Exchange Server 2016 - Umstellung SMTP Versand Port 25 über Connector 1und1 / IONOS

[LordOfLight 0]

Hi,

ich würde gerne den Exchange 2016 von Port 25  unverschlüsselt umstellen. 1und1/IONOS hat mich angeschrieben, dass nur noch verschlüsselter Email Versand möglich sein wird.

 

Es ist ein lokaler Exchange Server 2016, virtualisiert über HyperVM auf Windows Server 2016 Standard. Die Emails bekommt er über POPCon (rpop-Abruf). Versenden der Emails funktioniert über den Connector. Versendet wird über ein bestimmtes Postfach bei IONOS.  Betriebsystem und Exchange ist englisch.

 

Über eine kurze Hilfe zur Umstellung auf verschlüsselten Versand wäre prima. Ich hänge da grade etwas.

 

Grüße

 

Heinz

 

 

 

Folgende Übersicht habe ich aus der Powershell:

Get-SendConnector | select name,port

Name Port
---- ----
Send   25

get-sendconnector

Identity AddressSpaces Enabled
-------- ------------- -------
Send     {SMTP:*;1}    True

 

[NorbertFe 1.805]

vor 2 Minuten schrieb LordOfLight:

Exchange 2016 von Port 25  unverschlüsselt umstellen. 1und1/IONOS hat mich angeschrieben, dass nur noch verschlüsselter Email Versand möglich sein wird.

Und du hast bis heute kein tls konfiguriert? Wie bekommt man das denn hin? ;)

 

wenn du ein Zertifikat an den smtp service gebunden hast, sollte das eigentlich der Standard sein, dass per tls versucht wird. Was steht denn im smtp log des send connectors?

[LordOfLight 0]

Hi,

vielen dank deine schnelle Antwort.

Es steht Nix drin, glaube ich, weil -->

Protokollierung ist auf aus

Habs grad mal angeschaltet

[teletubbieland 139]

Moin,

 

Set-SendConnector -Identity "send" -Port 587
 

Damit bindest Du den Connector an 587.

Mir ist allerdings völlig schleierhaft, wieso Du die ganze Zeit uber 25 senden konntest.

 

[LordOfLight 0]

Probiere ich heute Abend einfach mal aus

Muss ich was neu starten?

 

[NorbertFe 1.805]

vor 33 Minuten schrieb teletubbieland:

Set-SendConnector -Identity "send" -Port 587

Bleibt ja die Frage, ob man überhaupt im Klartext senden will oder sollte. ;) Wenn man dann über Port 587 auch StartTLS anfordert, dann kann man auch gleich Port 25 nutzen.

[LordOfLight 0]

Wie fordere ich das denn an?

Verschlüsselt wäre schon gut. Sonst wird es wohl auch nicht mit ionos funktionieren, oder?

[NorbertFe 1.805]

Das macht schon die Gegenstelle. Dein Server muss es nur können. Deswegen die Frage, wie das überhaupt bisher funktioniert hat, denn standardmäßig spricht der Exchange immer opportunistic TLS, es sei denn deine Zertifikatskonfiguration ist schief. Und das sollte man dann eigentlich finden und Ansätze im SMTP Log finden. ;)

[LordOfLight 0]

Tja,

Es ging halt. Seit Jahren. Problemlos.

Ich schau mal in das LOG.

Wo finde ich das oder mach ich das über die Powershell?

[NorbertFe 1.805]

Google ist sicher ein Begriff, oder? ;)

https://www.alitajran.com/exchange-send-connector-logging/

[testperson 1.534]

Hi,

 

da du ja jetzt "eh dran bist" wäre das vielleicht ein besserer Ansatz: Exchange Server: Umstellung von POP Abruf zu MX Record - Frankys Web

Idealerweise ne passende Firewall / passendes Mailgateway davor oder eben in der Cloud betreiben lassen und schwups "Problem solved".

