Zum Inhalt wechseln


Foto

Exchange Unterstützung für TLS 1.2?

Exchange

  • Bitte melde dich an um zu Antworten
53 Antworten in diesem Thema

#46 bill_mustermann

bill_mustermann

    Senior Member

  • 419 Beiträge

 

Geschrieben 19. März 2015 - 12:05

Hi,

 

nein, getestet wurde mit openssl:

root@xxxxxxx:~# openssl s_client -host mx.xxxxxxxxxx.eu -port 143 -starttls imap -tls1_2
CONNECTED(00000003)
140341156087456:error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number:s3_pkt.c:339:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 221 bytes and written 7 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : 0000
    Session-ID:
    Session-ID-ctx:
    Master-Key:
    Key-Arg   : None
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    Start Time: 1426766341
    Timeout   : 7200 (sec)
    Verify return code: 0 (ok)
---

gruesse BiLL



#47 mcseboarduser23

mcseboarduser23

    Junior Member

  • 129 Beiträge

 

Geschrieben 20. März 2015 - 09:57

So noch als Ergänzung:

Sieht soweit ganz gut aus auf einem 2013CU8


  * TLSV1_2 Cipher Suites:
      Preferred:                       
                 ECDHE-RSA-AES256-SHA384       ECDH-384 bits  256 bits      Timeout on SMTP NOOP               
      Accepted:                        
                 ECDHE-RSA-AES256-SHA384       ECDH-384 bits  256 bits      Timeout on SMTP NOOP               
                 ECDHE-RSA-AES256-SHA          ECDH-384 bits  256 bits      Timeout on SMTP NOOP               
                 AES256-SHA                    -              256 bits      Timeout on SMTP NOOP               
                 ECDHE-RSA-AES128-SHA256       ECDH-384 bits  128 bits      Timeout on SMTP NOOP               
                 ECDHE-RSA-AES128-SHA          ECDH-256 bits  128 bits      Timeout on SMTP NOOP               
                 DES-CBC3-SHA                  -              112 bits      Timeout on SMTP NOOP               
                 AES128-SHA                    -              128 bits      250 2.0.0 OK                       

  * TLSV1_1 Cipher Suites:
      Preferred:                       
                 ECDHE-RSA-AES256-SHA          ECDH-384 bits  256 bits      250 2.0.0 OK                       
      Accepted:                        
                 ECDHE-RSA-AES256-SHA          ECDH-384 bits  256 bits      Timeout on SMTP NOOP               
                 AES256-SHA                    -              256 bits      Timeout on SMTP NOOP               
                 ECDHE-RSA-AES128-SHA          ECDH-256 bits  128 bits      Timeout on SMTP NOOP               
                 AES128-SHA                    -              128 bits      Timeout on SMTP NOOP               
                 DES-CBC3-SHA                  -              112 bits      Timeout on SMTP NOOP               

  * TLSV1 Cipher Suites:
      Preferred:                       
                 ECDHE-RSA-AES256-SHA          ECDH-384 bits  256 bits      Timeout on SMTP NOOP               
      Accepted:                        
                 AES256-SHA                    -              256 bits      Timeout on SMTP NOOP               
                 ECDHE-RSA-AES128-SHA          ECDH-256 bits  128 bits      Timeout on SMTP NOOP               
                 DES-CBC3-SHA                  -              112 bits      Timeout on SMTP NOOP               
                 ECDHE-RSA-AES256-SHA          ECDH-384 bits  256 bits      250 2.0.0 OK                       
                 AES128-SHA                    -              128 bits      250 2.0.0 OK                       

  * SSLV3 Cipher Suites:
      Server rejected all cipher suites.


Auch in Exchange 2010 SP3 RUP 9 funktioniert TLS 1.1 und 1.2 ;)

 

@Norbert...

 

mit welchem Tool hast du deine cipher suit getestet?


@ NorberFe

 

* SSLV3 Cipher Suites:
      Server rejected all cipher suites.

bedeudet dies, dass SSL3 deaktiviert wurde oder wie wird dieser Punkt richtig interpretiert?


Moin,

ich benutze dafür SSLyze:
https://github.com/n...sslyze/releases

Ist Python und gibt es für Windows in einer einzelnen EXE.

Aufruf mit:
sslyze.exe EXCHANGEFQDN:PORT --regular --starttls=smtp

@Robert.

