12
Exchange Server CypherSuites werden nicht angeboten
Hallo,
ich habe ein Problem mit einem 2012 R2 Server in Verbindung mit einem Exchange 2013.
Ich weiß, diese Technik ist OutDate,aber bis das mit einer sinnvollen Lösung ersetzt wird, soll es korrekt funktionieren.
Folgender Sachverhalt, beim Test mit dem HealthChecker.ps1 wird keine CypherSuite als aktiv angezeigt.
Im HealthChecker.ps1 sieht das Ergebnis (Ausschnitt) wie folgt aus:
SecurityProtocol: Tls12
TlsCipherSuiteName CipherSuite Cipher Certificate Protocols
----------- ------ ----------- ---------
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384 N/A N/A N/A N/A
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384 N/A N/A N/A N/A
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384 N/A N/A N/A N/A
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256 N/A N/A N/A N/A
TLS_RSA_WITH_AES_256_CBC_SHA N/A N/A N/A N/A
TLS_RSA_WITH_3DES_EDE_CBC_SHA N/A N/A N/A N/A
TLS_RSA_WITH_AES_128_CBC_SHA N/A N/A N/A N/A
TLS_RSA_WITH_RC4_128_SHA N/A N/A N/A N/A
TLS_RSA_WITH_RC4_128_MD5 N/A N/A N/A N/A
Folgendes wurde überprüft:
- Die Maschine hat alle verfügbaren Windows Server und Exchange Updates drauf
- TLS1.0 bis TLS 1.2 sind Enabled, TLS 1.3 ist Disabled
- TLS 1.2 ist aktiviert, Deaktivieren oder Aktivieren von TLS 1.0 und 1.1 hat keinen Einfluss
- Die REG-Keys SystemDefaultTlsVersions und SchUseStrongCrypto sind bei .Net alle gesetzt
- Wenn der Server Mails per SMTP sendet, verbindet er mit TLS
- Wenn der Server Mails per SMTP empfängt, bietet er kein TLS an
- Der Aufruf des Exchange Admin Centers im Browser zeigt eine gesicherte https-Seite an.
Das Problem besteht im Grunde bei der Kommunikation mit einem vorgeschalteten Proxy-Server welcher eine sichere Verbindung verlangt. Diese kommt nicht zustande
Ich habe aktuell keine Ideen mehr, bin für Vorschläge und Hilfe dankbar.
Viele Grüße Dirk
ich habe ein Problem mit einem 2012 R2 Server in Verbindung mit einem Exchange 2013.
Ich weiß, diese Technik ist OutDate,aber bis das mit einer sinnvollen Lösung ersetzt wird, soll es korrekt funktionieren.
Folgender Sachverhalt, beim Test mit dem HealthChecker.ps1 wird keine CypherSuite als aktiv angezeigt.
Im HealthChecker.ps1 sieht das Ergebnis (Ausschnitt) wie folgt aus:
SecurityProtocol: Tls12
TlsCipherSuiteName CipherSuite Cipher Certificate Protocols
----------- ------ ----------- ---------
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384 N/A N/A N/A N/A
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384 N/A N/A N/A N/A
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384 N/A N/A N/A N/A
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256 N/A N/A N/A N/A
TLS_RSA_WITH_AES_256_CBC_SHA N/A N/A N/A N/A
TLS_RSA_WITH_3DES_EDE_CBC_SHA N/A N/A N/A N/A
TLS_RSA_WITH_AES_128_CBC_SHA N/A N/A N/A N/A
TLS_RSA_WITH_RC4_128_SHA N/A N/A N/A N/A
TLS_RSA_WITH_RC4_128_MD5 N/A N/A N/A N/A
Folgendes wurde überprüft:
- Die Maschine hat alle verfügbaren Windows Server und Exchange Updates drauf
- TLS1.0 bis TLS 1.2 sind Enabled, TLS 1.3 ist Disabled
- TLS 1.2 ist aktiviert, Deaktivieren oder Aktivieren von TLS 1.0 und 1.1 hat keinen Einfluss
- Die REG-Keys SystemDefaultTlsVersions und SchUseStrongCrypto sind bei .Net alle gesetzt
- Wenn der Server Mails per SMTP sendet, verbindet er mit TLS
- Wenn der Server Mails per SMTP empfängt, bietet er kein TLS an
- Der Aufruf des Exchange Admin Centers im Browser zeigt eine gesicherte https-Seite an.
Das Problem besteht im Grunde bei der Kommunikation mit einem vorgeschalteten Proxy-Server welcher eine sichere Verbindung verlangt. Diese kommt nicht zustande
Ich habe aktuell keine Ideen mehr, bin für Vorschläge und Hilfe dankbar.
