Jump to content

SSL/TLS-SMTP-Kommunikation über 465 hängt (Exchange 2019)


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

momentan stehe ich vor einem seltsamen Problem und habe keine Ahnung in welche "Richtung" ich weiter recherchieren soll (googlen). Vielleicht könnt ihr mir mögliche Probleme aus eigener Erfahrung mitteilen.

Ich will jetzt euch mit möglichen Log-Inhalten noch gar nicht "zu bombadieren". Aber wenn es diese erforderlich machen, liefre ich diese gerne nach.

 

Ganz grob geht es um folgendes:

Der Mailversand klappt intern und extern mit Outlook ohne Probleme. Auch iOS und Android haben mittels ActiveSync keine Probleme.

Der Exchange-Server lebt seit Exchange 2003 und wurde mal auf Exchange 2010 migriert und seit einem halben Jahr auf 2019 (über 2016).

 

Obwohl wir IMAP nicht mehr verwenden habe ich es jedoch nun nochmals reaktiviert (ist ja letztendlich nur das Starten der Service; Service ist bei den Benutzern ja standardmäßig aktiviert), um das SMTP-Protokoll testen zu können. Hintergrund: Ein Programm auf dem Server will keine Status-Mails versenden. Zum Testen verwende ich auf meinem Computer Thunderbird. Hier lässt sich bequem das zu verwendende Protokoll auswählen und explizit testen. Wobei IMAP an für sich ja auch funktioniert, nur das versenden von Mails macht Probleme.

 

Zuerst habe ich Port 587 vorgenommen mittels START TLS.

image.png.b1a7963b6c686c3b926c74ad4966a892.png

 

Hier hatte ich komischerweise das Problem, dass Thunderbird beim Versenden den Fehler brachte Client does not have permissions to send as this sender.

Das konnte ich allerdings mit dem Recht ms-exch-smtp-accept-authoritative-domain-sender beim Hub-Konnektor 465 beheben.

Hier war es schon mal eine neue Erkenntnis für mich, dass der Frontend-Konnektor 587 nach Aufbau der gesicherten Verbindung den Hub-Konnektor 465 ebenfalls mitbenutzt. Ich hätte erwartet/gedacht, dass der Konnektor für 587 alle Aufgaben übernimmt.

 

Nun wollte ich den SMTP-Port 465 testen.

image.png.c07e2f8284f57a0928360717e90d12d4.png

 

Eigentlich war ich zuversichtlich, dass dies ja dann ebenfalls nun auch funktionieren müsste, da der Hub-Konnektor indirekt über 587 ebenfalls funktionierte. Aber Pustekuchen. Thunderbird will die Mail nicht raus senden und hängt:

image.png.1054c1f9ac8b88bd107a7af15d2152d0.pngimage.png.cb555f3997a6d737840b20e50cd8af5a.png

 

An geblockten Ports etc. kann es nicht liegen, da der Mailserver mit telnet <server> 465 brav meldet und ein EHLO abgesetzt werden kann.

 

Habe ich jetzt doch noch ein Verständnisproblem?

Müsste der Konnektor 465 ebenfalls ein Frontend-Konnektor sein und nicht nur ein Hub/Transport Konnektor? Fehlt irgendwo noch das aktuelle/neue Zertifikat?

Dem Konnektor 465 ist definitiv das aktuelle Zertifikat zugewiesen. Der Konntektor 2525 jedoch nicht. Braucht der noch eins?

 

2020-04-16T10:12:07.322Z,SERVER\Port 465,08D7E14C0242AE7B,0,192.168.1.x:465,87.150.164.x:5420,+,,
2020-04-16T10:12:07.324Z,SERVER\Port 465,08D7E14C0242AE7B,1,192.168.1.x:465,87.150.164.x:5420,>,"220 SERVER.firma.local Microsoft ESMTP MAIL Service ready at Thu, 16 Apr 2020 12:12:06 +0200",
2020-04-16T10:12:20.535Z,SERVER\Port 465,08D7E14C0242AE7B,2,192.168.1.x:465,87.150.164.x:5420,<,ehlo,
2020-04-16T10:12:20.535Z,SERVER\Port 465,08D7E14C0242AE7B,3,192.168.1.x:465,87.150.164.x:5420,>,250  SERVER.firma.local Hello [87.150.164.x] SIZE 37748736 PIPELINING DSN ENHANCEDSTATUSCODES STARTTLS X-ANONYMOUSTLS AUTH GSSAPI NTLM X-EXPS GSSAPI NTLM 8BITMIME BINARYMIME CHUNKING XEXCH50 SMTPUTF8 XRDST XSHADOWREQUEST,
2020-04-16T10:12:24.370Z,SERVER\Port 465,08D7E14C0242AE7B,4,192.168.1.x:465,87.150.x.164:5420,<,quit,
2020-04-16T10:12:24.370Z,SERVER\Port 465,08D7E14C0242AE7B,5,192.168.1.x:465,87.150.164.x:5420,>,221 2.0.0 Service closing transmission channel,
2020-04-16T10:12:24.370Z,SERVER\Port 465,08D7E14C0242AE7B,6,192.168.1.x:465,87.150.164.x:5420,-,,Local

Wie man sieht, ist der Aufruf auch protokolliert worden in C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\Logs\Hub\ProtocolLog\SmtpReceive

 

Nach absenden einer Mail von Thunderbird sieht man, dass nach 2 Minuten ein Remote(SocketError) (wahrscheinlich durch Schließung des Sockets nach dem Timeout) kommt.

Aber mir ist nicht klar, wieso bei direktem Zugriff auf Port 465 die Anfrage nicht bearbeitet wird?

2020-04-16T10:32:54.894Z,SERVER\Port 465,08D7E14C0242AE92,0,192.168.1.x:465,87.150.164.x:5557,+,,
2020-04-16T10:32:54.895Z,SERVER\Port 465,08D7E14C0242AE92,1,192.168.1.x:465,87.150.164.x:5557,>,"220 SERVER.firma.local Microsoft ESMTP MAIL Service ready at Thu, 16 Apr 2020 12:32:54 +0200",
2020-04-16T10:34:34.936Z,SERVER\Port 465,08D7E14C0242AE92,2,192.168.1.x:465,87.150.164.x:5557,-,,Remote(SocketError)

 

Falls jemand einen Tipp für mich hat, was ich noch prüfen könnte - immer gerne!

 

Michael

 

Ach ja, der Versand auf Port 465 klappt, wenn in "Verbindungssicherheit" auf "Keine" umgestellt wird. Also ich habe ja stark die Vermutung, dass da irgendwas mit der Zertifikat nicht passt. Zumindest "von außen".

bearbeitet von Michl16
Link zu diesem Kommentar

Hi,

 

was für ein Zertifikat nutzt du denn? Generell evtl: https://www.frankysweb.de/exchange-2016-smtp-connector-und-wildcard-san-zertifikate/

 

Wenn Thunderbird die Mails versenden kann heißt das leider noch nicht, dass deine Anwendung auf dem Server dann auch funktioniert. ;) Ggfs. wäre es noch eine Alternative der Anwendung einen eigenen Konnektor zu spendieren und diesen dann zu nutzen.

 

Gruß

Jan

Link zu diesem Kommentar
vor 5 Minuten schrieb testperson:

was für ein Zertifikat nutzt du denn? Generell evtl: https://www.frankysweb.de/exchange-2016-smtp-connector-und-wildcard-san-zertifikate/

Das sind ganz simple Domain-Zertifikate (kein SAN)

TlsCertificateName                        : <I>CN=Sectigo RSA Domain Validation Secure Server CA, O=Sectigo Limited,
                                            L=Salford, S=Greater Manchester, C=GB<S>CN=hh.firma.de

Es wird zwar ein Split-DNS betrieben, da aber auch der Exchange-Server explizit in der Mailkonfiguration als hh.firma.de angegeben wird, sollten die Namen eigentlich schon übereinstimmen und nicht das Problem sein.

 

Zitat

Wenn Thunderbird die Mails versenden kann heißt das leider noch nicht, dass deine Anwendung auf dem Server dann auch funktioniert. ;) Ggfs. wäre es noch eine Alternative der Anwendung einen eigenen Konnektor zu spendieren und diesen dann zu nutzen.

vor 5 Minuten schrieb testperson:

Das ist richtig. Allerdings sollte dies so oder so auch funktionieren. Besser jetzt beheben, als wenn man es morgen bräuchte ;)

Link zu diesem Kommentar

Okay. Dann bin ich schon mal beruhigt das das System nicht zerschossen ist :lool:

 

Was ich jetzt aber trotzdem nicht verstehe, wenn der Konnektor auf Port 465 auf gesicherte Verbindungen lauscht und bereits existiert (und auch über 587 seinen Dienst tut), wieso kann ich dennoch ich nicht mit diesem verbinden?? Ich dachte gerade aus diesem Grunde gibt es Konnektoren, die ich frei konfigurieren könnte.

Der ein oder andere (E-Mail)-Provider gibt auch vor, dass in E-Mail-Clients der Port 465 eingetragen werden soll/muss bei SSL/TSL. D.h. die verwenden alle kein Outlook dahinter?? Gut, wüsste auch nicht ob es dafür geeignet wäre :grins2:

Link zu diesem Kommentar
vor 11 Stunden schrieb Michl16:

Der ein oder andere (E-Mail)-Provider gibt auch vor, dass in E-Mail-Clients der Port 465 eingetragen werden soll/muss bei SSL/TSL.

Na dann haben die ein System das smtps anbieten und exchange kann nur smtp/tls. Akzeptiers einfach. ;)

bearbeitet von NorbertFe
Link zu diesem Kommentar

Muss ich wohl :grins2:

 

Es ist sogar offiziell dokumentiert: Q I want to use secure SMTP—how do I get Exchange Server to listen for SMTP on port 465?

(gefunden)

 

Gut - hätte sein können, dass dies sich mittlerweile in Exchange 2019 geändert hat. Scheint aber wohl in diesem Falle nicht der Fall zu sein.

 

Aber vielen Dank Jungs das Ihr mir die Ungewissheit genommen habt!

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...