Jump to content
peterg

SMTP Relay mit Authentifizierung

Recommended Posts

Hallo,

wir haben hier eine Projektverwaltungssoftware, welche nun auch mit Exchange funktioniert.

In der Software sind alle User angelegt und die entsprechenden Daten unseres Exchange 2016 hinterlegt (IMAP, SMTP).

 

Der Posteingang des Users wird in der Software angezeigt und entsprechende Mails können einem Projekt zugeordnet werden. Dies funktioniert über IMAP, SSL/TSL, Port 993 mit dem entsprechenden Domänenbenutzernamen des Users und dem Passwort. Das haut auch hin.

 

Nun können aber auch E-Mails über die Projektverwaltungssoftware versendet werden. Dies soll über SMTP, verschlüsselt, Port 587 mit dem entsprechenden Domänenbenutzernamen des Users und dem Passwort funktionieren. Das funktioniert leider nicht ☹

 

Ich würde dafür gerne den „Client Frontend“ Empfangsconnector benutzen.  Die aktivierten Sicherheitseinstellungen sind:

-       Transport Layer Security (TLS)

-       Standardauthentifizierung + Standardauthentifizierung erst nach dem Start von TSL anbieten

-       Integrierte Windows-Authentifizierung)

-       Berechtigungsgruppen: Exchange-Benutzer

Der Bereich ist bei Remotenetzwerkeinstellungen: 0.0.0.0-255.255.255.255,
bei Netzwerkadapterbindungen: Alle verfügbaren IPv4 und IPv6 auf Port 587

Der FQDN ist der DNS-Alias (hier als Beispiel remote.xxx.de) auf dem der Server z.B. auch unter OWA erreichbar ist, also nicht der reale Servername (srv-exch.local).

 

Dem "Client Frontend" habe ich die Konfiguration des vorhandenen SSL Zertifikats zugeordnet.

$cert = Get-ExchangeCertificate -Thumbprint xxxxx 

$tlscertificatename = "<i>$($cert.Issuer)<s>$($cert.Subject)"

Set-ReceiveConnector "SRV-EXCH\Client Frontend SRV-EXCH" -Fqdn remote.xxx.de -TlsCertificateName $tlscertificatenam

 

Wenn ich nun über PowerShell „Send MailMessage“ probiere eine E-Mail zu versenden (vorher mit $credential = Get-Credential als irgendein Domänenmitglied mit Exchangepostfach angemeldet):

Send-MailMessage -SmtpServer remote.xxx.de -Credential $credential -From "test.test@xxx.de" -To "xxx@gmx.de" -Subject "Test email" -Port 587 -UseSsl

kommt die Fehlermeldung:

Send-MailMessage: Postfach nicht verfügbar. Die Serverantwort war: 5.7.60 SMTP; Client does not have permissions to send as this sender

In Zeile:1 Zeichen:1

+ Send-MailMessage -SmtpServer remote.xxx.de -Credential $credential - …

+ CategoryInfo: InvalidOperation: (System.Net.Mail.SmtpClient:SmtpClient) [Send-MailMessage] SmtpException

+ FullyQualifiedErrorId : SmtpException,Microsoft.PowerShell.Commands.SendMailMessage

 

--> Das sollte ja erstmal als Voraussetzung funktionieren.  Hier ist aber schon der Wurm drin.

 

In der Software komme ich gar nicht zum Test für das Senden, da der Port 587 oder Port 465 bei SSL/TSL nicht akzeptiert wird. Es kommt die Fehlermeldung:

Fehler/Error in page „Portletprocess“ 2: stream_socket_client(): SSL operation failed with code 1. OpenSSL Error messages:
error:1408F10B:SSL routines:ssl3_get_record:wrong version number

-> Nur bei STARTTLS wird der Port 587 in der Software akzeptiert.

 

Was habe ich falsch gemacht?

 

Evtl. kann mir ja jemand helfen. Danke!

Gruß,
Peter

Share this post


Link to post

Versuch doch erstmal, per Thunderbird den Versand per SMTP hinzubekommen. Port 465 (SMTPs) spricht Exchange sowieso nicht.

vor 24 Minuten schrieb peterg:

irgendein Domänenmitglied

 

vor 24 Minuten schrieb peterg:

-From "test.test@xxx.de"

Stimmt denn irgendein mit test.test überein?

