Zum Inhalt wechseln


Foto

Exchange 2016: Client does not have permissions to send as this sender


  • Bitte melde dich an um zu Antworten
Keine Antworten in diesem Thema

#1 Bobby42

Bobby42

    Newbie

  • 3 Beiträge

 

Geschrieben 14. September 2017 - 10:42

Hallo Leute,
 
im Rahmen unserer Migration von Exchange 2010 auf Exchange 2016 (beide Server - Windows und Exchange - sind komplett durchgepatcht) stehe ich gerade von einem interessanten Problem:
 
Wir haben Connectoren mit der Berechtigung "ms-exch-accept-any-sender" für Authentifizierte Benutzer. Zusätzlich haben die spezielle Exchange-Postfacher für die Anmeldung (Hintergrunde: Wir haben Oracle Anwendungen, die müssen den Absender einer Mail anpassen).
 
In Exchange 2010 ist das kein Thema: Neuer Connector, Remote IP, danach mit Add-AdPermissions "ms-exch-accept-any-sender" auf Authentifizierte Benutzer. Funktioniert problemlos.
 
Bei Exchange 2016 habe ich Frontend Connectoren eingerichtet, mit identischen Einstellung. Ich habe hierfür extra ein Powershell Script geschrieben, dass die Einstellungen eines Connectors der alten Welt mit dem der neuen Welt vergleicht und mir die Unterschiede zeigt. Connector Einstellungen und AD-Berechigungen sind daher identisch.
 
Die Frontend-Connector funktioniert auch problemlos, aber der Hubtransport-Connector meldet einen Fehler "Client does not have permissions to send as this sender".
 
Hier sind die beiden Logs.
 
Zuerst der Frontend-Connector (Port 25, EX1, Name "Oracle DB"):
 

