Moped

Muss mich nochmal an euch wenden habe jetzt soweit alles eingerichtet Ich kann auch Mails an die eine Domäne versenden, allerdings klappt der Empfang nicht Der Sender erhält den Fehler: Diagnoseinformationen für Administratoren: Generierender Server: mail.Server-des-Senders.de Max.Muster@Firma.de mail.Firma.de #<mail.Frima.de #5.7.1 smtp; 530 5.7.1 Not authenticated> #SMTP# Auf meinem Mailserver sehe ich den Fehler "EventID 11017" Message: A message from domain-secured domain '%1' on connector '%2' failed to authenticate because no Transport Layer Security (TLS) certificate was supplied. Contact the administrator for %1 to resolve the problem, or remove the domain from the domain-secured list. Explanation This Error event indicates that a domain that is specified in the TransportConfig object as a domain-secured domain has sent a message and did not supply a Transport Layer Security (TLS) certificate. To send and receive Domain Secured e-mail, both the sending server and the receiving server must supply a valid TLS certificate. User Action To resolve this error, you must perform one of the following tasks: Disable Domain Security for the domain. Contact the administrator of the domain and request that the administrator create a valid TLS certificate for the domain. Angeblich kann die andere Firma mit anderen via TLS Kommunizieren, nur mit "mir" nicht Hab ich da evtl. handlungsbedarf? Muss ich evtl einen neuen Empfangsconnector anlegen?

habe jetzt noch eine Verständnisfrage zu den Connectoren Wir haben einen Sende-Connector der via MX/DNS ins Internet sendet Und ich habe den Default-Receive-Connector Ich möchte ja jetzt mit nur einem Kunden TLS machen Macht es sinn, bzw. muss ich nun einen neuen Sende- und Empfangsconnector erstellen? Oder wird durch die Befehle Set-TransportConfig -TLSReceiveDomainSecureList example.com Set-SendConnector "Outbound Email" -DomainSecureEnabled:$true Set-ReceiveConnector "Inbound Email" -DomainSecureEnabled $true -AuthMechanism TLS eingestellt, dass über die vorhandenen Connectoren nur zu/von dieser einen Domain TLS Verschlüsselt wird? Dabei aber alles anderen Mails normal versendet werden?

Auch bei Exchange 2007? :schreck: Edit: Aber das Importieren Selber sollte kein Problem sein Viel mehr ist die Frage wie gehe ich mit den 2 *.pem Files um Ich habe jetzt die *.pem Zertifikate umgewandelt in *.der Dann habe ich das eigentliche Zertifikat geöffnet und gesagt "In datei Kopieren" > Als Endung .P7B ausgewählt mit dem Haken "Wenn möglich, alle Zertifikate im Pfad einbeziehen" jetzt habe ich ein Cert was, wenn ich es öffne 3 Zertifikate enthält (<Alle>; Clientauthentifizierung; Serverauthentifizierung) Soweit sieht es ja ok aus Wo ich nicht sicher bin, muss ich iregendwas berücksichtigen wegen dem "Privat-Key"? Weil ich die Option -PrivateKeyExportable $True nicht gesetzt habe

Das Stimmt, mir fehlen die Grundlagen, aber dann helfen solche "Brocken" erst recht nichts Wenn es nur Experten wie dich geben würde, bräuchten wir keine Foren und und auch keine Consulter :) ok, wieder was neues :schreck: Daran erkanne man wie Komplex das alles ist Der Befehl ist mir jetzt noch gar nicht unter gekommen

Danke :thumb1: ist leider so Aber es ist schwer deine Art der Hilfestellung zu verstehen, das sind immer nur so "Hilfebrocken" Egal, werde mich halt weiter einlesen,

denke das ist jetzt zu spät wenn ich auf der angegebenen Webseite das Format in *.pfx ändern will, muss ich ein Privat-Key File angeben, das habe ich aber nicht :( Habe ja jetzt aber das p7b File Werde das am Montag mal importieren und den Dienste SMTP; POP; IIS und IMAP zuweisen Warum erst am Montag? Weil ich nicht weiss was sonst am Freitag oder am WE passiert :confused: :schreck:

hi Norbert Das sagst du, ich versuche micht gerade da reinzuarbeiten :confused: :nene: Also, ich habe auf der Seite https://www.sslshopper.com/ssl-converter.html die beiden *.pem Zertifikate in ein *.p7b Zertifikat umgewandelt Oder siehst du ein Vorteil darin die Zertifikate Einzeln zu importieren? Ich dachte es ist einfacher so, alles in einem "Rutsch" :rolleyes: In dem erstellten p7b Zertifikat sollte doch der private Schlüssel mit drinne sein, oder? :confused: Edit: hätte ich bei dem request noch die Parameter -KeySize 1024 -PrivateKeyExportable: $true angeben müssen?

