Zum Inhalt wechseln


Foto

Exchange 2003 Mails von GMX kommen nicht an (TLS)

Exchange

  • Bitte melde dich an um zu Antworten
85 Antworten in diesem Thema

#31 sconsulting

sconsulting

    Newbie

  • 10 Beiträge

 

Geschrieben 20. August 2013 - 10:35

Vermutlich das gleiche AES Algho Problem. Da hat MS wohl einen halb fertigen Patch rausgebracht ohne QS.

 

Vermutlich schon, nach der Deinstallation von KB948963 funktioniert der IMAP über SSL Zugang wieder.  Ich hoffe nun, dass uns GMX entgegenkommt...



#32 viragomann

viragomann

    Newbie

  • 23 Beiträge

 

Geschrieben 20. August 2013 - 13:25

Hallo!

 

Ehe ich hier als fauler Sack bezeichnet werde, der nur die anderen machen lässt, will ich erst mal meine relative Untätigkeit in der Sache rechtfertigen:
Der Server, der dieses Problem hat, gehört meinem Chef, ich bin aber zur Zeit im Urlaub.

 

Größten Dank gebührt hier aber CoolBlue, der nun wohl auf der Empfänger-Seite alles versucht hat.

Es bleibt nun wirklich nur noch eine Reaktion von GMX abzuwarten.

 

Ein Update des Exchange wäre auch bei uns für Ende des Jahres geplant, aber bis dahin muss der Mailtransfer funktionieren.

Verschlüsselung abschalten käme für mich nur auf Verlangen meines Chefs in Frage. Bislang gab es aber offenbar keine Beschwerden. Jedenfalls keine, die massive genug sind, meinen Urlaub zu stören.

 

Ich bin mal auch dem Link oben von NeMiX gefolgt, und habe dort mein Problem Kund getan. Vielleicht wird man bei GMX eher tätig, wenn es mehrere Beschwerden gibt.

Mal sehen.

 

Sollte es seitens GMX keine Lösung geben, würde mir als Abhilfe nur einfallen, für GMX (und andere betroffene Netze) einen eigenen virtuellen SMTP-Server ohne TLS zu konfigurieren. Die Trennung der Verbindung müsste dann durch ein quellselektives Routing erfolgen.



#33 CoolBlue

CoolBlue

    Junior Member

  • 190 Beiträge

 

Geschrieben 20. August 2013 - 14:06

Oh mann danke Newbie, die Lösung hätte mir doch sofort einfallen können.

 

Ich hatte zwar an einen zweiten SMTP Server gedacht, jedoch dann nur an die MX Records gedacht und da gibs keine Problemlösung.. aber der Kunde hat ja ne gute Firewall dort kann ich ja nen Source-Routing einstellen, anhand der GMX Adressenbereiche. Ist natürlich auch etwas komplex die Konfiguration aber machbar.



#34 Wolf1961

Wolf1961

    Newbie

  • 2 Beiträge

 

Geschrieben 20. August 2013 - 14:45

Wie stelle ich mir das vor mit dem quellselektiven Routing?  Das müsste doch vor dem Port 25 sein, damit gmx-emails auf einen anderen Port umgeleitet werden, den der zweite virtuelle Smtp-Server überwacht.

 

Gruß

Wolfgang



#35 viragomann

viragomann

    Newbie

  • 23 Beiträge

 

Geschrieben 20. August 2013 - 15:09

Ja, genau.

Man benötigt dafür eine Firewall / Router, die / der den Mailverkehr, der von den GMX-Servern auf Port 25 ankommt, auf einen anderen, nicht benötigten Port (z.B. 26) bzw. auf eine andere IP als der 1. SMTP weiterleitet.

Üblicherweise erledigt das das NAT in der Firewall. Aber nicht bei jeder kann man dabei nach Quell-IP filtern, was hier nötig ist.

Den 2. SMTP konfigurierst du, dass er auf diese andere IP/Port-Kombi lauscht, und bis auf das Zertifikat gleich wie den 1. Wenn du hierfür eine zusätzlich IP verwendest, vergiss nicht, diese auch auf der Netzwerkschnittstelle einzutragen.



#36 sconsulting

sconsulting

    Newbie

  • 10 Beiträge

 

Geschrieben 20. August 2013 - 17:16

Üblicherweise erledigt das das NAT in der Firewall. Aber nicht bei jeder kann man dabei nach Quell-IP filtern, was hier nötig ist.

 

Weiss per Zufall jemand ob das mit einer Zyxel USG-100 Firewall realisierbar wäre?



#37 Dirk-HH-83

Dirk-HH-83

    Newbie

  • 283 Beiträge

 

Geschrieben 21. August 2013 - 21:21

-same here

-auch thawte zertifikat (beim smtp server jedoch abgelaufen) und exchange 2003

- zum vergleich andere kunden mit fast identischer ausstattung (exchange 2003 und eigenem MX Eintrag, allerdings kein gekauftes zertifikat thawte) haben kein web.de/gmx.de empfangsproblem

- bei dem aktuellen kunden mit dem problem ist es also eine besondere exchange schalterstellung, updatestatus oder das zertifikat

 

 

 

Hallo,

 

nachdem ich heute auf meinem 2003 Exchange Server (SBS 2003) darauf gestossen bin, dass Mails von gmx und web.de seit ca. dem 8.08.13 nicht mehr ankommen, habe ich diesen Thread hier gefunden und heute den Tag über verfolgt.

