Jump to content

Exchange Server 2016 - Umstellung SMTP Versand Port 25 über Connector 1und1 / IONOS


Direkt zur Lösung Gelöst von LordOfLight,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hi,

ich würde gerne den Exchange 2016 von Port 25  unverschlüsselt umstellen. 1und1/IONOS hat mich angeschrieben, dass nur noch verschlüsselter Email Versand möglich sein wird.

 

Es ist ein lokaler Exchange Server 2016, virtualisiert über HyperVM auf Windows Server 2016 Standard. Die Emails bekommt er über POPCon (rpop-Abruf). Versenden der Emails funktioniert über den Connector. Versendet wird über ein bestimmtes Postfach bei IONOS.  Betriebsystem und Exchange ist englisch.

 

Über eine kurze Hilfe zur Umstellung auf verschlüsselten Versand wäre prima. Ich hänge da grade etwas.

 

Grüße

 

Heinz

 

 

 

Folgende Übersicht habe ich aus der Powershell:

Get-SendConnector | select name,port

Name Port
---- ----
Send   25
get-sendconnector

Identity AddressSpaces Enabled
-------- ------------- -------
Send     {SMTP:*;1}    True

 

exchange server.png

Link zu diesem Kommentar
vor 2 Minuten schrieb LordOfLight:

Exchange 2016 von Port 25  unverschlüsselt umstellen. 1und1/IONOS hat mich angeschrieben, dass nur noch verschlüsselter Email Versand möglich sein wird.

Und du hast bis heute kein tls konfiguriert? Wie bekommt man das denn hin? ;)

 

wenn du ein Zertifikat an den smtp service gebunden hast, sollte das eigentlich der Standard sein, dass per tls versucht wird. Was steht denn im smtp log des send connectors?

Link zu diesem Kommentar

Das macht schon die Gegenstelle. Dein Server muss es nur können. Deswegen die Frage, wie das überhaupt bisher funktioniert hat, denn standardmäßig spricht der Exchange immer opportunistic TLS, es sei denn deine Zertifikatskonfiguration ist schief. Und das sollte man dann eigentlich finden und Ansätze im SMTP Log finden. ;)

Link zu diesem Kommentar
vor 20 Minuten schrieb testperson:

Hi,

 

da du ja jetzt "eh dran bist" wäre das vielleicht ein besserer Ansatz: Exchange Server: Umstellung von POP Abruf zu MX Record - Frankys Web

Idealerweise ne passende Firewall / passendes Mailgateway davor oder eben in der Cloud betreiben lassen und schwups "Problem solved".

 

Gruß

Jan

Nope,

keine gute Idee hier. 

Firewall gibt es, aber einen Exchange mit den kommenden, bzw. bestehenden Sicherheitslücken .... Der Zugriff auf ebendiesen - aus dem Internet - auf keinen Fall. Das geht ausschließlich nur über VPN. Auch die Mobilgeräte - nur über VPN Zugriff auf Exchange.

 

@NobertFe
Hier mal ein Auszug aus dem "frischen LOG"

Da sieht mal zwar was von TLS, wird quasi von IONOS bereit gestellt. Wird das auch benutzt?

 