so, wieder einen Schritt weiter (aber das Thema Zertifikate ist schwierig) Deshalb wieder eine Frage Ich habe jetzt 2 Zertifikate bekommen, beide haben die Endung .pem das eine ist das eigentliche SAN Zertifikat, das andere ist das Zertifikat der Zertifizierungskette (hat ein "Chain" im Namen) Jetzt habe ich mich eingelesen und (denke) rausgefunden, dass ich die Zertifikate "Zusammenführen" muss und in *.p7b konvertieren. Das habe ich auch schon mal gemacht Ist es jetzt rchtig, dass ich nun mit Import-ExchangeCertificate -Path c:\mein_Cert.p7b | Enable-ExchangeCertificate -Services "SMTP, IMAP, POP, IIS" das Zertifikat importiere und an die entsprechenden Dienste binde? Oder ist es falsch die *.pem Zertifikate nach p7b zu konvertieren?

Ok, danke nochmal Um es jetzt mal auf den Punkt zu bringen Wenn ich den EHLO Namen am Empfangsconnector ändern möchte kommt folgender Fehler Set-receiveconnector Fehler Fehler: Wenn der Parameter 'AuthMechanism' eines Empfangsconnectors auf den Wert 'ExchangeServer' festgelegt ist, muss der FQDN-Parameter auf dem Empfangsconnector auf einen der folgenden Werte festgelegt werden: der FQDN des Transportservers 'Servername.netz.Firma.de', der NetBIOS-Name des Transportservers 'Servername' oder '$null'. Also lasse ich den Namen erst mal so Ich beauftrage jetzt ein Zertifikat mit den Namen "Servername.netz.Firma.de" und Mail.Firma.net Das sind die beiden namen in den beiden Connectoren Dann binde ich das Zertifikat an den SMTP Dienst Das vorhandene Zertifikat bleibt doch dann an die anderen Dienste IIS, POP, IMAP gebunden, oder? Wäre das so alles richtig?

Also im Sendeconnector steht "mail.Firma.net" Im Empfangsconnector steht "Servername.netz.Firma.de" Der MX Eintrag zeigt auf "mail.Firma.net" Muss ich denn für den Internen Zugriff von Outlook keinen anderen Eintrag im zertifikat haben? Sorry wenn ich so oft nachfrage, aber ich finde im Web keine vernünftige/verständliche erklärung zu dem Thema, immer nur so allgemeine Erklärungen :nene:

Hallo und guten Morgen, ich bin jetzt soweit um das Zertifikat zu beuftragen Dazu noch eine Frage Unsere AD Domäne heisst "Netz.Firma.de"; die Mailadresse lautet aber "@Firma.net" (das ist alles aus der Historie und von vor meiner Zeit) In dem derzeitigen (selbst signierten Zertifikat) stehen folgende Domänennamen eingetragen netz.Firma.de, Mailserver.netz.Firma.de, mail.Firma.net, mail.netz.Firma.net, mail.Firma.de, mail.netz.Firma.de, Firma.net, netz.Firma.net, autodiscover.netz.Firma.de Müssen die alle so eingetragen sein? Was ist davon ist richtig und was überflüssig?

Hi Norbert, danke wieder was gelernt :thumb1: habs mir angeschaut, in der Tat steht es da drinne :cool: Hilft mir schon mal weiter :jau: Ja, ich habe ein Zertifikat, aber halt selbst Signiert, du meintest aber dass es besser sei ein öffentliches zu nehmen Das wollte ich einrichten/kaufen Muss dann nur noch die "Certificate Domains" mit Angeben denke ich

ja, es ist richtig, dass das Grundlagen sind :thumb1: nur wenn man die nicht hat, sich aber damit beschäftigen möchte/muss, es aber nicht versteht, dafür dachte ich wären solchen Foren hilfreich Da du aber meine fragen nicht beantworten magst (z.B. was ist der Subjectname?) hilft mir das nicht weiter. :nene: Und einfach so versuchen, ohne es zu verstehen ist bei "Operationen am offenen Herzen" nicht immer günstig Evtl drücke ich mich ja auch schlecht aus oder du verstehst mich nicht Aber trotzdem danke, evtl kann mir ja jemand anderes behilflich sein

