Zum Schutz der SMTP-Kommunikation mit dem Transport Layer Security Protokoll in Exchange Server

Zusammenfassung

Dieser Artikel enthält Informationen zur Verbesserung der Sicherheit der Kommunikation (SMTP = Simple Mail Transfer Protocol) in Microsoft Exchange Server 2003 und Microsoft Exchange 2000 Server mit dem Transport Layer Security (TLS)-Protokoll.

Transport Layer Security (TLS) Protokoll über SMTP bietet eine zertifikatbasierte Authentifizierung und bietet sicheren Datenübertragung mit symmetrischen Schlüsseln. Symmetrische Verschlüsselung (auch bekannt als gemeinsamer geheimer Schlüssel) wird derselbe Schlüssel zum Ver- und Entschlüsseln der Nachricht verwendet. TLS gilt ein Hash-based Message Authentication Code (HMAC). HMAC verwendet einen Hashalgorithmus in Kombination mit einem gemeinsamen geheimen Schlüssel, sicherzustellen, dass die Daten während der Übertragung nicht geändert wurde. Die Daten werden verschlüsselt gemeinsame geheime Schlüssel hinzugefügt. Dadurch wird die Verbesserung der Sicherheit des Hash, da beide Parteien müssen den gleichen gemeinsamen geheimen Schlüssel zu überprüfen, ob die Daten authentisch ist.


Ein x. 509-Zertifikat ist eine digitale Form der Identifikation, die normalerweise von einer Zertifizierungsstelle (CA) ausgestellt und enthält Informationen zur Identifizierung, Gültigkeitsdauer einen öffentlichen Schlüssel, eine Seriennummer und die digitale Signatur des Ausstellers. Schützen Sie Kommunikation, indem Verschlüsselungsgrad des Schlüsselpaares von 40 Bits (Standardwert) auf 128 Bits steigern. Je größer die Anzahl der Bits, desto schwieriger ist das Objekt zu entschlüsseln. Aufgrund von Exportbeschränkungen ist das 128-Bit-Verschlüsselungsfeature nur in den Vereinigten Staaten und Kanada verfügbar.

Weitere Informationen finden Sie auf folgenden Websites von Internet Engineering Task Force (IETF). Siehe: Requests for Comments (RFC):Wenn Sie Ihre virtuellen Server Standardauthentifizierung konfigurieren, wird empfohlen, auch TLS-Verschlüsselung. Ohne Verschlüsselung können Benutzernamen und Kennwörter leicht abgefangen werden. Benutzer zugreifen müssen den gleichen Verschlüsselungsgrad verwenden, die festlegen. Andernfalls werden Fehlermeldungen und ein Unzustellbarkeitsbericht (NDR) generiert.


TLS für ausgehende Nachrichten schützen, aber TLS bietet keinerlei Schutz Datenverkehr, der von Clients an den Server übermittelt wird. Diese Clients insbesondere Microsoft Outlook Web Access (OWA), POP3 und IMAP4. Um dieses Problem zu beheben, können Sie die Verwendung von Secure Sockets (Layer) mit Outlook Web Access aktivieren. Sie können auch empfehlen POP3 oder IMAP4-Benutzer einen Client, der die Verwendung von SSL mit POP3 und IMAP4 (z. B. Microsoft Outlook Express) unterstützt.

Wie Transport Layer Security-Verschlüsselung für Clients erforderlich

TLS-Verschlüsselung für Clients erforderlich, gehen Sie folgendermaßen vor:
  1. Erstellen und Verwalten von Schlüsselzertifikaten Gehen Sie hierzu folgendermaßen vor:
    1. Installieren Sie ein x. 509-Zertifikat auf dem Server. Weitere Informationen über x. 509-Zertifikate, klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:

      319574 wie Sie Zertifikate mit virtuellen Servern in Exchange 2000 Server

    2. Starten Sie Exchange-System-Manager.
    3. Erweitern Sie Exchange Server auf Protokolle, klicken Sie auf SMTP, Maustaste den Virtuellen SMTP-Server, und klicken Sie auf Eigenschaften.
    4. Klicken Sie auf die Registerkarte Zugriff , und klicken Sie auf Zertifikat , um neue Schlüsselzertifikate einzurichten und Schlüsselzertifikate verwalten, die für den virtuellen SMTP-Server installiert sind.
  2. TLS-Verschlüsselungsstufen für den Server festgelegt. Gehen Sie hierzu folgendermaßen vor:
    1. Starten Sie Exchange-System-Manager.
    2. Maustaste auf Virtuellen SMTP-Server, und klicken Sie dann auf Eigenschaften.
    3. Klicken Sie auf die Registerkarte Zugriff , und klicken Sie dann auf Authentifizierung.
    4. Aktivieren Sie das Kontrollkästchen Standardauthentifizierung und aktivieren Sie das Kontrollkästchen TLS-Verschlüsselung erforderlich .

Aktivieren der Verschlüsselung von Transport Layer Security für eine bestimmte Remotedomäne in einer Exchange-Organisation

Um TLS-Verschlüsselung für eine bestimmte Remotedomäne in Exchange Server zu aktivieren, gehen Sie folgendermaßen vor:
  1. Installieren Sie ein x. 509-Zertifikat auf dem Server. Weitere Informationen über x. 509-Zertifikate, klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:

    319574 wie Sie Zertifikate mit virtuellen Servern in Exchange 2000 Server

  2. Erstellen eines neuen SMTP-Connectors. Finden Sie weitere Informationen zum Erstellen eines neuen SMTP-Connectors die folgenden Artikelnummer der Microsoft Knowledge Base:

    314961 wie installieren und Konfigurieren von SMTP-Connectors in Exchange 2000 Server

  3. Zum Aktivieren der TLS-Verschlüsselung mit der rechten Maustaste des SMTP-Connectors und klicken Sie dann auf Eigenschaften. Klicken Sie auf die Registerkarte Erweitert , klicken Sie auf Ausgehende Sicherheit, und aktivieren Sie das Kontrollkästchen TLS-Verschlüsselung .
Hinweis Wenn die Remotedomäne keine TLS-Verschlüsselung unterstützt, werden alle Nachrichten zurückgegeben und ein Unzustellbarkeitsbericht generiert.
Klicken Sie für weitere Informationen auf die folgende Artikelnummer, um den Artikel in der Microsoft Knowledge Base anzuzeigen:

329061 Exchange Server kann nicht mit nicht-TLS Domänen kommunizieren.

Aktivieren der Verschlüsselung von Transport Layer Security für alle ausgehenden SMTP-Verbindungen in Exchange Server

Um TLS-Verschlüsselung für alle ausgehenden SMTP-Verbindungen zu aktivieren, gehen Sie folgendermaßen vor:
  1. Installieren Sie ein x. 509-Zertifikat auf dem Server. Weitere Informationen über x. 509-Zertifikate, klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:

    319574 wie Sie Zertifikate mit virtuellen Servern in Exchange 2000 Server

  2. Starten Sie Exchange-System-Manager.
  3. Maustaste auf Virtuellen SMTP-Server, und klicken Sie dann auf Eigenschaften.
  4. Klicken Sie auf der Registerkarte Lieferung des virtuellen SMTP-Server auf Ausgehende Sicherheit, und aktivieren Sie das Kontrollkästchen TLS-Verschlüsselung .

Referenzen

Klicken Sie für weitere Informationen auf die folgenden Artikelnummern, um die betreffenden Artikel in der Microsoft Knowledge Base anzuzeigen:

319278 Internet Message Access Protocol secure Client auf Exchange 2000

282835 verschlüsselte e-Mail-Nachrichten werden erfolgreich an nicht vertrauenswürdige Empfänger jedoch keine Warnung bzw. das Ereignis angezeigt

823019 wie sichere SMTP-Client-Nachrichtenübermittlung in Exchange 2003

Eigenschaften

Artikelnummer: 829721 – Letzte Überarbeitung: 16.01.2017 – Revision: 1

Feedback