2017-09-14T07:08:51.157Z,EX1\Oracle DB,08D4E3A1C0D682A6,0,IPEX1:25,IPVM:53566,+,,
2017-09-14T07:08:51.158Z,EX1\Oracle DB,08D4E3A1C0D682A6,1,IPEX1:25,IPVM:53566,>,"220 maildomain Microsoft ESMTP MAIL Service ready at Thu, 14 Sep 2017 09:08:50 +0200",
2017-09-14T07:08:51.158Z,EX1\Oracle DB,08D4E3A1C0D682A6,2,IPEX1:25,IPVM:53566,<,EHLO IPVM,
2017-09-14T07:08:51.159Z,EX1\Oracle DB,08D4E3A1C0D682A6,3,IPEX1:25,IPVM:53566,>,250  maildomain Hello [IPVM] SIZE 104857600 PIPELINING DSN ENHANCEDSTATUSCODES STARTTLS 8BITMIME BINARYMIME CHUNKING,
2017-09-14T07:08:51.159Z,EX1\Oracle DB,08D4E3A1C0D682A6,4,IPEX1:25,IPVM:53566,<,STARTTLS,
2017-09-14T07:08:51.159Z,EX1\Oracle DB,08D4E3A1C0D682A6,5,IPEX1:25,IPVM:53566,>,220 2.0.0 SMTP server ready,
2017-09-14T07:08:51.159Z,EX1\Oracle DB,08D4E3A1C0D682A6,6,IPEX1:25,IPVM:53566,*," CN=.....",Sending certificate Subject Issuer name Serial number Thumbprint Not before Not after Subject alternate names
2017-09-14T07:08:51.166Z,EX1\Oracle DB,08D4E3A1C0D682A6,7,IPEX1:25,IPVM:53566,*,,"TLS protocol SP_PROT_TLS1_0_SERVER negotiation succeeded using bulk encryption algorithm CALG_AES_128 with strength 128 bits, MAC hash algorithm CALG_SHA1 with strength 160 bits and key exchange algorithm CALG_ECDH_EPHEM with strength 256 bits"
2017-09-14T07:08:51.168Z,EX1\Oracle DB,08D4E3A1C0D682A6,8,IPEX1:25,IPVM:53566,<,EHLO IPVM,
2017-09-14T07:08:51.168Z,EX1\Oracle DB,08D4E3A1C0D682A6,9,IPEX1:25,IPVM:53566,*,,Client certificate chain validation status: 'EmptyCertificate'
2017-09-14T07:08:51.168Z,EX1\Oracle DB,08D4E3A1C0D682A6,10,IPEX1:25,IPVM:53566,*,,TlsDomainCapabilities='None'; Status='NoRemoteCertificate'
2017-09-14T07:08:51.168Z,EX1\Oracle DB,08D4E3A1C0D682A6,11,IPEX1:25,IPVM:53566,*,,Client certificate chain validation status: 'EmptyCertificate'
2017-09-14T07:08:51.168Z,EX1\Oracle DB,08D4E3A1C0D682A6,12,IPEX1:25,IPVM:53566,*,,TlsDomainCapabilities='None'; Status='NoRemoteCertificate'
2017-09-14T07:08:51.169Z,EX1\Oracle DB,08D4E3A1C0D682A6,13,IPEX1:25,IPVM:53566,>,250  maildomain Hello [IPVM] SIZE 104857600 PIPELINING DSN ENHANCEDSTATUSCODES AUTH LOGIN 8BITMIME BINARYMIME CHUNKING,
2017-09-14T07:08:51.170Z,EX1\Oracle DB,08D4E3A1C0D682A6,14,IPEX1:25,IPVM:53566,<,AUTH login,
2017-09-14T07:08:51.170Z,EX1\Oracle DB,08D4E3A1C0D682A6,15,IPEX1:25,IPVM:53566,>,334 <authentication response>,
2017-09-14T07:08:51.216Z,EX1\Oracle DB,08D4E3A1C0D682A6,16,IPEX1:25,IPVM:53566,*,SMTPSubmit SMTPSubmitForMLS SMTPAcceptAnyRecipient SMTPAcceptAuthenticationFlag SMTPAcceptAnySender SMTPAcceptAuthoritativeDomainSender BypassAntiSpam BypassMessageSizeLimit SMTPAcceptEXCH50 AcceptRoutingHeaders AcceptForestHeaders AcceptOrganizationHeaders SMTPAcceptXShadow,Set Session Permissions
2017-09-14T07:08:51.216Z,EX1\Oracle DB,08D4E3A1C0D682A6,17,IPEX1:25,IPVM:53566,*,DOM/TESTUSER,authenticated
2017-09-14T07:08:51.224Z,EX1\Oracle DB,08D4E3A1C0D682A6,18,IPEX1:25,IPVM:53566,*,,Setting up client proxy session to destination(s): IPEX2.domain
2017-09-14T07:08:51.268Z,EX1\Oracle DB,08D4E3A1C0D682A6,19,IPEX1:25,IPVM:53566,*,,Proxy session was successfully set up. Session forDOM/TESTUSER will now be proxied
2017-09-14T07:08:51.268Z,EX1\Oracle DB,08D4E3A1C0D682A6,20,IPEX1:25,IPVM:53566,>,235 2.7.0 Authentication successful,
2017-09-14T07:08:51.301Z,EX1\Oracle DB,08D4E3A1C0D682A6,21,IPEX1:25,IPVM:53566,-,,Remote(SocketError)

 
In den hervorgehobenen Zeilen sieht man, dass der User "TESTUSER" angemeldet ist und für die SMTP-Session "SMTPAcceptAnySender" gsetzt wurde. Das entspricht den Berechtigungen des Connectors.

Danach wird die Verbindung an den Hubtransport-Connector als Proxy weitergegeben (und ja, das fehlende Leerzeichen bei "Proxy session was successfully set up. Session forDOM/TESTUSER will now be proxied" ist da auch im Original nicht).
 
Hier ist dann das Log des zweiten Connectors auf Port 2525:
 

