Grundlegendes zu TLS (Transport Layer Security) in FOPE

Gilt für: Office 365 Enterprise, Live@edu, Forefront Online Protection for Exchange

Letzte Änderung des Themas: 2012-05-02

Mit dem Protokoll TLS (Transport Layer Security) werden Nachrichten verschlüsselt und auf sichere Weise übermittelt, um das Abfangen von Nachrichten und das Spoofing zwischen Mailservern zu verhindern. TLS stellt die Sicherheit von E-Mails mit zwei elementaren Verfahren sicher:

1. Verschlüsseln von Nachrichten: Nachrichten zwischen Mailservern werden mithilfe der Public Key-Infrastruktur (PKI) verschlüsselt. Dies macht es für Hacker schwierig, Nachrichten abzufangen und anzuzeigen.

2. Authentifizieren von Nachrichten: Mithilfe digitaler Zertifikate wird überprüft, ob die Server, die die Nachrichten senden (oder empfangen), tatsächlich die von ihrer ID angegebenen Server sind. Dies trägt dazu bei, Spoofing zu verhindern.

Alle von Forefront Online Protection für Exchange (FOPE) verarbeiteten Nachrichten werden mit TLS verschlüsselt. Zum Sicherstellen des Datenschutzes und der Nachrichtenintegrität versucht der Dienst, Nachrichten mit TLS zu senden/zu empfangen. Wenn die Sende- oder Zielserver jedoch nicht für die Verwendung von TLS konfiguriert sind, wird automatisch ein Rollover zu SMTP ausgeführt.

FOPE-TLS-Verschlüsselung

Wenn TLS mit einem Zertifikat, einschließlich der durch den eigenen Zertifizierungsstellenserver generierten Zertifikate, auf dem Server konfiguriert ist, wird sämtlicher eingehende und ausgehende Datenverkehr zwischen den FOPE-Datencentern und Ihrem Netzwerk mit TLS verschlüsselt. Der FOPE-Dienst unterstützt opportunistische TLS. Dies bedeutet, dass zunächst versucht wird, TLS bereitzustellen, und wenn keine TLS-Verbindung mit dem Zielserver hergestellt werden kann, erfolgt die Zustellung mit regulärem SMTP.

Mailserver können Nachrichten als TLS-verschlüsselte Nachrichten kennzeichnen, jedoch ist dies nicht erforderlich. Wenn eine Nachricht entsprechend gekennzeichnet wurde, wird in der Nachrichtenkopfzeile eine Zeile wie im folgenden Beispiel angezeigt:

"using TLSv1 with cipher EDH-RSA-DES-CBC3-SHA (168/168 bits)"

Im obigen Beispiel ist angegeben, welche Algorithmen und Bitgrößen zum Verschlüsseln der Nachricht verwendet wurden.

Ausgehende Nachrichten und erzwungene TLS

Der FOPE-Dienst ermöglicht Ihnen mithilfe des Abschnitts Aktion des Bereichs Richtlinieneinstellungen das Erstellen von Richtlinienregeln, mit denen TLS erzwingen aktiviert wird. Diese Richtlinienregel erzwingt TLS zwischen dem ausgehenden Mail Transfer Agent (MTA) und dem MTA des Empfängers. Wenn Sie diese Richtlinienregel konfigurieren, werden die erzwungenen TLS-Einschränkungen auf übereinstimmende ausgehende E-Mails angewendet und für die gesamte Domäne erzwungen.

Wenn Sie eine Richtlinienregel erstellen, mit der "TLS erzwingen" aktiviert wird, können Sie opportunistische TLS für nicht angegebene Empfänger aktivieren (unter Zuordnung – Neue Richtlinienregel im Bereich Empfänger). Wenn dieses Kontrollkästchen aktiviert wird, wird die authentifizierte TLS dennoch für den Empfänger erzwungen, der der Regel entspricht. Es können jedoch auch alle anderen Empfänger mithilfe der opportunistischen TLS übertragen werden, wenn bei allen Versuchen zum Erzwingen von TLS Fehler auftreten. Vom FOPE-Dienst wird stets die höchste Verschlüsselungsstufe verwendet, die für die Übertragung der Nachrichten verfügbar ist. Andernfalls wird die nächsthöhere Stufe verwendet. Wenn das Kontrollkästchen Opportunistisches TLS für nicht spezifizierte Empfänger aktivieren deaktiviert ist, werden ausgehende Nachrichten nicht unterschiedlich behandelt. Das bedeutet, dass die authentifizierte TLS für die Zustellung an alle Empfänger der Nachricht erzwungen wird, wobei beliebige Empfänger der Richtlinienfilterregel entsprechen und der E-Mail-Übertragungs-Agent (Mail Transfer Agent, MTA) des Empfängers aufgrund seiner Konfiguration TLS-basierte Verbindungen (einschließlich gültiger öffentlicher Zertifikate) akzeptiert. Wenn einer der Empfänger über einen MTA verfügt, der TLS-Verbindungen nicht unterstützt, wird die Nachricht an diesen Empfänger abgelehnt. Weitere Informationen zu dieser Richtlinienregel und ihren Einstellungen finden Sie unter Grundlegendes zu Richtlinieneinstellungen.

