1 votos

¿Puede identificar a un usuario sin privilegios si Office 365 obliga a cifrado TLS con una organización socio?

Exchange Online usa TLS oportunista que funciona de la siguiente manera:

De forma predeterminada, Exchange Online siempre utiliza TLS oportunista. Esto significa Exchange Online siempre intenta cifrar las conexiones con la versión más segura de TLS en primer lugar, a continuación, de la lista de sistemas de cifrado TLS hasta que encuentra uno en el que ambas partes estén de acuerdo. A menos que haya configurado Exchange Online para asegurar que los mensajes al destinatario de que sólo se envían a través de conexiones seguras, de forma predeterminada, el mensaje se envía sin cifrar si el destinatario de la organización no admite el cifrado TLS.

Como un no usuario con privilegios (por ejemplo, alguien sin privilegios de administrador), hay una manera de determinar si un socio de la organización está configurada de forma tal que el cifrado TLS es forzoso? Esto es importante en mi situación actual de nuestra empresa debe cumplir con algunos controles gubernamentales cuando el envío de ciertos datos y prefiere forzado cifrado TLS sobre la necesidad de cifrar todos los datos adjuntos por otros medios, tales como GPG:

TLS oportunista es suficiente para la mayoría de las empresas. Sin embargo, para los negocios que tienen requisitos de cumplimiento, tales como médicos, bancarios, gobierno o de organizaciones, puede configurar Exchange Online para exigir, o por la fuerza, TLS.

Una cuenta de administrador puede buscar rápidamente a lo que el flujo de correo de los conectores están configurados para determinar este valor, pero hay un lugar o un método que un usuario no privilegiado para ver si el cifrado TLS es forzado o no?

1voto

BastianW Puntos 434

Como este es un servidor de configuración no es posible comprobar la configuración sin acceso de administrador. Puede haber algunas "soluciones" para el servidor de Exchange como la mayor parte de la configuración se almacena en el ActiveDirectory y es posible (dependiendo de su configuración) permite el control de la ActiveDirectory, a través de LDAP, sin embargo con Exchange Online esto podría no funcionar.

Una posible opción podría ser utilizar nslookup, obtener el Servidor MX, luego de ejecutar un telnet contra ese servidor y comprobar si ofrecen startTLS (ver un ejemplo aquí). Pero esto no significa que ellos también van a exigir que, pero se puede tratar de que a través de este camino.

Por la forma en que cada usuario puede comprobar la MailHeader y por lo tanto se puede ver si el correo electrónico fue enviado a través de TLS o no. El TLS parte en un correo electrónico puede verse como:

Received: from p01c11m074.mxlogic.net (mxl144v247.mxlogic.net [2.2.2.2])
    by abc.contoso.com (4.4.4/8.8.8) with ESMTP id r123456789
    (version=TLSv1/SSLv3 cipher=DHE-RSA-AES256-SHA bits=256 verify=NOT)
    for <someone@contoso.com>; Mon, 19 Aug 2013 09:41:19 -0500

Puedes ver aquí el TLS sección dentro del correo electrónico. Sin embargo, usted no ve que si se aplican o no.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: