Konica Minolta bizhub C300 - TLS Probleme

Mitglied: eberhartII
Hallo,

es geht um eine Verschlüsselung, die die Telekom seit 02. September 2021 einsetzt. Ab diesem Datum müssen die E-Mails mit dem Schlüssel TLS 1.3 verschlüsselt sein.
Mein altes Schätzchen Konica Minolta bizhub C300 beherrscht diesen Standard nicht. Deshalb ist dieser Service nicht mehr nutzbar.
Weiß jemand ob Konica Minolta für diese Geräte eine Aktualisierung anbietet? Oder kennt jemand eine Lösung für dieses Problem?

Content-Key: 1310122278

Url: https://administrator.de/contentid/1310122278

Ausgedruckt am: 23.10.2021 um 19:10 Uhr

Mitglied: StefanKittel
StefanKittel 26.09.2021 um 14:32:31 Uhr
Goto Top
Hallo,
Du kannst z.B. einen Raspberry PI mit Postfix als SMTP-Proxy einsetzen.
Stefan
Mitglied: eberhartII
eberhartII 26.09.2021 um 15:08:44 Uhr
Goto Top
Hallo Stefan,

zunächst einmal Danke, dass Du mir so schnell helfen möchtest. Ich glaube, wir spielen nicht in der gleichen Liga. Ich stecke nicht so tief im Detail.
Ich weiß, was ein Raspberry ist, aber das war es dann auch schon. Postfix sagt mir nichts.
SMTP-Proxy ??.
Mitglied: wiesi200
wiesi200 26.09.2021 um 15:27:21 Uhr
Goto Top
Im Endeffekt ist's einfach.
Postfix ist ein Mailserver den man auch auf nem Raspberry betreiben kann. Dieser kann deine E-Mail vom Kopierer annehmen und dann verschlüsselt an die Telekom senden.

Bin aber überrascht das die TK so schnell umstellt. TLS 1.3 gibt doch erst seit 2—3 Jahren.
Mitglied: transocean
transocean 26.09.2021 um 15:27:54 Uhr
Goto Top
Mitglied: eberhartII
eberhartII 26.09.2021 um 15:42:43 Uhr
Goto Top
Also einfache Lösungen sind natürlich herzlich willkommen. Das heißt für mich, ich müsste so ein Raspberry kaufen und den zwischen meinen alten bizhub c300 und den Router hängen?
Hier der Hinweis aus dem Netz: TLS 1.3

1 AKZEPTIERTE LÖSUNG

Jürgen U.
Telekom hilft Team

Akzeptiert von Schwarzer Ast
‎07.09.2021 12:21 - bearbeitet am ‎07.09.2021 12:33

Hallo zusammen,

es wurden serverseitige Veränderungen vorgenommen. Aufgrund der Einführung von TLS 1.3 sind seit dem 02.09.2021 bestimmte Einschränkungen aufgetreten, durch die das Versenden und Empfangen von Telekom E-Mails teilweise nicht mehr über den bisherigen Weg möglich ist. Z. B. erscheint der Verbindungsfehler 1401.

Betroffen sind User, die das Telekom E-Mail Postfach noch über alte / unsichere Betriebssysteme abrufen, bzw. die darin voreingestellten Mail-Clients verwenden. Durch die Einführung der neuen Transportverschlüsselung (TLS 1.3) werden die alten Verschlüsselungsmethoden nicht mehr unterstützt.

Mitglied: Dani
Dani 26.09.2021 um 16:03:56 Uhr
Goto Top
Moin,
ich kann mir nicht vorstellen, dass auch TLS 1.2 deaktiviert wurde.
Kann es sein, dass dein Gerät damit ebenfalls nicht mehr umgehen kann?


Gruß,
Dani
Mitglied: eberhartII
eberhartII 26.09.2021 um 16:41:12 Uhr
Goto Top
Hallo Dani,

die oben zitierte Antwort habe ich aus dem Netz. Ein Service-Techniker der Telekom meinte das gleiche.
Ich habe auch den Link hinzugefügt.
Mitglied: colinardo
colinardo 26.09.2021 aktualisiert um 17:10:57 Uhr
Goto Top
Servus.
Zitat von @eberhartII:
die oben zitierte Antwort habe ich aus dem Netz. Ein Service-Techniker der Telekom meinte das gleiche.
Ich habe auch den Link hinzugefügt.