 

Zu Schluss habe ich heute Abend nur vom virtuellen Standardserver für Smtp das Zertifikat entfernt, jetzt empfängt mein Exchangeserver die Mails wieder, da kein Versuch einer Verschlüsselung erfolgt. Ist zwar auch nicht super gut, aber bis eine Lösung/Änderung von gmx/web.de erfolgt oder von MS veröffentlicht wird, kommen die Mails erst einmal wieder an.

 

Auf den anderen virtuellen Servern ist das Zertifikat (was ein übrigens ein Eigenzertifikat ist) weiter vorhanden und die Verschlüsselung für POP3 Clients oder HTTP etc. funktioniert weiterhin.

 


#38 sconsulting

sconsulting

    Newbie

  • 10 Beiträge

 

Geschrieben 21. August 2013 - 22:02

Und von GMX hat bis jetzt noch niemand was gehört?



#39 CoolBlue

CoolBlue

    Junior Member

  • 190 Beiträge

 

Geschrieben 21. August 2013 - 22:05



#40 Dirk-HH-83

Dirk-HH-83

    Newbie

  • 283 Beiträge

 

Geschrieben 22. August 2013 - 04:49

 ESM / Server / Eigenschaften / Zugriff / Zertifikat  entfernen       ist   risikofrei  ?  

 

nicht das plötzlich etwas anderes nicht funktioniert.

wenn was nicht funktioniert, kann das vorher gesicherte Zertifikat ganz einfach wieder integriert werden?



#41 NorbertFe

NorbertFe

    Expert Member

  • 30.934 Beiträge

 

Geschrieben 22. August 2013 - 05:00

Du kannst es ja sicherheitshalber mit der Mmc vorher exportieren (mit private Key), wenns dir dann bessert geht. Bye Norbert

Make something i***-proof and they will build a better i***.


#42 Dirk-HH-83

Dirk-HH-83

    Newbie

  • 283 Beiträge

 

Geschrieben 22. August 2013 - 12:51

Problem:   wenn Zertifikat vom virtuellen SMTP Server entfernt wird, dann muss die andere Firma erzwungenen TLS Versand zu SBS 2003 bei sich abschalten.  TLS Mails kommen eingehend sonst nicht mehr an.

 

mit einem zweiten "virtuellen standardserver für smtp"  geht es m.W. nach nicht, oder extra netzwerkkarte benötigt u.ä....



#43 viragomann

viragomann

    Newbie

  • 23 Beiträge

 

Geschrieben 22. August 2013 - 15:23

Problem:   wenn Zertifikat vom virtuellen SMTP Server entfernt wird, dann muss die andere Firma erzwungenen TLS Versand zu SBS 2003 bei sich abschalten.  TLS Mails kommen eingehend sonst nicht mehr an.

 

TLS zu erzwingen, hatte ich bislang ohnehin noch nicht gewagt. Weiß nictht, ob das schon jeder, der Post schicken will, unterstützt.

 

 

mit einem zweiten "virtuellen standardserver für smtp"  geht es m.W. nach nicht, oder extra netzwerkkarte benötigt u.ä....

 

Warum nicht? Man kann doch für eine Netzwerkschnittstelle mehrere IPs konfigurierenden und den 2. SMTP auf einer dieser lauschen lassen. Oder gleiche IP und anderer Port. Für die Trennung je nach Verbindungs-Quell-IP muss man allerdings davor im NAT auf jeden Fall Sorgen. Wenn der Server direkt im Internet hängt, was ich nicht annehme, sehe ich keine Möglichkeit.



#44 Dirk-HH-83

Dirk-HH-83

    Newbie

  • 283 Beiträge

 

Geschrieben 22. August 2013 - 16:09

Danke, der SBS ist direkt im Internet, eine Fortinet 50b davor.

"Trennung je nach Verbindungs-Quell-IP davor im NAT..."   kann die Fortinet 50b eher nicht, würde ich behaupten

 

Also z.B. fragen ob die "andere Firma mit dem erzwungenen TLS Versand zu dem Problem SBS 2003"

über Regeln/Routing Port 587 festlegen kann (oder alternativ an einen SMTP Server mit unterstützem TLS...(Linux Spam Proxy)


Bearbeitet von Dirk-HH-83, 22. August 2013 - 16:14.


#45 CoolBlue

CoolBlue

    Junior Member

  • 190 Beiträge

 

Geschrieben 22. August 2013 - 17:33

Fortinet sollte das können.

Nen SMTP Relay (Proxy reicht nicht) wäre auch eine Idee. Aber nicht leicht einzurichten, da ein AD E-Mail Adressen Sync stattfinden muss, damit keine NDAs generiert werden.