Jump to content

Exchange 2016: Client does not have permissions to send as this sender


Bobby42
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Leute,

 

im Rahmen unserer Migration von Exchange 2010 auf Exchange 2016 (beide Server - Windows und Exchange - sind komplett durchgepatcht) stehe ich gerade von einem interessanten Problem:

 

Wir haben Connectoren mit der Berechtigung "ms-exch-accept-any-sender" für Authentifizierte Benutzer. Zusätzlich haben die spezielle Exchange-Postfacher für die Anmeldung (Hintergrunde: Wir haben Oracle Anwendungen, die müssen den Absender einer Mail anpassen).

 

In Exchange 2010 ist das kein Thema: Neuer Connector, Remote IP, danach mit Add-AdPermissions "ms-exch-accept-any-sender" auf Authentifizierte Benutzer. Funktioniert problemlos.

 

Bei Exchange 2016 habe ich Frontend Connectoren eingerichtet, mit identischen Einstellung. Ich habe hierfür extra ein Powershell Script geschrieben, dass die Einstellungen eines Connectors der alten Welt mit dem der neuen Welt vergleicht und mir die Unterschiede zeigt. Connector Einstellungen und AD-Berechigungen sind daher identisch.

 

Die Frontend-Connector funktioniert auch problemlos, aber der Hubtransport-Connector meldet einen Fehler "Client does not have permissions to send as this sender".

 

Hier sind die beiden Logs.

 

Zuerst der Frontend-Connector (Port 25, EX1, Name "Oracle DB"):

 

2017-09-14T07:08:51.157Z,EX1\Oracle DB,08D4E3A1C0D682A6,0,IPEX1:25,IPVM:53566,+,,

2017-09-14T07:08:51.158Z,EX1\Oracle DB,08D4E3A1C0D682A6,1,IPEX1:25,IPVM:53566,>,"220 maildomain Microsoft ESMTP MAIL Service ready at Thu, 14 Sep 2017 09:08:50 +0200",

2017-09-14T07:08:51.158Z,EX1\Oracle DB,08D4E3A1C0D682A6,2,IPEX1:25,IPVM:53566,<,EHLO IPVM,

2017-09-14T07:08:51.159Z,EX1\Oracle DB,08D4E3A1C0D682A6,3,IPEX1:25,IPVM:53566,>,250  maildomain Hello [iPVM] SIZE 104857600 PIPELINING DSN ENHANCEDSTATUSCODES STARTTLS 8BITMIME BINARYMIME CHUNKING,

2017-09-14T07:08:51.159Z,EX1\Oracle DB,08D4E3A1C0D682A6,4,IPEX1:25,IPVM:53566,<,STARTTLS,

2017-09-14T07:08:51.159Z,EX1\Oracle DB,08D4E3A1C0D682A6,5,IPEX1:25,IPVM:53566,>,220 2.0.0 SMTP server ready,

2017-09-14T07:08:51.159Z,EX1\Oracle DB,08D4E3A1C0D682A6,6,IPEX1:25,IPVM:53566,*," CN=.....",Sending certificate Subject Issuer name Serial number Thumbprint Not before Not after Subject alternate names

2017-09-14T07:08:51.166Z,EX1\Oracle DB,08D4E3A1C0D682A6,7,IPEX1:25,IPVM:53566,*,,"TLS protocol SP_PROT_TLS1_0_SERVER negotiation succeeded using bulk encryption algorithm CALG_AES_128 with strength 128 bits, MAC hash algorithm CALG_SHA1 with strength 160 bits and key exchange algorithm CALG_ECDH_EPHEM with strength 256 bits"

2017-09-14T07:08:51.168Z,EX1\Oracle DB,08D4E3A1C0D682A6,8,IPEX1:25,IPVM:53566,<,EHLO IPVM,

2017-09-14T07:08:51.168Z,EX1\Oracle DB,08D4E3A1C0D682A6,9,IPEX1:25,IPVM:53566,*,,Client certificate chain validation status: 'EmptyCertificate'

2017-09-14T07:08:51.168Z,EX1\Oracle DB,08D4E3A1C0D682A6,10,IPEX1:25,IPVM:53566,*,,TlsDomainCapabilities='None'; Status='NoRemoteCertificate'

2017-09-14T07:08:51.168Z,EX1\Oracle DB,08D4E3A1C0D682A6,11,IPEX1:25,IPVM:53566,*,,Client certificate chain validation status: 'EmptyCertificate'

2017-09-14T07:08:51.168Z,EX1\Oracle DB,08D4E3A1C0D682A6,12,IPEX1:25,IPVM:53566,*,,TlsDomainCapabilities='None'; Status='NoRemoteCertificate'

2017-09-14T07:08:51.169Z,EX1\Oracle DB,08D4E3A1C0D682A6,13,IPEX1:25,IPVM:53566,>,250  maildomain Hello [iPVM] SIZE 104857600 PIPELINING DSN ENHANCEDSTATUSCODES AUTH LOGIN 8BITMIME BINARYMIME CHUNKING,

2017-09-14T07:08:51.170Z,EX1\Oracle DB,08D4E3A1C0D682A6,14,IPEX1:25,IPVM:53566,<,AUTH login,

2017-09-14T07:08:51.170Z,EX1\Oracle DB,08D4E3A1C0D682A6,15,IPEX1:25,IPVM:53566,>,334 <authentication response>,

2017-09-14T07:08:51.216Z,EX1\Oracle DB,08D4E3A1C0D682A6,16,IPEX1:25,IPVM:53566,*,SMTPSubmit SMTPSubmitForMLS SMTPAcceptAnyRecipient SMTPAcceptAuthenticationFlag SMTPAcceptAnySender SMTPAcceptAuthoritativeDomainSender BypassAntiSpam BypassMessageSizeLimit SMTPAcceptEXCH50 AcceptRoutingHeaders AcceptForestHeaders AcceptOrganizationHeaders SMTPAcceptXShadow,Set Session Permissions

2017-09-14T07:08:51.216Z,EX1\Oracle DB,08D4E3A1C0D682A6,17,IPEX1:25,IPVM:53566,*,DOM/TESTUSER,authenticated

2017-09-14T07:08:51.224Z,EX1\Oracle DB,08D4E3A1C0D682A6,18,IPEX1:25,IPVM:53566,*,,Setting up client proxy session to destination(s): IPEX2.domain

2017-09-14T07:08:51.268Z,EX1\Oracle DB,08D4E3A1C0D682A6,19,IPEX1:25,IPVM:53566,*,,Proxy session was successfully set up. Session forDOM/TESTUSER will now be proxied

2017-09-14T07:08:51.268Z,EX1\Oracle DB,08D4E3A1C0D682A6,20,IPEX1:25,IPVM:53566,>,235 2.7.0 Authentication successful,

2017-09-14T07:08:51.301Z,EX1\Oracle DB,08D4E3A1C0D682A6,21,IPEX1:25,IPVM:53566,-,,Remote(SocketError)

 

In den hervorgehobenen Zeilen sieht man, dass der User "TESTUSER" angemeldet ist und für die SMTP-Session "SMTPAcceptAnySender" gsetzt wurde. Das entspricht den Berechtigungen des Connectors.

 

Danach wird die Verbindung an den Hubtransport-Connector als Proxy weitergegeben (und ja, das fehlende Leerzeichen bei "Proxy session was successfully set up. Session forDOM/TESTUSER will now be proxied" ist da auch im Original nicht).

 

Hier ist dann das Log des zweiten Connectors auf Port 2525:

 

2017-09-14T07:08:51.214Z,IPEX2\Default IPEX2,08D4EE221CB26705,0,IPEX2:2525,IPEX1:12454,+,,

2017-09-14T07:08:51.214Z,IPEX2\Default IPEX2,08D4EE221CB26705,1,IPEX2:2525,IPEX1:12454,>,"220 IPEX2.domain.local Microsoft ESMTP MAIL Service ready at Thu, 14 Sep 2017 09:08:50 +0200",

2017-09-14T07:08:51.215Z,IPEX2\Default IPEX2,08D4EE221CB26705,2,IPEX2:2525,IPEX1:12454,<,EHLO IPEX1.domain.local,