boahhh, das Thema zertifikate ist echt ein Buch mit sieben siegeln Muss nochmal nachfragen da ich aus den ganzen Technet.Artikeln überhaupt nicht schlau werde :mad: :eek: Norbert sagt ja dass es sich anbietet ein Cert zu kaufen welches die gleichen Angaben hat wie mein selbst signiertes jetzt komme ich mit den angaben die in dem Technet Artikel aufgeführt sind nicht klar $Data1 = New-ExchangeCertificate -GenerateRequest -FriendlyName "Internet certificate for mail1" -SubjectName "DC=com,DC=Contoso,CN=mail1.contoso.com" -DomainName mail.contoso.com Set-Content -Path "C:\Certificates\mail1-request.req" -Value $Data1 Was genau ist denn der SubjectName? Was muss als DomainName rein? der MX Eintrag? oder macht es mehr sinn das vorhandene Zertifikat einfach zu erneuern? $Data = Get-ExchangeCertificate -Thumbprint c4248cd7065c87cb942d60f7293feb7d533a4afc | New-ExchangeCertificate -GenerateRequest -SubjectName "C=us, O=contoso corp, CN=mail1.contoso.com" Set-Content -Path "c:\ certificates\mail1.contoso.com.req" -Value $Data Hie dann auch wieder die Frage, was ist der SubjectName? was muss da rein? Sorry wenn ich sooft nachfrage, aber ich finde da nicht wirklich (für mich) verständliche Aussagen :unsure:

Das bedeutet jetzt, ich kaufe mir ein SAN Zertifikat mit all den CertificateDomains die ich jetzt auch im Zertifikat eingetragen habe und binde dieses dann auch neu an alle meine Dienste, richtig?

push.... Hat evtl. jemand eine Idee/Erklärung wie ich das neue Zertifikat anlegen muss und was mit dem alten passieren muss? Bin im Web nicht wirklich fündig geworden :nene: Danke

Ok ich versuche es nochmal zu erklären Ich habe eine Domäne von der aus wir die Mails an einen Smarthost senden > das Thema ist durch und geklärt :thumb1: Von der zweiten Domäne senden wir direkt ins Internet Auf diesem Mailserver habe ich ein ein Selbst Signiertes Zertifikat (siehe Oben) So, jetzt sollte ich ja zwecks TLS Verschlüsselung ein öffentliches Zertifikat verwenden Also muss ich ja eins Beantragen Jetzt ging es mir darum, welche "CertificateDomains" ich dort eintargen muss und ob ich ein weiteres Zertifikat an den SMTP Dienst binden kann So wie ich dich jetzt verstanden habe.... Kaufe ich mir ein Zertifikat mit den Gleichen Angaben wie in dem was ich schon haben (siehe oben) Dann binde ich das neue Zertifikat an die gleichen dienste wie oben (IMAP, POP, IIS, SMTP) oder? War das so verständlich? :confused:

Ich muss nochmal nachfragen weil es sich mir wirklich nicht ganz erschliesst Ich habe ja ein Zertifikat welchen aber Selfsigned ist, und welches auch schon an SMTP gebunden ist Wenn ich mir jetzt ein Öffentliches Cert kaufe, kann ich das dann zusätzlich an SMTP binden? Soll/Muss man bei dem TLS-Cert auch alle (wie ich es bei dem derzeitigen Cert habe) "CertificateDomains Namen" incl. FQDN eintragen? Danke vorab

ah, ok, verstehe ich muss immer Doppelt denken :D Wir haben zwei domänen Eine Domäne kommuniziert mit dem Smarthost > das ist geklärt, das wird von denen eingerichtet :thumb1: Eine weiter Domäne sendet direkt ins Internet, da muss ich tätig werden Es geht also jetzt um diese Domäne Sorry für die Verwirrung

Hallo, habe jetzt versucht mich in das Thema TLS-Zertifikate einzulesen, richtig verständlich ist es mir nicht geworden, bzw. bin etwas unsicher. Mir ist nicht 100% klar welche Angaben in das Zertifikat reinmüssen. Anderes Seits habe ich ja schon ein Zertifikat (allerdings selbst Signiert) mit folgenden Angaben: AccessRules : {System.Security.AccessControl.CryptoKeyAccessRule, System.Security.AccessControl.CryptoKeyAccessRule, System.Security.AccessCon trol.CryptoKeyAccessRule} CertificateDomains : {Domain.Firma.de, Mailserver, Mailserver.Domain.Firma.de, mail.Firma.net, mail.Domain.Firma.net, mail.Firma.de, mail.Domain.Firma. de, Firma.net, Domain.Firma.net, autodiscover.Domain.Firma.de} HasPrivateKey : True IsSelfSigned : False Issuer : CN=Firma Zertifizierungsstelle, DC=Domain, DC=Firma, DC=de NotAfter : 21.08.2016 11:12:26 NotBefore : 22.08.2014 11:12:26 PublicKeySize : 2048 RootCAType : Enterprise SerialNumber : 4A6D526554551544404B Services : IMAP, POP, IIS, SMTP Status : Valid Subject : CN=Domain.Firma.de, OU=Abt, O=Firma GmbH, L=Ort, C=DE Thumbprint : 99C3BF37B6819CACB9F73554455514551145558877271FA9030EEB93F6 Müssen die gleichen Angaben auch in das "öffentliche Zertifikat" rein? Danke vorab

