Moped

Muss mich nochmal an euch wenden

habe jetzt soweit alles eingerichtet

Ich kann auch Mails an die eine Domäne versenden, allerdings klappt der Empfang nicht

Der Sender erhält den Fehler:

Diagnoseinformationen für Administratoren:
Generierender Server: mail.Server-des-Senders.de
Max.Muster@Firma.de
mail.Firma.de #<mail.Frima.de #5.7.1 smtp; 530 5.7.1 Not authenticated> #SMTP#

Auf meinem Mailserver sehe ich den Fehler "EventID 11017"

Message:	A message from domain-secured domain '%1' on connector '%2' failed to authenticate because no Transport Layer Security (TLS) certificate was supplied. Contact the administrator for %1 to resolve the problem, or remove the domain from the domain-secured list.

Explanation

This Error event indicates that a domain that is specified in the TransportConfig object as a domain-secured domain has sent a message and did not supply a Transport Layer Security (TLS) certificate. To send and receive Domain Secured e-mail, both the sending server and the receiving server must supply a valid TLS certificate.
   
User Action

To resolve this error, you must perform one of the following tasks:

    Disable Domain Security for the domain.

    Contact the administrator of the domain and request that the administrator create a valid TLS certificate for the domain.

Angeblich kann die andere Firma mit anderen via TLS Kommunizieren, nur mit "mir" nicht

Hab ich da evtl. handlungsbedarf?

Muss ich evtl einen neuen Empfangsconnector anlegen?

habe jetzt noch eine Verständnisfrage zu den Connectoren

Wir haben einen Sende-Connector der via MX/DNS ins Internet sendet

Und ich habe den Default-Receive-Connector

Ich möchte ja jetzt mit nur einem Kunden TLS machen

Macht es sinn, bzw. muss ich nun einen neuen Sende- und Empfangsconnector erstellen?

Oder wird durch die Befehle

Set-TransportConfig -TLSReceiveDomainSecureList example.com
Set-SendConnector "Outbound Email" -DomainSecureEnabled:$true
Set-ReceiveConnector "Inbound Email" -DomainSecureEnabled $true -AuthMechanism TLS

eingestellt, dass über die vorhandenen Connectoren nur zu/von dieser einen Domain TLS Verschlüsselt wird?

Dabei aber alles anderen Mails normal versendet werden?

Braucht man ja auch nicht unbedingt per Powershell machen, sondern kann das sogar in der GUI importieren. ;)

Auch bei Exchange 2007? :schreck:

Edit: Aber das Importieren Selber sollte kein Problem sein

Viel mehr ist die Frage wie gehe ich mit den 2 *.pem Files um

Ich habe jetzt die *.pem Zertifikate umgewandelt in *.der

Dann habe ich das eigentliche Zertifikat geöffnet und gesagt "In datei Kopieren" > Als Endung .P7B ausgewählt mit dem Haken "Wenn möglich, alle Zertifikate im Pfad einbeziehen"

jetzt habe ich ein Cert was, wenn ich es öffne 3 Zertifikate enthält

(<Alle>; Clientauthentifizierung; Serverauthentifizierung)

Soweit sieht es ja ok aus

Wo ich nicht sicher bin, muss ich iregendwas berücksichtigen wegen dem "Privat-Key"?

Weil ich die Option -PrivateKeyExportable $True nicht gesetzt habe

So schwer finde ich meine Hilfestellung eigentlich gar nicht. Ich kann aber nix dafür, dass dir die Grundlagen fehlen.