2017-09-14T07:08:51.215Z,IPEX2\Default IPEX2,08D4EE221CB26705,3,IPEX2:2525,IPEX1:12454,>,250  IPEX2.domain.local Hello [iPEX1] SIZE PIPELINING DSN ENHANCEDSTATUSCODES STARTTLS X-ANONYMOUSTLS AUTH NTLM X-EXPS GSSAPI NTLM 8BITMIME BINARYMIME CHUNKING XEXCH50 XRDST XSHADOWREQUEST,

2017-09-14T07:08:51.216Z,IPEX2\Default IPEX2,08D4EE221CB26705,4,IPEX2:2525,IPEX1:12454,<,X-ANONYMOUSTLS,

2017-09-14T07:08:51.216Z,IPEX2\Default IPEX2,08D4EE221CB26705,5,IPEX2:2525,IPEX1:12454,>,220 2.0.0 SMTP server ready,

2017-09-14T07:08:51.217Z,IPEX2\Default IPEX2,08D4EE221CB26705,6,IPEX2:2525,IPEX1:12454,*," CN=......",Sending certificate Subject Issuer name Serial number Thumbprint Not before Not after Subject alternate names

2017-09-14T07:08:51.230Z,IPEX2\Default IPEX2,08D4EE221CB26705,7,IPEX2:2525,IPEX1:12454,*,,"TLS protocol SP_PROT_TLS1_2_SERVER negotiation succeeded using bulk encryption algorithm CALG_AES_128 with strength 128 bits, MAC hash algorithm CALG_SHA_256 with strength 0 bits and key exchange algorithm CALG_ECDH_EPHEM with strength 256 bits"

2017-09-14T07:08:51.231Z,IPEX2\Default IPEX2,08D4EE221CB26705,8,IPEX2:2525,IPEX1:12454,<,EHLO IPEX1.domain.local,

2017-09-14T07:08:51.231Z,IPEX2\Default IPEX2,08D4EE221CB26705,9,IPEX2:2525,IPEX1:12454,>,250  IPEX2.domain.local Hello [iPEX1] SIZE PIPELINING DSN ENHANCEDSTATUSCODES AUTH NTLM LOGIN X-EXPS EXCHANGEAUTH GSSAPI NTLM X-EXCHANGEAUTH SHA256 8BITMIME BINARYMIME CHUNKING XEXCH50 XRDST XSHADOWREQUEST XPROXY XPROXYFROM X-MESSAGECONTEXT ADRC-2.1.0.0 EPROP-1.2.0.0 XSYSPROBE XORIGFROM XMESSAGEVALUE,

2017-09-14T07:08:51.234Z,IPEX2\Default IPEX2,08D4EE221CB26705,10,IPEX2:2525,IPEX1:12454,<,X-EXPS EXCHANGEAUTH,

2017-09-14T07:08:51.240Z,IPEX2\Default IPEX2,08D4EE221CB26705,11,IPEX2:2525,IPEX1:12454,*,SMTPSubmit SMTPSubmitForMLS SMTPAcceptAnyRecipient SMTPAcceptAuthenticationFlag SMTPAcceptAnySender SMTPAcceptAuthoritativeDomainSender BypassAntiSpam BypassMessageSizeLimit SMTPSendEXCH50 SMTPAcceptEXCH50 AcceptRoutingHeaders AcceptForestHeaders AcceptOrganizationHeaders SendRoutingHeaders SendForestHeaders SendOrganizationHeaders SendAs SMTPSendXShadow SMTPAcceptXShadow SMTPAcceptXProxyFrom SMTPAcceptXSessionParams SMTPAcceptXMessageContextADRecipientCache SMTPAcceptXMessageContextExtendedProperties SMTPAcceptXMessageContextFastIndex SMTPAcceptXAttr SMTPAcceptXSysProbe,Set Session Permissions

2017-09-14T07:08:51.240Z,IPEX2\Default IPEX2,08D4EE221CB26705,12,IPEX2:2525,IPEX1:12454,*,DOM\IPEX1$,authenticated

