsgründen, falls dies wichtig ist kann ich Dir das gerne per mail schicken)

    stimmt der denn mit dem Namen im Cert überein?

    Prüf ihn mit der Domain im Cert:
    Get-ExchangeCertificate | FL

    http://technet.microsoft.com/de-de/library/bb217330(v=exchg.80).aspx

    Viele Grüße
    Christian

    Dienstag, 14. August 2012 07:29
    |
    Moderator
  • Question
    Anmelden
    0
    Anmelden

    Hallo Christian,

    da war was anderes eingetragen, habe jetzt exakt den selben Namen eingetragen wie im Cert (remote.domain.com)

    Wenn ich es jetzt direkt danach probieremails über SSL zu verschicken geht es immer noch nicht.

    Muss ich denn da erst einen Dienst oder etwa den Server neu starten?

    Gruß

    Donnerstag, 16. August 2012 07:34
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo, habe den Server heute neu gestartet, geht leider immer noch nicht.

    Mir ist da noch eine Sache nicht ganz klar, die evtl. was damit zu tun haben könnte:

    Bei der Übersicht der Exchange Zertifikate sind 5 Stück drin:

    Ist da evtl. was zu viel und kann/soll gelöscht werden? 

    Sorry, an diesem Punkt habe ich ganz wenig Ahnung und ich bin mir nicht sicher das wenn ich da was lösche, dann hinterher was nicht mehr geht.


    1.Selbstsigniert:Falsch , Status:Gültig, Dienste:None, Betreff: CN=Servername.internerDomainname.local,
    Aussteller: CN=internerDomainname-Servername-CA, Ablauf: 15.08.2013

    2.Selbstsigniert:Falsch , Status:Gültig, Dienste:IMAP,POP,IIS,SMTP, Betreff: CN=NamedesThawteZertifikats 
    Aussteller: CN=Thawte DV SSL..., Ablauf: 05.06.2013

    3.Selbstsigniert:Falsch , Status:Gültig, Dienste:SMTP, Betreff: CN=Sites,
    Aussteller: CN=internerDomainname-Servername-CA, Ablauf: 26.09.2013

    4.Selbstsigniert:Wahr , Status:Gültig, Dienste:None, Betreff: CN=internerDomainname-Servername-CA,
    Aussteller: CN=internerDomainname-Servername-CA, Ablauf: 27.09.2016

    5.Selbstsigniert:Wahr , Status:Gültig, Dienste:None, Betreff: CN=WMSvc-WIN-A1IRR257HCU,
    Aussteller: CN=WMSvc-WIN-A1IRR257HCU, Ablauf: 24.09.2021

    Sonntag, 19. August 2012 13:40
    |
  • Question
    Anmelden
    0
    Anmelden

    Hi Michael29062050,

    Hallo, habe den Server heute neu gestartet, geht leider immer noch nicht.

    Aktivier mal das POP3-Logging und poste einen Verbindungsversuch:
    http://smtpport25.wordpress.com/2009/12/07/exchange-2007-imap-and-pop-protocol-logging/

    Ist da evtl. was zu viel und kann/soll gelöscht werden? 

    Können gelöscht werden, haben aber nichts mit dem Problem zu tun.

    Sorry, an diesem Punkt habe ich ganz wenig Ahnung und ich bin mir nicht sicher das wenn ich da was lösche, dann hinterher was nicht mehr geht.

    2.Selbstsigniert:Falsch , Status:Gültig, Dienste:IMAP,POP,IIS,SMTP, Betreff: CN=NamedesThawteZertifikats 
    Aussteller: CN=Thawte DV SSL..., Ablauf: 05.06.2013

    Hier ist der Dienst gebunden und das sollte auchgenutzt werden. Dass du ein paar mehr Zertifkate hast ist egel, es ist nur etwas unaufgeräumt.

    Viele Grüße
    Christian

    Montag, 20. August 2012 04:09
    |
    Moderator
  • Question
    Anmelden
    0
    Anmelden

    Hi,

    kommst du mit Telnet auf 995? Bei mir erscheint nicht einmal der Banner in meiner Testumgebung während 110 alles iO.

