TLS/SSL für einzelne (nicht alle) Partner-Systeme erzwingen

1. offizieller Beitrag

    Hallo alle.


    Wir möchten, dass unser Exchange-2016 Server mit einem (!) bestimmten anderen Exchange-2016 Server (Datenverbindung über das Internet) nur und ausschließlich verschlüsselt kommuniziert, sollte also der erwähnte andere Server TLS/SSL nicht anbieten soll die Verbindung bzw. das Versenden der E-Mails abgelehnt werden.


    Das soll aber NUR DIESEN EINEN Server betreffen, für alle anderen Systeme soll das "opportunistic TLS" (also bei Nichtverfügbarkeit Rückfall auf unverschlüsselt) weiterhin in Kraft bleiben.


    Ist das umsetzbar? Das uns beratende Systemhaus sagt, dass wäre nicht möglich - zwar könne man einen zweiten Connector mit "forced TLS" und höherer Priorisierung implementieren aber der würde dann jene E-Mails, die er ggf. nicht per TLS versenden kann, an den Connector mit geringerer Priorisierung und "opportunistic TLS" weiterreichen und somit würde dann doch unverschlüsselt gesendet. Es fällt mir schwer, das zu akzeptieren...


    Für sachdienliche Hinweise wäre ich dankbar.


    Gruß - Matthias

    • Offizieller Beitrag

    Hi,


    du kannst dir ja die Transport Config anschauen und mal mit Mutal TLS "testen".

    https://docs.microsoft.com/en-…rtConfig?view=exchange-ps


    Ich bezweifle aber, dass bei deinem obigen Szenario es einen Fallback geben kann, denn die Mails werden ja direkt geroutet (dazu muß der nicht mal ne andere Prio haben) und damit wäre der Connector immer "closest match". Es sei denn du deaktivierst den SendeConnector, aber dann kann man dir eh nicht helfen. ;)


    HTH

    Norbert

    Robert, Norbert: Danke, das war sehr hilfreich, Zertifikate austauschen ist kein Problem und somit scheint Domain Security der richtige Weg zu sein, das schaue ich mir an.


    Gruß - Matthias