Jump to content
Michl16

SSL/TLS-SMTP-Kommunikation über 465 hängt (Exchange 2019)

Recommended Posts

Hallo zusammen,

 

momentan stehe ich vor einem seltsamen Problem und habe keine Ahnung in welche "Richtung" ich weiter recherchieren soll (googlen). Vielleicht könnt ihr mir mögliche Probleme aus eigener Erfahrung mitteilen.

Ich will jetzt euch mit möglichen Log-Inhalten noch gar nicht "zu bombadieren". Aber wenn es diese erforderlich machen, liefre ich diese gerne nach.

 

Ganz grob geht es um folgendes:

Der Mailversand klappt intern und extern mit Outlook ohne Probleme. Auch iOS und Android haben mittels ActiveSync keine Probleme.

Der Exchange-Server lebt seit Exchange 2003 und wurde mal auf Exchange 2010 migriert und seit einem halben Jahr auf 2019 (über 2016).

 

Obwohl wir IMAP nicht mehr verwenden habe ich es jedoch nun nochmals reaktiviert (ist ja letztendlich nur das Starten der Service; Service ist bei den Benutzern ja standardmäßig aktiviert), um das SMTP-Protokoll testen zu können. Hintergrund: Ein Programm auf dem Server will keine Status-Mails versenden. Zum Testen verwende ich auf meinem Computer Thunderbird. Hier lässt sich bequem das zu verwendende Protokoll auswählen und explizit testen. Wobei IMAP an für sich ja auch funktioniert, nur das versenden von Mails macht Probleme.

 

Zuerst habe ich Port 587 vorgenommen mittels START TLS.

image.png.b1a7963b6c686c3b926c74ad4966a892.png

 

Hier hatte ich komischerweise das Problem, dass Thunderbird beim Versenden den Fehler brachte Client does not have permissions to send as this sender.

Das konnte ich allerdings mit dem Recht ms-exch-smtp-accept-authoritative-domain-sender beim Hub-Konnektor 465 beheben.

Hier war es schon mal eine neue Erkenntnis für mich, dass der Frontend-Konnektor 587 nach Aufbau der gesicherten Verbindung den Hub-Konnektor 465 ebenfalls mitbenutzt. Ich hätte erwartet/gedacht, dass der Konnektor für 587 alle Aufgaben übernimmt.

 

Nun wollte ich den SMTP-Port 465 testen.

image.png.c07e2f8284f57a0928360717e90d12d4.png

 

Eigentlich war ich zuversichtlich, dass dies ja dann ebenfalls nun auch funktionieren müsste, da der Hub-Konnektor indirekt über 587 ebenfalls funktionierte. Aber Pustekuchen. Thunderbird will die Mail nicht raus senden und hängt:

image.png.1054c1f9ac8b88bd107a7af15d2152d0.pngimage.png.cb555f3997a6d737840b20e50cd8af5a.png

 

An geblockten Ports etc. kann es nicht liegen, da der Mailserver mit telnet <server> 465 brav meldet und ein EHLO abgesetzt werden kann.

 

Habe ich jetzt doch noch ein Verständnisproblem?

Müsste der Konnektor 465 ebenfalls ein Frontend-Konnektor sein und nicht nur ein Hub/Transport Konnektor? Fehlt irgendwo noch das aktuelle/neue Zertifikat?

Dem Konnektor 465 ist definitiv das aktuelle Zertifikat zugewiesen. Der Konntektor 2525 jedoch nicht. Braucht der noch eins?

 

2020-04-16T10:12:07.322Z,SERVER\Port 465,08D7E14C0242AE7B,0,192.168.1.x:465,87.150.164.x:5420,+,,
2020-04-16T10:12:07.324Z,SERVER\Port 465,08D7E14C0242AE7B,1,192.168.1.x:465,87.150.164.x:5420,>,"220 SERVER.firma.local Microsoft ESMTP MAIL Service ready at Thu, 16 Apr 2020 12:12:06 +0200",
2020-04-16T10:12:20.535Z,SERVER\Port 465,08D7E14C0242AE7B,2,192.168.1.x:465,87.150.164.x:5420,<,ehlo,
2020-04-16T10:12:20.535Z,SERVER\Port 465,08D7E14C0242AE7B,3,192.168.1.x:465,87.150.164.x:5420,>,250  SERVER.firma.local Hello [87.150.164.x] SIZE 37748736 PIPELINING DSN ENHANCEDSTATUSCODES STARTTLS X-ANONYMOUSTLS AUTH GSSAPI NTLM X-EXPS GSSAPI NTLM 8BITMIME BINARYMIME CHUNKING XEXCH50 SMTPUTF8 XRDST XSHADOWREQUEST,
2020-04-16T10:12:24.370Z,SERVER\Port 465,08D7E14C0242AE7B,4,192.168.1.x:465,87.150.x.164:5420,<,quit,
2020-04-16T10:12:24.370Z,SERVER\Port 465,08D7E14C0242AE7B,5,192.168.1.x:465,87.150.164.x:5420,>,221 2.0.0 Service closing transmission channel,
2020-04-16T10:12:24.370Z,SERVER\Port 465,08D7E14C0242AE7B,6,192.168.1.x:465,87.150.164.x:5420,-,,Local

Wie man sieht, ist der Aufruf auch protokolliert worden in C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\Logs\Hub\ProtocolLog\SmtpReceive

 

Nach absenden einer Mail von Thunderbird sieht man, dass nach 2 Minuten ein Remote(SocketError) (wahrscheinlich durch Schließung des Sockets nach dem Timeout) kommt.

Aber mir ist nicht klar, wieso bei direktem Zugriff auf Port 465 die Anfrage nicht bearbeitet wird?

2020-04-16T10:32:54.894Z,SERVER\Port 465,08D7E14C0242AE92,0,192.168.1.x:465,87.150.164.x:5557,+,,
2020-04-16T10:32:54.895Z,SERVER\Port 465,08D7E14C0242AE92,1,192.168.1.x:465,87.150.164.x:5557,>,"220 SERVER.firma.local Microsoft ESMTP MAIL Service ready at Thu, 16 Apr 2020 12:32:54 +0200",
2020-04-16T10:34:34.936Z,SERVER\Port 465,08D7E14C0242AE92,2,192.168.1.x:465,87.150.164.x:5557,-,,Remote(SocketError)

 

Falls jemand einen Tipp für mich hat, was ich noch prüfen könnte - immer gerne!

 

Michael

 

Ach ja, der Versand auf Port 465 klappt, wenn in "Verbindungssicherheit" auf "Keine" umgestellt wird. Also ich habe ja stark die Vermutung, dass da irgendwas mit der Zertifikat nicht passt. Zumindest "von außen".

Edited by Michl16

Share this post


Link to post
Share on other sites

Hi,

 

was für ein Zertifikat nutzt du denn? Generell evtl: https://www.frankysweb.de/exchange-2016-smtp-connector-und-wildcard-san-zertifikate/

 

Wenn Thunderbird die Mails versenden kann heißt das leider noch nicht, dass deine Anwendung auf dem Server dann auch funktioniert. ;) Ggfs. wäre es noch eine Alternative der Anwendung einen eigenen Konnektor zu spendieren und diesen dann zu nutzen.

 

Gruß

Jan

Share this post


Link to post
Share on other sites
vor 5 Minuten schrieb testperson:

was für ein Zertifikat nutzt du denn? Generell evtl: https://www.frankysweb.de/exchange-2016-smtp-connector-und-wildcard-san-zertifikate/

Das sind ganz simple Domain-Zertifikate (kein SAN)

TlsCertificateName                        : <I>CN=Sectigo RSA Domain Validation Secure Server CA, O=Sectigo Limited,
                                            L=Salford, S=Greater Manchester, C=GB<S>CN=hh.firma.de

Es wird zwar ein Split-DNS betrieben, da aber auch der Exchange-Server explizit in der Mailkonfiguration als hh.firma.de angegeben wird, sollten die Namen eigentlich schon übereinstimmen und nicht das Problem sein.

 

Zitat

Wenn Thunderbird die Mails versenden kann heißt das leider noch nicht, dass deine Anwendung auf dem Server dann auch funktioniert. ;) Ggfs. wäre es noch eine Alternative der Anwendung einen eigenen Konnektor zu spendieren und diesen dann zu nutzen.

vor 5 Minuten schrieb testperson:

Das ist richtig. Allerdings sollte dies so oder so auch funktionieren. Besser jetzt beheben, als wenn man es morgen bräuchte ;)

Share this post


Link to post
Share on other sites
vor 2 Minuten schrieb Michl16:

Das ist richtig. Allerdings sollte dies so oder so auch funktionieren. Besser jetzt beheben, als wenn man es morgen bräuchte ;)

Ich bin da vollkommen bei dir. Allerdings gibt es "Software" wo du um einen solchen Würgaround nicht rumkommst sofern du die E-Mails versenden willst.

Share this post


Link to post
Share on other sites

Nachdem ich den Artikel Exchange 2016 Mail Flow gelesen habe (letzten Abschnitt), frage ich mich, ob es überhaupt möglich/vorgesehen ist Verbindungen direkt über 465 herzustellen..

Hat denn überhaupt jemand Clients in Betrieb, welche über Port 465 kommunizieren??

Edited by Michl16

Share this post


Link to post
Share on other sites

Das ist nicht vorgesehen. 

Clients (wenn sie es denn unbedingt brauchen) nutzen den Port 587.

  • Like 1

Share this post


Link to post
Share on other sites

Okay. Dann bin ich schon mal beruhigt das das System nicht zerschossen ist :lool:

 

Was ich jetzt aber trotzdem nicht verstehe, wenn der Konnektor auf Port 465 auf gesicherte Verbindungen lauscht und bereits existiert (und auch über 587 seinen Dienst tut), wieso kann ich dennoch ich nicht mit diesem verbinden?? Ich dachte gerade aus diesem Grunde gibt es Konnektoren, die ich frei konfigurieren könnte.

Der ein oder andere (E-Mail)-Provider gibt auch vor, dass in E-Mail-Clients der Port 465 eingetragen werden soll/muss bei SSL/TSL. D.h. die verwenden alle kein Outlook dahinter?? Gut, wüsste auch nicht ob es dafür geeignet wäre :grins2:

Share this post


Link to post
Share on other sites
vor 11 Stunden schrieb Michl16:

Der ein oder andere (E-Mail)-Provider gibt auch vor, dass in E-Mail-Clients der Port 465 eingetragen werden soll/muss bei SSL/TSL.

Na dann haben die ein System das smtps anbieten und exchange kann nur smtp/tls. Akzeptiers einfach. ;)

Edited by NorbertFe

Share this post


Link to post
Share on other sites

Muss ich wohl :grins2:

 

Es ist sogar offiziell dokumentiert: Q I want to use secure SMTP—how do I get Exchange Server to listen for SMTP on port 465?

(gefunden)

 

Gut - hätte sein können, dass dies sich mittlerweile in Exchange 2019 geändert hat. Scheint aber wohl in diesem Falle nicht der Fall zu sein.

 

Aber vielen Dank Jungs das Ihr mir die Ungewissheit genommen habt!

  • Like 1

Share this post


Link to post
Share on other sites

Das wird sich nicht ändern, weil tls die modernere Variante ist gegenüber smtps.

den link hab ich gesucht und nicht gefunden ;)

Edited by NorbertFe

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


Werbepartner:



×
×
  • Create New...