TLS-Zertifikate

Für den FOPE-Dienst ist das standardmäßige X.509-TLS/SSL-Zertifikat erforderlich. Zusammen mit Ihrem Zertifikat muss das aktuelle GTE Cybertrust Root-Zertifikat installiert sein. Zertifikate sollten direkt von einer Zertifizierungsstelle oder von einem autorisierten Zertifikathändler erworben werden. FOPE unterstützt viele gängige Stammzertifizierungsstellen. FOPE unterstützt als Richtlinie nur derzeit gültige Stammzertifizierungsstellen, die Teil des Microsoft-Programms für Stammzertifikate (Microsoft Root Certificate Program) sind. Wenn Sie für FOPE die Verwendung eines digitalen Zertifikats in Betracht ziehen, beziehen Sie von einem Mitglied des Microsoft-Programms für Stammzertifikate ein aktuelles Zertifikat. Wenn Ihre bevorzugte Zertifizierungsstelle nicht aufgeführt ist, finden Sie unter Microsoft Root Certificate Program (möglicherweise in englischer Sprache) Informationen darüber, wie sich die Zertifizierungsstelle für die Teilnahme am Programm bewerben kann.

TLS-Handshake-Fehler

Gelegentlich treten bei FOPE-Kunden TLS-Handshake-Fehler auf. Bei einem TLS-Handshake können aus mehreren Gründen Fehler auftreten. Die häufigsten Szenarien lauten wie folgt:

1. Das für den Handshake verwendete TLS/SSL-Zertifikat ist abgelaufen oder wurde gesperrt.

2. Für Ihren MTA wurde eventuell kein TLS aktiviert. Überprüfen Sie, ob für Ihren MTA TLS aktiviert ist.

3. Die Firewall für die Verbindung wurde möglicherweise nicht für das Zulassen von TLS-Kommunikation über Port 25 konfiguriert.

Zudem bieten die ausführlichen Fehlermeldungen für TLS eine vorzügliche Möglichkeit zur Behebung von ggf. auftretenden Handshake- oder Verbindungsproblemen.

Häufig gestellte Fragen zu TLS

Nachfolgend werden einige der häufigsten Fragen von Kunden des FOPE-Diensts zu TLS beantwortet.

F. Wie rufe ich beim Senden von E-Mails eine TLS-Sitzung auf?

A. Auf Ihrem Mailserver muss der TLS/SSL-Protokollstapel installiert sein (bei den meisten neuen Betriebssystemen standardmäßig installiert), und er muss so eingerichtet sein, dass SMTP-Sitzungen mit TLS initiiert werden. Außerdem muss ein aktuelles Zertifikat installiert sein.

F. Muss ich die Firewall konfigurieren, wenn ich TLS verwende?

A. Die meisten Firewalls sind zum Zulassen von TLS/SSL-Datenverkehr an Port 25 vorkonfiguriert. Wenden Sie sich an den Anbieter Ihrer Firewall, wenn Sie nicht genau wissen, ob dies von Ihrer Firewall unterstützt wird oder ob sie konfiguriert werden muss.

F. Wie kann ich ermitteln, ob ein Mailserver TLS-fähig ist?

A. Es gibt zwei elementare Verfahren, um zu ermitteln, ob ein Server TLS-fähig ist:

1. Senden und Empfangen einer Nachricht von dem Server und anschließendes Überprüfen der Header in der Nachricht. Wenn in den Headern TLS erwähnt wird, ist der Server mit hoher Wahrscheinlichkeit TLS-fähig.

2. Testen des Servers mithilfe einer Verbindung mit Telnet.

Im folgenden Beispiel wird eine Telnet-Sitzung mit FOPE-Datencentern gezeigt, die die STARTTLS-Option enthält. Sie können diesen Test für jeden Mailserver ausführen. Das folgende Beispiel stammt von FOPE-Servern:

CMD: telnet mail.global.frontbridge.com 25

220 mail77-red.bigfish.com ESMTP Postfix EGGS and Butter

CMD: ehlo test

250-mail77-red.bigfish.com

250-PIPELINING

250-SIZE 150000000

250-ETRN

250-STARTTLS

250 8BITMIME

CMD: starttls

220 Ready to start TLS

"220 Ready to start TLS" gibt an, dass der Server zum Herstellen einer TLS-Verbindung bereit ist.