Windows Server 2012 R2 SMTP Server TLS1.2 Versand?
Hallo,
wir betreiben einen Exchange Server auf einem Windows Server , die beide TLS nicht unterstützen.
Bisher haben wir alle ausgehenden Mails unverschlüsselt an den Smarthost (SMTP-Server) des Providers weitergeleitet, sowie alle eingehenden Mails per POPcon von einem Sammelkonto abgeholt und per SMTP an den Exchange Server weitergeleitet.
Jetzt hat der Provider eine Umstellung auf TLS 1.2 angekündigt.
Ich habe mit hierzu folgendes Workaround überlegt:
Installation eines dedizierten Windows Server 2012 R2 mit installiertem SMTP Server, der Mails unverschlüsselt vom Exchange Server entgegen nimmt, und dann TLS1.2 verschlüsselt an den Provider weiterleitet, weil Windows Server 2012 TLS1.2 unterstützt.
Er würde dann ebenfalls die Mails per POP3 über TLS1.2 mit der neuesten Version POPcon von Servolutions übernehmen.
Ich bin bei der Konfiguration des SMTP Servers im IIS 6.0 Manager folgendermaßen vorgegangen:
Eigenschaften des "SMTP Virtual Server#1"
Reiter: Zugriff
Authentifizierung: Anonymer Zugriff
Verbindung: Alle (sollte später nur der Exchange Server sein)
Relay: Alle
Reiter: Zustellung
Erweitert:
Smarthost: SMTP Server des Providers, der die Mails nur TLS1.2 verschlüsselt entgegennimmt
Direkte Übermittlung deaktiviert
Ausgehende Sicherheit:
Standardauthentifizierung mit Benutzername und Kennwort des Sammelkonto
TLS-Verschlüsselung aktiviert
Ausgehende Verbindungen:
TCP Port von 25 auf 465 geändert
Für die Testphase habe ich die Firewall des Windows Server 2012 komplett deaktiviert.
In der Hardware Firewall (Lancom) habe ich für den Windows Server 2012 R2 den TCP Port 465 geöffnet:
Auf dem Server sind alle automatischen Updates installiert.
Laut dem Artikel
https://learn.microsoft.com/de-de/exchange/exchange-tls-configuration?vi ...
habe ich mit dem entsprechenden Registry Key TLS1.2 aktiviert
Unter:
inetcpl.cpl -> Erweiter
ist "TLS1.2 verwenden" aktiviert, sowie TLS1.0 und TLS1.1 deaktiviert
Wenn ich jetzt zB mit einem Simple SMTP Client eine Mail direkt an Port 25 des Windows Server 2012 sende. (später soll dies ja der vorgelagerte Exchange machen) erscheint diese Mail auch in C:\inetpub\mailroot\Queue, wird jedoch nicht versendet.
Im Syslog erscheint folgende Fehlermeldung:
Die Nachrichtenübermittlung an den Host "xxx.xxx.xxx.xxx" ist fehlgeschlagen, während an die Remotedomäne "gmail.com" übermittelt wurde. Ursache: Die Verbindung wurde vom Remotehost getrennt.
Beim Neustart des SMTP-Dienst erscheint folgende Fehlermeldung:
Für die virtuelle SMTP-Serverinstanz '1' wurde kein verwendbares TLS-Serverzertifikat gefunden. Für diesen virtuellen Server wird TLS deaktiviert.
Ist dies relevant für den Versand oder nur für den Empfang?
Denn im Reiter Zugriff -> Sichere Kommunikation, ist TLS ohne Zertifikat nicht verfügbar (Option nicht anwählbar)
Hingegen, unter Zustellung ist TLS anwählbar
Sobald ich auf dem SMTP Server in der ausgehenden Sicherheit TLS deaktiviere und den alten unverschlüsselten SMTP Server des Providers eintrage, wird die Mail übertragen.
Was mache ich falsch, bzw. was muss ich tun, damit der SMTP Server auf dem Windows Server 2012 R2 Mails per TLS1.2 überträgt?
Gruß
Ralf
wir betreiben einen Exchange Server auf einem Windows Server , die beide TLS nicht unterstützen.
Bisher haben wir alle ausgehenden Mails unverschlüsselt an den Smarthost (SMTP-Server) des Providers weitergeleitet, sowie alle eingehenden Mails per POPcon von einem Sammelkonto abgeholt und per SMTP an den Exchange Server weitergeleitet.
Jetzt hat der Provider eine Umstellung auf TLS 1.2 angekündigt.
Ich habe mit hierzu folgendes Workaround überlegt:
Installation eines dedizierten Windows Server 2012 R2 mit installiertem SMTP Server, der Mails unverschlüsselt vom Exchange Server entgegen nimmt, und dann TLS1.2 verschlüsselt an den Provider weiterleitet, weil Windows Server 2012 TLS1.2 unterstützt.
Er würde dann ebenfalls die Mails per POP3 über TLS1.2 mit der neuesten Version POPcon von Servolutions übernehmen.
Ich bin bei der Konfiguration des SMTP Servers im IIS 6.0 Manager folgendermaßen vorgegangen:
Eigenschaften des "SMTP Virtual Server#1"
Reiter: Zugriff
Authentifizierung: Anonymer Zugriff
Verbindung: Alle (sollte später nur der Exchange Server sein)
Relay: Alle
Reiter: Zustellung
Erweitert:
Smarthost: SMTP Server des Providers, der die Mails nur TLS1.2 verschlüsselt entgegennimmt
Direkte Übermittlung deaktiviert
Ausgehende Sicherheit:
Standardauthentifizierung mit Benutzername und Kennwort des Sammelkonto
TLS-Verschlüsselung aktiviert
Ausgehende Verbindungen:
TCP Port von 25 auf 465 geändert
Für die Testphase habe ich die Firewall des Windows Server 2012 komplett deaktiviert.
In der Hardware Firewall (Lancom) habe ich für den Windows Server 2012 R2 den TCP Port 465 geöffnet:
Auf dem Server sind alle automatischen Updates installiert.
Laut dem Artikel
https://learn.microsoft.com/de-de/exchange/exchange-tls-configuration?vi ...
habe ich mit dem entsprechenden Registry Key TLS1.2 aktiviert
Unter:
inetcpl.cpl -> Erweiter
ist "TLS1.2 verwenden" aktiviert, sowie TLS1.0 und TLS1.1 deaktiviert
Wenn ich jetzt zB mit einem Simple SMTP Client eine Mail direkt an Port 25 des Windows Server 2012 sende. (später soll dies ja der vorgelagerte Exchange machen) erscheint diese Mail auch in C:\inetpub\mailroot\Queue, wird jedoch nicht versendet.
Im Syslog erscheint folgende Fehlermeldung:
Die Nachrichtenübermittlung an den Host "xxx.xxx.xxx.xxx" ist fehlgeschlagen, während an die Remotedomäne "gmail.com" übermittelt wurde. Ursache: Die Verbindung wurde vom Remotehost getrennt.
Beim Neustart des SMTP-Dienst erscheint folgende Fehlermeldung:
Für die virtuelle SMTP-Serverinstanz '1' wurde kein verwendbares TLS-Serverzertifikat gefunden. Für diesen virtuellen Server wird TLS deaktiviert.
Ist dies relevant für den Versand oder nur für den Empfang?
Denn im Reiter Zugriff -> Sichere Kommunikation, ist TLS ohne Zertifikat nicht verfügbar (Option nicht anwählbar)
Hingegen, unter Zustellung ist TLS anwählbar
Sobald ich auf dem SMTP Server in der ausgehenden Sicherheit TLS deaktiviere und den alten unverschlüsselten SMTP Server des Providers eintrage, wird die Mail übertragen.
Was mache ich falsch, bzw. was muss ich tun, damit der SMTP Server auf dem Windows Server 2012 R2 Mails per TLS1.2 überträgt?
Gruß
Ralf
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 6173236444
Url: https://administrator.de/contentid/6173236444
Ausgedruckt am: 24.11.2024 um 07:11 Uhr
9 Kommentare
Neuester Kommentar
Moin,
also als erstes: für TLS solltest du schon noch ein Zertifikat bereitstellen. das ist ja das Prinzip von TLS.
Dann: willst du wirklich nen 2012er als Mail-Relay nutzen? Der 2012R2 geht im Oktober in den EOS (https://learn.microsoft.com/de-de/lifecycle/products/windows-server-2012 ..). Zudem ist der doch etwas "überdimensioniert" für seine Aufgabe.
Drittens: wenn du den 2012er bei euch direkt hinter den Lancom platzierst, ist der hoffentlich gut abgesichert und steht in einer DMZ!