Von welcher Gegenstelle reden wir hier? securesmtp.t-online.de:465 ? Wenn ja, die haben hier bei einem Test kein TLS 1.3 aktiviert, nur TLS1, TLS1.1 und TLS 1.2.
Die haben wohl nur SSLv3 abgeschaltet, und das ist auch gut so.

screenshot

Bei TLS1.3 gibt es kein Handshake bei der Gegenstelle

screenshot

Einfach mal selbst
und
ausführen dann kannst du es selbst nachprüfen statt jemandens Aussage vertrauen zu müssen.

Wäre sehr ungewöhnlich wenn die nur TLS 1.3 aktiviert lassen würden, denn das gäbe ein Aufschrei sehr großen Ausmaßes ;-) face-wink, das trauen die sich nicht :-) face-smile.

Grüße Uwe
Mitglied: wiesi200
wiesi200 26.09.2021 um 17:10:13 Uhr
Goto Top
Der Wortlaut ist eigentlich auch etwas wage.

Sie schreiben ja nur das sie durch die Einführung von TLS1.3 alte Verschlüsselungen abschalten. Nur was sind für die Ebenen alte Verschlüsselungen. Das kann vieles bedeuten.

Zumal Einführung von TLS1.3 bedeutet nicht mal zwangsläufig das sie es unterstützen. Vielleicht ist nur jemand auf den Trichter gekommen das es da was gibt, nach ein paar Jahren.
Mitglied: eberhartII
eberhartII 26.09.2021 um 21:42:10 Uhr
Goto Top
Der Telekom-Techniker meinte, mein Gerät müsste mindestens TLS 1.3 beherrschen. Das lässt natürlich auch Raum für Spekulation meiner Vorredner. Ich frage mich, was ist ursächlich, dass mein Gerät jetzt plötzlich Server-Verbindungsfehler meldet.
Mitglied: colinardo
colinardo 26.09.2021, aktualisiert am 27.09.2021 um 08:37:38 Uhr
Goto Top
Zitat von @eberhartII:

Der Telekom-Techniker meinte, mein Gerät müsste mindestens TLS 1.3 beherrschen.
Das ist sehr unwahrscheinlich, damit würde man noch einen viel zu großen Prozentsatz von User abwürgen und würde massive Support calls erzeugen.
Ich frage mich, was ist ursächlich, dass mein Gerät jetzt plötzlich Server-Verbindungsfehler meldet.
Welchen Fehler denn genau?
Ich tippe darauf das der Drucker nur noch unsichere TLS Cipher-Suites auf SHA1 Basis nutzen kann und diese auf T-Com Seite nun deaktiviert wurden.
Häng dich doch mal mit einem Sniffer oder Mirror-Port an den Drucker-Anschluss damit lässt sich das schnell klären.
Beantworte doch bitte noch meine Frage zur genutzten Serveradresse. Ist es die oben genannte oder doch eine andere?
Mitglied: TomTomBon
TomTomBon 27.09.2021 um 10:44:59 Uhr
Goto Top
Moin Moin

Mein Senf dazu:
Eine Übersichts Liste welche Win Version welche TLS Version unterstützt

https://docs.microsoft.com/en-us/windows/win32/secauthn/protocols-in-tls ...

Win 7 kann übrigens nur TLS1.0 wenn manche Kunden damit kommen 😉

TLS 1.3 erst Server 2022 und Win 11

TLS 1.2 erst ab Server 2016 und W10 1607


Bei Strato WEIß Ich das die auf TLS 1.2 verpflichtend gegangen sind.

Ich vermute die Telekom dito.

Und leider gibt es einige noch ganz gute MFP die nur TLS 1.0 / SSL 3.0 (dies ist synonym) laufen.