2017-09-14T07:08:51.214Z,IPEX2\Default IPEX2,08D4EE221CB26705,0,IPEX2:2525,IPEX1:12454,+,,
2017-09-14T07:08:51.214Z,IPEX2\Default IPEX2,08D4EE221CB26705,1,IPEX2:2525,IPEX1:12454,>,"220 IPEX2.domain.local Microsoft ESMTP MAIL Service ready at Thu, 14 Sep 2017 09:08:50 +0200",
2017-09-14T07:08:51.215Z,IPEX2\Default IPEX2,08D4EE221CB26705,2,IPEX2:2525,IPEX1:12454,<,EHLO IPEX1.domain.local,
2017-09-14T07:08:51.215Z,IPEX2\Default IPEX2,08D4EE221CB26705,3,IPEX2:2525,IPEX1:12454,>,250  IPEX2.domain.local Hello [IPEX1] SIZE PIPELINING DSN ENHANCEDSTATUSCODES STARTTLS X-ANONYMOUSTLS AUTH NTLM X-EXPS GSSAPI NTLM 8BITMIME BINARYMIME CHUNKING XEXCH50 XRDST XSHADOWREQUEST,
2017-09-14T07:08:51.216Z,IPEX2\Default IPEX2,08D4EE221CB26705,4,IPEX2:2525,IPEX1:12454,<,X-ANONYMOUSTLS,
2017-09-14T07:08:51.216Z,IPEX2\Default IPEX2,08D4EE221CB26705,5,IPEX2:2525,IPEX1:12454,>,220 2.0.0 SMTP server ready,
2017-09-14T07:08:51.217Z,IPEX2\Default IPEX2,08D4EE221CB26705,6,IPEX2:2525,IPEX1:12454,*," CN=......",Sending certificate Subject Issuer name Serial number Thumbprint Not before Not after Subject alternate names
2017-09-14T07:08:51.230Z,IPEX2\Default IPEX2,08D4EE221CB26705,7,IPEX2:2525,IPEX1:12454,*,,"TLS protocol SP_PROT_TLS1_2_SERVER negotiation succeeded using bulk encryption algorithm CALG_AES_128 with strength 128 bits, MAC hash algorithm CALG_SHA_256 with strength 0 bits and key exchange algorithm CALG_ECDH_EPHEM with strength 256 bits"
2017-09-14T07:08:51.231Z,IPEX2\Default IPEX2,08D4EE221CB26705,8,IPEX2:2525,IPEX1:12454,<,EHLO IPEX1.domain.local,
2017-09-14T07:08:51.231Z,IPEX2\Default IPEX2,08D4EE221CB26705,9,IPEX2:2525,IPEX1:12454,>,250  IPEX2.domain.local Hello [IPEX1] SIZE PIPELINING DSN ENHANCEDSTATUSCODES AUTH NTLM LOGIN X-EXPS EXCHANGEAUTH GSSAPI NTLM X-EXCHANGEAUTH SHA256 8BITMIME BINARYMIME CHUNKING XEXCH50 XRDST XSHADOWREQUEST XPROXY XPROXYFROM X-MESSAGECONTEXT ADRC-2.1.0.0 EPROP-1.2.0.0 XSYSPROBE XORIGFROM XMESSAGEVALUE,
2017-09-14T07:08:51.234Z,IPEX2\Default IPEX2,08D4EE221CB26705,10,IPEX2:2525,IPEX1:12454,<,X-EXPS EXCHANGEAUTH,
2017-09-14T07:08:51.240Z,IPEX2\Default IPEX2,08D4EE221CB26705,11,IPEX2:2525,IPEX1:12454,*,SMTPSubmit SMTPSubmitForMLS SMTPAcceptAnyRecipient SMTPAcceptAuthenticationFlag SMTPAcceptAnySender SMTPAcceptAuthoritativeDomainSender BypassAntiSpam BypassMessageSizeLimit SMTPSendEXCH50 SMTPAcceptEXCH50 AcceptRoutingHeaders AcceptForestHeaders AcceptOrganizationHeaders SendRoutingHeaders SendForestHeaders SendOrganizationHeaders SendAs SMTPSendXShadow SMTPAcceptXShadow SMTPAcceptXProxyFrom SMTPAcceptXSessionParams SMTPAcceptXMessageContextADRecipientCache SMTPAcceptXMessageContextExtendedProperties SMTPAcceptXMessageContextFastIndex SMTPAcceptXAttr SMTPAcceptXSysProbe,Set Session Permissions
2017-09-14T07:08:51.240Z,IPEX2\Default IPEX2,08D4EE221CB26705,12,IPEX2:2525,IPEX1:12454,*,DOM\IPEX1$,authenticated
2017-09-14T07:08:51.240Z,IPEX2\Default IPEX2,08D4EE221CB26705,13,IPEX2:2525,IPEX1:12454,>,235 <authentication response>,
2017-09-14T07:08:51.242Z,IPEX2\Default IPEX2,08D4EE221CB26705,14,IPEX2:2525,IPEX1:12454,<,XPROXY SID=08D4E3A1C0D682A6 IP=IPVM PORT=53566 DOMAIN=VM0347 CAPABILITIES=0 SECID=Uy0xLTUtMjEtMTI2MjQ5NDgyLTQ1Mzk4MDg2NS0xODUxOTI4MjU4LTE4MTE1,
2017-09-14T07:08:51.257Z,IPEX2\Default IPEX2,08D4EE221CB26705,15,IPEX2:2525,IPEX1:12454,*,None,Set Session Permissions
2017-09-14T07:08:51.257Z,IPEX2\Default IPEX2,08D4EE221CB26705,16,IPEX2:2525,IPEX1:12454,*,SMTPSubmit SMTPAcceptAnyRecipient BypassAntiSpam AcceptRoutingHeaders,Set Session Permissions
2017-09-14T07:08:51.257Z,IPEX2\Default IPEX2,08D4EE221CB26705,17,IPEX2:2525,IPEX1:12454,>,250 XProxy accepted and authenticated,
2017-09-14T07:08:51.259Z,IPEX2\Default IPEX2,08D4EE221CB26705,18,IPEX2:2525,IPEX1:12454,<,MAIL FROM:<absender@maildomain>,
2017-09-14T07:08:51.260Z,IPEX2\Default IPEX2,08D4EE221CB26705,19,IPEX2:2525,IPEX1:12454,*,08D4EE221CB26705;2017-09-14T07:08:51.214Z;1,receiving message
2017-09-14T07:08:51.260Z,IPEX2\Default IPEX2,08D4EE221CB26705,20,IPEX2:2525,IPEX1:12454,>,250 2.1.0 Sender OK,
2017-09-14T07:08:51.264Z,IPEX2\Default IPEX2,08D4EE221CB26705,21,IPEX2:2525,IPEX1:12454,<,RCPT TO:<empfaenger@maildomain>,
2017-09-14T07:08:51.264Z,IPEX2\Default IPEX2,08D4EE221CB26705,22,IPEX2:2525,IPEX1:12454,>,250 2.1.5 Recipient OK,
2017-09-14T07:08:51.267Z,IPEX2\Default IPEX2,08D4EE221CB26705,23,IPEX2:2525,IPEX1:12454,<,DATA,
2017-09-14T07:08:51.267Z,IPEX2\Default IPEX2,08D4EE221CB26705,24,IPEX2:2525,IPEX1:12454,>,354 Start mail input; end with <CRLF>.<CRLF>,
2017-09-14T07:08:51.270Z,IPEX2\Default IPEX2,08D4EE221CB26705,25,IPEX2:2525,IPEX1:12454,*,,receiving message with InternetMessageId <846655cd-34ff-4b94-98de-3026f6745602@IPEX2.domain.local>
2017-09-14T07:08:51.288Z,IPEX2\Default IPEX2,08D4EE221CB26705,26,IPEX2:2525,IPEX1:12454,>,550 5.7.60 SMTP; Client does not have permissions to send as this sender,
2017-09-14T07:08:51.291Z,IPEX2\Default IPEX2,08D4EE221CB26705,27,IPEX2:2525,IPEX1:12454,-,,Remote(ConnectionReset)