Share this post


Link to post

Da ich das auch schon ein paar Mal hier durch hatte, der From muss mit dem am Exchange angemeldeten User übereinstimmen, ansonsten kommt die Meldung, berechtigterweise. ;)

Share this post


Link to post
vor 40 Minuten schrieb peterg:

-> Nur bei STARTTLS wird der Port 587 in der Software akzeptiert.

Was vollkommen logisch ist, da Exchange nur StartTLS spricht und nicht SSL (SMTPs)

Share this post


Link to post

Hallo Norbert,

irgendein Domänenmitglied soll nur bedeuten, dass es sich einen Domänenuser mit Exchange-Postfach handelt.  Bei "From" ist es die korrekte E-Mail-Adresse des Users, die man ja nicht öffentlich zeigen will.

 

Ok, dann melde ich mich mal mit einem Domänenuser mit Exchange-Postfach auf einem Rechner an, installiere Thunderbid und versuche mein Glück.

In der Software kann dann nur STARTTLS mit Port 587 richtig sein. 

 

Thunderbird bekomme ich auch nicht hin. :-(

 

Ich bin am Rechner mit dem entsprechenden Domänenuser angemeldet.

 

Es kommt beim Senden die Meldung:

5.7.60 SMTP; Client does not have permissions to send as this sender

 

In Thunderbird:

STARTTLS, Port: 587, Passwort, normal, Benutzernahme: domäne\Domänenbenutzername

Als SMTP-Server habe ich "remote.xxx.de" eingegeben. Also nicht den realen Exchange srv-exch.xx.local

 

Muss ich ggf. noch folgendes konfigurieren?

Get-mailbox | Add-Mailboxpermission -user "NT AUTHORITY\SELF" -Accessrights FullAccess

 

 

Gruß,

Peter

 

 

 

Share this post


Link to post

Nein. Ein Benutzer hat immer das Recht auch per smtp als er selbst einzuliefern. Wenn das per Thunderbird nicht klappt ist irgendwas anderes schräg. Melde dich mal mit dem upn an und prüfe, ob definitiv die richtige Adresse verwendet wird. Außerdem liefere doch mal direkt über den Hostnamen ein und nicht über Remote...

Share this post


Link to post

Hallo,

erstmal vielen Dank für die Tipps und das man hier im Forum immer superschnelle Unterstützung bekommt. Leider hat sich mein Problem nicht gelöst und falls ich es in dieser Woche nicht hinbekommen, dann hole ich einen Profi. Hilft ja nix.

 

Nochmal alles in einer Zusammenfassung, da die Lösung sicher nicht mehr so weit weg ist.

 

Ich habe auch einen neuen Testuser angelegt. Der Testuser ist nur lokaler Admin.

 

Domäne: XY.local  (XY nur beispielhaft)
Exchange: srv-exch.XY.local 

E-Mail-Domain: ABC.de (ABC nur beispielhaft)

OWA funktioniert einwandfrei, Exchange erreichbar unter https://remote@ABC.de/owa

Zertifikat für remote.ABC.de und autodiscover.ABC.de am Exchange vorhanden

Testuser: test
E-Mail in Exchange: test@ABC.de (als Standard) und test@XY.local

 

In Thunderbird (immer gleich):
STARTTLS, Port 587, Passwort normal

 

Test 1-1:
Anmeldung am Rechner: XY\test
Benutzername in Thunderbird: XY\test
SMTP-Server: srv-exch.XY.local
Fehler: Sichere Kommunikation mit der Gegenstelle ist nicht möglich. Angeforderter Domainname stimmt nicht mit dem Zertifikat des Servers überein.

Test 1-2:
Anmeldung am Rechner: XY\test
Benutzername in Thunderbird: XY\test
SMTP-Server: remote.ABC.de
Fehler: Der Mail-Server antwortete:5.7.60 SMTP; Client does not have permissions to send as this sender

 

Test 2-1:
Anmeldung am Rechner: test@XY.local
Benutzername in Thunderbird: test@XY.local
SMTP-Server: srv-exch.XY.local
Fehler: Sichere Kommunikation mit der Gegenstelle ist nicht möglich. Angeforderter Domainname stimmt nicht mit dem Zertifikat des Servers überein.

Test 2-2:
Anmeldung am Rechner: test@XY.local
Benutzername in Thunderbird: test@XY.local
SMTP-Server: remote.ABC.de
Fehler: Der Mail-Server antwortete:5.7.60 SMTP; Client does not have permissions to send as this sender

 

 

Test 3-1:
Anmeldung am Rechner: test@ABC.de  (UPN-Suffix @ABC.de im AD ergänzt)
Benutzername in Thunderbird: test@ABC.de
SMTP-Server: srv-exch.XY.local
Fehler: Sichere Kommunikation mit der Gegenstelle ist nicht möglich. Angeforderter Domainname stimmt nicht mit dem Zertifikat des Servers überein.

Test 3-2:
Anmeldung am Rechner: test@ABC.de  (UPN-Suffix @ABC.de im AD ergänzt)
Benutzername in Thunderbird: test@ABC.de
SMTP-Server: remote.ABC.de
Fehler: Der Mail-Server antwortete:5.7.60 SMTP; Client does not have permissions to send as this sender

 

 

Gruß,

Peter

 

 

 

Edited by peterg

Share this post


Link to post
vor 4 Minuten schrieb peterg:

Fehler: Der Mail-Server antwortete:5.7.60 SMTP; Client does not have permissions to send as this sender

 

Immer wenn du den Status erreicht hast, bist du eigentlich schon korrekt durch, womit du feststellst, dass dein Benutzer korrekt authentifiziert wurde unabhängig vom Anmeldenamen. Bleibt die Frage, warum der User nicht als er selbst senden kann. Versuch mal das hier:

https://social.technet.microsoft.com/Forums/de-DE/59612bd2-9707-43d4-acf1-aeb839014e4d/exchange-2016-550-5760-smtp-client-does-not-have-permissions-to-send?forum=exchange_serverde

Share this post


Link to post

Hallo Norbert,

 

ich habe den User unter "Senden als" und unter "Vollzugriff" am Exchange eingetragen, was leider nichts brachte :-(

Es kommt die gleiche Fehlermeldung: 5.7.60 SMTP; Client does not have permissions to send as this sender

 

Das gibt es doch nicht.... 

 

Als SMTP-Server kommt nur "remote.ABC.de" in Frage, da hierfür auch das Zertifikat vorhanden ist. Richtig?

Beim srv-exch.XY.local als SMTP-Server kommt immer die Meldung, dass der Domainname nicht mit dem Zertifikat des Servers übereinstimmt.

 

Kann es was mit den akzeptierten Domänen im Exchange zu tun haben? Hier ist XY.local als "Autoritativ" und ABC.de als "Externes Relay" eingetragen.

 

Sollte ich mal einen neuen Empfangsconnector anlegen und nicht den „Client Frontend“ benutzen, wobei der ja eigentlich dafür da ist.

 

Unter https://www.fachinformatiker.de/topic/160354-exchange-und-smtp-von-anderen-clients ganz am Ende steht auch noch was, aber ich weiß nicht wie ich zu dieser Einstellung komme. --> So haben zumindest alle Email-aktivierten Benutzer unter "Sicherheit" neue Einstellungen wie zB: "Exchange Informationen lesen". Mit dabei ist dann auch das "Senden als" Recht.    Postfachstellvertreter sind ein ganz anderes Thema ...

 

 

Gruß,

Peter

Edited by peterg

Share this post


Link to post
vor 35 Minuten schrieb peterg:

Sollte ich mal einen neuen Empfangsconnector anlegen und nicht den „Client Frontend“ benutzen

Nein.

 

vor einer Stunde schrieb peterg:

aber ich weiß nicht wie ich zu dieser Einstellung komme.

Indem du den Sicherheitsreiter im Userobjekt aufrufst. :/

Share this post


Link to post

Hatte die erweiterten Features nicht aktiviert! :-)

 

Selbst -> "Senden als" war aber schon aktiviert :-(

 

 

 

 

Share this post


Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Create New...