Und dann...
Ist Ein Postfix Mail Server einer der wenigen Lösungen.
Oder ein lokaler Exchange....
(Duck)
Mitglied: TomTomBon
TomTomBon 27.09.2021 um 11:06:17 Uhr
Goto Top
Ok
Es ist eine wirklich größere Maschine mit optionaler Fiery und 8GB RAM.
https://www.konicaminolta.de/de-de/hardware/office/bizhub-c300i

Aber Ich konnte nichts finden was TLS beinhaltet.
--> Konica Support

Oder schau bei dir im System nach
Die haben hier die Einstellung wo man das findet
https://manuals.konicaminolta.eu/bizhub-PRO-C1070-C1060-C1060L/DE/conten ...
Mitglied: Lochkartenstanzer
Lochkartenstanzer 27.09.2021 um 11:53:48 Uhr
Goto Top
Moin,

es kommt darauf an, welchen smtp-Server Du benutzt. smtp-t-online.de unterstützt keeine SSL/TLS-verbindungen und kann nicht mehr benutzt werden, um Mails zu verschicken.

Man soll heutzutage securesmtp.t-online.de oder securesmtprelay.t-online.de zu verschiecken von Mails benutzen. Wenn man mal mit nmap oder openssl "draufschaut", sieht man, daß je nach Port TLS 1.0, TLS 1.1 oder TLS 1.2 unterstützt wird mit verschiedenen Verschlüsselungsmethoden, aber nicht alles überall. Von daher halt ich die Aussage "Nur noch TLS 1.3" für falsch. (Siehe auch Protokoll weiter unten).

Generell würde ich auch einen lokalen Relay für Netzwerkgeräte oder sogar lokale Mailclients empfehlen, weil damit das einrichten deutlich einfacher ist. Ob man dazu eine Pi, eine vm für postfix oder einen hmailserver für windows nimmt, ist letztendlich egal.

lks

PS: Protokoll

Mitglied: colinardo
colinardo 27.09.2021 aktualisiert um 12:13:39 Uhr
Goto Top
Zitat von @TomTomBon:
Win 7 kann übrigens nur TLS1.0 wenn manche Kunden damit kommen 😉
Das stimmt so nicht, in Win7 / Server 2008(R2) / Server 2012(R2) wurde das nach dem schon lange verfügbaren Update auch TLS1.2 nachgerüstet:
https://support.microsoft.com/de-de/topic/update-zum-aktivieren-von-tls- ...
Mitglied: Lochkartenstanzer
Lochkartenstanzer 27.09.2021 aktualisiert um 15:29:08 Uhr
Goto Top
Zitat von @eberhartII:

Hier der Hinweis aus dem Netz: TLS 1.3

Habe mal bei das Verlinkte gelesen: Da steht nur, daß die TLS 1.3 eingeführt haben und daher einige alte (unsichere) Verschlüsselungsmethoden wegfallen und nicht mehr unterstützt werden. Da steht nichts davon, daß TLS 1.0 bis 1.2 nicht mehr unterstützt würden.

Vermutlich verwendet Dein Bizhub eine unsichere Verschlüsselungsmethode, neudeutsch "cipher" genannt. Da wird ohne Firmware-Update nichts gehen. Das einfachste ist, wie schon in den anderen Beiträgen geschrieben, ein lokales Relay einzurichten.

lks
Mitglied: TomTomBon
TomTomBon 27.09.2021 um 15:48:47 Uhr
Goto Top
https://www.manualsdir.com/manuals/474658/konica-minolta-bizhub-c300.htm ...

Dort wird keine TLS version erwähnt.
In der Kyo Welt ist das gleich bedeutend mit kein TLS höher 1.0.

Vor allem da es "nur" eine 30 Seiten Maschine ist.
Sehr gut ausgestattet, aber keine wirklich teure die dann mit versorgt wird beim FW Erstellen mit TLS1.2 da es ein "Prestige" Objekt ist.

Die unterstützen BS sind:
Betriebssysteme Windows 98/SE/ME/NT4.0/2000/
XP/XP64
Macintosh 9.x/10.x, oder höher
Server NT4.0/2000/2003, Unix*,
Linux*, Citrix*
Mitglied: IceAge
IceAge 29.09.2021 aktualisiert um 12:08:54 Uhr
Goto Top
Hallo Zusammen,

da hier die Systemtypen durcheinander gewürfelt werden, zur Sicherheit:
-> der Thread-Ersteller nutzt eine ca. 15 Jahre alte Konica Minolta bizhub C300 (ohne i)
-> TomTomBon verlinkt teilweise auf die Neumaschine Konica Minolta bizhub C300i (mit i)

eine 15 Jahre alte Maschine kann heutige Verschlüsselungsstandards leider nicht mehr unterstützen, da einfach zu alt und von der Leistungsfähigkeit nicht vergleichbar mit den heutigen Anforderungen. Von daher bleibt nur der Weg über das Relay oder ein Austausch auf ein jüngeres System.

Grüße I.
Mitglied: eberhartII
eberhartII 29.09.2021 um 13:26:09 Uhr
Goto Top
Hallo IceAge,
ich möchte mein Schätzchen behalten. Was bedeutet "Relay" für mich bzw. für die Maschine.
Wenn ich mich als Administrator auf der Maschine anmelde erscheint: "SSL ist nicht eingerichtet. Bitte
richten Sie SSL nach der Administratorenanmeldung ein, um die Datensicherheit zu gewährleisten".
Mitglied: eberhartII
eberhartII 29.09.2021 um 13:29:23 Uhr
Goto Top
Kann ich selbst ein Zertifikat erstellen? So das die Funktion scan to e-mail wieder funktioniert?
Mitglied: eberhartII
eberhartII 29.09.2021 um 13:36:41 Uhr
Goto Top
Hallo Lochkartenstanzer,
ich habe das Protokoll gelesen, aber wie kann ich das Protokoll als Lösung für mein Problem einsetzen?
Was ist der nächste Schritt?
Mitglied: colinardo
colinardo 29.09.2021 aktualisiert um 15:30:35 Uhr
Goto Top
Servus @eberhartII,
wie oben schon erwähnt wurde wäre in deinem Fall nun ein lokales Mail-Relay eine Lösung, z.B. in Postfix-Manier
https://legacy.thomas-leister.de/postfix-als-smarthost-mail-relay-fuer-a ...
Das kannst du bspw. auf einem Raspberry Pi oder auch einer VM laufen lassen. Auf dem Drucker stellst du dann das lokale Mail-Relay als SMTP-Server ein und das Mail-Relay übernimmt dann die weitere Mailzustellung via Smarthost und aktuellem TLS zu deinem Provider. Da man das lokale Relay so konfigurieren kann das entweder kein SSL/TLS benötigt wird oder die Ciphers für den Drucker passen kann dieser wieder Mails wie gewohnt zustellen.
Kann ich selbst ein Zertifikat erstellen? So das die Funktion scan to e-mail wieder funktioniert?
Nein, das ändert nichts an dem Grundproblem der veralteten Ciphers des Druckers.

Grüße Uwe
Mitglied: TomTomBon
TomTomBon 29.09.2021 um 15:20:53 Uhr
Goto Top
@IceAge
Danke für die Korrektur.
Doofer Fehler :-( face-sad
Sprich die Maschine ist nicht ganz so gut Ausgerüstet.
Das Problem ist aber das gleiche.
Sie ist zu alt.

@eberhartll
Was die Kollegen meinen:
Es wird im lokalen Netz ein Mail Relay eingerichtet.
Der ist eine Zwischenstation beim Mailverkehr dann.
Der verbindet sich mit hoher Sicherheit zum Provider und gibt das dann intern mit geringer Sicherheit weiter
Mitglied: IceAge
IceAge 29.09.2021 um 19:26:08 Uhr
Goto Top
Zitat von @TomTomBon:

@IceAge
Danke für die Korrektur.
Doofer Fehler :-( face-sad
Sprich die Maschine ist nicht ganz so gut Ausgerüstet.
Das Problem ist aber das gleiche.
Sie ist zu alt.

