Konfiguration eines Receive Connectors mit TLS1.2 und Authentifizierung unter Exchange 2010 (kein Starttls)

Alle Antworten

• 

  

  0

  Anmelden

  Moin,

  kleiner dezenter Hinweis: Diesen Donnerstag trifft sich die Exchange User Group Berlin (https://www.meetup.com/de-DE/EXUSG-DE/events/254578215). Da kannst Du gern Dein Problem "vorbeibringen" und mit der Gruppe diskutieren, dafür ist sie da.

  Ansonsten: Nach welchem Kriterium soll Exchange das CRM-System von jedem anderen externen Einlieferer unterscheiden? Das ist aus Deiner Schilderung noch nicht ganz klar, zumal Du explizit davon sprichst, dass die IP-Adresse variieren könnte...

  ---

  Evgenij Smirnov

  I work @ msg services ag, Berlin -> http://www.msg-services.de
  I blog (in German) @ http://it-pro-berlin.de
  my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
  Exchange User Group, Berlin -> https://exusg.de
  Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
  Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

  ---

  In theory, there is no difference between theory and practice. In practice, there is.

  Montag, 15. Oktober 2018 15:26

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Hi Evgenij,

  ein sehr nettes Angebot :-) schaffe ich leider zeitlich aufgrund anderer privater Verpflichtungen nicht.

  Das einzige Unterscheidungsmerkmal wäre momentan aus meiner Sicht, dass das System mit der autoritativen Domain des Servers einliefern möchte.

  Wo ich mir gerade nicht so sicher bin ob ich es falsch verstehe ist, ob ich in diesem Bereich überhaupt noch eine Authentifizierung durchführen kann. 

  ---

  Marcel Brabetz

  Montag, 15. Oktober 2018 15:43

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Ich versuche das einmal zu konkretisieren:

  Der Anbieter sagt: nutze TLS aber kein STARTTLS.

  Ich würde dafür einen einzelnen Connector auf einem nicht Standard Port erstellen, um das darzustellen.

  Wie müsste ein Connector dazu aussehen?

  ---

  Marcel Brabetz

  
  

  • Bearbeitet Marcel Brabetz Mittwoch, 17. Oktober 2018 14:49

  Mittwoch, 17. Oktober 2018 14:38

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Moin,

  ob STARTTLS *verwendet* wird, entscheidet der Client, also in diesem Fall der Anbieter.

  Ob Exchange es *anbietet*, entscheidet der Connector. Und zwar wird Exchange STARTTLS grundsätzlich immer anbieten, wenn der FQDN im Connector auf ein auf SMTP gebundenes SSL-Zertifikat passt und TLS dort grundsätzlich als Authentifizierungsweg zulässig ist.

  Aber, wenn Du einen Connector so erstellst:

  

  und dann

  Set-ReceiveConnector "Name des Connectors" -RequireTLS $true

  sagst, wird er am EHLO-Prompt zwar immer noch STARTTLS anbieten, aber Verbindungen ohne TLS werden nicht zustande kommen.

  ---

  Evgenij Smirnov

  I work @ msg services ag, Berlin -> http://www.msg-services.de
  I blog (in German) @ http://it-pro-berlin.de
  my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
  Exchange User Group, Berlin -> https://exusg.de
  Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
  Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

  ---

  In theory, there is no difference between theory and practice. In practice, there is.

  
  

  • Bearbeitet Evgenij Smirnov Mittwoch, 17. Oktober 2018 15:23

  Mittwoch, 17. Oktober 2018 15:21

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Hallo Evgenij,

  danke schon einmal für deine Zeit.

  ich habe deinen Connector erst einmal so konfiguriert und den Transport Service neu gestartet.

  Ich nehme gerade Outlook 2010 zum Testen des Connectors.

  Wenn ich die Sendeoptionen auf SSL stelle: Vom Server wird keine der von diesem Client unterstützten Authentifizierungsmethoden unterstützt.

  Bei TLS ihr Server unterstützt nicht den angegebenen Verbindungsverschlüsselungstyp. Versuchen Sie ...

  Welche Optionen der Berechtigungsgruppen müssten dann aktiviert sein, damit sich der Client immer noch mit Usernamen und Passwort anmelden kann?

  ---

  Marcel Brabetz

  Mittwoch, 17. Oktober 2018 15:37

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Das wären dann die beiden Haken drunter: Standard-Auth, aber nur bei TLS.

  Und als Berechtigungsgruppe dann Exchange-Benutzer.

  ---

  Evgenij Smirnov

  I work @ msg services ag, Berlin -> http://www.msg-services.de
  I blog (in German) @ http://it-pro-berlin.de
  my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
  Exchange User Group, Berlin -> https://exusg.de
  Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
  Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

  ---

  In theory, there is no difference between theory and practice. In practice, there is.

  Mittwoch, 17. Oktober 2018 15:39

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Okay so hatte ich es vorher auch.

  Aber was nutzen die beiden dann bei der Konfiguration "TLS" im Outlook 2010? Nutzt er wirklich TLS als Nachfolger von SSL oder nutzt er Starttls?

  ---

  Marcel Brabetz

  Mittwoch, 17. Oktober 2018 15:47

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  SSL und TLS ist ein und dassellbe. Kannst TLS 1.0  als SSL 4 oder SSL 3 als TLS 0.9 betrachten.

  STARTTLS ist ein Befehl, mit dem für eine ursprünglich ohne Transportverschlüsselung aufgebaute Verbindung die Verschlüsselung nachträglich ausgehandelt wird. Der Befehl muss vom Client ausgehen, das Angebot dazu vom Server.

  ---

  Evgenij Smirnov

  I work @ msg services ag, Berlin -> http://www.msg-services.de
  I blog (in German) @ http://it-pro-berlin.de
  my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
  Exchange User Group, Berlin -> https://exusg.de
  Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
  Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

  ---

  In theory, there is no difference between theory and practice. In practice, there is.

  Mittwoch, 17. Oktober 2018 15:51

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Hi Evgenij,

  okay weisst du durch Zufall ob Outlook STARTTLS anfragt wenn die Option "TLS" bei "Verwenden Sie den folgenden verschlüsselten Verbindungstyp" aktiviert ist.

  Oder müsste ich dort SSL auswählen um kein STARTTLS anzufragen?

  ---

  Marcel Brabetz

  Mittwoch, 17. Oktober 2018 15:55

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Nicht mit Sicherheit. Was ich aber weiß, ist, dass es früher die Varianten "SSL/TLS" und "STARTTLS" gab, was ja Sinn ergibt. Bei ThunderBird etc. ist es immer noch so.

  Daher nehme ich an, dass SSL = SSL/TLS und TLS = STARTTLS ist. Wissen tue ich es aber tatsächlich nicht.

  ---

  Evgenij Smirnov

  I work @ msg services ag, Berlin -> http://www.msg-services.de
  I blog (in German) @ http://it-pro-berlin.de
  my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
  Exchange User Group, Berlin -> https://exusg.de
  Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
  Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

  ---

  In theory, there is no difference between theory and practice. In practice, there is.

  Mittwoch, 17. Oktober 2018 16:05

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Würde ich auch so denken.

  Jetzt ist die Frage die sich mir stellt, ob der Connector so wie du Ihn auch oben beschrieben hast, in der Lage ist Mails über SSL/TLS entgegenzunehmen.

  Outlook kann unter Verwendung von SSL nicht senden "Ihr Server unterstützt nicht den angegebenen Verschlüsselungstyp" 

  ---

  Marcel Brabetz

  Mittwoch, 17. Oktober 2018 16:12

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Moin,

  passen die Zertifikate denn zum Connector-FQDN?

  Du kannst es checken, indem Du per Telnet auf den Connector gehst und EHLO sagst. Wenn in der Liste "STARTTLS" erscheint, konnte Exchange ein passendes Zertifikat finden...

