9
Windows Server 2012 R2 SMTP Server TLS1.2 Versand?
Hallo,
wir betreiben einen Exchange Server auf einem Windows Server , die beide TLS nicht unterstützen.
Bisher haben wir alle ausgehenden Mails unverschlüsselt an den Smarthost (SMTP-Server) des Providers weitergeleitet, sowie alle eingehenden Mails per POPcon von einem Sammelkonto abgeholt und per SMTP an den Exchange Server weitergeleitet.
Jetzt hat der Provider eine Umstellung auf TLS 1.2 angekündigt.
Ich habe mit hierzu folgendes Workaround überlegt:
Installation eines dedizierten Windows Server 2012 R2 mit installiertem SMTP Server, der Mails unverschlüsselt vom Exchange Server entgegen nimmt, und dann TLS1.2 verschlüsselt an den Provider weiterleitet, weil Windows Server 2012 TLS1.2 unterstützt.
Er würde dann ebenfalls die Mails per POP3 über TLS1.2 mit der neuesten Version POPcon von Servolutions übernehmen.
Ich bin bei der Konfiguration des SMTP Servers im IIS 6.0 Manager folgendermaßen vorgegangen:
Eigenschaften des "SMTP Virtual Server#1"
Reiter: Zugriff
Authentifizierung: Anonymer Zugriff
Verbindung: Alle (sollte später nur der Exchange Server sein)
Relay: Alle
Reiter: Zustellung
Erweitert:
Smarthost: SMTP Server des Providers, der die Mails nur TLS1.2 verschlüsselt entgegennimmt
Direkte Übermittlung deaktiviert
Ausgehende Sicherheit:
Standardauthentifizierung mit Benutzername und Kennwort des Sammelkonto
TLS-Verschlüsselung aktiviert
Ausgehende Verbindungen:
TCP Port von 25 auf 465 geändert
Für die Testphase habe ich die Firewall des Windows Server 2012 komplett deaktiviert.
In der Hardware Firewall (Lancom) habe ich für den Windows Server 2012 R2 den TCP Port 465 geöffnet:
Auf dem Server sind alle automatischen Updates installiert.
Laut dem Artikel
https://learn.microsoft.com/de-de/exchange/exchange-tls-configuration?vi ...
habe ich mit dem entsprechenden Registry Key TLS1.2 aktiviert
Unter:
inetcpl.cpl -> Erweiter
ist "TLS1.2 verwenden" aktiviert, sowie TLS1.0 und TLS1.1 deaktiviert
Wenn ich jetzt zB mit einem Simple SMTP Client eine Mail direkt an Port 25 des Windows Server 2012 sende. (später soll dies ja der vorgelagerte Exchange machen) erscheint diese Mail auch in C:\inetpub\mailroot\Queue, wird jedoch nicht versendet.
Im Syslog erscheint folgende Fehlermeldung:
Die Nachrichtenübermittlung an den Host "xxx.xxx.xxx.xxx" ist fehlgeschlagen, während an die Remotedomäne "gmail.com" übermittelt wurde. Ursache: Die Verbindung wurde vom Remotehost getrennt.
Beim Neustart des SMTP-Dienst erscheint folgende Fehlermeldung:
Für die virtuelle SMTP-Serverinstanz '1' wurde kein verwendbares TLS-Serverzertifikat gefunden. Für diesen virtuellen Server wird TLS deaktiviert.
Ist dies relevant für den Versand oder nur für den Empfang?
Denn im Reiter Zugriff -> Sichere Kommunikation, ist TLS ohne Zertifikat nicht verfügbar (Option nicht anwählbar)
Hingegen, unter Zustellung ist TLS anwählbar
Sobald ich auf dem SMTP Server in der ausgehenden Sicherheit TLS deaktiviere und den alten unverschlüsselten SMTP Server des Providers eintrage, wird die Mail übertragen.
Was mache ich falsch, bzw. was muss ich tun, damit der SMTP Server auf dem Windows Server 2012 R2 Mails per TLS1.2 überträgt?
Gruß
Ralf
wir betreiben einen Exchange Server auf einem Windows Server , die beide TLS nicht unterstützen.
Bisher haben wir alle ausgehenden Mails unverschlüsselt an den Smarthost (SMTP-Server) des Providers weitergeleitet, sowie alle eingehenden Mails per POPcon von einem Sammelkonto abgeholt und per SMTP an den Exchange Server weitergeleitet.
Jetzt hat der Provider eine Umstellung auf TLS 1.2 angekündigt.
Ich habe mit hierzu folgendes Workaround überlegt:
Installation eines dedizierten Windows Server 2012 R2 mit installiertem SMTP Server, der Mails unverschlüsselt vom Exchange Server entgegen nimmt, und dann TLS1.2 verschlüsselt an den Provider weiterleitet, weil Windows Server 2012 TLS1.2 unterstützt.
Er würde dann ebenfalls die Mails per POP3 über TLS1.2 mit der neuesten Version POPcon von Servolutions übernehmen.
Ich bin bei der Konfiguration des SMTP Servers im IIS 6.0 Manager folgendermaßen vorgegangen:
Eigenschaften des "SMTP Virtual Server#1"
Reiter: Zugriff
Authentifizierung: Anonymer Zugriff
Verbindung: Alle (sollte später nur der Exchange Server sein)
Relay: Alle
Reiter: Zustellung
Erweitert:
Smarthost: SMTP Server des Providers, der die Mails nur TLS1.2 verschlüsselt entgegennimmt
Direkte Übermittlung deaktiviert
Ausgehende Sicherheit:
Standardauthentifizierung mit Benutzername und Kennwort des Sammelkonto
TLS-Verschlüsselung aktiviert
Ausgehende Verbindungen:
TCP Port von 25 auf 465 geändert
Für die Testphase habe ich die Firewall des Windows Server 2012 komplett deaktiviert.
In der Hardware Firewall (Lancom) habe ich für den Windows Server 2012 R2 den TCP Port 465 geöffnet:
Auf dem Server sind alle automatischen Updates installiert.
Laut dem Artikel
https://learn.microsoft.com/de-de/exchange/exchange-tls-configuration?vi ...
habe ich mit dem entsprechenden Registry Key TLS1.2 aktiviert
Unter:
inetcpl.cpl -> Erweiter
ist "TLS1.2 verwenden" aktiviert, sowie TLS1.0 und TLS1.1 deaktiviert
Wenn ich jetzt zB mit einem Simple SMTP Client eine Mail direkt an Port 25 des Windows Server 2012 sende. (später soll dies ja der vorgelagerte Exchange machen) erscheint diese Mail auch in C:\inetpub\mailroot\Queue, wird jedoch nicht versendet.
Im Syslog erscheint folgende Fehlermeldung:
Die Nachrichtenübermittlung an den Host "xxx.xxx.xxx.xxx" ist fehlgeschlagen, während an die Remotedomäne "gmail.com" übermittelt wurde. Ursache: Die Verbindung wurde vom Remotehost getrennt.
Beim Neustart des SMTP-Dienst erscheint folgende Fehlermeldung:
Für die virtuelle SMTP-Serverinstanz '1' wurde kein verwendbares TLS-Serverzertifikat gefunden. Für diesen virtuellen Server wird TLS deaktiviert.
Ist dies relevant für den Versand oder nur für den Empfang?
Denn im Reiter Zugriff -> Sichere Kommunikation, ist TLS ohne Zertifikat nicht verfügbar (Option nicht anwählbar)
Hingegen, unter Zustellung ist TLS anwählbar
Sobald ich auf dem SMTP Server in der ausgehenden Sicherheit TLS deaktiviere und den alten unverschlüsselten SMTP Server des Providers eintrage, wird die Mail übertragen.
Was mache ich falsch, bzw. was muss ich tun, damit der SMTP Server auf dem Windows Server 2012 R2 Mails per TLS1.2 überträgt?
Gruß
Ralf
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 6173236444
Url: https://administrator.de/contentid/6173236444
Printed on: April 23, 2024 at 09:04 o'clock
9 Comments
Latest comment
Du denkst die Aktion ist gesünder als das gesamte Setup zu migrieren?
Moin,
also als erstes: für TLS solltest du schon noch ein Zertifikat bereitstellen. das ist ja das Prinzip von TLS.
Dann: willst du wirklich nen 2012er als Mail-Relay nutzen? Der 2012R2 geht im Oktober in den EOS (https://learn.microsoft.com/de-de/lifecycle/products/windows-server-2012 ..). Zudem ist der doch etwas "überdimensioniert" für seine Aufgabe.
Drittens: wenn du den 2012er bei euch direkt hinter den Lancom platzierst, ist der hoffentlich gut abgesichert und steht in einer DMZ!
Viertens: nimm ne fertige Appliance, die auch gleichzeitig Mails scannt und auf Schadsoftware prüft. Ob das nun ein Postfix oder ein Spamassasin ist, ist ja fast egal - kann ja etwas sein, was bezahlt werden möchte (NoSpamProxy, Barrcuda, Lancom, ...).
also als erstes: für TLS solltest du schon noch ein Zertifikat bereitstellen. das ist ja das Prinzip von TLS.
Dann: willst du wirklich nen 2012er als Mail-Relay nutzen? Der 2012R2 geht im Oktober in den EOS (https://learn.microsoft.com/de-de/lifecycle/products/windows-server-2012 ..). Zudem ist der doch etwas "überdimensioniert" für seine Aufgabe.
Drittens: wenn du den 2012er bei euch direkt hinter den Lancom platzierst, ist der hoffentlich gut abgesichert und steht in einer DMZ!
Viertens: nimm ne fertige Appliance, die auch gleichzeitig Mails scannt und auf Schadsoftware prüft. Ob das nun ein Postfix oder ein Spamassasin ist, ist ja fast egal - kann ja etwas sein, was bezahlt werden möchte (NoSpamProxy, Barrcuda, Lancom, ...).
Moin,
Stell Dir eine lokalen smarthost auf Linuxbasis hin. Der kann dann per Fetchmail die Mail holen und diese dann per SMTP beim Exchange einkippen und die Mails vom Exchange direkt an den Provider weiterleiten.
Dazu reicht ein kleiner RasPi oder eine kleine linux-vm
lks
Stell Dir eine lokalen smarthost auf Linuxbasis hin. Der kann dann per Fetchmail die Mail holen und diese dann per SMTP beim Exchange einkippen und die Mails vom Exchange direkt an den Provider weiterleiten.
Dazu reicht ein kleiner RasPi oder eine kleine linux-vm
lks
Moin
Jetzt frage ich mich: Wie alt ist der Server denn bitteschön?? Wenn du einen Server <= 2007 hast, dann solltest Du mal ganz dringend darüber nachdenken, dass der weg muss. (Bei 2010 gilt das auch, aber soweit ich weiß, kann man dort noch TLS 1.2 nutzen...)
Du installierst also einen Server, der Ende dieses Jahres aus dem Support geht?
In der Zusammenfassung gibst Du also den Port auf der Firewall frei und erlaubst anonymes Relay. Und dann??!! Das ist eine ganz schlechte Kombination... Wenn es später nur er Exchange im LAN sein soll - wozu die Portfreigabe auf Lancom? Und auch aus dem LAN - das bitte nur mit Authentifizierung!
Was ist das für ein Zertifikat, welches Du ja wohl irgendwo hoffentlich eingebunden hast?! Aber das schrieb ja auch schon @em-pie
Soweit erst einmal...
Gruß
wir betreiben einen Exchange Server auf einem Windows Server , die beide TLS nicht unterstützen.
Jetzt frage ich mich: Wie alt ist der Server denn bitteschön?? Wenn du einen Server <= 2007 hast, dann solltest Du mal ganz dringend darüber nachdenken, dass der weg muss. (Bei 2010 gilt das auch, aber soweit ich weiß, kann man dort noch TLS 1.2 nutzen...)
Installation eines dedizierten Windows Server 2012 R2 mit installiertem SMTP Server, der Mails unverschlüsselt vom Exchange Server entgegen nimmt, und dann TLS1.2 verschlüsselt an den Provider weiterleitet, weil Windows Server 2012 TLS1.2 unterstützt.
Du installierst also einen Server, der Ende dieses Jahres aus dem Support geht?
Er würde dann ebenfalls die Mails per POP3 über TLS1.2 mit der neuesten Version POPcon von Servolutions übernehmen.
Ich bin bei der Konfiguration des SMTP Servers im IIS 6.0 Manager folgendermaßen vorgegangen:
(...)
Authentifizierung: Anonymer Zugriff
Verbindung: Alle (sollte später nur der Exchange Server sein)
Relay: Alle
Reiter: Zustellung
Erweitert:
Smarthost: SMTP Server des Providers, der die Mails nur TLS1.2 verschlüsselt entgegennimmt
Direkte Übermittlung deaktiviert
Ausgehende Sicherheit:
Standardauthentifizierung mit Benutzername und Kennwort des Sammelkonto
TLS-Verschlüsselung aktiviert
Ausgehende Verbindungen:
TCP Port von 25 auf 465 geändert
Für die Testphase habe ich die Firewall des Windows Server 2012 komplett deaktiviert.
In der Hardware Firewall (Lancom) habe ich für den Windows Server 2012 R2 den TCP Port 465 geöffnet:
Ich bin bei der Konfiguration des SMTP Servers im IIS 6.0 Manager folgendermaßen vorgegangen:
(...)
Authentifizierung: Anonymer Zugriff
Verbindung: Alle (sollte später nur der Exchange Server sein)
Relay: Alle
Reiter: Zustellung
Erweitert:
Smarthost: SMTP Server des Providers, der die Mails nur TLS1.2 verschlüsselt entgegennimmt
Direkte Übermittlung deaktiviert
Ausgehende Sicherheit:
Standardauthentifizierung mit Benutzername und Kennwort des Sammelkonto
TLS-Verschlüsselung aktiviert
Ausgehende Verbindungen:
TCP Port von 25 auf 465 geändert
Für die Testphase habe ich die Firewall des Windows Server 2012 komplett deaktiviert.
In der Hardware Firewall (Lancom) habe ich für den Windows Server 2012 R2 den TCP Port 465 geöffnet:
In der Zusammenfassung gibst Du also den Port auf der Firewall frei und erlaubst anonymes Relay. Und dann??!! Das ist eine ganz schlechte Kombination... Wenn es später nur er Exchange im LAN sein soll - wozu die Portfreigabe auf Lancom? Und auch aus dem LAN - das bitte nur mit Authentifizierung!
Was ist das für ein Zertifikat, welches Du ja wohl irgendwo hoffentlich eingebunden hast?! Aber das schrieb ja auch schon @em-pie
Soweit erst einmal...
Gruß
Hallo,
vielen Danke für die schnellen Antwort.
Mir ist durchaus bewusst, dass beim Exchange Server Handlungsbedarf besteht.
Jedoch geht es mir im ersten Schritt darum technische Unterstützung bei der Umsetzung des Workaround zu bekommen, bevor der Provider die Mailserver umstellt.
Die Windows Server Lizenz ist vorhanden und wird virtualisiert, also wird hier keine Hardware gebunden.
Bezüglich Firewall hab ich mich etwas missverständlich ausgedrückt, hier wird nur der Port 465 ausgehend für den Windows Server 2012 freigeschalt.
Zum Zertifikat, ist es denn nicht so, wenn der SMTP Server des Windows Server 2012 als SMTP Client agiert, man gar kein eigenes Zertifikat zu installieren braucht?
Er verschlüsselt doch mit dem öffentlichen Schlüssel des Zertifikats, das er vom SMTP Server des Providers bei der Kommunikation bekommt.
https://www.ionos.de/digitalguide/server/sicherheit/tls-transport-layer- ...
Jetzt mal losgelöst von den grundsätzlichen Baustellen, die wir haben, was muss ich tun, damit der SMTP Server des Windows Server 2012 R2 als SMTP Client TLS 1.2 verschlüsselte Mails verschickt.
Gruß
Ralf
vielen Danke für die schnellen Antwort.
Mir ist durchaus bewusst, dass beim Exchange Server Handlungsbedarf besteht.
Jedoch geht es mir im ersten Schritt darum technische Unterstützung bei der Umsetzung des Workaround zu bekommen, bevor der Provider die Mailserver umstellt.
Die Windows Server Lizenz ist vorhanden und wird virtualisiert, also wird hier keine Hardware gebunden.
Bezüglich Firewall hab ich mich etwas missverständlich ausgedrückt, hier wird nur der Port 465 ausgehend für den Windows Server 2012 freigeschalt.
Zum Zertifikat, ist es denn nicht so, wenn der SMTP Server des Windows Server 2012 als SMTP Client agiert, man gar kein eigenes Zertifikat zu installieren braucht?
Er verschlüsselt doch mit dem öffentlichen Schlüssel des Zertifikats, das er vom SMTP Server des Providers bei der Kommunikation bekommt.
https://www.ionos.de/digitalguide/server/sicherheit/tls-transport-layer- ...
Jetzt mal losgelöst von den grundsätzlichen Baustellen, die wir haben, was muss ich tun, damit der SMTP Server des Windows Server 2012 R2 als SMTP Client TLS 1.2 verschlüsselte Mails verschickt.
Gruß
Ralf
Hallo,
ich werde Multisendcon von Servolutions einsetzen, das macht genau das, was ich brauche.
https://www.servolutions.de/multisendcon.htm
ich werde Multisendcon von Servolutions einsetzen, das macht genau das, was ich brauche.
https://www.servolutions.de/multisendcon.htm
Moin,
Eingehend:
IONOS -> ??? Ist mir aus den Beschreibungen nicht klar.
Ausgehend:
Windows Server mit Exchange Server -> Windows Server mit IIS SMTP -> IONOS
Gruß,
Dani
wir betreiben einen Exchange Server auf einem Windows Server , die beide TLS nicht unterstützen.
Exchange Server greift auf die SSL/TLS Implementierung von Windows Server zurück. Hierfür gibt es zwei Mechanismen namens Schannel und WinHTTP. Hierbei wird zwischen den verschiedenen Protokollen (z.B. TLS 1.1, TLS 1.2) und den verfügbaren Chipher Suites unterschieden. D.h. TLS 1.2 ist nicht gleich TLS 1.2. Je nachdem kann bis zu einem gewissen Punkt über die Registry Protokolle und Cipher Suites noch aktiviert werden. Aber es werden keine moderne Cipher Suites verfügbar sein. Das ist leider ein kleines Studium und nichts für die Kaffeepause am Mittag.wir betreiben einen Exchange Server auf einem Windows Server , die beide TLS nicht unterstützen.
Welche Version von Exchange Server und Windows Server kommt dort noch zum Einsatz. Je nachdem wie alt die Installation ist, wird es einfach, schwieriger oder sogar unmöglich.Er würde dann ebenfalls die Mails per POP3 über TLS1.2 mit der neuesten Version POPcon von Servolutions übernehmen.
Ich meine, dass POPcon keine eigene SSL Bibliothek mitbringt, sondern auf Windows Server (Schannel oder WinHTTP) zurückgreift. Das müsstest du testen oder den Hersteller von PCPcon fragen.Installation eines dedizierten Windows Server 2012 R2 mit installiertem SMTP Server, der Mails unverschlüsselt vom Exchange Server entgegen nimmt, und dann TLS1.2 verschlüsselt an den Provider weiterleitet, weil Windows Server 2012 TLS1.2 unterstützt.
Nochmal, nur weil TLS 1.2 unterstützt wird, heißt es nicht dass die notwendigen Cipher Suites im Windows Server 2012 (R2) verfügbar sind. Das gilt es zu prüfen bzw. nachzufragen. Was für dich einfacher/schneller ist.TCP Port von 25 auf 465 geändert
Hast du den Port 465/tcp vom POPCon übernommen?Für die virtuelle SMTP-Serverinstanz '1' wurde kein verwendbares TLS-Serverzertifikat gefunden. Für diesen virtuellen Server wird TLS deaktiviert.
Du brauchst für den eingerichteten SMTP Smarthost ein auf den FQDN ausgestelltens Zertifikat. Es gibt heute eigentlich keinen E-Mail-Server mehr, die E-Mails ohne Transportverschlüsselung entgegen nehmen. Und schon gar nicht auf Port 465/587.ich werde Multisendcon von Servolutions einsetzen, das macht genau das, was ich brauche.
Wie schon oben bei POPCon von mir ausgeführt, sehe ich hier die gleiche Problematik.Jetzt mal losgelöst von den grundsätzlichen Baustellen, die wir haben, was muss ich tun, damit der SMTP Server des Windows Server 2012 R2 als SMTP Client TLS 1.2 verschlüsselte Mails verschickt.