2017-09-14T07:08:51.240Z,IPEX2\Default IPEX2,08D4EE221CB26705,13,IPEX2:2525,IPEX1:12454,>,235 <authentication response>,

2017-09-14T07:08:51.242Z,IPEX2\Default IPEX2,08D4EE221CB26705,14,IPEX2:2525,IPEX1:12454,<,XPROXY SID=08D4E3A1C0D682A6 IP=IPVM PORT=53566 DOMAIN=VM0347 CAPABILITIES=0 SECID=Uy0xLTUtMjEtMTI2MjQ5NDgyLTQ1Mzk4MDg2NS0xODUxOTI4MjU4LTE4MTE1,

2017-09-14T07:08:51.257Z,IPEX2\Default IPEX2,08D4EE221CB26705,15,IPEX2:2525,IPEX1:12454,*,None,Set Session Permissions

2017-09-14T07:08:51.257Z,IPEX2\Default IPEX2,08D4EE221CB26705,16,IPEX2:2525,IPEX1:12454,*,SMTPSubmit SMTPAcceptAnyRecipient BypassAntiSpam AcceptRoutingHeaders,Set Session Permissions

2017-09-14T07:08:51.257Z,IPEX2\Default IPEX2,08D4EE221CB26705,17,IPEX2:2525,IPEX1:12454,>,250 XProxy accepted and authenticated,

2017-09-14T07:08:51.259Z,IPEX2\Default IPEX2,08D4EE221CB26705,18,IPEX2:2525,IPEX1:12454,<,MAIL FROM:<absender@maildomain>,

2017-09-14T07:08:51.260Z,IPEX2\Default IPEX2,08D4EE221CB26705,19,IPEX2:2525,IPEX1:12454,*,08D4EE221CB26705;2017-09-14T07:08:51.214Z;1,receiving message

2017-09-14T07:08:51.260Z,IPEX2\Default IPEX2,08D4EE221CB26705,20,IPEX2:2525,IPEX1:12454,>,250 2.1.0 Sender OK,

2017-09-14T07:08:51.264Z,IPEX2\Default IPEX2,08D4EE221CB26705,21,IPEX2:2525,IPEX1:12454,<,RCPT TO:<empfaenger@maildomain>,

2017-09-14T07:08:51.264Z,IPEX2\Default IPEX2,08D4EE221CB26705,22,IPEX2:2525,IPEX1:12454,>,250 2.1.5 Recipient OK,

2017-09-14T07:08:51.267Z,IPEX2\Default IPEX2,08D4EE221CB26705,23,IPEX2:2525,IPEX1:12454,<,DATA,

2017-09-14T07:08:51.267Z,IPEX2\Default IPEX2,08D4EE221CB26705,24,IPEX2:2525,IPEX1:12454,>,354 Start mail input; end with <CRLF>.<CRLF>,

2017-09-14T07:08:51.270Z,IPEX2\Default IPEX2,08D4EE221CB26705,25,IPEX2:2525,IPEX1:12454,*,,receiving message with InternetMessageId <846655cd-34ff-4b94-98de-3026f6745602@IPEX2.domain.local>

2017-09-14T07:08:51.288Z,IPEX2\Default IPEX2,08D4EE221CB26705,26,IPEX2:2525,IPEX1:12454,>,550 5.7.60 SMTP; Client does not have permissions to send as this sender,

2017-09-14T07:08:51.291Z,IPEX2\Default IPEX2,08D4EE221CB26705,27,IPEX2:2525,IPEX1:12454,-,,Remote(ConnectionReset)

 

In der ersten markierten Zeilen sieht man, dass ExchangeServerAuthentication durchgeführt wurde und Exchange-Server in der Session alle möglichen Berechtigungen haben (zweite markierte Zeile).

 

Danach findet aber eine weitere Authentifikation statt, mit dem Computernamen. Und nun fehlen plötzlcih einige Session Berechtigungen, u.a. die SMTPAcceptAnySender. Folglich gibt es am dann den Fehler "Client does not have permissions to send as this sender".

 

Ich habe die Einstellungen mit zwei anderen Umgebungen verglichen, sie sind in allen wichtigen Dingen identisch. Oder ich habe die richtige Einstellung noch nicht gefunden.