    Der Verbindungseingang wir im Log angezeigt, aber auch das erweiterte Diagnoselogging bringt nichts zu Tage.

    Melde dich mal, wie es bei dir aussieht...
     -- Viele Grüße
    Christian

    Dienstag, 21. August 2012 07:55
    |
    Moderator
  • Question
    Anmelden
    0
    Anmelden

    Hallo, Christian.

    Das abholen der mails via POP3, Port 995 klappt ja problemlos, nur das versenden über SMTP Port 587 SSL nicht.

    Soll ich das mit dem POP3 Logging jetzt trotzdem mal machen? Wird da auch das Versenden protokolliert?

    Beim Telnet ist es bei mir genauso wie bei Dir: (995 erscheint nicht einmal der Banner in meiner Testumgebung während 110 alles iO) - Aber wie gesagt, abholen geht ja verschlüsselt.Auf Port 587 komme ich mit Telnet ebenfalls ohne Problem.

    Ich wollte Dich noch mal was wegen der Certs fragen bevor ich die überflüssigen lösche.
    Bei Cert 1, 4 und 5 sind keine Dienste gebunden, aber bei     Cert Nr. 3 ist auch SMTP als Dienst gebunden.
    Habe mal versucht, das da wegzuklicken, aber der Dienst scheint da mit diesem Cert fest verschweißt.

    SMTP ist also mit Cert 2 und 3 verbunden. Ich warte noch mal Deine Meinung ab bevor ich dann 1,3,4 und 5 lösche. 

    Gruß

    Michael

    Donnerstag, 23. August 2012 04:45
    |
  • Question
    Anmelden
    1
    Anmelden

    Hi Michael,

    Soll ich das mit dem POP3 Logging jetzt trotzdem mal machen? Wird da auch das Versenden protokolliert?

    da bin ich jetzt durcheinander gekommen.

    Beim Telnet ist es bei mir genauso wie bei Dir: (995 erscheint nicht einmal der Banner in meiner Testumgebung während 110 alles iO) - Aber wie gesagt, abholen geht ja verschlüsselt.Auf Port 587 komme ich mit Telnet ebenfalls ohne Problem.

    Gut zu wissen.

    Ich wollte Dich noch mal was wegen der Certs fragen bevor ich die überflüssigen lösche.
    Bei Cert 1, 4 und 5 sind keine Dienste gebunden, aber bei Cert Nr. 3 ist auch SMTP als Dienst gebunden.
    Habe mal versucht, das da wegzuklicken, aber der Dienst scheint da mit diesem Cert fest verschweißt.

    Manche Verknüpfungen muss man hart mit dem Cert zusammen löschen. Einigen Diensten kann man mehrere Certs zuordenen und es wird dann das Beste genommen:
    Certificate Selection
    http://technet.microsoft.com/en-us/library/bb851505(v=exchg.80).aspx

    Hier für Ex2010:
    http://technet.microsoft.com/en-us/library/bb430748.aspx

    Das POP3-Logging brauchst du dann natürlich nicht und es sollte ein Blick ins SMTP-Log reichen. Du aktivierst es am Receive-Connector.

    Viele Grüße
    Christian

    Donnerstag, 23. August 2012 05:16
    |
    Moderator
  • Question
    Anmelden
    0
    Anmelden

    Hallo, Christian.

    Ich habe eben eher zufällig noch mal die Einstellungen im Mailclient gecheckt und für das Versenden statt SSL mal testweise TLS eingestellt. Das geht jetzt einwandfrei. Vorher ging es nicht, als der Fqdn noch ein anderer war.
    Habe auch mal schnell die Gegenprobe gemacht, also den Fqdn auf den "falschen" Wert von vorher gestellt und getestet. Geht nicht. Erst wenn ich den Fqdn wieder korrigiere geht es auch wieder.TLS geht also jetzt, seitdem ich den Fqdn korrigiert habe. Hmmm.... Ich denke das das so auch reicht,
    Hauptsache verschlüsselt. Warum da aber SSL zum rausschicken nicht geht... Keine Ahnung.
    Ist das vielleicht gar nicht vorgesehen?

