Exchange 2016: SMTP Connector und Wildcard- / SAN-Zertifikate

Wer Exchange 2016 in Verbindung mit einem Wildcard Zertifikat benutzt, sollte auch die Empfangs- und Sendeconnectoren entsprechend konfigurieren. Auch bei SAN-Zertifikaten kann dies nötig sein. Enthält das SAN-Zertifikat als “Common Name (Ausgestellt für)” den Domain Namen und nicht den entsprechenden Servernamen des Exchange Servers, kommt es zum Beispiel bei der Verschlüsslung der SMTP-Verbindung mittels STARTTLS zu Problemen. Hier einmal ein Beispiel des Mailclients Thunderbird der eine SMTP-Verbidnung via STARTTLS zu einem Exchange Server aufbauen möchte: In diesem Fall wurde ein SAN-Zertifikat genutzt, Mehr »

Sophos UTM und DKIM

DKIM oder auch DomainKeys genannt, ist ein Verfahren um die Authentizität von E-Mails festzustellen. Die grundlegende Funktionsweise ist dabei recht einfach erklärt: Der sendende Mailserver berechnet einen Hashwert für jede von ihm gesendete Mail und hängt diesen Hash an jede Mail im E-Mail Header an. Der empfangene Mailserver kann die Signatur auswerten und ebenfalls den Hash berechnen. Stimmt der im Mail Header angegebene Hash mit dem berechnetem Hash überein, ist sichergestellt, dass die Mail vom E-Mail Servers des Absenders stammt Mehr »

Google Chrome vertraut Symantec CAs ab 2018 nicht mehr

Google hat angekündigt den Symantec CAs (Zertifizierungsstellen) das Vertrauen ab 2018 zu entziehen. Ein entsprechender Artikel findet sich im Google Security Blog: Chrome’s Plan to Distrust Symantec Certificates Konkret bedeutet dies, dass Webseiten oder Dienste die mit von Symantec ausgestellten Zertifikaten arbeiten von Chrome nicht mehr als vertrauenswürdig angesehen werden.Dies betrifft alle Zertifikate die vor dem 01.06.2016 von Symantec ausgestellt wurden. Davon betroffen sind auch die Zertifikate der weiteren von Symantec betriebenen Zertifizierungsstellen Thwate, Verisign, Equifax, GeoTrust und RapidSSL. Symantec war bis Mehr »

Let’s Encrypt: Kostenlose Wildcard Zertifikate ab Januar 2018

Let’s Encrypt hat heute bekannt gegeben, dass ab Januar 2018 auch kostenlose Wildcard Zertifikate ausgestellt werden. Mit Wildcard Zertifikaten (Bspw.: *.frankysweb.de) lässt sich mit einem Zertifikat eine komplette Domain per SSL sichern. Bei anderen Zertifizierungsstellen kosten Wildcard Zertifikate einiges an Geld, das bisher günstigste Wildcard Zertifikat welches ich kenne liegt bei knapp 280 EUR für 3 Jahre Laufzeit. Wildcard Zertifikat werden nicht nur gerne für Exchange Server benutzt, auch für Loadbalancer und Web Application Firewalls werden üblicherweise Wildcard Zertifikate verwendet. Mehr »

Ankündigung neues Whitepaper: Exchange und Zertifikate

Nachdem das “Exchange 2016 Autodiscover Whitepaper” recht guten Anklang gefunden hat und über 6000 Downloads aufweist, gab es eine kleine Abstimmung von April bis Mai über ein neues Thema für das nächste Whitepaper. An der Abstimmung haben sich insgesamt 637 Personen beteiligt, die meisten Stimmen hat das Thema “Exchange und Zertifikate” bekommen. Hier die finale Auswertung: Vielen Dank an dieser Stelle an alle Personen die abgestimmt haben. Aufgrund der vielen Mails die mich zum Thema SSL-Zertifikate und Exchange erreichen, hat Mehr »

Sophos UTM 9.5: Web Application Firewall und SSL Labs A+ Rating

Sophos hat kürzlich das Update auf die Version 9.5 für die UTM veröffentlicht. Eine der Neuerungen UTM 9.5 ist die Möglichkeit die TLS-Version für die Web Application Firewall einzustellen. Das reicht allerdings noch nicht um bei dem SSL Server Test von Qualys SSL Labs  ein A+ Rating zu bekommen. Zwar ist ein A-Rating nicht unbedingt schlecht, aber A+ wäre schöner. Hier also meine (von Sophos nicht supportete) Konfiguration: TLS v1.1 oder höher verwenden Mit der Sophos UTM 9.5 lässt sich Mehr »

Exchange 2016: OPNsense, HAProxy und Let’s Encrypt

OPNSense ist ein Fork der bekannten OpenSource Firewall PFSense, mir persönlich gefällt OPNSense besser, die GUI ist aufgeräumter, es gibt eine REST-Api und die wichtigsten PlugIns sind ebenfalls verfügbar. Da für OPNSense ein Plugin für HAProxy und auch für Let’s Encrypt existiert, habe ich angefangen diese Kombination in Verbindung mit Exchange 2016 zu testen. OPNSense kann also direkt ein kostenloses Zertifikat von Let’s Encrypt anfordern und kümmert sich dann auch selbstständig um die Erneuerung. Kostenlose Firewall und kostenlose Zertifikate, hört Mehr »

Exchange 2010: Zertifikate von Let’s Encrypt nutzen (Teil 2)

In Teil 1 wurden bereits die Vorbereitungen für Let’s Encrypt Zertifikate und Exchange 2010 durchgeführt. Dieser Artikel baut daher direkt auf Teil 1 auf. In Teil 1 wurde die Exchange Organisation entsprechend angepasst, daher geht es in Teil 2 direkt weiter mit der Konfiguration den öffentlichen DNS. Ich habe ich noch vergessen zu erwähnen, dass die komplette Umgebung auf Windows Server 2008 R2 installiert ist. Ich habe mich absichtlich für Server 2008 R2 entschieden, da es für Exchange 2010 eine weit Mehr »

Exchange 2010: Zertifikate von Let’s Encrypt nutzen (Teil 1)

Zertifikate von Let’s Encrypt werden immer beliebter, ist ja auch kaum verwunderlich, denn die Zertifikate sind kostenlos und es gibt einfache Clients um die Zertifikate zu bekommen. Let’s Encrypt Zertifikate sind zwar nur 3 Monate lang gültig, aber die verfügbaren Clients übernehmen das Erneuern der Zertifikate. Exchange 2016 lässt sich sogar mit einem kleinen PowerShell Script völlig automatisieren. Im Prinzip ist dieses auch mit Exchange 2010 machbar, was bereits einige angefragt haben und das Script sogar selbst abgewandelt haben. Damit Mehr »

Sophos UTM und Let’s Encrypt Zertifikate

Ich bin heute über einen interessanten Workaround für die Sophos UTM und Let’s Encrypt Zertifikate gestolpert: https://github.com/rklomp/sophos-utm-letsencrypt René hat sich die Mühe gemacht und ein Script erstellt, welches auf der Sophos UTM Let’s Encrypt Zertifikate automatisch erneuern kann. Die Umsetzung ist relativ einfach und hat bei mir in der Testumgebung auf Anhieb funktioniert. Da die Let’s Encrypt CA auf den Webserver zugreifen muss um die Domain Validierung durchzuführen, muss die Prüfdatei auf den hinter der WAF liegenden Webserver kopiert werden. Mehr »