 

Alle Server sind Mitglieder in der entsprechenden AD-Gruppe. Nutz ich "anonyme Benutzer" mit "accept-any-sender" gibt es keine Probleme.

 

Insgesamt handelt es sich um drei Exchange-Server 2016, aber alle mit den identischen Einstellungen und daher auch mit identischem Fehler. Das einzige, was sich hier unterscheidet, ist der Proxy-User in der zweiten Verbindung. Wird als Proxy der eigene Server angesprochen, dann wird der User "LOCAL SYSTEM" benutzt. Ist der Proxy remote, dann das Computerkonto des sendenden Exchange. Das Ergebnis ist aber das gleiche.

 

Hat da jemand eine Idee, wonach ich noch suchen kann? Über jeden Tipp wäre ich dankbar.

Link zu diesem Kommentar
  • 2 Jahre später...

Das gleiche oder ein ähnliches Problem hat mich gerade auch ein paar Stunden gekostet *grr*

Bei mir lag es daran, dass dem Hub auf Port 465 das Recht "ms-exch-smtp-accept-authoritative-domain-sender" fehlte.

Nach hinzufügen konnten IMAP-Benutzer nun Mails (wieder) versenden. Vielleicht werden die Konnektoren wirklich falsch migriert...

 

Get-ReceiveConnector -Identity "<hub name>" | Add-ADPermission -User "NT-AUTORITÄT\Authentifizierte Benutzer" -ExtendedRights ms-exch-smtp-accept-authoritative-domain-sender

bearbeitet von Michl16
Link zu diesem Kommentar

Moin @Michi16, willkommen am Board :)

 

Schön das Du dein Problem lösen konntest. Wieso trat dieses auf?

 

Übrigens, dieser Faden ist schon etwas älter, der Owner hatte sein Problem wohl schon vor Jahren gelöst. Es ist hier nicht üblich, bis nicht erwünscht, alte Fäden zu aktivieren- Es hat sich als praktikabler erwiesen, ein Problem neu zu beschreiben in einem neuen Faden.

 

Bleib gesund

 

bearbeitet von lefg
Link zu diesem Kommentar
vor einer Stunde schrieb lefg:

Es ist hier nicht üblich, bis nicht erwünscht, alte Fäden zu aktivieren.

Okay. Gut zu wissen! Der ursprüngliche Fragesteller wird tatsächlich wahrscheinlich sein Problem bereits gelöst haben oder eine Neuinstallation vorgenommen haben. *lol*

Aber falls in ein paar Jahren wieder jemand ein ähnliches Problem hat, dachte ich mir, schreibe ich mal meinen Grund darunter. Denn dieser Thread hat mir auch den entscheidenden Tipp gegeben, dass eine SMTP-Kommunikation auf 587 weitergegeben wird auf den Hub 465 und dieser letztendlich (erst) die Meldung Client does not have permissions to send as this sender produziert.

Viele andere Treffer auf Threads in Google haben nur was von unterschiedlichen Login- und Von-Namen oder so ähnlich gesprochen.

 

Wieso ich das Problem überhaupt hatte kann ich nicht sagen. Es war mal ein Exchange 2010 (auf dem ich IMAP definitiv mal nutzte oder zumindest ausprobiert habe) und wurde zwischenzeitlich auf 2019 migriert mit Zwischenschritt über 2016.  Habe den gleichen Konnektor auch extra nochmals manuell hinzugefügt. Aber auch über diesen bekam ich die gleiche Fehlermeldung (siehe oben). Erst nachdem ich das Recht hinzufügte klappte es dann. Alles wieder mal sehr merkwürdig. Dann müssten ja alle das selbe Problem haben.

 

Wobei nun die Kommunikation über 587 mit START TLS funktioniert, jedoch eine explizite Kommunikation über SSL/TSL über 465 immer noch nicht funktioniert (Timeout am Client / im Log steht Remote(SocketError)). Wobei wenn 587 mit Hub 465 kommunizieren kann, wieso dann der Mail-Client nicht direkt und selbst. Aber hierfür werde ich definitiv einen neuen Thread eröffnen. Link kommt noch.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...