    Gruß

    Michael

    Freitag, 24. August 2012 00:33
    |
  • Question
    Anmelden
    2
    Anmelden

    Hallo Michael,

    Exchange kennt gar kein echtes SSL bei SMTP, nur TLS. SSL in der alten Terminologie gibt es eigentlich offiziell an der Stelle gar nicht, nur die Weiterentwicklung TLS.

    Mir ist zwar aufgefallen, dass Du die ganze Zeit von SSL gesprochen hast, aber wenn ich ehrlich bin: Die meisten Leute wissen gar nicht, dass SSL und TLS nicht das gleiche ist - auch wenn die Unterschiede sehr gering sind und SSL der Vorgänger von TLS ist.

    Ich bin also davon ausgegangen, dass Du eigentlich immer TLS meinst, auch wenn Du von SSL sprichst.

    Ich weiß aber, dass viele Hersteller von Produkten die Anwender nicht überfordern wollen und von SSL bei SMTP reden. Einer Hausfrau zu erklären, dass SSL nicht TLS ist und sie schauen müssen, ob die gegenüberliegende Seite "nur" TLS spricht oder auch noch SSL könnte, ist vermutlich auch nicht so einfach.

    Also: SMTP per Exchange offiziell nur mit echtem TLS (IMHO nur TLS 1.0). Und der FQDN muss auch stimmen.

    Grüße aus Berlin schickt Robert
    MVP Exchange Server
    Freitag, 24. August 2012 07:08
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Michael,

    Exchange kennt gar kein echtes SSL bei SMTP, nur TLS. SSL in der alten Terminologie gibt es eigentlich offiziell an der Stelle gar nicht, nur die Weiterentwicklung TLS.

    Mir ist zwar aufgefallen, dass Du die ganze Zeit von SSL gesprochen hast, aber wenn ich ehrlich bin: Die meisten Leute wissen gar nicht, dass SSL und TLS nicht das gleiche ist - auch wenn die Unterschiede sehr gering sind und SSL der Vorgänger von TLS ist.

    Ich bin also davon ausgegangen, dass Du eigentlich immer TLS meinst, auch wenn Du von SSL sprichst.

    Ich weiß aber, dass viele Hersteller von Produkten die Anwender nicht überfordern wollen und von SSL bei SMTP reden. Einer Hausfrau zu erklären, dass SSL nicht TLS ist und sie schauen müssen, ob die gegenüberliegende Seite "nur" TLS spricht oder auch noch SSL könnte, ist vermutlich auch nicht so einfach.

    Also: SMTP per Exchange offiziell nur mit echtem TLS (IMHO nur TLS 1.0). Und der FQDN muss auch stimmen.

    Grüße aus Berlin schickt Robert
    MVP Exchange Server
    Mist, ich habe mich nicht getraut es zu schreiben weil ich auch etwas unsicher war... ;>
    Freitag, 24. August 2012 07:52
    |
  • Question
    Anmelden
    0
    Anmelden

    Ok, bin froh das es jetzt geht und gelernt habe ich auch noch was dabei. ;-)

    Ich habe im Outlook 2010 bei POP nur die Möglichkeit SSL einzustellen. TLS taucht da gar nicht auf.

    Nur bei SMTP kann man SSL oder TLS einstellen. Deshalb habe ich da zuletzt gar nicht erst mit TLS probiert,

    bzw. bevor ich den Fqdn korrigiert habe, habe ich auch TLS probiert, nur eben hinterher nicht gleich.

    D.h. bei mir läuft das jetzt aktuell so:

    Mails abholen : POP SSL Port 995Mails verschicken: SMTP TLS Port 587

    Auf meinem Smartphone kann ich aber auch POP TLS Port 110 einstellen und es geht sogar.
    Ist jetzt nicht so wichtig, aber durch diesen Umstand hat mich mein Outlook bisher zusätzlich verwirrt. 

    Weiß jemand warum das im Outlook so ist, bzw. meine Konfiguration jetzt so OK ist ?

    Gruß an Alle!

    Michael

    Freitag, 24. August 2012 19:44
    |