Hallo.
Ich habe am Freitag Euer Powershell-Skript zur Härtung eines Windows-Servers (https://www.nospamproxy.de/de/bsz/) auf unserer GW-Rolle eingesetzt.
Musste anschließend ein Ticket beim Support eröffnen, in dem schon ein wenig geklärt worden ist. Es sind aber noch Fragen offen. Ich möchte hier nun auch nichts parallel aufmachen, will aber trotzdem eine Rückfrage zur Aktivierung von "allowOnlySecureAlgorithmsAccordingToBsiAndSogis" in der "Gateway role.config" fragen. Ist vielleicht für andere auch interessant. Gefunden habe ich in der Doku und im Forum nichts dazu.
Mit SOGIS ist vermutlich https://www.sogis.eu/ gemeint. BSI ist klar.
Nach der Ausführung des Skriptes musste ich feststellen, dass einige Mails direkt permanent abgelehnt worden sind. Es gab hier entweder die Meldung "Der Verschlüsselungsalgorithmus ist nicht erlaubt." oder "Der Signaturalgorithmus ist nicht erlaubt."
Ich hatte das mit dem Aktivieren der Funktion "allowOnlySecureAlgorithmsAccordingToBsiAndSogis" erst gar nicht mitbekommen und es rein auf die Einstellungen davor im Skript bezogen. Daher hat die Fehlereingrenzung bei mir ein wenig gedauert.
Support hat dann auch bestätigt, dass ich die Zeile aus der Config entfernen soll und den Dienst neu starte. Damit wurden die betroffenen Mails dann auch wieder angenommen.
Da es sich bei 3 auf jeden Fall betroffenen Domänen schon um etwas größere "Player" im Gesundheitsmarkt dreht, würde ich denen gerne mitteilen, dass es da ein Problem mit den dort genutzten Algorithmen für Verschlüsselung und Signierung gibt. Ich weiß aber nicht so wirklich, was ich alles mitteilen sollte. Würde da auch gerne offizielle Infos vom BSI mit dazupacken.
Ist im NSP so erkennbar, welcher veraltete Algorithmus dort genutzt wird? oder muss ich da ein erweitertes Logging aktivieren?
Bin auf Rückmeldungen gespannt. Hab so seit Freitag schon wieder ein bisschen was neues dazugelernt.
Ich habe am Freitag Euer Powershell-Skript zur Härtung eines Windows-Servers (https://www.nospamproxy.de/de/bsz/) auf unserer GW-Rolle eingesetzt.
Musste anschließend ein Ticket beim Support eröffnen, in dem schon ein wenig geklärt worden ist. Es sind aber noch Fragen offen. Ich möchte hier nun auch nichts parallel aufmachen, will aber trotzdem eine Rückfrage zur Aktivierung von "allowOnlySecureAlgorithmsAccordingToBsiAndSogis" in der "Gateway role.config" fragen. Ist vielleicht für andere auch interessant. Gefunden habe ich in der Doku und im Forum nichts dazu.
Mit SOGIS ist vermutlich https://www.sogis.eu/ gemeint. BSI ist klar.
Nach der Ausführung des Skriptes musste ich feststellen, dass einige Mails direkt permanent abgelehnt worden sind. Es gab hier entweder die Meldung "Der Verschlüsselungsalgorithmus ist nicht erlaubt." oder "Der Signaturalgorithmus ist nicht erlaubt."
Ich hatte das mit dem Aktivieren der Funktion "allowOnlySecureAlgorithmsAccordingToBsiAndSogis" erst gar nicht mitbekommen und es rein auf die Einstellungen davor im Skript bezogen. Daher hat die Fehlereingrenzung bei mir ein wenig gedauert.
Support hat dann auch bestätigt, dass ich die Zeile aus der Config entfernen soll und den Dienst neu starte. Damit wurden die betroffenen Mails dann auch wieder angenommen.
Da es sich bei 3 auf jeden Fall betroffenen Domänen schon um etwas größere "Player" im Gesundheitsmarkt dreht, würde ich denen gerne mitteilen, dass es da ein Problem mit den dort genutzten Algorithmen für Verschlüsselung und Signierung gibt. Ich weiß aber nicht so wirklich, was ich alles mitteilen sollte. Würde da auch gerne offizielle Infos vom BSI mit dazupacken.
Ist im NSP so erkennbar, welcher veraltete Algorithmus dort genutzt wird? oder muss ich da ein erweitertes Logging aktivieren?
Bin auf Rückmeldungen gespannt. Hab so seit Freitag schon wieder ein bisschen was neues dazugelernt.