Das Stimmt, mir fehlen die Grundlagen, aber dann helfen solche "Brocken" erst recht nichts

Wenn es nur Experten wie dich geben würde, bräuchten wir keine Foren und und auch keine Consulter :)

Sofern du den CSR auf dem Exchange generiert hast, wäre es vermutlich am einfachsten das *.pem einfach zu importieren:

 

Import-ExchangeCertificate -FileData ([byte[]]$(Get-Content -Path c:\cert.pem -Encoding byte -ReadCount 0))

ok, wieder was neues :schreck:

Daran erkanne man wie Komplex das alles ist

Der Befehl ist mir jetzt noch gar nicht unter gekommen

 Insofern sei froh, dass du nicht weißt was du tust :p

Danke :thumb1:

ist leider so

Aber es ist schwer deine Art der Hilfestellung zu verstehen, das sind immer nur so "Hilfebrocken"

Egal, werde mich halt weiter einlesen,

denke das ist jetzt zu spät

wenn ich auf der angegebenen Webseite das Format in *.pfx ändern will, muss ich ein Privat-Key File angeben, das habe ich aber nicht :(

Habe ja jetzt aber das p7b File

Werde das am Montag mal importieren und den Dienste SMTP; POP; IIS und IMAP zuweisen

Warum erst am Montag? Weil ich nicht weiss was sonst am Freitag oder am WE passiert :confused: :schreck:

hi Norbert

PS: Der Teil vom Thema Zertifikate ist wirklich der einfache. ;)

Das sagst du, ich versuche micht gerade da reinzuarbeiten :confused: :nene:

Also, ich habe auf der Seite

https://www.sslshopper.com/ssl-converter.html

die beiden *.pem Zertifikate in ein *.p7b Zertifikat umgewandelt

Oder siehst du ein Vorteil darin die Zertifikate Einzeln zu importieren? Ich dachte es ist einfacher so, alles in einem "Rutsch" :rolleyes:

In dem erstellten p7b Zertifikat sollte doch der private Schlüssel mit drinne sein, oder? :confused:

Edit: hätte ich bei dem request noch die Parameter -KeySize 1024
-PrivateKeyExportable: $true angeben müssen?

so, wieder einen Schritt weiter (aber das Thema Zertifikate ist schwierig)

Deshalb wieder eine Frage

Ich habe jetzt 2 Zertifikate bekommen, beide haben die Endung .pem

das eine ist das eigentliche SAN Zertifikat, das andere ist das Zertifikat der Zertifizierungskette (hat ein "Chain" im Namen)

Jetzt habe ich mich eingelesen und (denke) rausgefunden, dass ich die Zertifikate "Zusammenführen" muss und in *.p7b konvertieren.

Das habe ich auch schon mal gemacht

Ist es jetzt rchtig, dass ich nun mit

Import-ExchangeCertificate -Path c:\mein_Cert.p7b | Enable-ExchangeCertificate -Services "SMTP, IMAP, POP, IIS"

das Zertifikat importiere und an die entsprechenden Dienste binde?

Oder ist es falsch die *.pem Zertifikate nach p7b zu konvertieren?

Ok, danke nochmal

Um es jetzt mal auf den Punkt zu bringen

Wenn ich den EHLO Namen am Empfangsconnector ändern möchte kommt folgender Fehler

Set-receiveconnector
Fehler
Fehler:
Wenn der Parameter 'AuthMechanism' eines Empfangsconnectors auf den Wert 'ExchangeServer' festgelegt ist, muss der FQDN-Parameter auf dem Empfangsconnector auf einen der folgenden Werte festgelegt werden: der FQDN des Transportservers 'Servername.netz.Firma.de', der NetBIOS-Name des Transportservers 'Servername' oder '$null'.

Also lasse ich den Namen erst mal so

Ich beauftrage jetzt ein Zertifikat mit den Namen "Servername.netz.Firma.de" und Mail.Firma.net

Das sind die beiden namen in den beiden Connectoren

Dann binde ich das Zertifikat an den SMTP Dienst

Das vorhandene Zertifikat bleibt doch dann an die anderen Dienste IIS, POP, IMAP gebunden, oder?

Wäre das so alles richtig?

Also im Sendeconnector steht "mail.Firma.net"

Im Empfangsconnector steht "Servername.netz.Firma.de"

Der MX Eintrag zeigt auf "mail.Firma.net"

Muss ich denn für den Internen Zugriff von Outlook keinen anderen Eintrag im zertifikat haben?

Sorry wenn ich so oft nachfrage, aber ich finde im Web keine vernünftige/verständliche erklärung zu dem Thema, immer nur so allgemeine Erklärungen :nene:

Hallo und guten Morgen,

ich bin jetzt soweit um das Zertifikat zu beuftragen

Dazu noch eine Frage

Unsere AD Domäne heisst "Netz.Firma.de"; die Mailadresse lautet aber "@Firma.net" (das ist alles aus der Historie und von vor meiner Zeit)

In dem derzeitigen (selbst signierten Zertifikat) stehen folgende Domänennamen eingetragen

netz.Firma.de, 
Mailserver.netz.Firma.de, 
mail.Firma.net, 
mail.netz.Firma.net, 
mail.Firma.de, 
mail.netz.Firma.de, 
Firma.net, 
netz.Firma.net, 
autodiscover.netz.Firma.de

Müssen die alle so eingetragen sein?
Was ist davon ist richtig und was überflüssig?

Hi Norbert,

danke wieder was gelernt :thumb1:
habs mir angeschaut, in der Tat steht es da drinne :cool:

Hilft mir schon mal weiter :jau:

Ja, ich habe ein Zertifikat, aber halt selbst Signiert, du meintest aber dass es besser sei ein öffentliches zu nehmen

Das wollte ich einrichten/kaufen

Muss dann nur noch die "Certificate Domains" mit Angeben denke ich

ja, es ist richtig, dass das Grundlagen sind :thumb1:

nur wenn man die nicht hat, sich aber damit beschäftigen möchte/muss, es aber nicht versteht, dafür dachte ich wären solchen Foren hilfreich

Da du aber meine fragen nicht beantworten magst (z.B. was ist der Subjectname?) hilft mir das nicht weiter. :nene:

Und einfach so versuchen, ohne es zu verstehen ist bei "Operationen am offenen Herzen" nicht immer günstig

Evtl drücke ich mich ja auch schlecht aus oder du verstehst mich nicht

Aber trotzdem danke, evtl kann mir ja jemand anderes behilflich sein

boahhh, das Thema zertifikate ist echt ein Buch mit sieben siegeln

Muss nochmal nachfragen da ich aus den ganzen Technet.Artikeln überhaupt nicht schlau werde :mad: :eek:

Norbert sagt ja dass es sich anbietet ein Cert zu kaufen welches die gleichen Angaben hat wie mein selbst signiertes

jetzt komme ich mit den angaben die in dem Technet Artikel aufgeführt sind nicht klar

$Data1 = New-ExchangeCertificate -GenerateRequest -FriendlyName "Internet certificate for mail1" -SubjectName "DC=com,DC=Contoso,CN=mail1.contoso.com" -DomainName mail.contoso.com
Set-Content -Path "C:\Certificates\mail1-request.req" -Value $Data1

Was genau ist denn der SubjectName?

Was muss als DomainName rein? der MX Eintrag?

oder macht es mehr sinn das vorhandene Zertifikat einfach zu erneuern?

$Data = Get-ExchangeCertificate -Thumbprint c4248cd7065c87cb942d60f7293feb7d533a4afc | New-ExchangeCertificate -GenerateRequest -SubjectName "C=us, O=contoso corp, CN=mail1.contoso.com" 
Set-Content -Path "c:\ certificates\mail1.contoso.com.req" -Value $Data

Hie dann auch wieder die Frage, was ist der SubjectName? was muss da rein?

Sorry wenn ich sooft nachfrage, aber ich finde da nicht wirklich (für mich) verständliche Aussagen :unsure:

Das bedeutet jetzt, ich kaufe mir ein SAN Zertifikat mit all den CertificateDomains die ich jetzt auch im Zertifikat eingetragen habe und binde dieses dann auch neu an alle meine Dienste, richtig?

push....

Hat evtl. jemand eine Idee/Erklärung wie ich das neue Zertifikat anlegen muss und was mit dem alten passieren muss?

Bin im Web nicht wirklich fündig geworden :nene:

Danke

Ok ich versuche es nochmal zu erklären

Ich habe eine Domäne von der aus wir die Mails an einen Smarthost senden > das Thema ist durch und geklärt :thumb1:

Von der zweiten Domäne senden wir direkt ins Internet

Auf diesem Mailserver habe ich ein ein Selbst Signiertes Zertifikat (siehe Oben)
So, jetzt sollte ich ja zwecks TLS Verschlüsselung ein öffentliches Zertifikat verwenden

Also muss ich ja eins Beantragen

Jetzt ging es mir darum, welche "CertificateDomains" ich dort eintargen muss und ob ich ein weiteres Zertifikat an den SMTP Dienst binden kann

So wie ich dich jetzt verstanden habe....

Kaufe ich mir ein Zertifikat mit den Gleichen Angaben wie in dem was ich schon haben (siehe oben)

Dann binde ich das neue Zertifikat an die gleichen dienste wie oben (IMAP, POP, IIS, SMTP)

oder?

War das so verständlich? :confused:
 

Ich muss nochmal nachfragen weil es sich mir wirklich nicht ganz erschliesst

Ich habe ja ein Zertifikat welchen aber Selfsigned ist, und welches auch schon an SMTP gebunden ist

Wenn ich mir jetzt ein Öffentliches Cert kaufe, kann ich das dann zusätzlich an SMTP binden?

Soll/Muss man bei dem TLS-Cert auch alle (wie ich es bei dem derzeitigen Cert habe) "CertificateDomains Namen" incl. FQDN eintragen?

Danke vorab

ah, ok, verstehe
ich muss immer Doppelt denken :D

Wir haben zwei domänen

Eine Domäne kommuniziert mit dem Smarthost > das ist geklärt, das wird von denen eingerichtet :thumb1:

Eine weiter Domäne sendet direkt ins Internet, da muss ich tätig werden

Es geht also jetzt um diese Domäne

Sorry für die Verwirrung

Hallo,

habe jetzt versucht mich in das Thema TLS-Zertifikate einzulesen, richtig verständlich ist es mir nicht geworden, bzw. bin etwas unsicher.

Mir ist nicht 100% klar welche Angaben in das Zertifikat reinmüssen.

Anderes Seits habe ich ja schon ein Zertifikat (allerdings selbst Signiert) mit folgenden Angaben:

AccessRules        : {System.Security.AccessControl.CryptoKeyAccessRule, System.Security.AccessControl.CryptoKeyAccessRule, System.Security.AccessCon
                     trol.CryptoKeyAccessRule}
CertificateDomains : {Domain.Firma.de, Mailserver, Mailserver.Domain.Firma.de, mail.Firma.net, mail.Domain.Firma.net, mail.Firma.de, mail.Domain.Firma.
                     de, Firma.net, Domain.Firma.net, autodiscover.Domain.Firma.de}
HasPrivateKey      : True
IsSelfSigned       : False
Issuer             : CN=Firma Zertifizierungsstelle, DC=Domain, DC=Firma, DC=de
NotAfter           : 21.08.2016 11:12:26
NotBefore          : 22.08.2014 11:12:26
PublicKeySize      : 2048
RootCAType         : Enterprise
SerialNumber       : 4A6D526554551544404B
Services           : IMAP, POP, IIS, SMTP
Status             : Valid
Subject            : CN=Domain.Firma.de, OU=Abt, O=Firma GmbH, L=Ort, C=DE
Thumbprint         : 99C3BF37B6819CACB9F73554455514551145558877271FA9030EEB93F6

Müssen die gleichen Angaben auch in das "öffentliche Zertifikat" rein?