2023-04-28T07:31:21.495Z,Send,08DAE0EB486DD0AD,0,,213.165.67.97:25,*,SendRoutingHeaders,Set Session Permissions
2023-04-28T07:31:21.495Z,Send,08DAE0EB486DD0AD,1,,213.165.67.97:25,*,,attempting to connect
2023-04-28T07:31:21.519Z,Send,08DAE0EB486DD0AD,2,10.1.3.35:43264,213.165.67.97:25,+,,
2023-04-28T07:31:21.542Z,Send,08DAE0EB486DD0AD,3,10.1.3.35:43264,213.165.67.97:25,<,220 kundenserver.de (mreue010) Nemesis ESMTP Service ready,
2023-04-28T07:31:21.543Z,Send,08DAE0EB486DD0AD,4,10.1.3.35:43264,213.165.67.97:25,>,EHLO pstsvr014.pst.local,
2023-04-28T07:31:21.566Z,Send,08DAE0EB486DD0AD,5,10.1.3.35:43264,213.165.67.97:25,<,250  kundenserver.de Hello pstsvr014.pst.local [80.153.164.12] 8BITMIME SIZE 140000000 STARTTLS,
2023-04-28T07:31:21.566Z,Send,08DAE0EB486DD0AD,6,10.1.3.35:43264,213.165.67.97:25,>,STARTTLS,
2023-04-28T07:31:21.589Z,Send,08DAE0EB486DD0AD,7,10.1.3.35:43264,213.165.67.97:25,<,220 OK,
2023-04-28T07:31:21.589Z,Send,08DAE0EB486DD0AD,8,10.1.3.35:43264,213.165.67.97:25,*, CN=pstsvr014 CN=pstsvr014 7099162856C5AFB64F1EA06B5F482898 4A36D59CA69C4472FBF74E7723D2B24D69378ED9 2020-11-05T12:39:45.000Z 2025-11-05T12:39:45.000Z pstsvr014;pstsvr014.pst.local,Sending certificate Subject Issuer name Serial number Thumbprint Not before Not after Subject alternate names
2023-04-28T07:31:21.645Z,Send,08DAE0EB486DD0AD,9,10.1.3.35:43264,213.165.67.97:25,*," CN=smtp.ionos.de, L=Montabaur, S=Rheinland-Pfalz, O=IONOS SE, C=DE CN=Telekom Security ServerID OV Class 2 CA, O=Deutsche Telekom Security GmbH, C=DE 3DF259FF3D746FB807011A5F65351540 A36DCD38DA6C746F68CD61ADAC871190BF106302 2023-03-15T15:04:03.000Z 2024-03-20T00:59:59.000Z smtp.ionos.de;pop.ionos.de;imap.ionos.de;smtp.1und1.de;pop.1und1.de;imap.1und1.de;smtp.1und1.com;pop.1und1.com;imap.1und1.com;*.mrelay.ionos.eu",Remote certificate Subject Issuer name Serial number Thumbprint Not before Not after Subject alternate names
2023-04-28T07:31:21.645Z,Send,08DAE0EB486DD0AD,10,10.1.3.35:43264,213.165.67.97:25,*,,"TLS protocol SP_PROT_TLS1_2_CLIENT negotiation succeeded using bulk encryption algorithm CALG_AES_128 with strength 128 bits, MAC hash algorithm CALG_SHA_256 with strength 0 bits and key exchange algorithm CALG_ECDH_EPHEM with strength 256 bits"
2023-04-28T07:31:21.645Z,Send,08DAE0EB486DD0AD,11,10.1.3.35:43264,213.165.67.97:25,*,A36DCD38DA6C746F68CD61ADAC871190BF106302,Received certificate Thumbprint
2023-04-28T07:31:21.645Z,Send,08DAE0EB486DD0AD,12,10.1.3.35:43264,213.165.67.97:25,*,Valid,Chain validation status
2023-04-28T07:31:21.645Z,Send,08DAE0EB486DD0AD,13,10.1.3.35:43264,213.165.67.97:25,*," CN=smtp.ionos.de, L=Montabaur, S=Rheinland-Pfalz, O=IONOS SE, C=DE CN=Telekom Security ServerID OV Class 2 CA, O=Deutsche Telekom Security GmbH, C=DE 3DF259FF3D746FB807011A5F65351540 A36DCD38DA6C746F68CD61ADAC871190BF106302 2023-03-15T15:04:03.000Z 2024-03-20T00:59:59.000Z smtp.ionos.de;pop.ionos.de;imap.ionos.de;smtp.1und1.de;pop.1und1.de;imap.1und1.de;smtp.1und1.com;pop.1und1.com;imap.1und1.com;*.mrelay.ionos.eu",SmartHost certificate Subject Issuer name Serial number Thumbprint Not before Not after Subject alternate names
2023-04-28T07:31:21.645Z,Send,08DAE0EB486DD0AD,14,10.1.3.35:43264,213.165.67.97:25,>,EHLO pstsvr014.pst.local,
2023-04-28T07:31:21.669Z,Send,08DAE0EB486DD0AD,15,10.1.3.35:43264,213.165.67.97:25,<,250  kundenserver.de Hello pstsvr014.pst.local [80.153.164.12] 8BITMIME AUTH LOGIN PLAIN SIZE 140000000,
2023-04-28T07:31:21.669Z,Send,08DAE0EB486DD0AD,16,10.1.3.35:43264,213.165.67.97:25,>,AUTH LOGIN,
2023-04-28T07:31:21.692Z,Send,08DAE0EB486DD0AD,17,10.1.3.35:43264,213.165.67.97:25,<,334 <authentication information>,
2023-04-28T07:31:21.692Z,Send,08DAE0EB486DD0AD,18,10.1.3.35:43264,213.165.67.97:25,>,<Binary Data>,
2023-04-28T07:31:21.716Z,Send,08DAE0EB486DD0AD,19,10.1.3.35:43264,213.165.67.97:25,<,334 <authentication information>,
2023-04-28T07:31:21.716Z,Send,08DAE0EB486DD0AD,20,10.1.3.35:43264,213.165.67.97:25,>,<Binary Data>,
2023-04-28T07:31:21.878Z,Send,08DAE0EB486DD0AD,21,10.1.3.35:43264,213.165.67.97:25,<,235 Authentication succeeded,
2023-04-28T07:31:21.878Z,Send,08DAE0EB486DD0AD,22,10.1.3.35:43264,213.165.67.97:25,*,,sending message with RecordId 93050466467874 and InternetMessageId <fabaa51b338f44de95726779edc120c7@pstproducts.com>
2023-04-28T07:31:21.878Z,Send,08DAE0EB486DD0AD,23,10.1.3.35:43264,213.165.67.97:25,>,MAIL FROM:<asdf@asdf.com> SIZE=168822,
2023-04-28T07:31:21.905Z,Send,08DAE0EB486DD0AD,24,10.1.3.35:43264,213.165.67.97:25,<,"250 Requested mail action okay, completed",
2023-04-28T07:31:21.905Z,Send,08DAE0EB486DD0AD,25,10.1.3.35:43264,213.165.67.97:25,>,RCPT TO:<qwer2@sdfg.com>,
2023-04-28T07:31:21.932Z,Send,08DAE0EB486DD0AD,26,10.1.3.35:43264,213.165.67.97:25,<,250 OK,
2023-04-28T07:31:21.932Z,Send,08DAE0EB486DD0AD,27,10.1.3.35:43264,213.165.67.97:25,>,RCPT TO:<qwer@sdfg.com>,
2023-04-28T07:31:21.961Z,Send,08DAE0EB486DD0AD,28,10.1.3.35:43264,213.165.67.97:25,<,250 OK,
2023-04-28T07:31:21.961Z,Send,08DAE0EB486DD0AD,29,10.1.3.35:43264,213.165.67.97:25,>,RCPT TO:<yxcv@sdfg.com>,
2023-04-28T07:31:21.989Z,Send,08DAE0EB486DD0AD,30,10.1.3.35:43264,213.165.67.97:25,<,250 OK,
2023-04-28T07:31:21.993Z,Send,08DAE0EB486DD0AD,31,10.1.3.35:43264,213.165.67.97:25,>,DATA,
2023-04-28T07:31:22.016Z,Send,08DAE0EB486DD0AD,32,10.1.3.35:43264,213.165.67.97:25,<,354 Start mail input; end with <CRLF>.<CRLF>,
2023-04-28T07:31:22.127Z,Send,08DAE0EB486DD0AD,33,10.1.3.35:43264,213.165.67.97:25,<,"250 Requested mail action okay, completed: id=1MHGPA-1q5Rjl3jlo-00DHs7",
2023-04-28T07:31:22.130Z,Send,08DAE0EB486DD0AD,34,10.1.3.35:43264,213.165.67.97:25,>,QUIT,
2023-04-28T07:31:22.153Z,Send,08DAE0EB486DD0AD,35,10.1.3.35:43264,213.165.67.97:25,<,221 kundenserver.de Service closing transmission channel,
2023-04-28T07:31:22.153Z,Send,08DAE0EB486DD0AD,36,10.1.3.35:43264,213.165.67.97:25,-,,Local

