Exchange Online blijft TLS 1.0/1.1 voor POP3 en IMAP4 via opt-in ondersteunen
Microsoft zal eind april het standaard niet meer toestaan dat klanten van Exchange Online die via POP3 en IMAP4 hun e-mail ophalen dit doen via TLS 1.0 en TLS 1.1. Aangezien er nog veel e-mailclients worden gebruikt die geen TLS 1.2 ondersteunen heeft Microsoft besloten om het gebruik van TLS 1.0/1.1 voor POP3 en IMAP4 via een opt-in endpoint toch toe te staan. Organisaties moeten deze endpoints in hun e-mailclient instellen.
Het TLS-protocol wordt gebruikt voor het opzetten van een beveiligde verbinding, bijvoorbeeld tussen e-mailclient en mailserver. TLS 1.0 en 1.1 bevatten verschillende kwetsbaarheden en zijn kwetsbaar voor aanvallen zoals BEAST, CRIME en POODLE. Hierbij kan een aanvaller onder andere de versleutelde sessie van een slachtoffer overnemen. Exchange Online stopte de ondersteuning van TLS 1.0 en TLS 1.1 in oktober 2020.
Microsoft staat het echter nog wel toe dat klanten die via POP3 en IMAP4 hun e-mail ophalen dit via een TLS 1.0- of 1.1-verbinding doen. Eind april zal Microsoft TLS 1.0 en TLS 1.1 voor POP3/IMAP4 op het endpoint outlook.office365.com uitschakelen. Begin februari zal Microsoft een "klein percentage" van de TLS 1.0-verbindingen voor POP3/IMAP4 gaan blokkeren. Klanten krijgen dan een foutmelding dat TLS 1.0 en 1.1 niet meer worden ondersteund en naar een e-mailclient moeten upgraden die TLS 1.2 ondersteunt.
Aangezien er volgens Microsoft nog veel gebruik wordt gemaakt van e-mailclients die TLS 1.2 niet ondersteunen is besloten een opt-in endpoint op te zetten waar deze e-mailclients wel verbinding mee kunnen blijven maken. Het gaat om pop-legacy.office365.com en imap-legacy.office365.com die TLS 1.0 en 1.1 wel ondersteunen. Organisaties moeten deze endpoints in hun e-mailclient instellen. Daarnaast moeten systeembeheerders de AllowLegacyTLSClients-paramater op true zetten.
Want anders kunnen ze toch al niet meer inloggen...
De mail cliënt van MacOS gebruikte tot 'El Capitan" nog TLS 1.0 in de bijbehorende mail cliënt. Dat viel me altijd in het log van de mailserver op en een reden waarom ik indertijd de 1.0 ondersteuning op de mailserver ook nog niet uitgezet heb. Nu inmiddels wel.
Sinds MacOS SIerra zitten ze op TLS 1.2. Dat is dus sinds september 2016.
De mail cliënt van MacOS gebruikte tot 'El Capitan" nog TLS 1.0 in de bijbehorende mail cliënt. Dat viel me altijd in het log van de mailserver op en een reden waarom ik indertijd de 1.0 ondersteuning op de mailserver ook nog niet uitgezet heb. Nu inmiddels wel.
Sinds MacOS SIerra zitten ze op TLS 1.2. Dat is dus sinds september 2016.
Maar kon (en kun) je daarmee dan nog wel inloggen op een server die geen usernaam/password authenticatie meer
support? Wat een rare combinatie van TLS niet updaten en authenticatie methoden wel updaten.
Ik dacht dit zal wel over Eudora gaan, dat mail programma wat stil is blijven staan in de tijd en steeds meer problemen
krijgt met moderne situaties...
support? Wat een rare combinatie van TLS niet updaten en authenticatie methoden wel updaten…
Geen idee. Die mail cliënt gebruikte usernaam/password authenticatie. En voor ons was er geen reden om hier mee te testen.
Totdat we de 1.0 support op de mailserver uitgezet hadden in 2019, was er naast deze mac nog slechts 1 mailer die steeds nog viaTLS 1.0 binnenkwam en dat was de bulk mailer 'mail04.megamail.nl'. (wel via smtp, waar het bovenstaande stuk niet over gaat) Die stuurde periodiek een nieuwsupdate in opdracht van onze bank. Zij zijn ook pas 2 jaar geleden overgestapt op TLS v1.2, waardoor hun mail weer bij ons binnen kwam.
Altijd opvallend dat een bedrijf wiens core business het versturen van mail is, nog lang verouderde software protocollen gebruikt.
Outlook Web Access (OWA)
Oude RC4, AES en DES combinaties en nog oudere hash algoritmen als MD5, of bitsterkte onder de 128 bit effectief.
clients die nu nu geen TLS 1.2 ondersteunen horen niet meer op de weg te zitten.
support? Wat een rare combinatie van TLS niet updaten en authenticatie methoden wel updaten…
Geen idee. Die mail cliënt gebruikte usernaam/password authenticatie. En voor ons was er geen reden om hier mee te testen.
Totdat we de 1.0 support op de mailserver uitgezet hadden in 2019, was er naast deze mac nog slechts 1 mailer die steeds nog viaTLS 1.0 binnenkwam en dat was de bulk mailer 'mail04.megamail.nl'. (wel via smtp, waar het bovenstaande stuk niet over gaat) Die stuurde periodiek een nieuwsupdate in opdracht van onze bank. Zij zijn ook pas 2 jaar geleden overgestapt op TLS v1.2, waardoor hun mail weer bij ons binnen kwam.
Altijd opvallend dat een bedrijf wiens core business het versturen van mail is, nog lang verouderde software protocollen gebruikt.
Outlook Web Access (OWA)
Wij gebruiken al jaren Thunderbird op Linux Apple en Windows.
Totdat we de 1.0 support op de mailserver uitgezet hadden in 2019, was er naast deze mac nog slechts 1 mailer die steeds nog viaTLS 1.0 binnenkwam en dat was de bulk mailer 'mail04.megamail.nl'. (wel via smtp, waar het bovenstaande stuk niet over gaat) Die stuurde periodiek een nieuwsupdate in opdracht van onze bank. Zij zijn ook pas 2 jaar geleden overgestapt op TLS v1.2, waardoor hun mail weer bij ons binnen kwam.
Altijd opvallend dat een bedrijf wiens core business het versturen van mail is, nog lang verouderde software protocollen gebruikt.
Nou heb je het over heel wat anders dan waar het artikel over gaat. Wat jij schrijft gaat over SMTP over TLS (STARTTLS)
en het artikel gaat over client software die mail ophaalt met POP3 of IMAP over TLS.
Outlook Web Access (OWA)
Wij gebruiken al jaren Thunderbird op Linux Apple en Windows.
Ik TB even op mijn Mac geïnstalleerd. Ik wordt er nu niet echt warm of koud van moet ik zeggen. Lijkt best veel op Outlook op de Mac en de beta van Outlook op Windows. En van beide ben ik nu niet echt blij met de interface. De standaard Windows gebruikers gaan dit helemaal niet fijn vinden, ServiceDesk gaat daar een harde dobber aan hebben.
Geeft mij toch echt maar de oude Windows Interface, liefst nog zonder die vage menu bar aan de linkerkant.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.