Viertens: nimm ne fertige Appliance, die auch gleichzeitig Mails scannt und auf Schadsoftware prüft. Ob das nun ein Postfix oder ein Spamassasin ist, ist ja fast egal - kann ja etwas sein, was bezahlt werden möchte (NoSpamProxy, Barrcuda, Lancom, ...).
also als erstes: für TLS solltest du schon noch ein Zertifikat bereitstellen. das ist ja das Prinzip von TLS.
Dann: willst du wirklich nen 2012er als Mail-Relay nutzen? Der 2012R2 geht im Oktober in den EOS (https://learn.microsoft.com/de-de/lifecycle/products/windows-server-2012 ..). Zudem ist der doch etwas "überdimensioniert" für seine Aufgabe.
Drittens: wenn du den 2012er bei euch direkt hinter den Lancom platzierst, ist der hoffentlich gut abgesichert und steht in einer DMZ!
Viertens: nimm ne fertige Appliance, die auch gleichzeitig Mails scannt und auf Schadsoftware prüft. Ob das nun ein Postfix oder ein Spamassasin ist, ist ja fast egal - kann ja etwas sein, was bezahlt werden möchte (NoSpamProxy, Barrcuda, Lancom, ...).
Moin
Jetzt frage ich mich: Wie alt ist der Server denn bitteschön?? Wenn du einen Server <= 2007 hast, dann solltest Du mal ganz dringend darüber nachdenken, dass der weg muss. (Bei 2010 gilt das auch, aber soweit ich weiß, kann man dort noch TLS 1.2 nutzen...)
Du installierst also einen Server, der Ende dieses Jahres aus dem Support geht?
In der Zusammenfassung gibst Du also den Port auf der Firewall frei und erlaubst anonymes Relay. Und dann??!! Das ist eine ganz schlechte Kombination... Wenn es später nur er Exchange im LAN sein soll - wozu die Portfreigabe auf Lancom? Und auch aus dem LAN - das bitte nur mit Authentifizierung!
Was ist das für ein Zertifikat, welches Du ja wohl irgendwo hoffentlich eingebunden hast?! Aber das schrieb ja auch schon @em-pie
Soweit erst einmal...
Gruß
wir betreiben einen Exchange Server auf einem Windows Server , die beide TLS nicht unterstützen.
Jetzt frage ich mich: Wie alt ist der Server denn bitteschön?? Wenn du einen Server <= 2007 hast, dann solltest Du mal ganz dringend darüber nachdenken, dass der weg muss. (Bei 2010 gilt das auch, aber soweit ich weiß, kann man dort noch TLS 1.2 nutzen...)
Installation eines dedizierten Windows Server 2012 R2 mit installiertem SMTP Server, der Mails unverschlüsselt vom Exchange Server entgegen nimmt, und dann TLS1.2 verschlüsselt an den Provider weiterleitet, weil Windows Server 2012 TLS1.2 unterstützt.
Du installierst also einen Server, der Ende dieses Jahres aus dem Support geht?
Er würde dann ebenfalls die Mails per POP3 über TLS1.2 mit der neuesten Version POPcon von Servolutions übernehmen.
Ich bin bei der Konfiguration des SMTP Servers im IIS 6.0 Manager folgendermaßen vorgegangen:
(...)
Authentifizierung: Anonymer Zugriff
Verbindung: Alle (sollte später nur der Exchange Server sein)
Relay: Alle
Reiter: Zustellung
Erweitert:
Smarthost: SMTP Server des Providers, der die Mails nur TLS1.2 verschlüsselt entgegennimmt
Direkte Übermittlung deaktiviert
Ausgehende Sicherheit:
Standardauthentifizierung mit Benutzername und Kennwort des Sammelkonto
TLS-Verschlüsselung aktiviert
Ausgehende Verbindungen:
TCP Port von 25 auf 465 geändert
Für die Testphase habe ich die Firewall des Windows Server 2012 komplett deaktiviert.
In der Hardware Firewall (Lancom) habe ich für den Windows Server 2012 R2 den TCP Port 465 geöffnet:
Ich bin bei der Konfiguration des SMTP Servers im IIS 6.0 Manager folgendermaßen vorgegangen:
(...)
Authentifizierung: Anonymer Zugriff
Verbindung: Alle (sollte später nur der Exchange Server sein)
Relay: Alle
Reiter: Zustellung
Erweitert:
Smarthost: SMTP Server des Providers, der die Mails nur TLS1.2 verschlüsselt entgegennimmt
Direkte Übermittlung deaktiviert
Ausgehende Sicherheit:
Standardauthentifizierung mit Benutzername und Kennwort des Sammelkonto
TLS-Verschlüsselung aktiviert
Ausgehende Verbindungen:
TCP Port von 25 auf 465 geändert
Für die Testphase habe ich die Firewall des Windows Server 2012 komplett deaktiviert.
