bill_mustermann 1 Geschrieben 19. März 2015 Autor Melden Geschrieben 19. März 2015 Hi, nein, getestet wurde mit openssl: root@xxxxxxx:~# openssl s_client -host mx.xxxxxxxxxx.eu -port 143 -starttls imap -tls1_2 CONNECTED(00000003) 140341156087456:error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number:s3_pkt.c:339: --- no peer certificate available --- No client certificate CA names sent --- SSL handshake has read 221 bytes and written 7 bytes --- New, (NONE), Cipher is (NONE) Secure Renegotiation IS NOT supported Compression: NONE Expansion: NONE SSL-Session: Protocol : TLSv1.2 Cipher : 0000 Session-ID: Session-ID-ctx: Master-Key: Key-Arg : None PSK identity: None PSK identity hint: None SRP username: None Start Time: 1426766341 Timeout : 7200 (sec) Verify return code: 0 (ok) --- gruesse BiLL
mcseboarduser23 0 Geschrieben 20. März 2015 Melden Geschrieben 20. März 2015 So noch als Ergänzung: Sieht soweit ganz gut aus auf einem 2013CU8 * TLSV1_2 Cipher Suites: Preferred: ECDHE-RSA-AES256-SHA384 ECDH-384 bits 256 bits Timeout on SMTP NOOP Accepted: ECDHE-RSA-AES256-SHA384 ECDH-384 bits 256 bits Timeout on SMTP NOOP ECDHE-RSA-AES256-SHA ECDH-384 bits 256 bits Timeout on SMTP NOOP AES256-SHA - 256 bits Timeout on SMTP NOOP ECDHE-RSA-AES128-SHA256 ECDH-384 bits 128 bits Timeout on SMTP NOOP ECDHE-RSA-AES128-SHA ECDH-256 bits 128 bits Timeout on SMTP NOOP DES-CBC3-SHA - 112 bits Timeout on SMTP NOOP AES128-SHA - 128 bits 250 2.0.0 OK * TLSV1_1 Cipher Suites: Preferred: ECDHE-RSA-AES256-SHA ECDH-384 bits 256 bits 250 2.0.0 OK Accepted: ECDHE-RSA-AES256-SHA ECDH-384 bits 256 bits Timeout on SMTP NOOP AES256-SHA - 256 bits Timeout on SMTP NOOP ECDHE-RSA-AES128-SHA ECDH-256 bits 128 bits Timeout on SMTP NOOP AES128-SHA - 128 bits Timeout on SMTP NOOP DES-CBC3-SHA - 112 bits Timeout on SMTP NOOP * TLSV1 Cipher Suites: Preferred: ECDHE-RSA-AES256-SHA ECDH-384 bits 256 bits Timeout on SMTP NOOP Accepted: AES256-SHA - 256 bits Timeout on SMTP NOOP ECDHE-RSA-AES128-SHA ECDH-256 bits 128 bits Timeout on SMTP NOOP DES-CBC3-SHA - 112 bits Timeout on SMTP NOOP ECDHE-RSA-AES256-SHA ECDH-384 bits 256 bits 250 2.0.0 OK AES128-SHA - 128 bits 250 2.0.0 OK * SSLV3 Cipher Suites: Server rejected all cipher suites. Auch in Exchange 2010 SP3 RUP 9 funktioniert TLS 1.1 und 1.2 ;) @Norbert... mit welchem Tool hast du deine cipher suit getestet? @ NorberFe * SSLV3 Cipher Suites: Server rejected all cipher suites. bedeudet dies, dass SSL3 deaktiviert wurde oder wie wird dieser Punkt richtig interpretiert? Moin, ich benutze dafür SSLyze: https://github.com/nabla-c0d3/sslyze/releases Ist Python und gibt es für Windows in einer einzelnen EXE. Aufruf mit: sslyze.exe EXCHANGEFQDN:PORT --regular --starttls=smtp @Robert. sslyze.exe die exe scheint kein /? zu unterstützen, online habe ich bisher auch nix gefunden, wie komm ich entsprechend an die optionalen Schalter? gruss
NorbertFe 2.296 Geschrieben 20. März 2015 Melden Geschrieben 20. März 2015 @Norbert... mit welchem Tool hast du deine cipher suit getestet? Durch lesen des gesamten Threads konntest du dir das wohl inzwischen beantworten. ;) * SSLV3 Cipher Suites: Server rejected all cipher suites. bedeudet dies, dass SSL3 deaktiviert wurde oder wie wird dieser Punkt richtig interpretiert? Steht ebenfalls im Thread. sslyze.exe die exe scheint kein /? zu unterstützen, online habe ich bisher auch nix gefunden, wie komm ich entsprechend an die optionalen Schalter? Ist das dein Ernst? Wie wärs denn mal ohne? ;) Alternativ, wenn du dir den Schritt ersparen willst -h Bye Norbert
mcseboarduser23 0 Geschrieben 20. März 2015 Melden Geschrieben 20. März 2015 @ NF so weit war ich dann schon, danke sslyze.exe EXCHANGEFQDN:PORT --regular --starttls=smtp - kann ich in der Hilfe jedoch nicht entdecken ;)
NorbertFe 2.296 Geschrieben 20. März 2015 Melden Geschrieben 20. März 2015 --starttls=STARTTLS Performs StartTLS handshakes when connecting to the target server(s). STARTTLS should be one of: ['smtp', 'xmpp', 'pop3', 'ftp', 'imap', 'ldap', 'rdp', 'auto']. The 'auto' option will cause SSLyze to deduce the protocol (ftp, imap, etc.) from the supplied port number, for each target servers. Und glaub mir einfach, dass dort dann auch --regular dokumentiert ist. Vielleicht doch nochmal probieren?
mcseboarduser23 0 Geschrieben 20. März 2015 Melden Geschrieben 20. März 2015 damit hast du Recht. sslyze.exe EXCHANGEFQDN:PORT --regular --starttls=smtp muss ich das lokal ausführen, oder reicht diegleiche Domain. also dann so: sslyze.exe MX2server.contoso.comN:25 --regular --starttls=smtp port 25 für SMTP und der Schalter --regular = HTTPS und NICHT SMTP (Regular HTTPS scan; shortcut for --sslv2 --sslv3--tlsv1 --tlsv1_1 --tlsv1_2 --reneg --resum--certinfo=basic --http_get --hide_rejected_cipher--compression --heartbleed) habe leider keine VM zur Hand...
NorbertFe 2.296 Geschrieben 20. März 2015 Melden Geschrieben 20. März 2015 Wozu braucht man dafür ne VM? Das kannst du doch von jedem Rechner ausführen der GMX und Konsorten erreichen kann.
bill_mustermann 1 Geschrieben 25. März 2015 Autor Melden Geschrieben 25. März 2015 Hallo, hat schon jemand Informationen bezüglich IMAP mit TLS 1.1 und 1.2? gruesse BiLL
bill_mustermann 1 Geschrieben 10. April 2015 Autor Melden Geschrieben 10. April 2015 (bearbeitet) Hallo, ich wollte nochmal nachfragen ob es bereits Erkenntnisse bezüglich IMAP und TLS_1-1 und 1.2 gibt. gruesse bearbeitet 10. April 2015 von bill_mustermann
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden