Exchange Server und TLS 1.2

Auf dem Exchange Team Blog sind drei ausführliche Artikel zu Exchange Server und TLS 1.2 veröffentlicht worden. Die Artikel sind nicht nur sehr lesenswert, sondern haben auch einen wichtigen Hintergrund:

Ab Oktober 2018 setzt Office 365 TLS 1.2 voraus und akzeptiert keine Mails von Servern die nur TLS 1.0 oder TLS 1.1 unterstützen.

Im Klartext heißt dies, wenn euer Exchange Server Mails an Office 365 Empfänger zustellen will und kein TLS 1.2 unterstützt, werden die Mails den Empfänger ab Oktober 2018 nicht erreichen. Gleiches gilt natürlich auch für Smarthosts und Relays die Mails an Office 365 zustellen möchten.

Soweit bekannt, betrifft die Änderung ab Oktober den Weg der Mails zu Office 365. Für Mails von Office 365 zu Empfängern außerhalb von Office 365 gilt weiterhin Opportunistic TLS. Wenn der empfangene Mail Server kein TLS unterstützt, kann die Mail also auch ohne Transportverschlüsselung von Office 365 gesendet werden.

Vielleicht kann die kleine Grafik es besser erläutern:

Exchange Server und TLS 1.2

Nähere Informationen gibt es in den drei Artikel auf dem Exchange Team Blog:

In den Artikel wird auch beschreiben welche Einstellungen für Windows Server vorgenommen werden müssen, damit Exchange TLS 1.2 verwenden kann. Gleiches gilt wie auch schon erwähnt für vorgelagerte SPAM-Filter, Smarthosts und Relays die Mails an Office 365 zustellen. Für diese muss ebenfalls sichergestellt sein, dass sie TLS 1.2 unterstützen und verwenden.

9 Replies to “Exchange Server und TLS 1.2”

  1. Hallo Frank,

    bedeutet das, dass MS alle Betreiber von mailservern „zwingt“ auf TLS 1.2 zu gehen (sofern nicht schon implementiert), sonst können keine Mails mehr an Office 365 Nutzer zugestellt werden?

    Grüße
    Martin

  2. Hallo Frank!

    ich habe hier ein System mit SBS 2008 (Server 2008 und Exchange 2007), ich weiß das es nicht mehr unterstützt wird, es gibt aber „TLS 1.2“-Patches laut den von dir verlinkten Seiten. Kriegt man damit TLS 1.2 auf dem SMTP zum laufen?

    LG
    Stefan

  3. Muss man überhaupt etwas tun, wenn man Exchange 2013 CU19 auf Server 2012R2 betreibt ?

  4. @michael: Die Verschlüsselung macht ja iirc das Windows, nicht direkt der Exchange, müsste also passen. Testen kannst du den Versand mit checktls . com .Da siehst du dann auch welche Cipher dein Server für ausgehende Verbindungen nutzt.

  5. Hi,

    und wie immer, man kann auch einfach PLAIN einliefern, solange es sich nicht um die Hybrid Server handelt.

    Gruß

  6. https://www.checktls.com/TestReceiver

    dieser Test sollte schon Aufschluss darüber geben, welche Version im Einsatz auf dem Relay/Smarthost ist

    [000.246] –> STARTTLS
    [000.330] <– 220 2.0.0 Ready to start TLS
    [000.330] STARTTLS command works on this server
    [000.555] Connection converted to SSL
    SSLVersion in use: TLSv1_2

  7. Ps. Habe es mit SBS2008 getestet, es lässt sich TLS 1.2 im OWA zb aktivieren, im SMTP jedoch nicht. Checktls sagt TLSv1. Tja, dann halt übern Smarthost.

  8. Hallo Frank,

    wenn ich auf einem Server 2016 mit Exchange 2016 CU9 wie im Artikel Exchange 2016 Installation absichern (Hardening) beschrieben die TLS1.0 abschalte, dann kann mein Connector keine Verbindung zum Mailserver aufbauen.
    Der Server (Postfix unter Debian) unterstützt bereits TLS1.2, aber es kann keine Verbindung aufgebaut werden (Fehler 608).
    Ich habe dann wieder TLS1.0 aktiviert und das abholen der Emails startet wieder.
    Bist Du bei Deinen Versuchen auch über solche Probleme gestolpert?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.