Danke vorab

Ja klar, ih schicke alles an den Smarthost

War mir halt nicht sicher :nene:

Habe noch eine Frage zum Zertifikat

- Da ich ja nur an den Smarhost der Mutter sende, und das nicht irgendwei übers Internet sondern "Intern", kann es da auch zu Problemen kommen wenn ich ein Internes Zertifikat verwende?

- ich habe den Mailservern (Diensten) ja schon ein SAN Zertifikat zugewiesen (das übrigens auch Selbst Signiert), kann ich denn jetzt das neue Zertifikat für TLS parallel zuweisen oder müsste ich das SAN Zertifikat "Erweitern"? :confused:

Hi Norbert, das klingt logisch :jau:

Das kläre ich mit den Betreibern des Smarthostes mal ab

jetzt muss ich aber nochmal "dumm" fragen

Muss ich dann diese Befehle "Set-TransportConfig -TLSReceiveDomainSecureList example.com" + "Set-TransportConfig -TLSSendDomainSecureList example.com" auch ausführen, weil ich ja keine explizite Domäne angebe sondern alles per TLS rausschicke? :confused:
 

Oder habe ich einen Gedankenfehler? :rolleyes:

Hallo Zusammen,

wir bekommen jetzt einen Kunden der mit uns aber nur per TLS kommunizieren will.
Jetzt bin ich da etwas unsicher
Folgende Bedingungen
2x MBX, 2x Hub/CAS 2x Cisco loadbalancer, Versand/Empfang über Smarthost unserer Mutter.

Habe mir jetzt mal DIESE (http://exchange.sembee.info/2010/hub/mutualtls.asp) Anleitung durchgelesen (soweit, soklar)

Meine Gedanke dazu:

-Ich organisiere mir ein offizielles Zertifikat (was wäre der Nachteil wenn ich ein Selbst-Signiertes nehme?)
- Ich erstelle einen neuen Sendeconnector
- Auf diesem Connector fürhre ich den Befehl "Set-SendConnector "Outbound Email" -DomainSecureEnabled:$true" aus
- Denn noch die anderen Befehle gem der o.g. Anleitung

Was mir jetzt nicht ganz klar ist:
Wie verhält sich das mit dem Versandt über den Smarthost?
Ich kann ja jetzt aufgrund des vorgeschalteten LB keinen weiteren Receiveconnector speziell für die Domäne erstellen, muss ja aber sicherstellen, dass andere nicht TLS versendete Mails ankommen, wird dies über den befehl "Set-TransportConfig -TLSReceiveDomainSecureList example.com" sichergestellt?

Hoffe es ist verständlich rüber gekommen :-)

Hallo Robert,

bei uns ist es definitiv so, dass wenn ich Vollzugriff einrichte auch das Automapping funktioniert.

Wenn ich aber Den Zugriff weider entferne bleibt das Postfach beim User weiterhin eingebunden.

Der user hat dann allerdings (was auch richtig ist) kein zugriff mehr

Aber das Postfach ist auch nach Tagen noch in Outlook zusätzlich drinne

Hallo Zusammen,

ich suche gerade eine Lösung zum Thema AutoMapping

Wir gewähren z.B. Azubis Vollzugriff auf ein Postfach in der Abteilung in der die gerade tätig sind.

also trage ich in der EMC (exchange 2010) die Berechtigung ein, soweit sogut, dann erfolgt auch das AutoMapping

Wenn ich jetzt dem Azubi den Vollzugriff wieder wegnehme bleibt trotzdem das gemappte Postfach in seinem Outlook

Kann ich das ganze (Berechtigung und Automapping entfernen) in einem Powershell befehl vereinen?

hab nur Befehle gefunden die nur eins von beiden machen

Add-MailboxPermission -Identity ‘Shared Mailbox’ -User ‘Raji S’ -AccessRight FullAccess -InheritanceType All -Automapping $false

Remove-MailboxPermission -Identity <Mailbox ID1> -User <Mailbox ID2> -AccessRights FullAccess