Immer mehr CAs stellen keine TLS-Zertifikate mit der EKU für die Client-Authentifizierung mehr aus. Das bedeutet: Kunden können ihre bisher verwendeten, „normalen“ TLS-Zertifikate nicht länger für die Client-Authentifizierung einsetzen.
In der Praxis führt dies dazu, dass sich Systeme nicht mehr per TLS-Client-Auth-Zertifikat gegenüber anderen E-Mail-Servern – etwa Exchange Online – authentifizieren können.
Kunden mit automatischer Zertifikatsgenerierung über NoSpamProxy – neue Lösung
Sowohl NoSpamProxy Cloud-Kunden als auch NoSpamProxy Server-Kunden, die die automatische Zertifikatsgenerierung für O365 über NoSpamProxy verwenden, sind nicht betroffen und haben keinen Handlungsbedarf.
Optionen für Kunden ohne automatische Zertifikatsgenerierung über NoSpamProxy
Alle Kunden, die ihre O365-Zertifikate nicht automatisch über NoSpamProxy beziehen oder in eigenen Konnektoren auf TLS-Client-Authentifizierung angewiesen sind, sollten prüfen, welche der folgenden Optionen für sie in Frage kommt:
- TLS-Client-Authentifizierung mit Zertifikat weiterhin nutzen, sofern dies notwendig ist und der Server dies unterstützt;
- auf IP-Filterung umstellen,
- eine CA finden, die neben „normalen“ TLS-Server-Zertifikaten auch einzelne TLS-Client-Auth-Zertifikate ausstellt, und diese erwerben, oder
- eine private CA einrichten, um die benötigten Zertifikate selbst auszustellen.
Wichtiger Hinweis für Exchange-Online-Kunden
NoSpamProxy verwendet standardmäßig die TLS-Client-Authentifizierung für die Verbindung zu Exchange Online. Wenn eigene Zertifikate eingesetzt werden, müssen diese von einer vertrauenswürdigen CA stammen – andernfalls akzeptiert Microsoft sie nicht.
Sie können unsere automatische Zertifikatsgenerierung nutzen oder ein neues, eigenes Zertifikat ohne EKU verwenden.
Sie haben Fragen oder benötigen Unterstützung?
Im NoSpamProxy Forum finden Sie einen expliziten Thread zu diesem Thema. Nutzen Sie diesen für Rückfragen oder Anregungen.