 

bearbeitet von LordOfLight
edit
Link zu diesem Kommentar

Die Firewall / das Mailgateway nimmt die Mails an und stellt diese dem Exchange zu. Wo ändert sich jetzt der Zugriff aus dem Internet in Richtung Exchange im Vergleich zum jetzigen Konstrukt? (Der Client Zugriff steht dann ja nochmal auf einem ganz anderen Blatt.)

 

Wenn du "kommende Sicherheitslücken" betrachtest, dann leg besser den FI-Schalter um. ;)

Link zu diesem Kommentar

Keine Hände, keine Kekse.

Mailgateway/Firewall - ich möchte keine Ports öffnen.

 

Jeder Dienst beinhaltet `per se` eine Wahrscheinlichkeit. Jede Diskussion darüber habe ich auch schon mit meinen anderen Firewall Kollegen diskutiert. Alles was ich nicht öffne oder anbiete ist eine Möglichkeit weniger.

 

Eine Diskussion hierüber ist aber für die Konfiguration des Beispiels hier nicht wirklich hilfreich.

 

Link zu diesem Kommentar
vor 2 Stunden schrieb LordOfLight:

aber einen Exchange mit den kommenden, bzw. bestehenden Sicherheitslücken ....

Was für eine krude Aussage. Es geht um Zustellung per smtp. Da steht nirgends, dass du den exchange dazu nutzen sollst.

 

und Probleme mit popconnectoren hattest nur du noch nie. ;) weil die natürlich fehlerfrei in jeglicher Hinsicht sind.

 

aber egal.

 

 

vor 1 Stunde schrieb LordOfLight:

ich möchte keine Ports öffnen

Ist übrigens was anderes als mit Security in bestimmten Produkten zu argumentieren.

vor 2 Stunden schrieb LordOfLight:

Da sieht mal zwar was von TLS, wird quasi von IONOS bereit gestellt. Wird das auch benutzt?

Sieht jedenfalls so aus. Muss ich mal nachher am Monitor anschauen. Am Hand macht das keinen Spaß.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...