Schlagwort-Archive: Exchange 2007

Untersuchung zur Sicherheit der Over-the-air-Erzeugung von Master Encryption Keys zwischen BlackBerry-Geräten und dem BlackBerry Enterprise Server

Im aktuellen Newsletter (der sehr zu empfehlen ist) von ERNW wird das Thema over-the-air-Erzeugung von Master Encryption keys zwischen Blackberry Server und Handheld analysiert. Der Artikel geht dabei sehr detailiert auf die Funktionsweise und die verwendeten Mechanismen zum sicheren Austausch des Schlüsselmaterials ein. Das Fazit der Bewertung fällt dabei „pro“ RIM aus:

(…) Die Erzeugung von Master Encryption Keys zur Inbetriebnahme von BlackBerry-Geräten und für das automatische Update von Master Encryption Keys zwischen BlackBerry-Geräten und dem BlackBerry Enterprise Server (BES) wird aufgrund der vorliegenden Untersuchung als sicher im Sinne aktueller Sicherheitsstandards bewertet. (…)

Neben dem reinen Austausch des Schlüsselmaterials gibt der Artikel auch weitere Hinweise wie die Policy des BES zu konfigurieren ist um einen sicheren Betrieb sicherstellen  zu können:

  • aktivieren der „Content Protection“ um die auf dem BlackBerry gespeicherten Daten (Schlüssel) zu schützen
  • setzen der Policy „Content Protection Strength IT-Policy“ auf „stronger“ um einen 283-bit langen ECC-Schlüssel zu erzwingen
  • aktivieren des Passwortschutzes mit der Policy „Password Required IT-Policy“ (sonst macht die Content Protection wenig Sinn 😉 )
  • setzen der „Minimum Password Length IT-Policy“ auf einen sicheren Wert – der Artikel empfiehlt hier zwölf Zeichen – dies dürfte jedoch in wenigen Umgebungen bei den Benutzern Zuspruch finden 😉

Zusätzlich zu dem Artikel des ERNW lege ich jedem auch noch die Untersuchungen des Frauenhofer Institutes ans Herz. Diese Untersuchung deckt alle Teile mit Ausnahme der Over-the-air-aktivierung ab und sollte daher als Basis jeder guten BES Konfiguration verwendet werden.

Frauenhofer SIT 2006

Frauenhofer SIT 2008 (deutlich hilfreicher als das 2006er Dokument)

Exchange 2007 Limits ändern

Nachdem mir heute ein Bekannter eine Mail (13MB) nicht schicken konnt da mein Exchange diese wegen der Größe der Nachricht nicht angenommen hat, habe ich mir mal angeschaut was der Exchange hier an defaults eingestellt hat. Dabei stellte ich fest, dass die Limit tatsächlich etwas klein geraten sind:

  • Exchange 2007 RTM: unlimited senden und empfangen
  • Exchange 2007 SP1: 10 MB senden und empfangen.

Man kann die Limit auf seinem eigenen Exchange mit folgendem Befehl auf der Exchange Konsole abfragen:

 Get-TransportConfig

Das Resultat wird dabei vermutlich so aussehen:

ClearCategories                : True
DSNConversionMode              : UseExchangeDSNs
GenerateCopyOfDSNFor           : {5.4.8, 5.4.6, 5.4.4, 5.2.4, 5.2.0, 5.1.4}
InternalSMTPServers            : {}
JournalingReportNdrTo          : <>
MaxDumpsterSizePerStorageGroup : 18MB
MaxDumpsterTime                : 7.00:00:00
MaxReceiveSize                 : 100MB
MaxRecipientEnvelopeLimit      : 5000
MaxSendSize                    : unlimited
TLSReceiveDomainSecureList     : {}
TLSSendDomainSecureList        : {}
VerifySecureSubmitEnabled      : False
VoicemailJournalingEnabled     : True
WritingBrandingInDSNEnabled    : True
Xexch50Enabled                 : True

Will man nun das Limit für das Senden und Empfangen ändern (geht nur getrennt!) verwendet man dafür wieder die Exchange Konsole mit folgenden cmdlets:

Set-TransportConfig -MaxReceiveSize 20MB
Set-TransportConfig -MaxSendSize unlimited

Meine beiden Beispiele stellen konfigurieren den Exchange nun so, dass max. 20 MB empfangen werden können und beliebig große Mails versendet werden können.
Alle weiteren Befehle (man kann die Einstellungen auch deutlich weiter herunger brechen) findet man auf den TechNet Seiten.

Exchange 2007: Setup cannot detect an SMTP or Send connector with an address space of ‚*‘. Mail flow to the Internet may not work properly.

Hi,

bei der Installation des Exchange 2007 erhält man eine Fehlermeldung die zwar nicht zum Abbruch der Installation führt jedoch durch das gelbe Ausrufezeichen dafür sorgt, dass man anfangt nach den Ursachen und viel wichtiger Lösungen zu suchen…

image-thumb-6008023

Die Lösung ist dabei ganz einfach – die Meldung kann und muß ignoriert werden, da der Fehler erst nach der Installation des Servers behoben werden kann. Hierzu legt man einen neuen Send Connector an der die Adresse “ * “ und den Scope „Internet“ verwendet.

Einen KB Artikel gibts dazu natürlich auch noch: http://support.microsoft.com/kb/556055

Exchange 2007 update dauert ewig

Nachdem ich gerade eine halbe Stunde zugeschaut habe wie mein Exchange 2007 bei fast 100 % eines updates „gearbeitet“ hat, habe ich mal etwas danach gegoogelt und dabei die Erklärung und die Lösung des Problems gefunden.

Daniel Melanchthon beschreibt in einem aktuellen Eintrag in seinem Blog genau dieses Problem. Die Lösung dafür ist ebenso einfach wie unglaublich. Man muß einfach nur im Internet Explorer die Option „Check for publisher’s certificate revocation“ deaktivieren. Ist diese aktiviert und ist der Server hinter einer sauber konfigurierten Firewall, dann versucht der Server bei jedem kleinen Stück code dass er einspielt die revocation list von microsoft abzurufen. Diese ist natürlich nicht erreichbar – das merkt der Server aber erst nach einem Timeout von 10 – 20 sec und da der Server das für jedes stückchen code neu versucht dauert das Update deutlich länger als normal.

Details im dazu im Blog von Daniel Melanchthon.

Exchange 2007 Edge Transport sendet nicht mehr

Vor einigen Tagen hat mein Exchange auf ein Mal angefangen keine Mails mehr zu senden. Empfangen war kein Problem. Nach etwas suchen ist mir aufgefallen, dass mein send connector scheinbar nicht mehr auf den Edge Transport Server übertragen wird. Alle Verbindungstests verliefen erfolgreich und der send connector war auch scheinbar die einzige Einstellung, die nicht angekommen ist.

Nach etwas suchen in den send connector Einstellungen auf dem Hub Transport Server bin ich über das Tab „Source Server“ gestolpert.

ht_et_setting-300x167-9762576

Nachdem ich diesen auf meinen Edge Transport Server umgestellt hatte konnte ich wieder Mails senden. Keine Ahnung warum das von jetzt auf gleich nicht mehr gegangen ist – aber diese Änderung scheint die Lösung zu sein 😀