Ja klar, ih schicke alles an den Smarthost War mir halt nicht sicher :nene: Habe noch eine Frage zum Zertifikat - Da ich ja nur an den Smarhost der Mutter sende, und das nicht irgendwei übers Internet sondern "Intern", kann es da auch zu Problemen kommen wenn ich ein Internes Zertifikat verwende? - ich habe den Mailservern (Diensten) ja schon ein SAN Zertifikat zugewiesen (das übrigens auch Selbst Signiert), kann ich denn jetzt das neue Zertifikat für TLS parallel zuweisen oder müsste ich das SAN Zertifikat "Erweitern"? :confused:

Hi Norbert, das klingt logisch :jau: Das kläre ich mit den Betreibern des Smarthostes mal ab jetzt muss ich aber nochmal "dumm" fragen Muss ich dann diese Befehle "Set-TransportConfig -TLSReceiveDomainSecureList example.com" + "Set-TransportConfig -TLSSendDomainSecureList example.com" auch ausführen, weil ich ja keine explizite Domäne angebe sondern alles per TLS rausschicke? :confused: Oder habe ich einen Gedankenfehler? :rolleyes:

Hallo Zusammen, wir bekommen jetzt einen Kunden der mit uns aber nur per TLS kommunizieren will. Jetzt bin ich da etwas unsicher Folgende Bedingungen 2x MBX, 2x Hub/CAS 2x Cisco loadbalancer, Versand/Empfang über Smarthost unserer Mutter. Habe mir jetzt mal DIESE (http://exchange.sembee.info/2010/hub/mutualtls.asp) Anleitung durchgelesen (soweit, soklar) Meine Gedanke dazu: -Ich organisiere mir ein offizielles Zertifikat (was wäre der Nachteil wenn ich ein Selbst-Signiertes nehme?) - Ich erstelle einen neuen Sendeconnector - Auf diesem Connector fürhre ich den Befehl "Set-SendConnector "Outbound Email" -DomainSecureEnabled:$true" aus - Denn noch die anderen Befehle gem der o.g. Anleitung Was mir jetzt nicht ganz klar ist: Wie verhält sich das mit dem Versandt über den Smarthost? Ich kann ja jetzt aufgrund des vorgeschalteten LB keinen weiteren Receiveconnector speziell für die Domäne erstellen, muss ja aber sicherstellen, dass andere nicht TLS versendete Mails ankommen, wird dies über den befehl "Set-TransportConfig -TLSReceiveDomainSecureList example.com" sichergestellt? Hoffe es ist verständlich rüber gekommen :-)

Hallo Robert, bei uns ist es definitiv so, dass wenn ich Vollzugriff einrichte auch das Automapping funktioniert. Wenn ich aber Den Zugriff weider entferne bleibt das Postfach beim User weiterhin eingebunden. Der user hat dann allerdings (was auch richtig ist) kein zugriff mehr Aber das Postfach ist auch nach Tagen noch in Outlook zusätzlich drinne

Hallo Zusammen, ich suche gerade eine Lösung zum Thema AutoMapping Wir gewähren z.B. Azubis Vollzugriff auf ein Postfach in der Abteilung in der die gerade tätig sind. also trage ich in der EMC (exchange 2010) die Berechtigung ein, soweit sogut, dann erfolgt auch das AutoMapping Wenn ich jetzt dem Azubi den Vollzugriff wieder wegnehme bleibt trotzdem das gemappte Postfach in seinem Outlook Kann ich das ganze (Berechtigung und Automapping entfernen) in einem Powershell befehl vereinen? hab nur Befehle gefunden die nur eins von beiden machen Add-MailboxPermission -Identity ‘Shared Mailbox’ -User ‘Raji S’ -AccessRight FullAccess -InheritanceType All -Automapping $false Remove-MailboxPermission -Identity <Mailbox ID1> -User <Mailbox ID2> -AccessRights FullAccess