Jump to content

Exchange 2019 TLS Verschlüsselung aktivieren


Recommended Posts

Hallo,

 

wir haben einen Exchange 2019 Server. Für die weitere Korrespondenz mit einem Versicherungsunternehmen hat uns dieses darauf hingewiesen, dass wir in Zukunft mindestens den TLS Standard 1.2 auf unserem Mailserver für die Kommunikation verwenden müssen. Andernfalls ist keine E-Mail Korrespondenz mehr möglich.

 

Im Default Frontend Empfangsconnector ist unter Sicherheit bereits folgendes eingestellt:

connector.JPG.b83152a89a7972b78408c49eaee7c5ba.JPG

 

Beim TLS- Check über die Webseite checktls.com erhalte ich als Ergebnis immer "Not Secure". 

check.jpg.b5d78c6eb79ed53866e6afa6afe115e2.jpg

 

Versucht habe ich außerdem noch die "Best Practize" Einstellung von IISCrypto mit anschließendem Neustart.

Könnt Ihr mir sagen, wie bzw. wo ich am Exchange Server die TLS- Verschlüsselung aktivieren kann?

 

Liebe Grüße

firebb

 

Link to post

Hi,

 

Exchange 2019 spricht AFAIK per Default TLS 1.2. Die Frage wäre, ob euer Exchange tatsächlich direkt per tcp 25 / smtp aus dem Internet erreichbar ist oder ob sich da ein Mailgateway vor befindet. Dann müsstest du natürlich an der vordersten Front TLS1.2 aktivieren bzw. die Konfiguration vornehmen.

 

Gruß

Jan

Link to post

Hi Jan,

 

genau das dachte ich mir nämlich auch. Und konnte mir deswegen auch nicht erklären warum wir von der Empfängerseite diesen Hinweis auf Aktivierung von TLS 1.2 oder höher erhalten haben.

Der Exchange ist per SMTP aus dem Internet erreichbar. Mailgateway ist keines vorhanden. Ein Test mittels Telnet zeigt auch direkt den Exchange an.

telnet.jpg.62673b3a7eb93e8039f38ba4b00247f7.jpg

 

Liebe Grüße

firebb

Link to post

Das kann auch passieren, wenn davor eine Firewall steht, die im SMTP Traffic rumpfuscht. ;)

Ansonsten passiert sowas, wenn man im Receiveconnector das Zertifikat manuell vergißt anzugeben und EHLO und ZErtifikatsname nicht übereinstimmen, was üblicherweise immer dann der Fall ist, wenn man intern einen anderen Servernamen verwendet als man im public DNS eingetragen hat. Da hilft dann am besten einen neuen Internet Receive Connector anzulegen, bei dem man den EHLO Namen anpaßt (auf den externen Namen) und vorher im bestehenden Default Front End Connector die 0.0.0.0-255.255.255.255 durch die eigenen "INTERNEN" IP Bereiche ersetzt.

 

Bye

Norbert

Link to post
vor 46 Minuten schrieb NorbertFe:

Das kann auch passieren, wenn davor eine Firewall steht, die im SMTP Traffic rumpfuscht. ;)

Ansonsten passiert sowas, wenn man im Receiveconnector das Zertifikat manuell vergißt anzugeben und EHLO und ZErtifikatsname nicht übereinstimmen, was üblicherweise immer dann der Fall ist, wenn man intern einen anderen Servernamen verwendet als man im public DNS eingetragen hat. Da hilft dann am besten einen neuen Internet Receive Connector anzulegen, bei dem man den EHLO Namen anpaßt (auf den externen Namen) und vorher im bestehenden Default Front End Connector die 0.0.0.0-255.255.255.255 durch die eigenen "INTERNEN" IP Bereiche ersetzt.

 

Bye

Norbert

 

Danke für den Hinweis, dem werde ich gleich einmal nachgehen. Es ist nämlich ein Virenscan auf der Firewall für den SMTP Traffic aktiv.

 

vor 35 Minuten schrieb testperson:

Evtl. ist auch ein "self signed" Zertifikat oder eines einer internen CA für "Not Secure" verantwortlich.

 

Ja, der Server besitzt nur ein CA einer internen CA. 

 

Liebe Grüße

firebb

Link to post
vor 1 Stunde schrieb Dukel:

Ja, der Server besitzt nur ein Zertifizierungsstelle einer internen zertifizierungsstelle?

 

Du meinst Zertifikat und nicht CA.

Sorry, ja genau. Der Server besitzt nur ein Zertifikat welches von einer internen Zertifizierungsstelle ausgestellt wurde. Es gibt kein gekauftes Zertifikat.

 

vor 1 Stunde schrieb NorbertFe:

Checkpoint?

Nein, SonicWall (Gateway AntiVirus)

 

LG

firebb

Link to post
Gerade eben schrieb firebb:

Nein, SonicWall (Gateway AntiVirus)

 

Wenn das Ding die Mails (SMTP) auf Viren untersucht, muss an der Stelle logischerweise TLS unterbrochen werden. Insofern würde ich empfehlen entweder das Feature zu deaktivieren, oder ein entsprechendes Relay zu nutzen, was die gewünschte AV-Funktionalität anbietet.

Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...