Auf dem Exchange Team Blog sind drei ausführliche Artikel zu Exchange Server und TLS 1.2 veröffentlicht worden. Die Artikel sind nicht nur sehr lesenswert, sondern haben auch einen wichtigen Hintergrund:
Ab Oktober 2018 setzt Office 365 TLS 1.2 voraus und akzeptiert keine Mails von Servern die nur TLS 1.0 oder TLS 1.1 unterstützen.
Im Klartext heißt dies, wenn euer Exchange Server Mails an Office 365 Empfänger zustellen will und kein TLS 1.2 unterstützt, werden die Mails den Empfänger ab Oktober 2018 nicht erreichen. Gleiches gilt natürlich auch für Smarthosts und Relays die Mails an Office 365 zustellen möchten.
Soweit bekannt, betrifft die Änderung ab Oktober den Weg der Mails zu Office 365. Für Mails von Office 365 zu Empfängern außerhalb von Office 365 gilt weiterhin Opportunistic TLS. Wenn der empfangene Mail Server kein TLS unterstützt, kann die Mail also auch ohne Transportverschlüsselung von Office 365 gesendet werden.
Vielleicht kann die kleine Grafik es besser erläutern:
Nähere Informationen gibt es in den drei Artikel auf dem Exchange Team Blog:
- Exchange Server TLS guidance, part 1: Getting Ready for TLS 1.2
- Exchange Server TLS guidance Part 2: Enabling TLS 1.2 and Identifying Clients Not Using It
- Exchange Server TLS guidance Part 3: Turning Off TLS 1.0/1.1
In den Artikel wird auch beschreiben welche Einstellungen für Windows Server vorgenommen werden müssen, damit Exchange TLS 1.2 verwenden kann. Gleiches gilt wie auch schon erwähnt für vorgelagerte SPAM-Filter, Smarthosts und Relays die Mails an Office 365 zustellen. Für diese muss ebenfalls sichergestellt sein, dass sie TLS 1.2 unterstützen und verwenden.