In der Hardware Firewall (Lancom) habe ich für den Windows Server 2012 R2 den TCP Port 465 geöffnet:
In der Zusammenfassung gibst Du also den Port auf der Firewall frei und erlaubst anonymes Relay. Und dann??!! Das ist eine ganz schlechte Kombination... Wenn es später nur er Exchange im LAN sein soll - wozu die Portfreigabe auf Lancom? Und auch aus dem LAN - das bitte nur mit Authentifizierung!
Was ist das für ein Zertifikat, welches Du ja wohl irgendwo hoffentlich eingebunden hast?! Aber das schrieb ja auch schon @em-pie
Soweit erst einmal...
Gruß
Moin,
Eingehend:
IONOS -> ??? Ist mir aus den Beschreibungen nicht klar.
Ausgehend:
Windows Server mit Exchange Server -> Windows Server mit IIS SMTP -> IONOS
Gruß,
Dani
wir betreiben einen Exchange Server auf einem Windows Server , die beide TLS nicht unterstützen.
Exchange Server greift auf die SSL/TLS Implementierung von Windows Server zurück. Hierfür gibt es zwei Mechanismen namens Schannel und WinHTTP. Hierbei wird zwischen den verschiedenen Protokollen (z.B. TLS 1.1, TLS 1.2) und den verfügbaren Chipher Suites unterschieden. D.h. TLS 1.2 ist nicht gleich TLS 1.2. Je nachdem kann bis zu einem gewissen Punkt über die Registry Protokolle und Cipher Suites noch aktiviert werden. Aber es werden keine moderne Cipher Suites verfügbar sein. Das ist leider ein kleines Studium und nichts für die Kaffeepause am Mittag.wir betreiben einen Exchange Server auf einem Windows Server , die beide TLS nicht unterstützen.
Welche Version von Exchange Server und Windows Server kommt dort noch zum Einsatz. Je nachdem wie alt die Installation ist, wird es einfach, schwieriger oder sogar unmöglich.Er würde dann ebenfalls die Mails per POP3 über TLS1.2 mit der neuesten Version POPcon von Servolutions übernehmen.
Ich meine, dass POPcon keine eigene SSL Bibliothek mitbringt, sondern auf Windows Server (Schannel oder WinHTTP) zurückgreift. Das müsstest du testen oder den Hersteller von PCPcon fragen.Installation eines dedizierten Windows Server 2012 R2 mit installiertem SMTP Server, der Mails unverschlüsselt vom Exchange Server entgegen nimmt, und dann TLS1.2 verschlüsselt an den Provider weiterleitet, weil Windows Server 2012 TLS1.2 unterstützt.
Nochmal, nur weil TLS 1.2 unterstützt wird, heißt es nicht dass die notwendigen Cipher Suites im Windows Server 2012 (R2) verfügbar sind. Das gilt es zu prüfen bzw. nachzufragen. Was für dich einfacher/schneller ist.TCP Port von 25 auf 465 geändert
Hast du den Port 465/tcp vom POPCon übernommen?Für die virtuelle SMTP-Serverinstanz '1' wurde kein verwendbares TLS-Serverzertifikat gefunden. Für diesen virtuellen Server wird TLS deaktiviert.
Du brauchst für den eingerichteten SMTP Smarthost ein auf den FQDN ausgestelltens Zertifikat. Es gibt heute eigentlich keinen E-Mail-Server mehr, die E-Mails ohne Transportverschlüsselung entgegen nehmen. Und schon gar nicht auf Port 465/587.ich werde Multisendcon von Servolutions einsetzen, das macht genau das, was ich brauche.
Wie schon oben bei POPCon von mir ausgeführt, sehe ich hier die gleiche Problematik.Jetzt mal losgelöst von den grundsätzlichen Baustellen, die wir haben, was muss ich tun, damit der SMTP Server des Windows Server 2012 R2 als SMTP Client TLS 1.2 verschlüsselte Mails verschickt.
Erst einmal dem Kommunikationsweg definieren und festschreiben, damit wir alle die gleiche Informationsgrundlagen haben.Eingehend:
IONOS -> ??? Ist mir aus den Beschreibungen nicht klar.
Ausgehend:
Windows Server mit Exchange Server -> Windows Server mit IIS SMTP -> IONOS
Gruß,
Dani