MiLLHouSe 14 Geschrieben 10. März 2014 Melden Teilen Geschrieben 10. März 2014 Hallo, wir haben letzte Woche so ein nettes Werkzeugverwaltungsgerät bekommen, das div. Statusmeldungen etc. per Mail verschicken kann. Dieses Gerät ist jedoch kein Mitglied in unserer Domäne und ich kann dem Ding irgendwie nicht beibringen, Mails auch nach extern zu schicken. Ich habe einen Domänen-Benutzer angelegt, den ich in den Mail-Einstellungen des Gerätes als Authentifizierungsuser verwende. Leider funktioniert das mit dem nach extern senden nur dann, wenn dieser User Domänen-Admin ist, ansonsten kommt die Meldung: Fehler LogonDenied bei der eingehenden Authentifizierung für den Empfangsconnector xxxx. Der Authentifizierungsmechanismus ist Ntlm. Die Quell-IP-Adresse des Clients, der die Authentifizierung bei Microsoft Exchange versucht hat, ist [xxx.xxx.xxx.xxx]. Habe dann ein paar Einstellungen durchprobiert und irgendwann auch mal diese Meldung erhalten: Das Konto 'Domäne\User' hat gültige Anmeldeinformationen bereitgestellt, besitzt jedoch keine Übermittlungsberechtigungen für den SMTP-Empfangsconnector 'xxxx'. Fehler bei der Authentifizierung. Nur intern versenden ist kein Problem, aber ein paar Meldungen müssen auch nach extern zum Anbieter. Wie bringe ich meinem Mail-Server oder dem Gerät jetzt bei, dass sie das machen sollen? Bislang hatte ich nur Geräte, die in der Domäne waren bzw. voll anonym Mailen. Kann mir evtl. jemand nen Tipp geben, wo es hakt? Danke schonmal. Alex Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 10. März 2014 Melden Teilen Geschrieben 10. März 2014 Moin, welche Exchange Version? Nach dem Du nun schon genug rumgebastelt hast, wäre es außerdem schön, die aktuellen Einstellungen zu kennen. Zitieren Link zu diesem Kommentar
MiLLHouSe 14 Geschrieben 10. März 2014 Autor Melden Teilen Geschrieben 10. März 2014 Hmm, sorry, hab ich total vergessen: Exchange 2010 Im Connector ist folgendes eingestellt: Reiter Netzwerk - E-Mail von Remoteservern ...: IP-Adresse des Gerätes Reiter Authentifizierung: Haken bei TLS, Standardauth., integrierte Windows-Auth. Reiter Berechtigungsgruppen: Anonyme Benutzer Und wie gesagt, der Benutzer, den ich angelegt habe, ist momentan Domänen-Admin, damit das überhaupt funktioniert. Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 10. März 2014 Melden Teilen Geschrieben 10. März 2014 Reiter Berechtigungsgruppen: Anonyme Benutzer Hier bitte "Exchange Benutzer" angeben. Und wie gesagt, der Benutzer, den ich angelegt habe, ist momentan Domänen-Admin, damit das überhaupt funktioniert. Das sollte definitiv nicht notwendig sein. Zitieren Link zu diesem Kommentar
MiLLHouSe 14 Geschrieben 10. März 2014 Autor Melden Teilen Geschrieben 10. März 2014 Exchange-Benutzer auch, wenn der angelegte User im AD kein Mail-Konto hat? Ich muss dem System Benutzername, Passwort, Serveradresse und Mail-Adresse mitteilen. AD-Benutzter habe ich angelegt und ein PW vergeben, Serveradresse ist klar aber ne Mail-Adresse hat der Benutzer nicht, die ist quasi rein virtuell oder so nur zum versenden. Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 10. März 2014 Melden Teilen Geschrieben 10. März 2014 Gegenfrage: Wo meinst Du denn, würde Exchange den Benutzernamen und das PW überprüfen, wenn nicht im AD? In den Standard-Einstellungen kann ein authentifizierter User nur dann per SMTP einliefern, wenn er beim Senden seine eigene Mail-Adresse angibt. Damit soll vermieden werden, dass Absender gefälscht werden. Und wo wird die Adresse wohl stehen? Richtig: Im Postfach. Wenn der Benutzer kein Postfach haben soll, oder er soll mit jeder beliebigen Adresse senden, musst Du im Connector die Berechtigung "ms-Exch-SMTP-Accept-Any-Sender" vergeben. http://technet.microsoft.com/de-de/library/jj673053(v=exchg.150).aspx http://help.globalscape.com/help/me3/configuring_authenticated_access_to_exchange.htm Zitieren Link zu diesem Kommentar
