Exchange Server und TLS 1.2

Auf dem Exchange Team Blog sind drei ausführliche Artikel zu Exchange Server und TLS 1.2 veröffentlicht worden. Die Artikel sind nicht nur sehr lesenswert, sondern haben auch einen wichtigen Hintergrund:

Ab Oktober 2018 setzt Office 365 TLS 1.2 voraus und akzeptiert keine Mails von Servern die nur TLS 1.0 oder TLS 1.1 unterstützen.

Im Klartext heißt dies, wenn euer Exchange Server Mails an Office 365 Empfänger zustellen will und kein TLS 1.2 unterstützt, werden die Mails den Empfänger ab Oktober 2018 nicht erreichen. Gleiches gilt natürlich auch für Smarthosts und Relays die Mails an Office 365 zustellen möchten.

Soweit bekannt, betrifft die Änderung ab Oktober den Weg der Mails zu Office 365. Für Mails von Office 365 zu Empfängern außerhalb von Office 365 gilt weiterhin Opportunistic TLS. Wenn der empfangene Mail Server kein TLS unterstützt, kann die Mail also auch ohne Transportverschlüsselung von Office 365 gesendet werden.

Vielleicht kann die kleine Grafik es besser erläutern:

Exchange Server und TLS 1.2

Nähere Informationen gibt es in den drei Artikel auf dem Exchange Team Blog:

In den Artikel wird auch beschreiben welche Einstellungen für Windows Server vorgenommen werden müssen, damit Exchange TLS 1.2 verwenden kann. Gleiches gilt wie auch schon erwähnt für vorgelagerte SPAM-Filter, Smarthosts und Relays die Mails an Office 365 zustellen. Für diese muss ebenfalls sichergestellt sein, dass sie TLS 1.2 unterstützen und verwenden.

13 Gedanken zu „Exchange Server und TLS 1.2“

  1. Die Links zu MS

    Exchange Server TLS guidance, part 1: Getting Ready for TLS 1.2
    Exchange Server TLS guidance Part 2: Enabling TLS 1.2 and Identifying Clients Not Using It
    Exchange Server TLS guidance Part 3: Turning Off TLS 1.0/1.1

    führe inzwischen ins nichts,

    Antworten
  2. KB3154518 für .NET Framework 3.5.1. lässt sich nicht installieren.
    Server 2008 R2 SP1 / Exchange 2010 SP3 / .Net: 2.0.50727 / .Net: 3.5.30729.5420 – leider finde ich im Internet keine belastbaren Hinweise ob der KB wirklich gebraucht wird.
    Hat jemand da eine Info?

    Antworten
  3. Hallo Frank,

    wenn ich auf einem Server 2016 mit Exchange 2016 CU9 wie im Artikel Exchange 2016 Installation absichern (Hardening) beschrieben die TLS1.0 abschalte, dann kann mein Connector keine Verbindung zum Mailserver aufbauen.
    Der Server (Postfix unter Debian) unterstützt bereits TLS1.2, aber es kann keine Verbindung aufgebaut werden (Fehler 608).
    Ich habe dann wieder TLS1.0 aktiviert und das abholen der Emails startet wieder.
    Bist Du bei Deinen Versuchen auch über solche Probleme gestolpert?

    Antworten
  4. Ps. Habe es mit SBS2008 getestet, es lässt sich TLS 1.2 im OWA zb aktivieren, im SMTP jedoch nicht. Checktls sagt TLSv1. Tja, dann halt übern Smarthost.

    Antworten
  5. https://www.checktls.com/TestReceiver

    dieser Test sollte schon Aufschluss darüber geben, welche Version im Einsatz auf dem Relay/Smarthost ist

    [000.246] –> STARTTLS
    [000.330] <– 220 2.0.0 Ready to start TLS
    [000.330] STARTTLS command works on this server
    [000.555] Connection converted to SSL
    SSLVersion in use: TLSv1_2

    Antworten
  6. @michael: Die Verschlüsselung macht ja iirc das Windows, nicht direkt der Exchange, müsste also passen. Testen kannst du den Versand mit checktls . com .Da siehst du dann auch welche Cipher dein Server für ausgehende Verbindungen nutzt.

    Antworten
  7. Hallo Frank!

    ich habe hier ein System mit SBS 2008 (Server 2008 und Exchange 2007), ich weiß das es nicht mehr unterstützt wird, es gibt aber „TLS 1.2“-Patches laut den von dir verlinkten Seiten. Kriegt man damit TLS 1.2 auf dem SMTP zum laufen?

    LG
    Stefan

    Antworten
  8. Hallo Frank,

    bedeutet das, dass MS alle Betreiber von mailservern „zwingt“ auf TLS 1.2 zu gehen (sofern nicht schon implementiert), sonst können keine Mails mehr an Office 365 Nutzer zugestellt werden?

    Grüße
    Martin

    Antworten

Schreibe einen Kommentar