Jump to content

Exchange Unterstützung für TLS 1.2?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hi,

 

nein, getestet wurde mit openssl:

root@xxxxxxx:~# openssl s_client -host mx.xxxxxxxxxx.eu -port 143 -starttls imap -tls1_2
CONNECTED(00000003)
140341156087456:error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number:s3_pkt.c:339:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 221 bytes and written 7 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : 0000
    Session-ID:
    Session-ID-ctx:
    Master-Key:
    Key-Arg   : None
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    Start Time: 1426766341
    Timeout   : 7200 (sec)
    Verify return code: 0 (ok)
---

gruesse BiLL

Link zu diesem Kommentar

So noch als Ergänzung:

 

Sieht soweit ganz gut aus auf einem 2013CU8

  * TLSV1_2 Cipher Suites:
      Preferred:                       
                 ECDHE-RSA-AES256-SHA384       ECDH-384 bits  256 bits      Timeout on SMTP NOOP               
      Accepted:                        
                 ECDHE-RSA-AES256-SHA384       ECDH-384 bits  256 bits      Timeout on SMTP NOOP               
                 ECDHE-RSA-AES256-SHA          ECDH-384 bits  256 bits      Timeout on SMTP NOOP               
                 AES256-SHA                    -              256 bits      Timeout on SMTP NOOP               
                 ECDHE-RSA-AES128-SHA256       ECDH-384 bits  128 bits      Timeout on SMTP NOOP               
                 ECDHE-RSA-AES128-SHA          ECDH-256 bits  128 bits      Timeout on SMTP NOOP               
                 DES-CBC3-SHA                  -              112 bits      Timeout on SMTP NOOP               
                 AES128-SHA                    -              128 bits      250 2.0.0 OK                       

  * TLSV1_1 Cipher Suites:
      Preferred:                       
                 ECDHE-RSA-AES256-SHA          ECDH-384 bits  256 bits      250 2.0.0 OK                       
      Accepted:                        
                 ECDHE-RSA-AES256-SHA          ECDH-384 bits  256 bits      Timeout on SMTP NOOP               
                 AES256-SHA                    -              256 bits      Timeout on SMTP NOOP               
                 ECDHE-RSA-AES128-SHA          ECDH-256 bits  128 bits      Timeout on SMTP NOOP               
                 AES128-SHA                    -              128 bits      Timeout on SMTP NOOP               
                 DES-CBC3-SHA                  -              112 bits      Timeout on SMTP NOOP               

  * TLSV1 Cipher Suites:
      Preferred:                       
                 ECDHE-RSA-AES256-SHA          ECDH-384 bits  256 bits      Timeout on SMTP NOOP               
      Accepted:                        
                 AES256-SHA                    -              256 bits      Timeout on SMTP NOOP               
                 ECDHE-RSA-AES128-SHA          ECDH-256 bits  128 bits      Timeout on SMTP NOOP               
                 DES-CBC3-SHA                  -              112 bits      Timeout on SMTP NOOP               
                 ECDHE-RSA-AES256-SHA          ECDH-384 bits  256 bits      250 2.0.0 OK                       
                 AES128-SHA                    -              128 bits      250 2.0.0 OK                       

  * SSLV3 Cipher Suites:
      Server rejected all cipher suites.


Auch in Exchange 2010 SP3 RUP 9 funktioniert TLS 1.1 und 1.2 ;)

 

@Norbert...

 

mit welchem Tool hast du deine cipher suit getestet?

@ NorberFe

 

* SSLV3 Cipher Suites:

      Server rejected all cipher suites.

 

bedeudet dies, dass SSL3 deaktiviert wurde oder wie wird dieser Punkt richtig interpretiert?

Moin,

 

ich benutze dafür SSLyze:

https://github.com/nabla-c0d3/sslyze/releases

 

Ist Python und gibt es für Windows in einer einzelnen EXE.

 

Aufruf mit:

sslyze.exe EXCHANGEFQDN:PORT --regular --starttls=smtp

@Robert.

 

sslyze.exe die exe scheint kein /? zu unterstützen, online habe ich bisher auch nix gefunden, wie komm ich entsprechend an die optionalen Schalter?

gruss

Link zu diesem Kommentar

@Norbert...

 

mit welchem Tool hast du deine cipher suit getestet?

Durch lesen des gesamten Threads konntest du dir das wohl inzwischen beantworten. ;)

 

* SSLV3 Cipher Suites:

      Server rejected all cipher suites.

 

bedeudet dies, dass SSL3 deaktiviert wurde oder wie wird dieser Punkt richtig interpretiert?

Steht ebenfalls im Thread.

 

sslyze.exe die exe scheint kein /? zu unterstützen, online habe ich bisher auch nix gefunden, wie komm ich entsprechend an die optionalen Schalter?

Ist das dein Ernst? Wie wärs denn mal ohne? ;) Alternativ, wenn du dir den Schritt ersparen willst -h

 

Bye

Norbert

Link zu diesem Kommentar

--starttls=STARTTLS   Performs StartTLS handshakes when connecting to the
                      target server(s). STARTTLS should be one of: ['smtp',
                      'xmpp', 'pop3', 'ftp', 'imap', 'ldap', 'rdp', 'auto'].
                      The 'auto' option will cause SSLyze to deduce the
                      protocol (ftp, imap, etc.) from the supplied port
                      number, for each target servers.

Und glaub mir einfach, dass dort dann auch --regular dokumentiert ist. Vielleicht doch nochmal probieren?

Link zu diesem Kommentar

damit hast du Recht.

 

 

sslyze.exe EXCHANGEFQDN:PORT --regular --starttls=smtp

 

muss ich das lokal ausführen, oder reicht diegleiche Domain.

 

also dann so:

 

sslyze.exe MX2server.contoso.comN:25 --regular --starttls=smtp

 

port 25 für SMTP

und der Schalter --regular = HTTPS und NICHT SMTP (Regular HTTPS scan; shortcut for --sslv2 --sslv3
--tlsv1 --tlsv1_1 --tlsv1_2 --reneg --resum
--certinfo=basic --http_get --hide_rejected_cipher
--compression --heartbleed)

 

habe leider keine VM zur Hand...

Link zu diesem Kommentar
  • 3 Wochen später...
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...