  Das TLS1.2-Thema musst Du übrigens auch noch behandeln, das ist bei Exchange 2010 nicht ganz trivial ;-)

  ---

  Evgenij Smirnov

  I work @ msg services ag, Berlin -> http://www.msg-services.de
  I blog (in German) @ http://it-pro-berlin.de
  my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
  Exchange User Group, Berlin -> https://exusg.de
  Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
  Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

  ---

  In theory, there is no difference between theory and practice. In practice, there is.

  Mittwoch, 17. Oktober 2018 16:58

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  StartTLS bietet er mir auf dem Connector an.

  Das habe ich bereits geprüft und mit Wireshark auch noch sehen können.

  Was genau meinst du mit TLS1.2 behandeln? Meinst du das Update einspielen und TLS1.2 über die Registrykeys zur Verfügung stellen? Oder weitere Dinge?

  Hast du dafür einen guten Artikel parat?

  Das Thema hier ist ähnlich:

  https://social.technet.microsoft.com/Forums/exchange/de-DE/46042a66-2d26-4292-ae68-a72104358c96/receive-connector-ssltls?forum=exchangesvrsecuremessaging

  ---

  Marcel Brabetz

  
  

  • Bearbeitet Marcel Brabetz Mittwoch, 17. Oktober 2018 17:15

  Mittwoch, 17. Oktober 2018 17:12

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Was genau meinst du mit TLS1.2 behandeln? Meinst du das Update einspielen und TLS1.2 über die Registrykeys zur Verfügung stellen? Oder weitere Dinge?

  Hast du dafür einen guten Artikel parat?

  
  

  
  Naja, die Bibel ist nach wie vor https://blogs.technet.microsoft.com/exchange/2018/04/02/exchange-server-tls-guidance-part-2-enabling-tls-1-2-and-identifying-clients-not-using-it/ Sehr viel mehr als Registry und Updates ist es nicht, aber Sorgfalt ist nötig und eben auch sich Zeit nehmen und validieren, wer alles noch 1.1 und darunter verwendet.

  ---

  Evgenij Smirnov

  I work @ msg services ag, Berlin -> http://www.msg-services.de
  I blog (in German) @ http://it-pro-berlin.de
  my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
  Exchange User Group, Berlin -> https://exusg.de
  Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
  Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

  ---

  In theory, there is no difference between theory and practice. In practice, there is.

  Mittwoch, 17. Oktober 2018 17:46

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  HI Evgenij,

  danke für den Link.

  Ich möchte gar nicht TLS 1.2 ausschließlich einsetzen. Ich habe sogar gesehen, dass die gleiche Webanwendung (für den ich den SMTP Receive Connector brauche) aktuell IMAPS über TLS 1.0 vom Exchange abholt.

  Das funktioniert ja auch soweit, hilft mir aber leider nicht bei der Problematik mit dem Versand. 

  Meine grundsätzliche Frage bleibt also im Moment leider noch offen: kann Exchange2010 (von mir auch aus Nachfolgeversionen) einen Connector für SMTPS zur Verfügung stellen. Meinen Recherchen zu Folge nicht, da das Protokoll dann doch schon sehr alt ist. Kannst du das bestätigen?

  
  

  ---

  Marcel Brabetz

  Donnerstag, 18. Oktober 2018 09:53

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Hallo,

  Exchange stützt sich auf die Schannel Komponente des Windows OS. TLS 1.2 ist je nach OS Version bereits aktiviert oder müsste noch aktiviert werden. Bei Exchange 2010 wird für den TLS 1.2 Support noch das SP3 RU19 benötigt.

  Part 1 - Part 3 hier liefern die nötigen Informationen:

  https://blogs.technet.microsoft.com/exchange/2018/01/26/exchange-server-tls-guidance-part-1-getting-ready-for-tls-1-2/

  ---

  Georg

  Dienstag, 23. Oktober 2018 13:20

  Antworten

  |

  Zitieren