Exchange 2000, 2003: SMTP-over-TLS konfigurieren

01.01.2007 von Martin Kuppinger
In Exchange 2007 gehört die Verschlüsselung des Datenaustauschs zwischen Hub-Servern zum Standardrepertoire. Aber auch die älteren Versionen erlauben es, verschlüsselte Verbindungen zwischen Servern zu verwenden. Transport Layer Security (TLS) ist eine solche Möglichkeit.

Die anhaltende Diskussion über immer weitergehende Überwachungsmaßnahmen zur Terrorismus- und Verbrechensbekämpfung hat nebenbei auch dazu geführt, dass vielen Anwendern vor Augen geführt wurde, wie leicht ihre Daten im Internet von anderen mitgelesen werden können.

Gerade für Unternehmen stellen aber Informationen häufig den entscheidenden Wettbewerbsvorteil dar. Diesen so einfach aus der Hand zu geben, kann sich kaum ein Unternehmen erlauben. Deshalb wird auch im Wirtschaftssektor zunehmend Gebrauch von Verschlüsselungstechnologien gemacht.

Die E-Mail-Übertragung ist im Unternehmensdatenverkehr wohl das schwächste Glied. Das Übertragungsprotokoll SMTP wird traditionell unverschlüsselt in lesbarem Klartext verwendet. Ein einfacher Netzscanner erlaubt das Mitlesen der Nachrichten, gegebenenfalls sogar inklusive der übermittelten Konteninformationen und Kennwörter. Da bei Übermittlungen über das Internet selten planbar ist, über wessen Netze und Rechner die Nachricht transportiert wird, besteht auch keine Kontrollmöglichkeit darüber, wer die Daten theoretisch mitlesen könnte.

Notwendigkeit von Datenverschlüsselung

Unglücklicherweise lässt sich Verschlüsselungstechnologie in Verbindung mit SMTP nicht mit beliebigen Empfängern einsetzen. Der Kommunikationspartner muss bei der Verschlüsselung praktisch immer in irgendeiner Weise mithelfen. Allerdings werden die primär vertraulichen Nachrichten zumeist unternehmensintern oder mit enger verbundenen Partnern ausgetauscht. Mit diesen ist eine Absprache möglich und der Aufbau von verschlüsselten Verbindungen meistens sinnvoll.

Unternehmenseigene Standorte sind häufig enger miteinander verbunden. Für sie ist es oft sinnvoller, gleich eine stehende VPN-Verbindung einzurichten. Eine gesonderte Verschlüsselung der SMTP-Verbindung ist dann nicht mehr notwendig. Wird allerdings im Wesentlichen nur E-Mail ausgetauscht, reicht es, SMTP allein zu verschlüsseln. In Bezug auf Windows und Exchange bedeutet dies in der Regel, dass es sich um zwei getrennte Organisationen handelt, sodass keine Verbindung der Active Directories besteht.

Grundlagen: Verschlüsselte Verbindungen

Die bekannteste Technologie zum Aufbau von verschlüsselten Verbindungen ist Secure Socket Layer (SSL), wie es regelmäßig für sichere Webseiten- Abrufe eingesetzt wird. SSL kann auch in Verbindung mit SMTP eingesetzt werden. Der Nachteil ist, dass dieser Standard über einen anderen TCP-Anschluss läuft und es deshalb zu Problemen mit dazwischen liegenden Firewalls kommen kann. Transport Layer Security arbeitet dagegen auf einer anderen Ebene des Netzwerk-Stacks, ist mit dem Protokoll integriert und arbeitet auf dem gleichen Anschluss.

Um TLS für die Verbindung zweier ausgewählter Exchange-Organisationen zu realisieren, ist die Einrichtung einer neuen IP-Adresse, eines virtuellen SMTP-Servers und -Connectors in den beteiligten Organisationen notwendig. Zusätzlich sind für die Verschlüsselung Zertifikate erforderlich.

Da die Server die Gültigkeit der Zertifikate überprüfen, sollte die ausstellende Zertifizierungsstelle von beiden Bridgehead-Servern erreichbar sein. Die Zertifikate können trotzdem von einem eigenen Zertifikat-Server stammen. Dieser muss aber auch von der Gegenseite erreichbar sein. Einfacher, aber teurer ist die Beschaffung von Zertifikaten eines externen Zertifikatsanbieters wie Verisign oder Thawte.

Zur Verbindung der beiden Organisationen wird ein eigener Connector eingerichtet. Über die Routing-Konfiguration muss dann sichergestellt werden, dass der Nachrichtenaustausch über diesen Connector, und zwar ausschließlich darüber, erfolgt.

