Autor Thema: Wie unterstützt ihr TLS?  (Gelesen 5498 mal)

Offline schroederk

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.924
  • Geschlecht: Männlich
  • Ich liebe dieses Forum!
Wie unterstützt ihr TLS?
« am: 16.06.16 - 14:53:37 »
Hallo,

nachdem uns eine unserer Banken angeschrieben hat, dass sie mit uns nur noch über TLS kommunizieren wird, sahen wir uns erstmalig gezwungen, auf unserem Domino überhaupt TLS zu aktivieren.

D.h im Configuration Document unter Router/SMTP -> Advanced -> Commands and Extensions haben wir "SSL negotiated over TCP/IP port" aktiviert und im Server Document unter Ports -> Internet Ports -> Mail haben wir SMTP Inbound eingeschaltet (SSL port number 465).
Outbound haben wir weiterhin deaktiviert.
In der Notes.ini ist der folgende Eintrag gesetzt: ROUTERFALLBACKNONTLS=1

Jetzt fallen mir aber sehr viele Einträge im Log des Servers auf:
TLS/SSL connection xx.xx.xx.xx(21820) -> xx.xx.xx.xx(25) failed with rejected SSLv2 record

Versuchen die tatsächlich zwar verschlüsselt zu senden, aber mit diesem Steinzeit-Protokoll von vor 20 Jahren oder mehr?
Wieso funktionierte vorher ein Fallback auf unverschlüsselt, als TLS nicht enabled war, aber jetzt kein Fallback mehr?
Muss ich jetzt alle anschreiben, sie mögen doch bitte in diesem Jahrhundert ankommen und wenigstens den minimalen Standard unterstützen
oder bin ich da vielleicht doch total auf dem Holzweg?

Ich wäre ja gerne weniger egoistisch, aber was hab ich davon?

Offline shiraz

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 648
  • Geschlecht: Männlich
Re: Wie unterstützt ihr TLS?
« Antwort #1 am: 16.06.16 - 15:03:11 »
IBM hat auch lange gebraucht um diese möglich zu machen .....
Gruß
Christian

Offline schroederk

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.924
  • Geschlecht: Männlich
  • Ich liebe dieses Forum!
Re: Wie unterstützt ihr TLS?
« Antwort #2 am: 16.06.16 - 15:14:26 »
Also heißt das, ich musss die alle anschreiben?

Haltet es ihr für sinnvoll, wenn ich dem Domino auch SSLv2 erlaube?

Blöd, dass bei deaktiviertem TLS der Fallback auf unverschlüsselt funktioniert, aber nicht wenn es bei TLS ein Problem gibt (welcher Natur auch immer).
Ich wäre ja gerne weniger egoistisch, aber was hab ich davon?

Offline ra.t

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 537
  • Geschlecht: Männlich
Re: Wie unterstützt ihr TLS?
« Antwort #3 am: 16.06.16 - 17:49:41 »
Hallo...,
so eine Anforderung habe ich auch auf meinem Tisch.

Mustest du ein SSL-Zertifikat vorher auf dem Domino eintragen, auch wenn nur verschlüsselt empfangen werden soll ? Oder funktioniert das auch ohne (von den Fehlermeldungen des SMTP Task mal abgesehen)

Mfg
Ralf
mfg
Ralf

Offline schroederk

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.924
  • Geschlecht: Männlich
  • Ich liebe dieses Forum!
Re: Wie unterstützt ihr TLS?
« Antwort #4 am: 17.06.16 - 11:31:34 »
Da der Server ohnehin schon ein SSL-Zertifikat verpasst bekommen hatte (für den Webaccess einzelner User), musste ich mir keine Gedanken machen.
Ich bin der Technote von IBM gefolgt: http://www-01.ibm.com/support/docview.wss?uid=swg21108352
Ich wäre ja gerne weniger egoistisch, aber was hab ich davon?

Offline Ralf_M_Petter

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.879
  • Geschlecht: Männlich
  • Jeder ist seines eigenen Glückes Schmied
    • Ralf's Blog
Re: Wie unterstützt ihr TLS?
« Antwort #5 am: 17.06.16 - 11:49:07 »
Eventuell hilft der Notes.ini Eintrag SSL_ENABLE_INSECURE_SSLV2_HELLO =1. Dieser sollte helfen, dass Clients die beim Aufbau der Kommunikation kein TLS anbieten noch das alte unsichere Protokoll verwenden. Es muss halt dann klar sein, dass die Kommunikation dann nicht 100% sicher ist bei Verbindungen die so hergestellt werden. Aber besser als unverschlüsselt wahrscheinlich alle mal.
 
Jede Menge Tipps und Tricks zu IT Themen findet Ihr auf meinem Blog  Everything about IT  Eine wahre Schatzkiste sind aber sicher die Beiträge zu meinem Lieblingsthema Tipps und Tricks zu IBM Notes/Domino Schaut doch einfach mal rein.

Offline hallo.dirk

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 2.166
  • Geschlecht: Männlich
  • Admin forever ;)
Re: Wie unterstützt ihr TLS?
« Antwort #6 am: 22.06.16 - 11:53:32 »
ich habe es nicht an, bei ca 50.000/Tag erfolgreichen eingehenden TLS Verbindungen und aktuell 3 Problemfällen sehe ich dazu auch keine Veranlassungen.

2 von den 3 Fällen benutzen das Programm Mail Marshal, einer hat das Problem gelöst (einen Bak ::)), indem die SSL Libraries des Programms aktualisiert wurden
« Letzte Änderung: 22.06.16 - 13:20:47 von hallo.dirk »
Gruss
Dirk

------------------------------------------------------------
Sametime
Traveler
IQ Suite von Group Technologies
Marvel Client von Panagenda
Blackberry Enterprise
FIRM von HASDL 
BELOS von Bechtle
mobile.profiler (MDM) und traveler.rules von Midpoints

Offline schroederk

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.924
  • Geschlecht: Männlich
  • Ich liebe dieses Forum!
Re: Wie unterstützt ihr TLS?
« Antwort #7 am: 22.06.16 - 14:05:59 »
Ich habe letztlich die Zeile eingebaut, da wir doch so ca. alle 10-15 Minuten mindestens 1 Fall hatten, wo die Mail aufgrund SSLv2 abgelehnt wurde.
Und unser Einkauf wurde auch langsam nervös, da sie nicht erst alle Lieferanten anschreiben und darauf warten wollten, dass diese etwas ändern (100%ige Begründung der Lieferanten: Es läuft doch bei allen anderen, also müsst ihr das Problem lösen)
Ich wäre ja gerne weniger egoistisch, aber was hab ich davon?

 

Impressum Atnotes.de  -  Powered by Syslords Solutions  -  Datenschutz