Viele Grüße Dirk
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 7838741906
Url: https://administrator.de/contentid/7838741906
Printed on: May 5, 2024 at 07:05 o'clock
12 Comments
Latest comment
Nabend,
was spricht den der Proxy? Kann es sein das dein Proxy nur TLS1.3 spricht?
Lieben Gruß
was spricht den der Proxy? Kann es sein das dein Proxy nur TLS1.3 spricht?
Lieben Gruß
Hi.
Gruß
soll es korrekt funktionieren.
Das passt irgendwie nicht zusammen aber gut.vorgeschalteten Proxy-Server
Erster Gedanke: evtl verbietet der ReversProxy die weaken Suites und damit ist Ende? Oder Du bohrst das wieder auf und kannst im Grunde deine Firewall und alle anderen "Sicherheitsmechanismen" deaktivieren.Gruß
Moin,
nutze doch Tools wie OpenSSL um eine Liste aller verfügbaren Cipher Suites vom Exchange-Server und dem besagten Proxy zu bekommen. Anschließend vergleichen, ob es eine oder mehrere Übereinstimmungen gibt.
Vermutlich ist das nicht der Fall. Von daher bleibt nur der Weg, dass der Proxy weitere CS unterstützt. Neuere/Moderne CS bei Windows Server "nachrüsten" ist nicht möglich. Microsoft aktualisiert diese ausschließlich bei neueren Versionen von Windows Server.
Gruß,
Dani
nutze doch Tools wie OpenSSL um eine Liste aller verfügbaren Cipher Suites vom Exchange-Server und dem besagten Proxy zu bekommen. Anschließend vergleichen, ob es eine oder mehrere Übereinstimmungen gibt.
Vermutlich ist das nicht der Fall. Von daher bleibt nur der Weg, dass der Proxy weitere CS unterstützt. Neuere/Moderne CS bei Windows Server "nachrüsten" ist nicht möglich. Microsoft aktualisiert diese ausschließlich bei neueren Versionen von Windows Server.
Gruß,
Dani
Der Proxy kann TLS 1.2, er nimmt die Sachen auch per SMTP TLS 1.2 entgegen.
SMTP TLS info: TLSv1.2 with cipher ECDHE-RSA-AES256-SHA384 (256/256 bits)
SMTP TLS info: TLSv1.2 with cipher ECDHE-RSA-AES256-SHA384 (256/256 bits)
Zitat von @CH3COOH:
Nabend,
was spricht den der Proxy? Kann es sein das dein Proxy nur TLS1.3 spricht?
Lieben Gruß
Nabend,
was spricht den der Proxy? Kann es sein das dein Proxy nur TLS1.3 spricht?
Lieben Gruß
Das Grundproblem ist doch eher, dass der Exchange keine CypherSuites anbietet.
Der Proxy ist es nicht. Er ist nur mein Indikiator, dass es in der anderen Richtung klappt.
Der Proxy ist es nicht. Er ist nur mein Indikiator, dass es in der anderen Richtung klappt.
Zitat von @6376382705:
Hi.
Gruß
Hi.
soll es korrekt funktionieren.
Das passt irgendwie nicht zusammen aber gut.vorgeschalteten Proxy-Server
Erster Gedanke: evtl verbietet der ReversProxy die weaken Suites und damit ist Ende? Oder Du bohrst das wieder auf und kannst im Grunde deine Firewall und alle anderen "Sicherheitsmechanismen" deaktivieren.Gruß
Der Exchange bietet leider gar keine Suites an. Genau das ist mein Problem.
Mit Zenmap getestet, es kommt gar nichts. Nicht eine CypherSuite, auch keine veraltete.
Mit Zenmap getestet, es kommt gar nichts. Nicht eine CypherSuite, auch keine veraltete.
Zitat von @Dani:
Moin,
nutze doch Tools wie OpenSSL um eine Liste aller verfügbaren Cipher Suites vom Exchange-Server und dem besagten Proxy zu bekommen. Anschließend vergleichen, ob es eine oder mehrere Übereinstimmungen gibt.
Vermutlich ist das nicht der Fall. Von daher bleibt nur der Weg, dass der Proxy weitere CS unterstützt. Neuere/Moderne CS bei Windows Server "nachrüsten" ist nicht möglich. Microsoft aktualisiert diese ausschließlich bei neueren Versionen von Windows Server.
Gruß,
Dani
Moin,
nutze doch Tools wie OpenSSL um eine Liste aller verfügbaren Cipher Suites vom Exchange-Server und dem besagten Proxy zu bekommen. Anschließend vergleichen, ob es eine oder mehrere Übereinstimmungen gibt.
Vermutlich ist das nicht der Fall. Von daher bleibt nur der Weg, dass der Proxy weitere CS unterstützt. Neuere/Moderne CS bei Windows Server "nachrüsten" ist nicht möglich. Microsoft aktualisiert diese ausschließlich bei neueren Versionen von Windows Server.
Gruß,
Dani
Moin,
Gruß,
Dani
Der Exchange bietet leider gar keine Suites an. Genau das ist mein Problem.
das kann nicht sein. Denn der Exchange Server nutzt die von Windows bereitgestellten Schannels Implementierung bzw. NET Framework. Und da gibt es auch keine zwei Meinungen. Wenn gar keine CS verfügbar wären, gelte das für den ganzen Server und du hättest ganz andere Probleme.Mit Zenmap getestet, es kommt gar nichts. Nicht eine CypherSuite, auch keine veraltete.
Kenn ich nicht... kann ich dazu nichts sagen. Bei OpenSSL ist es möglich, dass alle versuchten Chipher Suites auch ausgegeben werden. So dass man schön die Listen hinterher je TLS Protokoll abgleichen kann.Gruß,
Dani
Hi,
Der Scan sieht wie folgt aus: F = False
PORT STATE SERVICE VERSION
443/tcp open ssl/https?
| ssl-enum-ciphers:
| TLSv1.0:
| ciphers:
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp384r1) - F
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - F
| TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - F
| TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - F
| TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - F
| TLS_RSA_WITH_RC4_128_SHA (rsa 2048) - F
| TLS_RSA_WITH_RC4_128_MD5 (rsa 2048) - F
| TLSv1.1:
| ciphers:
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp384r1) - F
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - F
| TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - F
| TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - F
| TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - F
| TLS_RSA_WITH_RC4_128_SHA (rsa 2048) - F
| TLS_RSA_WITH_RC4_128_MD5 (rsa 2048) - F
| TLSv1.2:
| ciphers:
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp384r1) - F
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp384r1) - F
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp384r1) - F
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - F
| TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - F
| TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - F
| TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - F
| TLS_RSA_WITH_RC4_128_SHA (rsa 2048) - F
| TLS_RSA_WITH_RC4_128_MD5 (rsa 2048) - F
Gruß Dirk
Kenn ich nicht... kann ich dazu nichts sagen. Bei OpenSSL ist es möglich, dass alle versuchten Chipher Suites auch ausgegeben werden. So dass man schön die Listen hinterher je TLS Protokoll abgleichen kann.
Der Scan sieht wie folgt aus: F = False
PORT STATE SERVICE VERSION
443/tcp open ssl/https?
| ssl-enum-ciphers:
| TLSv1.0:
| ciphers:
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp384r1) - F
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - F
| TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - F
| TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - F
| TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - F
| TLS_RSA_WITH_RC4_128_SHA (rsa 2048) - F
| TLS_RSA_WITH_RC4_128_MD5 (rsa 2048) - F
| TLSv1.1:
| ciphers:
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp384r1) - F
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - F
| TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - F
| TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - F
| TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - F
| TLS_RSA_WITH_RC4_128_SHA (rsa 2048) - F
| TLS_RSA_WITH_RC4_128_MD5 (rsa 2048) - F
| TLSv1.2:
| ciphers:
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp384r1) - F
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp384r1) - F
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp384r1) - F
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - F
| TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - F
| TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - F
| TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - F
| TLS_RSA_WITH_RC4_128_SHA (rsa 2048) - F
| TLS_RSA_WITH_RC4_128_MD5 (rsa 2048) - F
Gruß Dirk
Moin,
Bitte auch die fehlende Richtung nachholen. Wie soll sonst ein Vergleich rfolgen?!
Gruß,
Dani
Der Scan sieht wie folgt aus: F = False
ist jetzt der Scan von Exchange zum Proxy via OpenSSL oder von Proxy zum Exchange Server?!Bitte auch die fehlende Richtung nachholen. Wie soll sonst ein Vergleich rfolgen?!
443/tcp open ssl/https?
Wieso 443/tcp. Ich dachte es geht um SMTP, 25/tcp?!Gruß,
Dani
Hallo Dani,
sorry für die späte Rückmeldung: habe jetzt OpenSSL getestet.
Von einem PC zum Exchange Server folgendes Ergebnis:
CONNECTED(0000013C)
write:errno=10054
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 0 bytes and written 293 bytes
Verification: OK
---
New, (NONE), Cipher is (NONE)
This TLS version forbids renegotiation.