Netzwerkkonfiguration

Als erster Schritt muss für die neue dedizierte Verbindung eine eigene IP-Adresse eingerichtet werden, die an einen existierenden Netzwerkadapter gebunden werden kann. Sie dient nur zur Unterscheidung der Verbindungen. Hierdurch lassen sie sich den verschiedenen Connectoren zuordnen. Gehen Sie dazu folgendermaßen vor:

  1. Gehen Sie an den Bridgehead-Server, wo die verschlüsselte Verbindung enden soll.

  2. Öffnen Sie dort das Fenster Netzwerkverbindungen beispielsweise über Startmenü/Einstellungen/Netzverbindungen.

  3. Über einen Rechtsklick auf den gewünschten Adapter öffnen Sie das Kontextmenü.

  4. Wählen Sie Eigenschaften, um den zugehörigen Dialog anzuzeigen.

  5. In der Liste der Treiber und Protokolle wählen Sie Internetprotokoll (TCP/IP) aus und dann Eigenschaften.

  6. In dem neuen Dialog klicken Sie auf Erweitert und wählen im Dialog Erweiterte TCP/IP-Einstellungen die Registerkarte IP-Einstellungen. Dort befindet sich oben die Liste der dem Adapter zugeordneten IP-Adressen.

  7. Über Hinzufügen können Sie eine weitere Adresse hinzufügen (Bild 1). Sie kann aus dem gleichen Subnetz wie die ursprüngliche stammen.

  8. Mit OK übernehmen Sie die Änderungen, dann schließen Sie die Dialoge. Die Adresse ist sofort verfügbar.

Bild 1: Die dedizierte, verschlüsselte Verbindung muss an eine eigene IP-Adresse gebunden sein.

Einrichten eines neuen virtueller SMTP-Servers

Als nächster Schritt muss ein virtueller SMTP-Server eingerichtet werden, der für die verschlüsselten Verbindungen zuständig ist. Vorher muss aber der Standardserver an die ursprüngliche IP-Adresse gebunden werden:

  1. Öffnen Sie den Exchange System-Manager und gegebenenfalls die betreffende administrative Gruppe, falls der System-Manager diese anzeigt.

  2. Wählen Sie dann Server und den Bridgehead-Server, wo der virtuelle Server eingerichtet werden soll.

  3. Unter Protokolle/SMTP/Virtuelle Standard-Server für SMTP rechtsklicken Sie auf das Objekt und wählen Eigenschaften. Der zugehörige Dialog öffnet sich.

  4. Auf der Registerkarte Allgemein wählen Sie die zugeordnete IPAdresse aus (Bild 2). Ändern Sie diese von (Alle nicht zugewiesen) auf die ursprüngliche IP-Adresse des Adapters.

  5. Übernehmen Sie die Änderungen, und schließen Sie die Dialoge. Anschließend kann der virtuelle Server angelegt werden.

Bild 2: Der virtuelle Standard-Server wird der ursprünglichen IP-Adresse zugewiesen.

Anlegen eines virtuellen Servers

  1. Im Exchange System-Manager unter Server/Servername/Protokolle rechtsklicken Sie auf SMTP.

  2. Wählen Sie Neu/Virtueller SMTP-Server und geben Sie einen aussagekräftigen Namen für den neuen Server an, beispielsweise Virtueller TLS-Server.

  3. Im folgenden Dialog (Bild 3) wählen Sie die IP-Adresse aus, an die der virtuelle Server gebunden wird. Wählen Sie hier die vorher neu eingerichtete Adresse, also die, die nicht dem Standardserver zugeordnet ist.

  4. Beenden Sie den Assistenten mit Fertigstellen.

Bild 3: Der virtuelle Server mit Verschlüsselung bekommt die neu eingerichtete IP-Adresse.

Verschlüsselung aktivieren

Danach kann die Verschlüsselung für den neuen virtuellen Server aktiviert werden. Dazu müssen aber noch die Zertifikate importiert werden.

  1. Starten Sie hierzu wiederum den Exchange System-Manager und öffnen Sie erneut den Pfad Administrative Gruppe/Gruppenname/Server/Servername/Protokolle.

