NorbertFe

vor 31 Minuten schrieb GSP57:

Ein Input in der Sache wäre auch sehr Lobenswert gewesen.

Wozu? Alles notwendige ist doch bereits gesagt. Passendes Modul in deinen Switch und Kabel dazwischen.

vor 2 Minuten schrieb Quirk18231:

das mit dem Wildcard habe ich hier gelesen: https://www.frankysweb.de/exchange-2013-zertifikatsanforderung-fr-ffentliche-ca-erstellen/

Jaja...

https://learn.microsoft.com/en-us/powershell/module/exchange/set-popsettings?view=exchange-ps#parameters

This example specifies the certificate that contains mail.contoso.com is used to encrypt POP3 client connections.

Note: For single subject certificates or a SAN certificates, you also need to assign the certificate to the Exchange POP service by using the Enable-ExchangeCertificate cmdlet. For wildcard certificates, you don't need to assign the certificate to the Exchange POP service (you'll receive an error if you try).

vor 3 Minuten schrieb Quirk18231:

es ist ein Multidomain Zert - kein Wildcard - sorry!

 

Dann entweder alle autodiscover Domains mit in die SANs aufnehmen oder einfach per http redirect hantieren. Aber ich meine, diesen Hinweis gabs schon ganz vorn im Thread.

Die Dinger heißen trotzdem SFP ;)

vor 7 Minuten schrieb Quirk18231:

ch lese gerade das man ein Wildcard Zert nicht an Pop und IMAP binden kann.

Dann liest du falsch. Das steht nirgends. Sondern da steht, dass man dann pop und imap settings um den gewünschten Hostnamen ergänzen muss.

vor 8 Minuten schrieb Quirk18231:

Ist das für mich wichtig, wenn ich einen POP-Abholer benutzte? Eigentlich nicht - richtig?

Nö, aber POP3 Abholer ach eigentlich auch nicht wichtig. ;) Frag dich doch mal, wohin der POP3 Abholer seine POP3 Verbindung herstellt, und ob da der Exchange POP3 Dienst irgendeine Rolle spielt.

Es gab mal MS-203 (ist aber auch schon wieder eingestellt). https://learn.microsoft.com/de-de/credentials/certifications/exams/ms-203/ da war auch Exchange 2019 dabei. Insgesamt kannst du das Thema Exchange Zertifizierung aber abhaken. Das gibts in der Form nicht mehr.

vor 3 Stunden schrieb steinheber:

ob Exchange auch als CardDAV-Server fungieren kann

Nein und die FRITZ!Box kann sich auch sonst nicht mit Exchange sinnvoll unterhalten.

vor 16 Minuten schrieb Scharping-FVB:

Was läuft da schief?

Deny logon bzw rdp logon für domänenadmin? 

Da wäre dann aber noch zu klären, ob die auch dnssec anbieten. Hab mindestens einen Kunden der unbedingt .pm nutzt, und die bieten kein dnssec an.

vor 39 Minuten schrieb testperson:

wo ich meine angesammelten TLDs hätte unter einen Hut bringen können

Ach du bist der mit den ganzen komischen tlds! 😎

Warum nutzt man den azure DNS? Ist das irgendwie besser als andere?

Hättest du mal die Klimaanlage angelassen. 😜

vor 25 Minuten schrieb Scharping-FVB:

Setzt ihr auf Laptops die Tools Command Update und/oder Support Assist ein?

Nein. Wozu auch? Die Probleme die du nennst plus regelmäßige sicherheitslücken mit der software. Da kümmere ich mich lieber anders um das deployment von Treibern und bios usw.

vor 30 Minuten schrieb testperson:

bis zum Start dann auch DNSSEC im Azure DNS kann.

Lt. Kommentar auf der oben verlinkten Seite dauert das noch „ein paar Monate“ ist wohl im internal preview.

Hi,

Microsoft hat aktuell den Test für inbound SMTP DANE ermöglicht. Wer also seinen MX bei ExO liegen hat und DNSSec aktiviert hat bzw. aktivieren kann, kann sich das jetzt mal live und in Farbe anschauen.

Unter https://techcommunity.microsoft.com/t5/exchange-team-blog/announcing-public-preview-of-inbound-smtp-dane-with-dnssec-for/ba-p/4155257 ist das alles beschrieben und verlinkt.