@eberhartll
Was die Kollegen meinen:
Es wird im lokalen Netz ein Mail Relay eingerichtet.
Der ist eine Zwischenstation beim Mailverkehr dann.
Der verbindet sich mit hoher Sicherheit zum Provider und gibt das dann intern mit geringer Sicherheit weiter

Kein Problem, gern. Für die damalige Zeit war sie sensationell ausgerüstet … ist halt 15 Jahre her …
Mitglied: TomTomBon
TomTomBon 30.09.2021 um 08:04:16 Uhr
Goto Top
Und ist immer noch gut.
Wir haben auch Maschinen die 15 Jahre alt sind und noch gut sind.
Manche sind sehr eigen. Und vor allem anders vom Verhalten als aktuelle :-p
Aber wenn man sich daran gewöhnt hat, war die Qualität gut.
Nicht schlechter als bei meinem einfach TintenP**MFP das Ich zu Hause habe.

Nur halt die Schnittstellen sind überaltert.
Wobei manche der alten FTPs können ;-) face-wink


PS:
Wir hatten eine alte vor dem Umzug, an die habe Ich immer gerne die Azubi gejagt.
Die war zum einen eigen (zB 1x LAN für Druck & 1x LAN für Scan) , zum anderen hatte sie alle Eigenheiten die auch moderne haben.
Nur hat das eine moderne Modell die eine Eigenheit, das andere eine andere.
Und dieses Modell hatte sie alle :-p
Mein Nachfolger bei den Azubi konnte mich verstehen. Ich hatte Ihn auch auf die Kiste gejagt. Und er hatte daran gelernt.
Heiß diskutierte Beiträge
question
ASUS H110M-A - TPM-Funktion im BIOS? gelöst SarekHLVor 1 TagFrageCPU, RAM, Mainboards15 Kommentare

Hallo zusammen, weiß jemand sicher, ob das ASUS H110M-A/M.2 eine TPM-Funktion/Emulation im BIOS hat? Hier ist das Board ganz unten als Win11-kompatibel aufgeführt, aber während ...

question
Sfp 100Mbit Switch gesuchtjonasgrafeVor 1 TagFrageSwitche und Hubs16 Kommentare

Hi zusammen, Bei uns der Firma ist heute Nacht ein Einsteckmodul (Lwl SC) von einem Siemens Scalance Switch gestorben. Über diese Module besteht eine Verbindung ...

question
PC zeigt kein Bild mehrben1300Vor 1 TagFrageHardware12 Kommentare

Hallo zusammen, mein PC geht zwar noch an (LED leuchten und Lüfter laufen), aber ich erhalte kein Bild mehr. Mainboard: MSI B450M Mortar Max Mainboard ...

question
PfSense nach Änderung von "Block private networks and loopback addresses" nicht mehr erreichbarvafk18Vor 1 TagFrageRouter & Routing5 Kommentare

Ich habe an meiner pfSense am entfernten Standort in den WAN-Einstellungen den Haken bei "Block private networks and loopback addresses" gelöscht. Nach dem Bestätigen war ...

question
Browserverhalten bei nicht offizieller TLD im privaten NetzSiegfried36Vor 17 StundenFrageDNS18 Kommentare

Moin, ich hoffe ihr könnt mir helfen Licht ins Dunkel zu bringen. So ganz verstehe ich diesen ganzen Zusammenhang nicht. Ich will in meinem internen ...

question
Jeder druckjob (auf WTS) soll im eventvwr.msc vermerkt werdenManuManu2021Vor 1 TagFrageMicrosoft2 Kommentare

Hallo, die User arbeiten mit TS Server und versenden via Warenwirtschaft mittels Datei/Drucken/Tobit-Faxware-Drucker einzelne Briefe. (ca. 2000 pro monat ausgehend, kein Newsletter) Manchmal funktioniert der ...

question
Prüfen ob Befehl in Variable true zurück gibt gelöst zuzuelqVor 1 TagFrageBatch & Shell7 Kommentare

Hallo liebe Gemeinde, sonst stiller Leser nun Fragender (Powershellbeginner). Steinigt mich bitte nicht, aber ich habe mir die gestrige Nacht um die Ohren geschlagen, und ...

question
Juniper SRX210 (HE2) mit VDSL2 MPIM Firmware Update+UpgradeJuniperVor 1 TagFrageFirewall7 Kommentare

Hallo Zusammen! Vielleicht kann mich hier jemand unterstützen, eine (neue, wenn auch bereits ausgelaufene) Juniper SRX210HE2 mit einer integrierten VDSL2-A MPIM Card im Slot "interface ...