Compression: NONE
Expansion: NONE
No ALPN negotiated
Early data was not sent
Verify return code: 0 (ok)
Ich habe das Gefühl da ist irgend etwas mit dem Zertifikat nicht korrekt.
Es ist ein noch gültiges selbst ausgestelltes Zertifikat, das Microsoft Exchange Zertifikat mit dem korrekten NETBIOS und DNS Eintrag im Exchange Server hinterlegt. Als Dienste sind SMTP, IMAP, POP und IIS zugewiesen.
Gruß Dirk
sorry für die späte Rückmeldung: habe jetzt OpenSSL getestet.
Von einem PC zum Exchange Server folgendes Ergebnis:
CONNECTED(0000013C)
write:errno=10054
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 0 bytes and written 293 bytes
Verification: OK
---
New, (NONE), Cipher is (NONE)
This TLS version forbids renegotiation.
Compression: NONE
Expansion: NONE
No ALPN negotiated
Early data was not sent
Verify return code: 0 (ok)
Ich habe das Gefühl da ist irgend etwas mit dem Zertifikat nicht korrekt.
Es ist ein noch gültiges selbst ausgestelltes Zertifikat, das Microsoft Exchange Zertifikat mit dem korrekten NETBIOS und DNS Eintrag im Exchange Server hinterlegt. Als Dienste sind SMTP, IMAP, POP und IIS zugewiesen.
Gruß Dirk
Moin Dirk,
so langsam verliere ich den Überblick bei dem durcheinander. Da mal ein paar Infos ohne Details, meine Fragen bleiben unbeantwortet, etc. So wird das nichts...
Daher nochmals eine Übersicht der ToDos um eine verlässliche Aussage treffen zu können:
Gruß,
Dani
so langsam verliere ich den Überblick bei dem durcheinander. Da mal ein paar Infos ohne Details, meine Fragen bleiben unbeantwortet, etc. So wird das nichts...
Von einem PC zum Exchange Server folgendes Ergebnis:
Warum von einem PC zum Exchange? Ich dachte es geht um die fehlerhafte Kommunikation zwischen Exchange Server und SMTP Proxy/Relay. Es macht doch absolut keinen Sinn einen Fehler zu suchen, wenn man nicht die betroffenen Maschinen für ein Debugging hernimmt.Daher nochmals eine Übersicht der ToDos um eine verlässliche Aussage treffen zu können:
- Ein Abfrage mit Hilfe von OpenSSL vom Exchange zum Proxy über den konfigurierten Kommunikationsport (in der Regel Port 25/tcp). Wir kennen dein Setup nicht. Vergiss nicht beim Posten des Output jedes den OpenSSL Befehl anzugeben. Servernamen und Domain darfst du natürlich ändern.
- Eine Abfrage mit Hilfe von OpenSSL vom Proxy über den konfigurierten Kommunikationsport (in der Regel Port 25/tcp). Wir kennen dein Setup nicht. Vergiss nicht beim Posten des Output jedes den OpenSSL Befehl anzugeben. Servernamen und Domain darfst du natürlich ändern.
- Prüfe einmal über die Registry die Schannel Konfiguration von Windows Server, auf dem der Exchange-Server installiert ist. Falls du mit der Registry nicht klar kommst, kann man auch Tools wie IISCrypto dazu verwenden. Die Verwendung/Empfehlung ohne Gewähr! Wenn du dir unsicher bist, darfst du gerne vom Output einen Screenshot posten. Im Grunde aber sollte es mit dem Output von OpenSSL (Punkt 1) übereinstimmen.
- Welche Software wird auf dem vermeidlichen SMTP Proxy/Relay eingesetzt? Welches Betriebssystem in welcher Version kommt zum Einsatz?
Gruß,
Dani
Hallo Dani,
vielen Dank für die ausführliche Antwort und deine Geduld.
Mein Problem hat sich geklärt und wurde gelöst.
Es war ein Problem mit den Bindungen im IIS. Nachdem ich ein neues Exchange Zertifikat erzeugt habe und dies im IIS bei "Default Web Site" unter Bindungen den entsprechenden Ports neu zugewiesen habe, funktioniert es nun.
Vielen Dank für die Anregungen und Unterstützung.
Viele Grüße Dirk
vielen Dank für die ausführliche Antwort und deine Geduld.
Mein Problem hat sich geklärt und wurde gelöst.
Es war ein Problem mit den Bindungen im IIS. Nachdem ich ein neues Exchange Zertifikat erzeugt habe und dies im IIS bei "Default Web Site" unter Bindungen den entsprechenden Ports neu zugewiesen habe, funktioniert es nun.
Vielen Dank für die Anregungen und Unterstützung.
Viele Grüße Dirk
