Guten Morgen,
obwohl mein Exchange scheinbar richtig konfiguriert ist, wird laut SSL Check kein TLS unterstützt. Habt Ihr eine Idee woran das liegen könnte? (Details siehe Bilder)
der powershell output ist hier nochmal in groß:
Was steht denn vor dem exchange? Mach mal ein Telnet auf Port 25 von extern.
dein powershell sagt wenig aus, und wäre vermutlich als Code besser lesbar als so ein blöder Screenshot. ;)
Ich dachte es ist so besser zu lesen wegen den Farben ;)
telnet funktioniert (connected). Also die Mails kommen ja auch an so ist es ja nicht...
telnet funktioniert (connected). Also die Mails kommen ja auch an so ist es ja nicht...
Hmpfff. Gib doch mal den Telnet Output her. Evtl. Mal ein helo bzw ehlo schicken. Welche commands kommen zurück?
Was steht denn vor dem exchange?
Ich wiederhole mich mal.
martin@MacBook-Pro-von-admin ~ % telnet mail.xxxx.de 25 Trying xxx.xxx.xxx.xxx... Connected to mail.xxxx.de. Escape character is '^]'. 220 mail.xxxx.de ESMTP Postfix 500 5.5.2 Error: bad syntax 500 5.5.2 Error: bad syntax
Davor hängt eine OPNsense und davor eine Fritzbox (exposed host für OPNsense)
500 5.5.2 Error: bad syntax ehlo mailserver.xxxx.de 250-mail.xxxx.de 250-PIPELINING 250-SIZE 51200000 250-VRFY 250-ETRN 250-AUTH GS2-IAKERB GS2-KRB5 SCRAM-SHA-1 SCRAM-SHA-256 GSSAPI GSS-SPNEGO DIGEST-MD5 NTLM CRAM-MD5 PLAIN LOGIN 250-ENHANCEDSTATUSCODES 250-8BITMIME 250-DSN 250-SMTPUTF8 250 CHUNKING
helo mailserver.xxxx.de 250 mail.xxxx.de
220 mail.xxxx.de ESMTP Postfix
Das ist aber kein exchange.
Das stimmt wohl, hatte mal einen postfix eingerichtet. Ich habe aber exakt das gleiche ergebnis bekommen als ich die nat regel wieder angemacht hatte um wieder direkt auf den mx zu leiten.
Ich versuche dienstag noch mal mit mx direkt und poste mal das ergebnis mit telnet…
Hallo!
Hier wie versprochen der output:
martin@MacBook-Pro-von-admin Downloads % telnet mail.xxxx.de 25 Trying 192.168.234.180... Connected to mail.xxxx.de. Escape character is '^]'. 220 MAILSERVER.xxxx.local Microsoft ESMTP MAIL Service ready at Tue, 12 Oct 2021 13:37:44 +0200
helo mailserver.xxxx.de 250 MAILSERVER.xxxx.local Hello [10.10.0.2]
ehlo mailserver.xxxx.de 250-MAILSERVER.xxxx.local Hello [10.10.0.2] 250-SIZE 37748736 250-PIPELINING 250-DSN 250-ENHANCEDSTATUSCODES 250-X-ANONYMOUSTLS 250-AUTH NTLM LOGIN 250-X-EXPS GSSAPI NTLM 250-8BITMIME 250-BINARYMIME 250-CHUNKING 250 XRDST 500 5.3.3 Unrecognized command 'unknown' 500 5.3.3 Unrecognized command 'unknown'
Hi,
danke. Leg dir mal nen neuen Empfangsconnector an auf dem du den externen Namen als EHLO String definierst:
https://www.frankysweb.de/community/postid/3947/
Hallo, kannst Du mir einen Link zu einem Howto geben wo ich mich ein bisschen einlesen kann wie das geht und die Hintergründe kennenlerne?
Nein kann ich nicht. :) Weil das so einfach geht, wie ich es im obigen Link beschrieben habe. Kaputt kannst du da nichts machen und das Prinzip sollte sich dann recht schnell erschließen.
Er sagt jetzt:
Die von Ihnen angegebenen Werte für die Parameter "Bindings" und "RemoteIPRanges" stehen im Konflikt mit den Einstellungen für den Empfangsconnector "MAILSERVER\Default Frontend MAILSERVER". Empfangsconnectors, die auf einem einzigen Server verschiedenen Transportrollen zugewiesen sind, müssen an eindeutigen, lokalen IP-Adressen und Portbindungen lauschen.
Man müßte halt lesen, was geschrieben steht:
"Dazu sollte man am besten einen eigenen Receiveconnector fürs Internet bauen, was dann bedeutet, dass man den Default Connector (auf Port 25) anpassen muss, weil sonst die IP Bereiche überlagern."
https://www.frankysweb.de/community/postid/3927/
Du MUSST als erstes den Default Connector anpassen. Danach dann den neuen konfigurieren.
OK hab es jetzt soweit eingerichtet, der SSL Test sagt aber immernoch das gleiche, kein TLS...
Bei den Netzwerkadapterbindungen des Default Frontends habe ich IPV4 entfernt (?)
Geht es denn intern? Ich hab immer noch die Vermutung, dass da eine Firewall dazwischenfummelt.
Der FQDN war nicht im Default Frontend eingetragen, jetzt gehts :)
m Default Frontend eingetragen,
Da kann man den auch nicht eintragen, wenn man nicht an den Berechtigungen dreht. Und das würde ich nicht empfehlen.