 
In der ersten markierten Zeilen sieht man, dass ExchangeServerAuthentication durchgeführt wurde und Exchange-Server in der Session alle möglichen Berechtigungen haben (zweite markierte Zeile).
 
Danach findet aber eine weitere Authentifikation statt, mit dem Computernamen. Und nun fehlen plötzlcih einige Session Berechtigungen, u.a. die SMTPAcceptAnySender. Folglich gibt es am dann den Fehler "Client does not have permissions to send as this sender".
 
Ich habe die Einstellungen mit zwei anderen Umgebungen verglichen, sie sind in allen wichtigen Dingen identisch. Oder ich habe die richtige Einstellung noch nicht gefunden.

Alle Server sind Mitglieder in der entsprechenden AD-Gruppe. Nutz ich "anonyme Benutzer" mit "accept-any-sender" gibt es keine Probleme.

Insgesamt handelt es sich um drei Exchange-Server 2016, aber alle mit den identischen Einstellungen und daher auch mit identischem Fehler. Das einzige, was sich hier unterscheidet, ist der Proxy-User in der zweiten Verbindung. Wird als Proxy der eigene Server angesprochen, dann wird der User "LOCAL SYSTEM" benutzt. Ist der Proxy remote, dann das Computerkonto des sendenden Exchange. Das Ergebnis ist aber das gleiche.

Hat da jemand eine Idee, wonach ich noch suchen kann? Über jeden Tipp wäre ich dankbar.