Erst einmal dem Kommunikationsweg definieren und festschreiben, damit wir alle die gleiche Informationsgrundlagen haben.Eingehend:
IONOS -> ??? Ist mir aus den Beschreibungen nicht klar.
Ausgehend:
Windows Server mit Exchange Server -> Windows Server mit IIS SMTP -> IONOS
Gruß,
Dani
Hallo,
ich erläutere noch mal kurz die Kommunikationswege.
Wir betreiben einen Exchange Server 2003 (ES1), der sich maskiert hinter einer Firewall befindet.
ES1 sendet und empfängt deshalb die Mails NICHT direkt über DNS, sondern sendet an den Smarthost smtp.1und1.de Port 25 und empfängt von "POPcon von Servolutions" POPcon holt bei pop.1und1.de Port 110 ab (Sammelkonto)
Ionos (1und1) hat angekündigt kurzfristig die unverschlüsselten Mailserver abzuschalten
Meine Idee:
Installation eines Windows Server 2012 R2 SE (genannt MR1) weil Windows Server 2012 TLS1.2 unterstütz
Installtion POPcon 4.X , das TLS1.2 unterstützt auf dem MR1
POPcon auf dem MR1 holt die Mails bei pop.ionos.de Port 995 ab und leitet diese an ES1 Port 25 weiter.
Dies funktioniert!
Der Internet Mail Connector des ES1 leitet die Mails nicht mehr an smtp.1und1.de Port 25, sondern an MR1 Port 25
MR1 leitet die Mails an smtp.ionos.de Port 465.
Dies hat NICHT funktioniert und war auch meine eigentliche Frage!
Daraufhin habe ich Multisendcon von Servolution auf dem MR1 installiert und den MS SMTP Dienst deaktiviert
Multisendcon nimmt die Mails vom ES1 auf Port 25 entgegen und leitet diese an smtp.ionos.de Port 465. weiter.
Dies funktionirt .
Gruß
Ralf
ich erläutere noch mal kurz die Kommunikationswege.
Wir betreiben einen Exchange Server 2003 (ES1), der sich maskiert hinter einer Firewall befindet.
ES1 sendet und empfängt deshalb die Mails NICHT direkt über DNS, sondern sendet an den Smarthost smtp.1und1.de Port 25 und empfängt von "POPcon von Servolutions" POPcon holt bei pop.1und1.de Port 110 ab (Sammelkonto)
Ionos (1und1) hat angekündigt kurzfristig die unverschlüsselten Mailserver abzuschalten
Meine Idee:
Installation eines Windows Server 2012 R2 SE (genannt MR1) weil Windows Server 2012 TLS1.2 unterstütz
Installtion POPcon 4.X , das TLS1.2 unterstützt auf dem MR1
POPcon auf dem MR1 holt die Mails bei pop.ionos.de Port 995 ab und leitet diese an ES1 Port 25 weiter.
Dies funktioniert!
Der Internet Mail Connector des ES1 leitet die Mails nicht mehr an smtp.1und1.de Port 25, sondern an MR1 Port 25
MR1 leitet die Mails an smtp.ionos.de Port 465.
Dies hat NICHT funktioniert und war auch meine eigentliche Frage!
Daraufhin habe ich Multisendcon von Servolution auf dem MR1 installiert und den MS SMTP Dienst deaktiviert
Multisendcon nimmt die Mails vom ES1 auf Port 25 entgegen und leitet diese an smtp.ionos.de Port 465. weiter.
Dies funktionirt .
Gruß
Ralf
Hallo,
deine einzige Sicherheit, dass eine verwanzte mail deinen Ex nicht platt macht ist der, dass die Schadsoftware heute nicht mehr mit so alten system klar kommt. Allerdings stecken viele Löcher des heutigen Systems bereits seit Dekaden in der Programmierung.
Eigentlich solltest du Upgraden.
VG
deine einzige Sicherheit, dass eine verwanzte mail deinen Ex nicht platt macht ist der, dass die Schadsoftware heute nicht mehr mit so alten system klar kommt. Allerdings stecken viele Löcher des heutigen Systems bereits seit Dekaden in der Programmierung.
Eigentlich solltest du Upgraden.
VG