 

sslyze.exe die exe scheint kein /? zu unterstützen, online habe ich bisher auch nix gefunden, wie komm ich entsprechend an die optionalen Schalter?

gruss


Build  - 14.3.279.2 Um alle Unklarheiten zu beseitigen


#48 NorbertFe

NorbertFe

    Expert Member

  • 30.604 Beiträge

 

Geschrieben 20. März 2015 - 10:09

@Norbert...
 
mit welchem Tool hast du deine cipher suit getestet?


Durch lesen des gesamten Threads konntest du dir das wohl inzwischen beantworten. ;)

* SSLV3 Cipher Suites:
      Server rejected all cipher suites.

bedeudet dies, dass SSL3 deaktiviert wurde oder wie wird dieser Punkt richtig interpretiert?


Steht ebenfalls im Thread.

sslyze.exe die exe scheint kein /? zu unterstützen, online habe ich bisher auch nix gefunden, wie komm ich entsprechend an die optionalen Schalter?


Ist das dein Ernst? Wie wärs denn mal ohne? ;) Alternativ, wenn du dir den Schritt ersparen willst -h

Bye
Norbert

Make something i***-proof and they will build a better i***.


#49 mcseboarduser23

mcseboarduser23

    Junior Member

  • 129 Beiträge

 

Geschrieben 20. März 2015 - 11:06

@ NF so weit war ich dann schon, danke

 

sslyze.exe EXCHANGEFQDN:PORT --regular --starttls=smtp - kann ich in der Hilfe jedoch nicht entdecken ;)


Build  - 14.3.279.2 Um alle Unklarheiten zu beseitigen


#50 NorbertFe

NorbertFe

    Expert Member

  • 30.604 Beiträge

 

Geschrieben 20. März 2015 - 12:05

--starttls=STARTTLS   Performs StartTLS handshakes when connecting to the
                      target server(s). STARTTLS should be one of: ['smtp',
                      'xmpp', 'pop3', 'ftp', 'imap', 'ldap', 'rdp', 'auto'].
                      The 'auto' option will cause SSLyze to deduce the
                      protocol (ftp, imap, etc.) from the supplied port
                      number, for each target servers.

Und glaub mir einfach, dass dort dann auch --regular dokumentiert ist. Vielleicht doch nochmal probieren?

Make something i***-proof and they will build a better i***.


#51 mcseboarduser23

mcseboarduser23

    Junior Member

  • 129 Beiträge

 

Geschrieben 20. März 2015 - 12:41

damit hast du Recht.

 

 

sslyze.exe EXCHANGEFQDN:PORT --regular --starttls=smtp

 

muss ich das lokal ausführen, oder reicht diegleiche Domain.

 

also dann so:

 

sslyze.exe MX2server.contoso.comN:25 --regular --starttls=smtp

 

port 25 für SMTP

und der Schalter --regular = HTTPS und NICHT SMTP (Regular HTTPS scan; shortcut for --sslv2 --sslv3
--tlsv1 --tlsv1_1 --tlsv1_2 --reneg --resum
--certinfo=basic --http_get --hide_rejected_cipher
--compression --heartbleed)

 

habe leider keine VM zur Hand...


Build  - 14.3.279.2 Um alle Unklarheiten zu beseitigen


#52 NorbertFe

NorbertFe

    Expert Member

  • 30.604 Beiträge

 

Geschrieben 20. März 2015 - 16:34

Wozu braucht man dafür ne VM? Das kannst du doch von jedem Rechner ausführen der GMX und Konsorten erreichen kann.

Make something i***-proof and they will build a better i***.


#53 bill_mustermann

bill_mustermann

    Senior Member

  • 419 Beiträge

 

Geschrieben 25. März 2015 - 07:38

Hallo,

 

hat schon jemand Informationen bezüglich IMAP mit TLS 1.1 und 1.2?

 

gruesse BiLL



#54 bill_mustermann

bill_mustermann

    Senior Member

  • 419 Beiträge

 

Geschrieben 10. April 2015 - 05:58

Hallo,

 

ich wollte nochmal nachfragen ob es bereits Erkenntnisse bezüglich IMAP und TLS_1-1 und 1.2 gibt.

 

gruesse


Bearbeitet von bill_mustermann, 10. April 2015 - 05:59.