blog.icewolf.ch

Let's talk about IT!
posts - 1924, comments - 295, trackbacks - 0

My Links

Archives

Post Categories

icewolf

Sending TLS secured Emails with Exchange

Hallo zusammen,

Ich habe mich da mal ein bisschen genauer mit der SMTP und TLS (Transport Layer Security) beschäftigt. Dieser Artikel gibt einen kleinen Überblick dazu.

Wie kann ich überprüfen ob ein Mailserver TLS ünterstützt.

Telnet 172.21.175.20 25
ehlo clientname
 
Steht dann in dieser Liste "STARTTLS" unterstützt der Remoteserver TLS gesicherte Emails. http://de.wikipedia.org/wiki/STARTTLS
 

 

 

Wie konfiguriere ich das auf dem Exchange 2007 Send-Connector?

Get-SendConnector "Outbound SMTP" | fl

Wenn IgnoreSTARTTLS auf False gesetzt ist versucht Exchange 2007 (standardsetting) ein Outbound SMTP Mail per TLS zu versenden, wenn dies der empfangende Mailserver unterstützt.

http://technet.microsoft.com/de-de/library/aa998294(EXCHG.80).aspx

So, nun intressiert ja wie denn das wirklich aussieht. Also mal auf dem ReceiveConnector das Logging einschalten.

Set-ReceiveConnector "ConnectorName" -ProtocolLoggingLevel verbose

Oder man stellt das über das GUI ein.

Die Logfiles liegen dann hier: C:\Program Files\Microsoft\Exchange Server\TransportRoles\Logs\ProtocolLog\SmtpReceive

So sieht das dann im SMTP Logfile aus (Achtung Logfile stark gekürzt und einige Spalten gelöscht). Man sieht hier prima, wie das STARTTLS Kommando abgesetzt wird und wie anschliessend das Zertifikat gesendet wird. Danach wird das Email über TLS übermittelt.

2010-01-27T16:19:06.844Z,0,+,,
2010-01-27T16:19:06.844Z,1,*,SMTPSubmit SMTPAcceptAnySender SMTPAcceptAuthoritativeDomainSender AcceptRoutingHeaders,Set Session Permissions
2010-01-27T16:19:06.844Z,2,>,"220 mail.icewolf.ch Microsoft ESMTP MAIL Service ready at Wed, 27 Jan 2010 17:19:06 +0100",
2010-01-27T16:19:06.878Z,3,<,EHLO smtp.valar.srg.ch,
2010-01-27T16:19:06.878Z,4,>,250-mail.icewolf.ch Hello [146.159.6.69],
2010-01-27T16:19:06.878Z,5,>,250-SIZE,
2010-01-27T16:19:06.878Z,6,>,250-PIPELINING,
2010-01-27T16:19:06.878Z,7,>,250-DSN,
2010-01-27T16:19:06.878Z,8,>,250-ENHANCEDSTATUSCODES,
2010-01-27T16:19:06.878Z,9,>,250-STARTTLS,
2010-01-27T16:19:06.878Z,10,>,250-AUTH NTLM,
2010-01-27T16:19:06.878Z,11,>,250-8BITMIME,
2010-01-27T16:19:06.878Z,12,>,250-BINARYMIME,
2010-01-27T16:19:06.878Z,13,>,250 CHUNKING,
2010-01-27T16:19:06.912Z,14,<,STARTTLS,
2010-01-27T16:19:06.912Z,15,>,220 2.0.0 SMTP server ready,
2010-01-27T16:19:06.912Z,16,*,,Sending certificate
2010-01-27T16:19:06.912Z,17,*,"CN=mail.icewolf.ch, OU=IT, O=Icewolf, DC=ch, DC=icewolf, DC=mail",Certificate subject
2010-01-27T16:19:06.912Z,18,*,"CN=Icewolf Root CA, DC=corp, DC=icewolf, DC=ch",Certificate issuer name
2010-01-27T16:19:06.912Z,19,*,183654E600000000000C,Certificate serial number
2010-01-27T16:19:06.912Z,20,*,A4C1D20026BC11903DF8F1CD02AF2F4382D55E69,Certificate thumbprint
2010-01-27T16:19:06.912Z,21,*,mail.icewolf.ch;ICESRV02;icesrv02.corp.icewolf.ch;autodiscover.icewolf.ch,Certificate alternate names
2010-01-27T16:19:07.042Z,22,<,EHLO smtp.valar.srg.ch,
2010-01-27T16:19:07.042Z,23,>,250-mail.icewolf.ch Hello [146.159.6.69],
2010-01-27T16:19:07.042Z,24,>,250-SIZE,
2010-01-27T16:19:07.042Z,25,>,250-PIPELINING,
2010-01-27T16:19:07.042Z,26,>,250-DSN,
2010-01-27T16:19:07.042Z,27,>,250-ENHANCEDSTATUSCODES,
2010-01-27T16:19:07.042Z,28,>,250-AUTH NTLM LOGIN,
2010-01-27T16:19:07.042Z,29,>,250-8BITMIME,
2010-01-27T16:19:07.042Z,30,>,250-BINARYMIME,
2010-01-27T16:19:07.042Z,31,>,250 CHUNKING,
2010-01-27T16:19:07.078Z,32,<,MAIL FROM:<andres.bohren@srg.ch> SIZE=199,
2010-01-27T16:19:07.078Z,33,*,08CC6D80E44333BD;2010-01-27T16:19:06.844Z;1,receiving message
2010-01-27T16:19:07.078Z,34,>,250 2.1.0 Sender OK,
2010-01-27T16:19:07.112Z,35,<,RCPT TO:<a.bohren@icewolf.ch>,
2010-01-27T16:19:07.112Z,36,>,250 2.1.5 Recipient OK,
2010-01-27T16:19:07.150Z,37,<,DATA,
2010-01-27T16:19:07.150Z,38,>,354 Start mail input; end with <CRLF>.<CRLF>,
2010-01-27T16:19:07.596Z,39,>,250 2.6.0 <86jan3$3o4@thingol.gd.ad.prod> Queued mail for delivery,

Grüsse
Andres Bohren


Print | posted on Thursday, January 28, 2010 11:20 PM | Filed Under [ Security Exchange ]

Powered by:
Powered By Subtext Powered By ASP.NET