  2. Rechtsklicken Sie auf den neuen virtuellen Server und öffnen Sie den Eigenschaften-Dialog.

  3. In der Registerkarte Zugriff klicken Sie unter Sichere Kommunikation auf die Schaltfläche Zertifikat.

  4. Folgen Sie den Anweisungen des Assistenten, um ein Zertifikat zu generieren und zu importieren.

Es ist zu beachten, dass nachdem ein Zertifikat importiert wurde, in der Registerkarte Zugriff unter Sichere Kommunikation die Schaltfläche Kommunikation aktiv geworden ist. Über die dahinter liegenden Dialoge könnte die SSL-Verschlüsselung (und nicht TLS) aktiviert werden.

Aktivierung von TLS

Die Aktivierung von TLS erfolgt ebenfalls über den Eigenschaften-Dialog des virtuellen Servers. In der Registerkarte Zugriff findet sich unter Zugriffskontrolle die Schaltfläche Authentifizierung. Im Dialog Authentifizierung (Bild 4) findet sich das Feld TLS-Verschlüsselung erforderlich, über das TLS für die Verbindungsherstellung verlangt wird.

Bild 4: Für eingehende Verbindungen des virtuellen Servers wird TLS-Verschlüsselung verlangt.

Es gibt noch eine weitere Stelle, an der TLS aktiviert werden kann. Im selben Eigenschaften-Dialog in der Registerkarte Übermittlung/Ausgehende Sicherheit ist ein weiteres Feld TLS aktivieren enthalten. Es bezieht sich auf ausgehende Verbindungen zu allen anderen Servern, während das erste Feld eingehende Verbindungen betrifft.

Es wird empfohlen, den virtuellen Server nur bei den eingehenden Verbindungen zu aktivieren. Ausgehende Verbindungen können über den Connector für TLS-Verschlüsselung vorgesehen werden. Die Einstellung dort betrifft nur das ausgewählte Zielsystem. Sonst besteht immer die Gefahr, dass über diesen virtuellen Server auch Nachrichten mit anderen Systemen ausgetauscht werden und TLS verlangt wird. In diesem Fall würden Nachrichten zurückgeschickt, wenn der andere Server kein TLS beherrscht.

TLS-Connector einrichten

Zum Abschluss muss dann noch ein SMTP-Connector für die gewünschte Verbindung eingerichtet werden:

Bild 5: Dem neuen Connector muss der virtuelle Server als lokaler Bridgehead und der Bridgehead der anderen Seite als Smarthost zugewiesen werden.

  1. Öffnen Sie hierfür wiederum den Exchange System-Manager.

  2. Wählen Sie die Routinggruppe aus, für die die verschlüsselte Verbindung gelten soll.

  3. Rechtsklicken Sie auf Connectors, dann auf Neu/SMTP-Connector.

  4. Vergeben Sie in der Registerkarte Allgemein (Bild 5) einen aussagekräftigen Namen für den Connector.

  5. Aktivieren Sie das Feld Gesamte Mail über diesen Connector an diese Smarthosts weiterleiten. Geben Sie dazu im Feld darunter die IP-Adresse des virtuellen Servers auf der anderen Seite der Verbindung in eckigen Klammern ein.

  6. Fügen Sie zur Liste lokale Bridgehead-Server danach den neu eingerichteten virtuellen TLS-Server hinzu.

  7. In der Registerkarte Adressraum müssen Sie die Domänen der zu verbindenden Organisation eintragen. Klicken Sie hier Hinzufügen und wählen Sie SMTP aus. Im nächsten Dialog tragen Sie die Internet-Domäne(n) der anderen Organisation ein.

  8. Schließlich müssen Sie noch die TLS-Verschlüsselung für die ausgehenden Verbindungen aktivieren. Dies geschieht in der Registerkarte Erweitert. Dort (Bild 6) müssen Sie auf die Schaltfläche Ausgehende Sicherheit klicken.

  9. In dem Dialog Ausgehende Sicherheit aktivieren Sie das Feld TLS_Verschlüsselung und schließen dann die Dialoge mit OK, um die Einstellungen zu speichern.

Bild 6: Für ausgehende Verbindungen wird nur für den Connector TLS-Verschlüsselung verlangt.

Überprüfung der TLS-Verschlüsselung

Nach der Einrichtung des Connectors sollte die TLS-Verschlüsselung zwischen den beiden Organisationen aktiv sein. Um dies zu überprüfen, kann beispielsweise der Netzwerkmonitor verwendet werden.

Es müssen hiermit die an die IP-Adresse des virtuellen TLS-Servers an Anschluss 25 gesendeten Pakete aufgezeichnet werden. Während der Aufzeichnung sollten E-Mails in beide Richtungen versandt werden. In den aufgezeichneten Daten sollte keinerlei lesbare Information aus der E-Mail-Kommunikation enthalten sein.