 

Gruß

Jan

[LordOfLight 0]

vor 20 Minuten schrieb testperson:

Hi,

 

da du ja jetzt "eh dran bist" wäre das vielleicht ein besserer Ansatz: Exchange Server: Umstellung von POP Abruf zu MX Record - Frankys Web

Idealerweise ne passende Firewall / passendes Mailgateway davor oder eben in der Cloud betreiben lassen und schwups "Problem solved".

 

Gruß

Jan

Nope,

keine gute Idee hier. 

Firewall gibt es, aber einen Exchange mit den kommenden, bzw. bestehenden Sicherheitslücken .... Der Zugriff auf ebendiesen - aus dem Internet - auf keinen Fall. Das geht ausschließlich nur über VPN. Auch die Mobilgeräte - nur über VPN Zugriff auf Exchange.

 

@NobertFe
Hier mal ein Auszug aus dem "frischen LOG"

Da sieht mal zwar was von TLS, wird quasi von IONOS bereit gestellt. Wird das auch benutzt?

 

2023-04-28T07:31:21.495Z,Send,08DAE0EB486DD0AD,0,,213.165.67.97:25,*,SendRoutingHeaders,Set Session Permissions
2023-04-28T07:31:21.495Z,Send,08DAE0EB486DD0AD,1,,213.165.67.97:25,*,,attempting to connect
2023-04-28T07:31:21.519Z,Send,08DAE0EB486DD0AD,2,10.1.3.35:43264,213.165.67.97:25,+,,
2023-04-28T07:31:21.542Z,Send,08DAE0EB486DD0AD,3,10.1.3.35:43264,213.165.67.97:25,<,220 kundenserver.de (mreue010) Nemesis ESMTP Service ready,
2023-04-28T07:31:21.543Z,Send,08DAE0EB486DD0AD,4,10.1.3.35:43264,213.165.67.97:25,>,EHLO pstsvr014.pst.local,
2023-04-28T07:31:21.566Z,Send,08DAE0EB486DD0AD,5,10.1.3.35:43264,213.165.67.97:25,<,250  kundenserver.de Hello pstsvr014.pst.local [80.153.164.12] 8BITMIME SIZE 140000000 STARTTLS,
2023-04-28T07:31:21.566Z,Send,08DAE0EB486DD0AD,6,10.1.3.35:43264,213.165.67.97:25,>,STARTTLS,
2023-04-28T07:31:21.589Z,Send,08DAE0EB486DD0AD,7,10.1.3.35:43264,213.165.67.97:25,<,220 OK,
2023-04-28T07:31:21.589Z,Send,08DAE0EB486DD0AD,8,10.1.3.35:43264,213.165.67.97:25,*, CN=pstsvr014 CN=pstsvr014 7099162856C5AFB64F1EA06B5F482898 4A36D59CA69C4472FBF74E7723D2B24D69378ED9 2020-11-05T12:39:45.000Z 2025-11-05T12:39:45.000Z pstsvr014;pstsvr014.pst.local,Sending certificate Subject Issuer name Serial number Thumbprint Not before Not after Subject alternate names
2023-04-28T07:31:21.645Z,Send,08DAE0EB486DD0AD,9,10.1.3.35:43264,213.165.67.97:25,*," CN=smtp.ionos.de, L=Montabaur, S=Rheinland-Pfalz, O=IONOS SE, C=DE CN=Telekom Security ServerID OV Class 2 CA, O=Deutsche Telekom Security GmbH, C=DE 3DF259FF3D746FB807011A5F65351540 A36DCD38DA6C746F68CD61ADAC871190BF106302 2023-03-15T15:04:03.000Z 2024-03-20T00:59:59.000Z smtp.ionos.de;pop.ionos.de;imap.ionos.de;smtp.1und1.de;pop.1und1.de;imap.1und1.de;smtp.1und1.com;pop.1und1.com;imap.1und1.com;*.mrelay.ionos.eu",Remote certificate Subject Issuer name Serial number Thumbprint Not before Not after Subject alternate names
2023-04-28T07:31:21.645Z,Send,08DAE0EB486DD0AD,10,10.1.3.35:43264,213.165.67.97:25,*,,"TLS protocol SP_PROT_TLS1_2_CLIENT negotiation succeeded using bulk encryption algorithm CALG_AES_128 with strength 128 bits, MAC hash algorithm CALG_SHA_256 with strength 0 bits and key exchange algorithm CALG_ECDH_EPHEM with strength 256 bits"
2023-04-28T07:31:21.645Z,Send,08DAE0EB486DD0AD,11,10.1.3.35:43264,213.165.67.97:25,*,A36DCD38DA6C746F68CD61ADAC871190BF106302,Received certificate Thumbprint
2023-04-28T07:31:21.645Z,Send,08DAE0EB486DD0AD,12,10.1.3.35:43264,213.165.67.97:25,*,Valid,Chain validation status