Interessant ist sicherlich auch die Roadmap für das Feature:

• August 2024 – Inbound SMTP DANE with DNSSEC and MTA-STS report in the Exchange admin center
• October 2024 – General Availability of Inbound SMTP DANE with DNSSEC
• End of 2024
  • Deploying Inbound SMTP DANE with DNSSEC for all Outlook domains
  • Transition provisioning of mail records for all newly created Accepted Domains into DNSSEC-enabled infrastructure underneath *.mx.microsoft
• February 2025 – Mandatory Outbound SMTP DANE, set per-tenant/per-remote domain

Falls jemand die Voraussetzungen hat und testen kann/will, wäre es nett, wenn man evtl. an den Erfahrungen teilhaben kann.

Bye

Norbert

PS: bei IONOS ist DNSSec inzwischen fürs 1. Jahr quasi geschenkt und ab dann auch nicht unbedingt unbezahlbar. TLSA Records kann man über die DNS API anlegen. Den Hinweis geb ich hier nur, weil IONOS ja doch ein recht gebräuchlicher DNS Provider für viele kleine und mittlere Kunden ist und ich deswegen dem TLSA Thema bei denen schon vor einiger Zeit hinterhergerannt bin. ;)

Eset hat das auch hinbekommen im Moment des Login screens nen bsod zu erzeugen. Also da stimme ich Jan zu; das hat vermutlich jeder Hersteller schon geschafft. Nur war’s eben nie so schön medienwirksam wie heute. 😈
 

Zitat

An der US-Technologiebörse Nasdaq brachen die Crowdstrike-Aktien um knapp 14 Prozent ein. Die Titel der Konkurrenten Palo Alto Networks und SentinelOne konnten zulegen.

https://www.welt.de/vermischtes/article252600384/IT-Ausfall-Es-wird-deshalb-Tote-geben-sagt-ein-Sicherheitsexperte.html

vor 3 Minuten schrieb tobinator_1991:

oder verdreh ich jetzt da etwas?

Ja. Es war ein Crowdstrike Update was das Problem verursacht. So hab ich das zumindest bisher rausgelesen. 

vor 4 Minuten schrieb tobinator_1991:

betroffenen KB Nummer?

Die von Crowdstrike? ;)

vor 52 Minuten schrieb MHeiss2003:

werde ich den Verdacht nicht los, dass es hier einen Zusammenhang zu dem heutigen weltweiten IT Problem gibt.

Benutzt du crowdstrike? Falls nein, dann sehe ich keinen Zusammenhang.

vor 52 Minuten schrieb MHeiss2003:

Die entscheidende Frage wird sein, auf wann ich zurückgehen muss,

Die Frage stellt sich nur, wenn du ein Backup restored willst. Ich gehe nicht von einem Security Problem aus.

vor 14 Minuten schrieb mwiederkehr:

solange sie das nicht zu häufig unbegründet macht

Solche Lösung ist aber bei Windows genauso integriert und somit genauso fehleranfällig für ein Update. 

Eine swingmigration oder eine Desaster recover Installation dürfte schneller sein. Wenn’s tatsächlich ein Sicherheitsthema ist, kann man später immer noch suchen. 

vor 16 Minuten schrieb mwiederkehr:

Auf kritischen Systemen Software einzusetzen, die mit erhöhten Privilegien läuft und vom Hersteller automatisch aktualisiert werden kann, ist möglicherweise nur eine begrenzt schlaue Idee.

Welche endpoint Lösung kennst du denn, die sich nicht automatisch aktualisiert? Und „kritisch“ ist in so einem Fall ja nicht das einzelne System, sondern eben die Gesamtheit. 

Kann man jetzt schon Daten erheben über die vermutliche Verwendung der jeweiligen endpoint Security Lösung. 

vor 5 Minuten schrieb RealUnreal:

Ja, ich wollte damit ja nur sagen, dass jedes System potentiell angreifbar und nichts 100% sicher.

Ja, aber wenn das System gar nicht zum tragen kommt, kannst du doch keine Aussage zur Sicherheit dieses Systems treffen. Und dein Satz oben ist halt erstmal nur eine Binsenweisheit :) mit dem Argument brauchst du über „revisionssicher“ doch gar nicht erst nachdenken.

Ok anders gefragt: an welcher Stelle gilt denn eine Mail für dich als zugestellt, so dass sie revisionssicher (was auch immer das in deinem Fall bedeuten mag) ist?

vor einer Stunde schrieb bigthe:

Grundsätzlich rät ja jeder davon ab aber warum gibt es dann diese Option?

Weil sich nicht jeder grundsätzlich dran halten will. Insgesamt bin ich auch nicht grundsätzlich gegen inplace upgrades, solange man sich bewusst ist, was das Ergebnis ist bzw. Man einen fallback braucht.