Exchange TLS bei SMTP abschalten
Für den Einsatz von WAN- Optimierern kann es sinnvoll sein, den Einsatz von TLS, also verschlüsseltem SMTP zwischen Microsoft Exchange Servern zu deaktivieren. Allerdings ist das nur auf Microsoft Exchange Servern der Version 2010 möglich. Bei 2007er Servern ist TLS mandatory- lt. Microsoft gibt es hier auch keine Möglichkeit das abzuschalten. Um bereits existierenden Datenverkehr nicht zu beeinträchtigen legt man hierzu einen neuen SMTP Receive Connector in der Exchange Management Console unter dem Punkt "Server Configuration" "Hub Transport" an. Wichtig ist, dass man im Wizard auf der Seite der "Remote Network settings" die Quelladresse, für die dieser Receive-Connector verwendet werden soll, festlegt. Diese Adresse ist die IP-Adresse des sendenden Exchange- Servers am anderen Ende.
Das System arbeitet nach closest match, d.h. dass solche ein expliziter Eintrag mit definierten Quelladressen bevorzugt benutzt wird.
Nach dem Beenden des Wizards müssen nun noch weitere Einstellungen durchgeführt werden.
Zum einen muss, wie beabsichtigt TLS abgeschaltet werden. Der Reiter "Authentication" sollte dann wie folgt aussehen:
Um nun noch festzulegen, dass über diesen Connector auch wirklich nur Mails von Exchange Servern empfangen werden können, sollte man im Reiter "Permission Groups" noch folgendes einstellen:
Die Änderungen müssen selbstverständlich an den Exchange- Servern auf beiden Seiten des WAN- Tunnels durchgeführt werden. Die nächsten beiden Schritte können nur in der Exchange Management Shell durchgeführt werden; ein graphisches Frontend hierfür gibt es nicht.
Set-TransportServer SERVERNAME -UseDowngradedExchangeServerAuth $trueKontrollieren kann man den Erfolg der Änderungen in dem man in einer DOS- Eingabeaufforderung folgendes durchführt: (Eingaben sind fett gedruckt) telnet horst.doma.in 25
Set-ReceiveConnector SERVERNAME\REMOTESERVER -SuppressXAnonymousTls $true
220 horst.doma.in Microsoft ESMTP MAIL Service ready at Tue, 29 May 2012 11:15:52 +0530
EHLO bayreuth.tk
250-horst.doma.in Hello [112.17.6.427]
250-SIZE
250-PIPELINING
250-DSN
250-ENHANCEDSTATUSCODES
250-STARTTLS
250-X-ANONYMOUSTLS
250-AUTH NTLM
250-X-EXPS GSSAPI NTLM
250-8BITMIME
250-BINARYMIME
250-CHUNKING
250-XEXCH50
250 XRDST Wie man an der Ausgabe, konkret an der Zeile "250-STARTTLS" sehen kann erwartet das System nach wie vor TLS. Die Änderung ist bei diesem System also noch nicht durchgeführt. Erhält man allerdings Eine Ausgabe ähnlich der folgende, also ohne die Zeile "250-STARTTLS", so ist die Verschlüsselung deaktiviert. telnet horst.doma.in 25
220 horst.doma.in Microsoft ESMTP MAIL Service ready at Tue, 29 May 2012 11:15:04 +0530
EHLO bayreuth.tk
250-horst.doma.in Hello [112.17.6.425]
250-SIZE 10485760
250-PIPELINING
250-DSN
250-ENHANCEDSTATUSCODES
250-AUTH
250-8BITMIME
250-BINARYMIME
250-CHUNKING
250 XEXCH50 Somit steht also einem Caching der Daten, und somit einer Entlastung der WAN- Verbindung nichts mehr im Weg.