2023-04-28T07:31:21.645Z,Send,08DAE0EB486DD0AD,13,10.1.3.35:43264,213.165.67.97:25,*," CN=smtp.ionos.de, L=Montabaur, S=Rheinland-Pfalz, O=IONOS SE, C=DE CN=Telekom Security ServerID OV Class 2 CA, O=Deutsche Telekom Security GmbH, C=DE 3DF259FF3D746FB807011A5F65351540 A36DCD38DA6C746F68CD61ADAC871190BF106302 2023-03-15T15:04:03.000Z 2024-03-20T00:59:59.000Z smtp.ionos.de;pop.ionos.de;imap.ionos.de;smtp.1und1.de;pop.1und1.de;imap.1und1.de;smtp.1und1.com;pop.1und1.com;imap.1und1.com;*.mrelay.ionos.eu",SmartHost certificate Subject Issuer name Serial number Thumbprint Not before Not after Subject alternate names
2023-04-28T07:31:21.645Z,Send,08DAE0EB486DD0AD,14,10.1.3.35:43264,213.165.67.97:25,>,EHLO pstsvr014.pst.local,
2023-04-28T07:31:21.669Z,Send,08DAE0EB486DD0AD,15,10.1.3.35:43264,213.165.67.97:25,<,250  kundenserver.de Hello pstsvr014.pst.local [80.153.164.12] 8BITMIME AUTH LOGIN PLAIN SIZE 140000000,
2023-04-28T07:31:21.669Z,Send,08DAE0EB486DD0AD,16,10.1.3.35:43264,213.165.67.97:25,>,AUTH LOGIN,
2023-04-28T07:31:21.692Z,Send,08DAE0EB486DD0AD,17,10.1.3.35:43264,213.165.67.97:25,<,334 <authentication information>,
2023-04-28T07:31:21.692Z,Send,08DAE0EB486DD0AD,18,10.1.3.35:43264,213.165.67.97:25,>,<Binary Data>,
2023-04-28T07:31:21.716Z,Send,08DAE0EB486DD0AD,19,10.1.3.35:43264,213.165.67.97:25,<,334 <authentication information>,
2023-04-28T07:31:21.716Z,Send,08DAE0EB486DD0AD,20,10.1.3.35:43264,213.165.67.97:25,>,<Binary Data>,
2023-04-28T07:31:21.878Z,Send,08DAE0EB486DD0AD,21,10.1.3.35:43264,213.165.67.97:25,<,235 Authentication succeeded,
2023-04-28T07:31:21.878Z,Send,08DAE0EB486DD0AD,22,10.1.3.35:43264,213.165.67.97:25,*,,sending message with RecordId 93050466467874 and InternetMessageId <fabaa51b338f44de95726779edc120c7@pstproducts.com>
2023-04-28T07:31:21.878Z,Send,08DAE0EB486DD0AD,23,10.1.3.35:43264,213.165.67.97:25,>,MAIL FROM:<asdf@asdf.com> SIZE=168822,
2023-04-28T07:31:21.905Z,Send,08DAE0EB486DD0AD,24,10.1.3.35:43264,213.165.67.97:25,<,"250 Requested mail action okay, completed",
2023-04-28T07:31:21.905Z,Send,08DAE0EB486DD0AD,25,10.1.3.35:43264,213.165.67.97:25,>,RCPT TO:<qwer2@sdfg.com>,
2023-04-28T07:31:21.932Z,Send,08DAE0EB486DD0AD,26,10.1.3.35:43264,213.165.67.97:25,<,250 OK,
2023-04-28T07:31:21.932Z,Send,08DAE0EB486DD0AD,27,10.1.3.35:43264,213.165.67.97:25,>,RCPT TO:<qwer@sdfg.com>,
2023-04-28T07:31:21.961Z,Send,08DAE0EB486DD0AD,28,10.1.3.35:43264,213.165.67.97:25,<,250 OK,
2023-04-28T07:31:21.961Z,Send,08DAE0EB486DD0AD,29,10.1.3.35:43264,213.165.67.97:25,>,RCPT TO:<yxcv@sdfg.com>,
2023-04-28T07:31:21.989Z,Send,08DAE0EB486DD0AD,30,10.1.3.35:43264,213.165.67.97:25,<,250 OK,
2023-04-28T07:31:21.993Z,Send,08DAE0EB486DD0AD,31,10.1.3.35:43264,213.165.67.97:25,>,DATA,
2023-04-28T07:31:22.016Z,Send,08DAE0EB486DD0AD,32,10.1.3.35:43264,213.165.67.97:25,<,354 Start mail input; end with <CRLF>.<CRLF>,
2023-04-28T07:31:22.127Z,Send,08DAE0EB486DD0AD,33,10.1.3.35:43264,213.165.67.97:25,<,"250 Requested mail action okay, completed: id=1MHGPA-1q5Rjl3jlo-00DHs7",
2023-04-28T07:31:22.130Z,Send,08DAE0EB486DD0AD,34,10.1.3.35:43264,213.165.67.97:25,>,QUIT,
2023-04-28T07:31:22.153Z,Send,08DAE0EB486DD0AD,35,10.1.3.35:43264,213.165.67.97:25,<,221 kundenserver.de Service closing transmission channel,
2023-04-28T07:31:22.153Z,Send,08DAE0EB486DD0AD,36,10.1.3.35:43264,213.165.67.97:25,-,,Local

 

bearbeitet 28. April 2023 von LordOfLight
edit

[testperson 1.534]

Die Firewall / das Mailgateway nimmt die Mails an und stellt diese dem Exchange zu. Wo ändert sich jetzt der Zugriff aus dem Internet in Richtung Exchange im Vergleich zum jetzigen Konstrukt? (Der Client Zugriff steht dann ja nochmal auf einem ganz anderen Blatt.)

 

Wenn du "kommende Sicherheitslücken" betrachtest, dann leg besser den FI-Schalter um. ;)

[LordOfLight 0]

Keine Hände, keine Kekse.

Mailgateway/Firewall - ich möchte keine Ports öffnen.

 

Jeder Dienst beinhaltet `per se` eine Wahrscheinlichkeit. Jede Diskussion darüber habe ich auch schon mit meinen anderen Firewall Kollegen diskutiert. Alles was ich nicht öffne oder anbiete ist eine Möglichkeit weniger.

 

Eine Diskussion hierüber ist aber für die Konfiguration des Beispiels hier nicht wirklich hilfreich.

 

[NorbertFe 1.805]

vor 2 Stunden schrieb LordOfLight:

aber einen Exchange mit den kommenden, bzw. bestehenden Sicherheitslücken ....

Was für eine krude Aussage. Es geht um Zustellung per smtp. Da steht nirgends, dass du den exchange dazu nutzen sollst.

 

und Probleme mit popconnectoren hattest nur du noch nie. ;) weil die natürlich fehlerfrei in jeglicher Hinsicht sind.

 

aber egal.

 

 

vor 1 Stunde schrieb LordOfLight:

ich möchte keine Ports öffnen

Ist übrigens was anderes als mit Security in bestimmten Produkten zu argumentieren.

vor 2 Stunden schrieb LordOfLight:

Da sieht mal zwar was von TLS, wird quasi von IONOS bereit gestellt. Wird das auch benutzt?

Sieht jedenfalls so aus. Muss ich mal nachher am Monitor anschauen. Am Hand macht das keinen Spaß.