MiLLHouSe 14 Geschrieben 10. März 2014 Autor Melden Teilen Geschrieben 10. März 2014 Ja, vom Prinzip her ist das natürlich schon logisch. Ich könnte natürlich ein Postfach anlegen und da dann eine Weiterleitung zu mir einrichten, falls jemand auf die Idee kommt, an diese Adresse zu antworten. Oder einstellen, dass nur Mails von auth. Benutzern empfangen werden dürfen (d.h. intern), dann geht's auch wieder, da intern kein Mensch die Mail-Adresse kennen wird. Aber ich frage mich, wie das dann z.B. unser ERP-System macht. Das nutzt auch eine im Prinzip x-beliebige Mail-Adresse und versendet anonym. Ich habe hier auch nur einen Empfangsconnector eingerichtet, der von der ERP-Server-IP das Versenden erlaubt. Und bei dem Gerät habe ich auch schon versucht, Benutzername und Passwort weg zu lassen, damit er anonym sendet, hat aber auch nicht geklappt. Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 10. März 2014 Melden Teilen Geschrieben 10. März 2014 (bearbeitet) Moin, Du würfelst da einiger Dinge durcheinander. Daher zuer: Anforderungen klären. Wenn ein Gerät anonym einliefern, dann kann es logischerweise jede Absender-Adresse nutzen. Ohne Anmeldung, kein Überprüfung des Absender, nur noch Überprüfung des Empfängers möglich. Normalfall: Benutzer kann nur nach Authentifikation mit seiner eigenen Adresse einliefern und an jede Adresse schicken Aufgeweicht: Benutzer kann nur nach Authentifikation mit jeder beliebigen Adresse einliefern und an jede Adresse schicken Gefährlich: Benutzer kann ohne Authentifikation einliefern (mit beliebigem Absender), aber nur an interne Adresse Extrem gefährlich: Benutzer kann ohne Authentifikation einliefern (mit beliebigem Absender), aber an jede Adresse Die Lösung mit der "Weiterleitung" macht man manchmal, dann aber mit einem Kontakt. Wenn ein Geräte, dass nicht selbst authentifizieren kann, einliefern muss (dann sind Fall 1 und 2 ja nicht möglich), nimmt man den Fall drei, lässt das Gerät aber einen Kontakt zu stellen. Der ist ein interner Empfänger, leitet die Mail aber einen externen Empfänger weiter. bearbeitet 10. März 2014 von RobertWi Zitieren Link zu diesem Kommentar
MiLLHouSe 14 Geschrieben 11. März 2014 Autor Melden Teilen Geschrieben 11. März 2014 Hallo, ich habe jetzt für den Benutzer ein Postfach am Exchange eingerichtet. Problem ist jetzt nur, dass ich jetzt keine Fehlermeldung mehr bekomme (was eigentlich gut wäre) aber leider auch keine E-Mail (und das ist dann widerum b***d). Den eigenen Empfangsconnector brauche ich ja jetzt dann auch nicht mehr oder? Ich versteh's langsam nicht mehr... Und hab's vorher wahrscheinlich auch nicht richtig verstanden :confused: Oder liegt's evtl. daran, dass ich das Gerät jetzt zwar in die Domäne eingebunden habe, aber weiterhin mit dem lokalen Benutzer angemeldet bleibe und keine Domänenanmeldung mache? Dürfte aber doch eigentlich egal sein oder? Bekomme ja auch keine Fehlermeldung.... :rolleyes: Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 11. März 2014 Melden Teilen Geschrieben 11. März 2014 Moin, wie Du am Gerät angemeldet bist, ist egal. Die Anmeldung muss bei SMTP erfolgen und das macht die Anwendung, die SMTP benutzt. Schau in das SMTP-Protokoll (eventuell vorher auf allen Empfangsconnectoren aktivieren). Darin kannst Du sehen, welcher Connector sich angeprochen fühlt und wie der Fehler lautet: http://www.symantec.com/business/support/index?page=content&id=HOWTO92299 http://serverfault.com/questions/269472/where-can-i-find-logs-of-emails-sent-from-an-exchange-relay Zitieren Link zu diesem Kommentar
MiLLHouSe 14 Geschrieben 12. März 2014 Autor Melden Teilen Geschrieben 12. März 2014 Tag auch ;) Da steht natürlich einiges drin... Am Ende aber steht u.a. das hier: 550 5.7.1 Client does not have permissions to send as this sender Oder soll ich evtl. mal den kompletten "Datensatz" einstellen? Zitieren Link zu diesem Kommentar
NorbertFe 1.799 Geschrieben 12. März 2014 Melden Teilen Geschrieben 12. März 2014 (bearbeitet) Da steht doch genau das, was dir Robert oben "verklickern" will. Normalfall: Benutzer kann nur nach Authentifikation mit seiner eigenen Adresse einliefern und an jede Adresse schicken Es authentifiziert sich also Nutzer A mit a@domain.tld und versucht mit b@domain.tld zu senden. Das darf er nicht!ByeNorbert bearbeitet 12. März 2014 von NorbertFe Zitieren Link zu diesem Kommentar
MiLLHouSe 14 Geschrieben 12. März 2014 Autor Melden Teilen Geschrieben 12. März 2014 Sorry, wenn ich's nicht verstehe... Es Authentifiziert sich User A und versucht auch mit User A zu versenden... 220 SERVERXXX.Domain.local Microsoft ESMTP MAIL Service ready at Wed, 12 Mar 2014 10:37:59 +0100",EHLO Benutzer,250-SERVERXXX.Domain.local Hello [xxx.xxx.xxx.xxx],250-SIZE,250-PIPELINING,250-DSN,250-ENHANCEDSTATUSCODES,250-STARTTLS,250-X-ANONYMOUSTLS,250-AUTH NTLM LOGIN,250-X-EXPS GSSAPI NTLM,250-8BITMIME,250-BINARYMIME,250-CHUNKING,250-XEXCH50,250-XRDST,250 XSHADOW,AUTH ntlm,334 <authentication response>,Inbound Negotiate failed because of LogonDeniedUser Name: NULLTarpit for '0.00:00:05',535 5.7.3 Authentication unsuccessful,AUTH login,334 <authentication response>,SMTPSubmit SMTPAcceptAnyRecipient BypassAntiSpam AcceptRoutingHeaders,Set Session PermissionsDomain\Benutzer,authenticated235 2.7.0 Authentication successful,MAIL FROM:<xxx@xxx.xx>,receiving message250 2.1.0 Sender OK,RCPT TO:<xxx@xxx.xx>,250 2.1.5 Recipient OK,RCPT TO:<xxx@xxx.xx>,250 2.1.5 Recipient OK,RCPT TO:<xxx@xxx.xx>,250 2.1.5 Recipient OK,DATA,354 Start mail input; end with <CRLF>.<CRLF>,550 5.7.1 Client does not have permissions to send as this sender,Remote Zitieren Link zu diesem Kommentar
NorbertFe 1.799 Geschrieben 12. März 2014 Melden Teilen Geschrieben 12. März 2014 Hast du dich zweimal versucht anzumelden und einmal hats nicht funktioniert, oder soll das der Verwirrung helfen? ;) Zitieren Link zu diesem Kommentar
MiLLHouSe 14 Geschrieben 12. März 2014 Autor Melden Teilen Geschrieben 12. März 2014 (bearbeitet) Wie meinst du das? Das ist die original Meldung aus dem Logfile, gekürzt halt um die Zeitangaben. Alles innerhalb weniger Sekunden passiert. Was seltsam ist, ist der Benutzer "NULL" und danach die normale Anmeldung, die dann auch geklappt hat. Ich kann in dem System auch nur Benutzername, Passwort, Serveradresse, Mailadresse und Betreff angeben. Das wird in eine Textdatei geschrieben, die dann wohl deren System ausliest. Und als Benutzer habe ich dann eben "Domain\Benutzer" angegeben. bearbeitet 12. März 2014 von MiLLHouSe Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.