Jump to content

Exchange 2019 TLS Verschlüsselung aktivieren


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

wir haben einen Exchange 2019 Server. Für die weitere Korrespondenz mit einem Versicherungsunternehmen hat uns dieses darauf hingewiesen, dass wir in Zukunft mindestens den TLS Standard 1.2 auf unserem Mailserver für die Kommunikation verwenden müssen. Andernfalls ist keine E-Mail Korrespondenz mehr möglich.

 

Im Default Frontend Empfangsconnector ist unter Sicherheit bereits folgendes eingestellt:

connector.JPG.b83152a89a7972b78408c49eaee7c5ba.JPG

 

Beim TLS- Check über die Webseite checktls.com erhalte ich als Ergebnis immer "Not Secure". 

check.jpg.b5d78c6eb79ed53866e6afa6afe115e2.jpg

 

Versucht habe ich außerdem noch die "Best Practize" Einstellung von IISCrypto mit anschließendem Neustart.

Könnt Ihr mir sagen, wie bzw. wo ich am Exchange Server die TLS- Verschlüsselung aktivieren kann?

 

Liebe Grüße

firebb

 

Link zu diesem Kommentar

Hi Jan,

 

genau das dachte ich mir nämlich auch. Und konnte mir deswegen auch nicht erklären warum wir von der Empfängerseite diesen Hinweis auf Aktivierung von TLS 1.2 oder höher erhalten haben.

Der Exchange ist per SMTP aus dem Internet erreichbar. Mailgateway ist keines vorhanden. Ein Test mittels Telnet zeigt auch direkt den Exchange an.

telnet.jpg.62673b3a7eb93e8039f38ba4b00247f7.jpg

 

Liebe Grüße

firebb

Link zu diesem Kommentar

Das kann auch passieren, wenn davor eine Firewall steht, die im SMTP Traffic rumpfuscht. ;)

Ansonsten passiert sowas, wenn man im Receiveconnector das Zertifikat manuell vergißt anzugeben und EHLO und ZErtifikatsname nicht übereinstimmen, was üblicherweise immer dann der Fall ist, wenn man intern einen anderen Servernamen verwendet als man im public DNS eingetragen hat. Da hilft dann am besten einen neuen Internet Receive Connector anzulegen, bei dem man den EHLO Namen anpaßt (auf den externen Namen) und vorher im bestehenden Default Front End Connector die 0.0.0.0-255.255.255.255 durch die eigenen "INTERNEN" IP Bereiche ersetzt.

 

Bye

Norbert

Link zu diesem Kommentar
vor 46 Minuten schrieb NorbertFe:

Das kann auch passieren, wenn davor eine Firewall steht, die im SMTP Traffic rumpfuscht. ;)

Ansonsten passiert sowas, wenn man im Receiveconnector das Zertifikat manuell vergißt anzugeben und EHLO und ZErtifikatsname nicht übereinstimmen, was üblicherweise immer dann der Fall ist, wenn man intern einen anderen Servernamen verwendet als man im public DNS eingetragen hat. Da hilft dann am besten einen neuen Internet Receive Connector anzulegen, bei dem man den EHLO Namen anpaßt (auf den externen Namen) und vorher im bestehenden Default Front End Connector die 0.0.0.0-255.255.255.255 durch die eigenen "INTERNEN" IP Bereiche ersetzt.

 

Bye

Norbert

 

Danke für den Hinweis, dem werde ich gleich einmal nachgehen. Es ist nämlich ein Virenscan auf der Firewall für den SMTP Traffic aktiv.

 

vor 35 Minuten schrieb testperson:

Evtl. ist auch ein "self signed" Zertifikat oder eines einer internen CA für "Not Secure" verantwortlich.

 

Ja, der Server besitzt nur ein CA einer internen CA. 

 

Liebe Grüße

firebb

Link zu diesem Kommentar
vor 1 Stunde schrieb Dukel:

Ja, der Server besitzt nur ein Zertifizierungsstelle einer internen zertifizierungsstelle?

 

Du meinst Zertifikat und nicht CA.

Sorry, ja genau. Der Server besitzt nur ein Zertifikat welches von einer internen Zertifizierungsstelle ausgestellt wurde. Es gibt kein gekauftes Zertifikat.

 

vor 1 Stunde schrieb NorbertFe:

Checkpoint?

Nein, SonicWall (Gateway AntiVirus)

 

LG

firebb

Link zu diesem Kommentar
Gerade eben schrieb firebb:

Nein, SonicWall (Gateway AntiVirus)

 

Wenn das Ding die Mails (SMTP) auf Viren untersucht, muss an der Stelle logischerweise TLS unterbrochen werden. Insofern würde ich empfehlen entweder das Feature zu deaktivieren, oder ein entsprechendes Relay zu nutzen, was die gewünschte AV-Funktionalität anbietet.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...