Skript "Get-NspTlsReport" funktioniert mit 14.x nicht mehr

[Postamt]

Gibt es noch Mail-Server, welche TLS 1.0 und 1.1 zum Versand verwenden und auch solche die es auch noch annehmen?! Ist mir in den letzten 3 Jahren nicht mehr untergekommen. TLS 1.0 und 1.1 sind offiziell als unsicher eingestuft worden. Von daher würde ich hier eher die harte Linie fahren.

Hi,

zur Info..... es gibt auch noch TLS1.2 und TLS1.3.... !?
Und da wir so schnell wie möglich Richtung TLS1.3 wollen.... wäre so eine Auswertung schon sehr hilfreich....

Gruß
Das Postamt (Stefan)

 

[Sören]

Hi,

zur Info..... es gibt auch noch TLS1.2 und TLS1.3.... !?
Und da wir so schnell wie möglich Richtung TLS1.3 wollen.... wäre so eine Auswertung schon sehr hilfreich....

Gruß
Das Postamt (Stefan)

Jan scheint gerade etwas im Stress zu sein, aber du kannst das per SQL Query erstmal machen:

select
case TlsProtocol
when 12 then 'SSL 2'
when 48 then 'SSL 3'
when 192 then 'TLS 1.0'
when 768 then 'TLS 1.1'
when 3072 then 'TLS 1.2'
when 12288 then 'TLS 1.3'
else 'None'
end AS TlsProtocol,
COUNT(*) as [Count Inbound Accepted], convert(decimal(10,2), Round( COUNT(*) * 100.0/ sum(count(*)) over(), 2)) as [Percentage]
from MessageTracking.MessageTrackEntry me
left join MessageTracking.ConnectionSecurity cs on cs.Id = me.SenderConnectionSecurityId
where me.WasReceivedFromRelayServer = 0 -- 0 (Inbound), 1 (Outbound)
AND me.Status = 1 -- 1 (Angenommene Mails), 4 (Permanent abgewiesen)
AND me.Sent > DATEADD(d, -300, getdate()) -- Last xxx days
group by TlsProtocol
order by TlsProtocol

sieht dann so aus:

 

[Postamt]

Hallo Sören,

das hilft schon ein wenig.....PoSh wäre mir da aber zukünftig lieber.......

Mir fehlen da noch die CipherSuiten ..... Eingehende -- Ausgehende Richtung

Ich bin nicht so der SQL'er....

Gruß
Das Postamt (Stefan)

 

[Sören]

Eingehende -- Ausgehende Richtung

geht da aber in dem query schon... du musst es nur setzen ^^

where me.WasReceivedFromRelayServer = 0 -- 0 (Inbound), 1 (Outbound)

mehr kann ich dir nicht bieten und Jan hat etwas viel um die Ohren

 

[869288141]

ja gibt es, die Quote liegt zwischen 1 und 3%

Eben musste ich an meinen kaufmännischen Projektleiter denken. Der macht ab und auch solche Aussagen, ohne mindesten eine absolute Zahl zu nennen. Weil 1% von 10€ ist etwas anderes wie von 500,000.00€. ;-)

Das mit den TLS 1.0 und 1.1 ist aber nur die halbe Wahrheit, auch TLS 1.2 kann unsicher sein, sofern statische DH Keys genutzt werden oder wenn statt GCM das angreifbare CBC genutzt wird, welches beides in TLS 1.2 noch vorhanden ist.

Da hast du natürlich absolut recht. Das habe ich aus Gewohnheit einfach vorausgesetzt. :-( Weil das ist nicht abhängig von einer Anwendung, sondern sollte von Haus aus nach der Installation von Windows Server sofort geändert werden.


Gruß,
Daniel

P.S. Wäre eine interessante Umfrage im Forum, wer sich um diese Thematik (un)relgemäßig kümmert.

 

[JanJäschke]

Hallo zusammen,

das Skript an sich sollte nun erst einmal in v14.1 die korrekten Daten liefern.
Würde das einmal jemand auf Plausibilität gegenprüfen?
Github Branch

In einem zweiten Step füge ich noch die zusätzlich gewünschten TLS Details als Statistik mit ein.

Gruß
Jan

 

[869288141]

Hallo Jan,
der Link funktioniert nicht.


Gruß,
Daniel

 

[JanJäschke]

Danke Daniel.

Link ist nun korrigiert

 

[Postamt]

Hallo zusammen,

das Skript an sich sollte nun erst einmal in v14.1 die korrekten Daten liefern.
Würde das einmal jemand auf Plausibilität gegenprüfen?
Github Branch

In einem zweiten Step füge ich noch die zusätzlich gewünschten TLS Details als Statistik mit ein.

Gruß
Jan

Hallo Jan,

vielen Dank für die Anpassung des Skripts.
Wir haben das Skript nun in der Version 14.2 getestet und es scheint die korrekten Werte auszugeben.

Nun fehlt wie von dir ebenfalls angesprochen, die erweiterten TLS Details.

Mit freundlichen Grüßen
Das Postamt (Kevin)

 

[JanJäschke]

Die TLS details sind nun ebenfalls gemerged:

Add TLS details to Get-NspTlsReport · Issue #10 · noSpamProxy/Reports

Add the used TLS version to the report.

github.com

 

[mabu]

Vielen Dank für die Anpassung, Jan.

Gleich mal ausprobiert. Sieht gut aus.

Mir ist aber eine Sache aufgefallen. Mal schauen, ob ich die nachvollziehbar darstellen kann.

Unter "Adressen die unverschlüsselt geschickt haben" sind in meinem Test mit 3 Tagen zwei Einträge drin. Bei der ersten Adresse (eine größere deutsche Unternehmensberatung) sieht in der Nachrichtenverfolgung alles super aus. Alle Mails von dort zu uns und auch von uns dahin sind signiert und verschlüsselt. Und bei allen wird auch TLS für die Verbindung angezeigt.

Es gibt nur eine Ausnahme. Eine der Mails steht auf "Angehalten". Da waren 2 xls-Dateien enthalten, die in PDF umgewandelt worden sind. Und bei dieser Mail gibt es eine Folgemail im NSP mit gleichem Absender nd Empfänger. Nicht mehr signiert und verschlüsselt. Und hier auch nicht mehr verschlüsselt in der Verbindung angezeigt.



Bei der zweiten Mailadresse ist es genauso (nur, dass hier keine Signatur und Verschlüsselung mit dabei war). Auch hier eine angehaltene Mail, die anscheinend zu dem Treffer im Report führt.

Nun wäre für mich da die Frage, ob der TLS-Report diese Mails evtl. gar nicht mit berücksichtigen kann. In der Praxis ist so eine Mail ja nicht relevant, weil die externe Verbindung auf jeden Fall mit TLS genutzt worden ist.

Vielleicht seht Ihr da ja eine Möglichkeit.

Ich habe zumindest mal in Zeile 283 einen Hinweis mit hinzugefügt:
Adressen, die unverschl&uuml;sselt geschickt haben (HINWEIS: dies kann nach Entsch&aumlrfung eines Anhangs auch die folgende interne Mail sein): <br>

 

[JanJäschke]

Danke für das sehr schnelle Feedback.
Den Fall stelle ich mal nach und schaue was ich machen kann. Von der blanken Theorie kann ich dir raus filtern