Exchange Server akz...
 
Benachrichtigungen
Alles löschen

Exchange Server akzeptiert kein STARTTLS / TLS

20 Beiträge
2 Benutzer
0 Reactions
9,443 Ansichten
(@m4rtin)
Trusted Member
Beigetreten: Vor 3 Jahren
Beiträge: 42
Themenstarter  

Guten Morgen,

obwohl mein Exchange scheinbar richtig konfiguriert ist, wird laut SSL Check kein TLS unterstützt. Habt Ihr eine Idee woran das liegen könnte? (Details siehe Bilder)

 


 

der powershell output ist hier nochmal in groß:

https://seidel.next-cloud.org/index.php/s/mbasZn9BcEXPTa9


   
Zitat
NorbertFe
(@norbertfe)
Beigetreten: Vor 4 Jahren
Beiträge: 1597
 

Was steht denn vor dem exchange? Mach mal ein Telnet auf Port 25 von extern.

dein powershell sagt wenig aus, und wäre vermutlich als Code besser lesbar als so ein blöder Screenshot. ;)


   
AntwortZitat

(@m4rtin)
Trusted Member
Beigetreten: Vor 3 Jahren
Beiträge: 42
Themenstarter  

@norbertfe 

Ich dachte es ist so besser zu lesen wegen den Farben ;)

telnet funktioniert (connected). Also die Mails kommen ja auch an so ist es ja nicht...


   
AntwortZitat
NorbertFe
(@norbertfe)
Beigetreten: Vor 4 Jahren
Beiträge: 1597
 
Veröffentlicht von: @m4rtin

telnet funktioniert (connected). Also die Mails kommen ja auch an so ist es ja nicht...

Hmpfff. Gib doch mal den Telnet Output her. Evtl. Mal ein helo bzw ehlo schicken. Welche commands kommen zurück?


   
AntwortZitat

NorbertFe
(@norbertfe)
Beigetreten: Vor 4 Jahren
Beiträge: 1597
 
Veröffentlicht von: @norbertfe

Was steht denn vor dem exchange?

Ich wiederhole mich mal.


   
AntwortZitat
(@m4rtin)
Trusted Member
Beigetreten: Vor 3 Jahren
Beiträge: 42
Themenstarter  

 

martin@MacBook-Pro-von-admin ~ % telnet mail.xxxx.de 25
Trying xxx.xxx.xxx.xxx...
Connected to mail.xxxx.de.
Escape character is '^]'.
220 mail.xxxx.de ESMTP Postfix

500 5.5.2 Error: bad syntax

500 5.5.2 Error: bad syntax

 

Davor hängt eine OPNsense und davor eine Fritzbox (exposed host für OPNsense)


   
AntwortZitat

(@m4rtin)
Trusted Member
Beigetreten: Vor 3 Jahren
Beiträge: 42
Themenstarter  
500 5.5.2 Error: bad syntax
ehlo mailserver.xxxx.de
250-mail.xxxx.de
250-PIPELINING
250-SIZE 51200000
250-VRFY
250-ETRN
250-AUTH GS2-IAKERB GS2-KRB5 SCRAM-SHA-1 SCRAM-SHA-256 GSSAPI GSS-SPNEGO DIGEST-MD5 NTLM CRAM-MD5 PLAIN LOGIN
250-ENHANCEDSTATUSCODES
250-8BITMIME
250-DSN
250-SMTPUTF8
250 CHUNKING

 

helo mailserver.xxxx.de
250 mail.xxxx.de

 


   
AntwortZitat
NorbertFe
(@norbertfe)
Beigetreten: Vor 4 Jahren
Beiträge: 1597
 
Veröffentlicht von: @m4rtin

220 mail.xxxx.de ESMTP Postfix

Das ist aber kein exchange.


   
AntwortZitat

NorbertFe
(@norbertfe)
Beigetreten: Vor 4 Jahren
Beiträge: 1597
 

@m4rtin 

das ist auch kein exchange, der da antwortet. ;)


   
AntwortZitat
(@m4rtin)
Trusted Member
Beigetreten: Vor 3 Jahren
Beiträge: 42
Themenstarter  

Das stimmt wohl, hatte mal einen postfix eingerichtet. Ich habe aber exakt das gleiche ergebnis bekommen als ich die nat regel wieder angemacht hatte um wieder direkt auf den mx zu leiten.

Ich versuche dienstag noch mal mit mx direkt und poste mal das ergebnis mit telnet…

 


   
AntwortZitat

(@m4rtin)
Trusted Member
Beigetreten: Vor 3 Jahren
Beiträge: 42
Themenstarter  

Hallo!

 

Hier wie versprochen der output:

 

 

martin@MacBook-Pro-von-admin Downloads % telnet mail.xxxx.de 25
Trying 192.168.234.180...
Connected to mail.xxxx.de.
Escape character is '^]'.
220 MAILSERVER.xxxx.local Microsoft ESMTP MAIL Service ready at Tue, 12 Oct 2021 13:37:44 +0200
helo mailserver.xxxx.de
250 MAILSERVER.xxxx.local Hello [10.10.0.2]
ehlo mailserver.xxxx.de
250-MAILSERVER.xxxx.local Hello [10.10.0.2]
250-SIZE 37748736
250-PIPELINING
250-DSN
250-ENHANCEDSTATUSCODES
250-X-ANONYMOUSTLS
250-AUTH NTLM LOGIN
250-X-EXPS GSSAPI NTLM
250-8BITMIME
250-BINARYMIME
250-CHUNKING
250 XRDST

500 5.3.3 Unrecognized command 'unknown'

500 5.3.3 Unrecognized command 'unknown'

   
AntwortZitat
NorbertFe
(@norbertfe)
Beigetreten: Vor 4 Jahren
Beiträge: 1597
 

Hi,

danke. Leg dir mal nen neuen Empfangsconnector an auf dem du den externen Namen als EHLO String definierst:

https://www.frankysweb.de/community/postid/3947/

 


   
AntwortZitat

(@m4rtin)
Trusted Member
Beigetreten: Vor 3 Jahren
Beiträge: 42
Themenstarter  

Hallo, kannst Du mir einen Link zu einem Howto geben wo ich mich ein bisschen einlesen kann wie das geht und die Hintergründe kennenlerne?


   
AntwortZitat
NorbertFe
(@norbertfe)
Beigetreten: Vor 4 Jahren
Beiträge: 1597
 

Nein kann ich nicht. :) Weil das so einfach geht, wie ich es im obigen Link beschrieben habe. Kaputt kannst du da nichts machen und das Prinzip sollte sich dann recht schnell erschließen.


   
AntwortZitat

(@m4rtin)
Trusted Member
Beigetreten: Vor 3 Jahren
Beiträge: 42
Themenstarter  

@norbertfe 

Er sagt jetzt:

Die von Ihnen angegebenen Werte für die Parameter "Bindings" und "RemoteIPRanges" stehen im Konflikt mit den Einstellungen für den Empfangsconnector "MAILSERVER\Default Frontend MAILSERVER". Empfangsconnectors, die auf einem einzigen Server verschiedenen Transportrollen zugewiesen sind, müssen an eindeutigen, lokalen IP-Adressen und Portbindungen lauschen.



 


   
AntwortZitat
NorbertFe
(@norbertfe)
Beigetreten: Vor 4 Jahren
Beiträge: 1597
 

Man müßte halt lesen, was geschrieben steht:

"Dazu sollte man am besten einen eigenen Receiveconnector fürs Internet bauen, was dann bedeutet, dass man den Default Connector (auf Port 25) anpassen muss, weil sonst die IP Bereiche überlagern."

https://www.frankysweb.de/community/postid/3927/

 

Du MUSST als erstes den Default Connector anpassen. Danach dann den neuen konfigurieren.


   
AntwortZitat

(@m4rtin)
Trusted Member
Beigetreten: Vor 3 Jahren
Beiträge: 42
Themenstarter  

@norbertfe 

OK hab es jetzt soweit eingerichtet, der SSL Test sagt aber immernoch das gleiche, kein TLS...

Bei den Netzwerkadapterbindungen des Default Frontends habe ich IPV4 entfernt (?)





 


   
AntwortZitat
NorbertFe
(@norbertfe)
Beigetreten: Vor 4 Jahren
Beiträge: 1597
 

Geht es denn intern? Ich hab immer noch die Vermutung, dass da eine Firewall dazwischenfummelt.


   
AntwortZitat

(@m4rtin)
Trusted Member
Beigetreten: Vor 3 Jahren
Beiträge: 42
Themenstarter  

Der FQDN war nicht im Default Frontend eingetragen, jetzt gehts :)


   
AntwortZitat
NorbertFe
(@norbertfe)
Beigetreten: Vor 4 Jahren
Beiträge: 1597
 
Veröffentlicht von: @m4rtin

m Default Frontend eingetragen,

Da kann man den auch nicht eintragen, wenn man nicht an den Berechtigungen dreht. Und das würde ich nicht empfehlen.


   
AntwortZitat

Teilen: