2010 Empfangsconnector "Anonymes Relay" funktioniert nicht

[michelo82 12]

Hallo,

 

ich möchte, dass Exchange 2010 Mails von allen Servern / Clients unseres Netzwerkes annimmt. Das funktioniert ja nur, wenn am Empfangsconnector "Default" der Haken unter "Berechtigungsgruppen -> Anonyme Benutzer" gesetzt ist.

 

Um den IP-Adressbereich für den Anonymen Zugriff einzuschränken habe ich einen neuen Empfangsconnector wie hier und hier beschrieben erstellt.

 

Leider spuckt mir mein SMTP-Tool trotzdem folgende Fehlermeldung aus, wenn ich von einem IPv6-fähigen PC (Windows 7 / Server 2008 - IPv6 ist jedoch deaktiviert!) in unserem Netz eine Mail senden mag:

Fehler: Für den SMTP-Server ist eine sichere Verbindung erforderlich, oder der C
lient wurde nicht authentifiziert. Die Serverantwort war: 5.7.1 Client was not a
uthenticated

Von Windows Server 2003 Rechner wird die Nachricht durchgestellt. :confused:

 

Wird der Haken "Anonyme Benutzer" am "Default Connector" gesetzt funktioniert der Mail-Versand von allen Rechnern (auch IPv6 fähige Clients...)

 

Warum nimmt Exchange die Nachrichten nicht über den neu erstellen Connector an?

[michelo82 12]

Ok...man muss auch die IPv6 - Remoteadressen am Connector eingeben, dann nimmt er auch die Mails an...

 

Nur komischerweise kann Exchange keine Mail sozusagen von sich selber empfangen. Ich benutze dazu wieder mein einfaches SMTP Tool oder Telnet...

 

Ich muss dazu sagen, dass der Exchange virtuell läuft und wahrscheinlich die Mail deswegen nicht von der Adresse einer virtuellen Netzwerkkarte empfangen möchte ;)

 

Auszug aus dem Empfangslog:

 

2011-06-24T13:43:49.292Z,EXCH2010\Default EXCH2010,08CDFED9B65B020E,19,fe80::5c05:23c2:b734:8462%15:25,fe80::5c05:23c2:b734:8462%15:14582,<,MAIL FROM:<hans.mustermann@meine-firma.de>,
2011-06-24T13:43:49.292Z,EXCH2010\Default EXCH2010,08CDFED9B65B020E,20,fe80::5c05:23c2:b734:8462%15:25,fe80::5c05:23c2:b734:8462%15:14582,*,Tarpit for '0.00:00:05',
2011-06-24T13:43:54.324Z,EXCH2010\Default EXCH2010,08CDFED9B65B020E,21,fe80::5c05:23c2:b734:8462%15:25,fe80::5c05:23c2:b734:8462%15:14582,>,530 5.7.1 Client was not authenticated,

 

 

(nächster Post wegen Zeichenbeschränkung)

 

Was ist denn das für eine IP mit %15 am ende?

[michelo82 12]

2011-06-24T13:43:49.292Z,EXCH2010\Default EXCH2010,08CDFED9B65B020E,0,fe80::5c05:23c2:b734:8462%15:25,fe80::5c05:23c2:b734:8462%15:14582,+,,
2011-06-24T13:43:49.292Z,EXCH2010\Default EXCH2010,08CDFED9B65B020E,1,fe80::5c05:23c2:b734:8462%15:25,fe80::5c05:23c2:b734:8462%15:14582,*,None,Set Session Permissions
2011-06-24T13:43:49.292Z,EXCH2010\Default EXCH2010,08CDFED9B65B020E,2,fe80::5c05:23c2:b734:8462%15:25,fe80::5c05:23c2:b734:8462%15:14582,>,"220 EXCH2010.meine-firma.org Microsoft ESMTP MAIL Service ready at Fri, 24 Jun 2011 15:43:48 +0200",
2011-06-24T13:43:49.292Z,EXCH2010\Default EXCH2010,08CDFED9B65B020E,3,fe80::5c05:23c2:b734:8462%15:25,fe80::5c05:23c2:b734:8462%15:14582,<,EHLO EXCH2010,
2011-06-24T13:43:49.292Z,EXCH2010\Default EXCH2010,08CDFED9B65B020E,4,fe80::5c05:23c2:b734:8462%15:25,fe80::5c05:23c2:b734:8462%15:14582,>,250-EXCH2010.meine-firma.org Hello [fe80::5c05:23c2:b734:8462%15],
2011-06-24T13:43:49.292Z,EXCH2010\Default EXCH2010,08CDFED9B65B020E,5,fe80::5c05:23c2:b734:8462%15:25,fe80::5c05:23c2:b734:8462%15:14582,>,250-SIZE,
2011-06-24T13:43:49.292Z,EXCH2010\Default EXCH2010,08CDFED9B65B020E,6,fe80::5c05:23c2:b734:8462%15:25,fe80::5c05:23c2:b734:8462%15:14582,>,250-PIPELINING,
2011-06-24T13:43:49.292Z,EXCH2010\Default EXCH2010,08CDFED9B65B020E,7,fe80::5c05:23c2:b734:8462%15:25,fe80::5c05:23c2:b734:8462%15:14582,>,250-DSN,
2011-06-24T13:43:49.292Z,EXCH2010\Default EXCH2010,08CDFED9B65B020E,8,fe80::5c05:23c2:b734:8462%15:25,fe80::5c05:23c2:b734:8462%15:14582,>,250-ENHANCEDSTATUSCODES,
2011-06-24T13:43:49.292Z,EXCH2010\Default EXCH2010,08CDFED9B65B020E,9,fe80::5c05:23c2:b734:8462%15:25,fe80::5c05:23c2:b734:8462%15:14582,>,250-STARTTLS,
2011-06-24T13:43:49.292Z,EXCH2010\Default EXCH2010,08CDFED9B65B020E,10,fe80::5c05:23c2:b734:8462%15:25,fe80::5c05:23c2:b734:8462%15:14582,>,250-X-ANONYMOUSTLS,
2011-06-24T13:43:49.292Z,EXCH2010\Default EXCH2010,08CDFED9B65B020E,11,fe80::5c05:23c2:b734:8462%15:25,fe80::5c05:23c2:b734:8462%15:14582,>,250-AUTH NTLM LOGIN,
2011-06-24T13:43:49.292Z,EXCH2010\Default EXCH2010,08CDFED9B65B020E,12,fe80::5c05:23c2:b734:8462%15:25,fe80::5c05:23c2:b734:8462%15:14582,>,250-X-EXPS GSSAPI NTLM,
2011-06-24T13:43:49.292Z,EXCH2010\Default EXCH2010,08CDFED9B65B020E,13,fe80::5c05:23c2:b734:8462%15:25,fe80::5c05:23c2:b734:8462%15:14582,>,250-8BITMIME,
2011-06-24T13:43:49.292Z,EXCH2010\Default EXCH2010,08CDFED9B65B020E,14,fe80::5c05:23c2:b734:8462%15:25,fe80::5c05:23c2:b734:8462%15:14582,>,250-BINARYMIME,
2011-06-24T13:43:49.292Z,EXCH2010\Default EXCH2010,08CDFED9B65B020E,15,fe80::5c05:23c2:b734:8462%15:25,fe80::5c05:23c2:b734:8462%15:14582,>,250-CHUNKING,
2011-06-24T13:43:49.292Z,EXCH2010\Default EXCH2010,08CDFED9B65B020E,16,fe80::5c05:23c2:b734:8462%15:25,fe80::5c05:23c2:b734:8462%15:14582,>,250-XEXCH50,
2011-06-24T13:43:49.292Z,EXCH2010\Default EXCH2010,08CDFED9B65B020E,17,fe80::5c05:23c2:b734:8462%15:25,fe80::5c05:23c2:b734:8462%15:14582,>,250-XRDST,
2011-06-24T13:43:49.292Z,EXCH2010\Default EXCH2010,08CDFED9B65B020E,18,fe80::5c05:23c2:b734:8462%15:25,fe80::5c05:23c2:b734:8462%15:14582,>,250 XSHADOW,
2011-06-24T13:43:49.292Z,EXCH2010\Default EXCH2010,08CDFED9B65B020E,19,fe80::5c05:23c2:b734:8462%15:25,fe80::5c05:23c2:b734:8462%15:14582,<,MAIL FROM:<hans.mustermann@meine-firma.de>,
2011-06-24T13:43:49.292Z,EXCH2010\Default EXCH2010,08CDFED9B65B020E,20,fe80::5c05:23c2:b734:8462%15:25,fe80::5c05:23c2:b734:8462%15:14582,*,Tarpit for '0.00:00:05',
2011-06-24T13:43:54.324Z,EXCH2010\Default EXCH2010,08CDFED9B65B020E,21,fe80::5c05:23c2:b734:8462%15:25,fe80::5c05:23c2:b734:8462%15:14582,>,530 5.7.1 Client was not authenticated,
2011-06-24T13:43:54.324Z,EXCH2010\Default EXCH2010,08CDFED9B65B020E,22,fe80::5c05:23c2:b734:8462%15:25,fe80::5c05:23c2:b734:8462%15:14582,-,,Local

[RobertWi 81]

Ok...man muss auch die IPv6 - Remoteadressen am Connector eingeben, dann nimmt er auch die Mails an...

 

Nur, wenn man auch auf einer IPv6-Adresse "hört". v6 wird immer zuerst genommen, danach erst v4.

 

Nur komischerweise kann Exchange keine Mail sozusagen von sich selber empfangen. Ich benutze dazu wieder mein einfaches SMTP Tool oder Telnet...

 

Weil im Normalfall auch alle v6-Adressen als Remote Adresse eingetragen sind (von...bis).

 

Ich muss dazu sagen, dass der Exchange virtuell läuft und wahrscheinlich die Mail deswegen nicht von der Adresse einer virtuellen Netzwerkkarte empfangen möchte ;)

 

Das ist eigentlich egal, solange er eine eigene IP-Adresse hat (bridged, nicht NAT).

 

Was ist denn das für eine IP mit %15 am ende?

 

Windows setzt hinter jeder v6-Adresse die Nummer der Schnittstelle

 

Ruf mal "ipconfig /all" auf, dann siehst Du das auch und die Zahlen passen zur Spalte "if" von "route print".

[michelo82 12]

Mittlerweile funktioniert es wie es soll ;) Ich habe einfach die IPv6 "Unterstützung" der Netzwerkkarte deaktiviert. Also den Haken raus genommen...

 

Exchange akzeptiert nun Mails die ich über mein SMTP-Tool schicke auch von sich selbst. Im LOG steht nun nicht mehr die IPv6 mit Schnittstelle:

fe80::5c05:23c2:b734:8462%15

sondern die die vermutlich richtige

2002:8493:a019::8493:xxxx

 

Eingehende Nachrichten werden nun über den Connector "Internes Relay" verarbeitet. Hier ist der Haken "Anonyme Benutzer" gesetzt.

 

Das zweite Problem war, dass Exchange mit aktivierter Inhaltsfilterung nun auch meine internen Mails mit einem (rechten hohem) SCL-Wert versieht.

 

Ich habe nun einfach in der "IP-Zulassungsliste" den IPv4 und IPv6 Bereich meiner internen Server angegeben. Die Adresse des Exchange selbst habe ich ausgelassen, da sonst Mails von POPCon nicht mehr mit SCL-Wert versehen würden.

 

Ich denke mal, dass die Konfiguration so korrekt ist? Ziel soll ja nur sein, dass interne Mails nicht als Spam deklariert werden können, die von POPCon zugestellten sehr wohl ;)

[NorbertFe 2.045]

Mittlerweile funktioniert es wie es soll ;) Ich habe einfach die IPv6 "Unterstützung" der Netzwerkkarte deaktiviert. Also den Haken raus genommen...

 

"Haken raus" ist keine gute Idee. Entweder du deaktivierst es korrekt, oder läßt es aktiv.

 

 

ausgelassen, da sonst Mails von POPCon nicht mehr mit SCL-Wert versehen würden.

 

Würg. POPCon und dann noch Spamfiltern. ;)

 

nterne Mails nicht als Spam deklariert werden können, die von POPCon zugestellten sehr wohl ;)

 

Warum läßt du dann nicht einfach schon beim Provider filtern, bzw. stellst einfach auf SMTP Zustellung um, denn dann funktioniert ein Spamfilter auch vernünftig.

 

Bye

Norbert

[michelo82 12]

"Haken raus" ist keine gute Idee. Entweder du deaktivierst es korrekt, oder läßt es aktiv.

 

Aber nur so akzeptiert er Mails von der korrekten IPv6 Adresse und nicht von der Adresse mit dem %15 (Schnittstelle).

 

Würg. POPCon und dann noch Spamfiltern. ;)

Hab nur die einfache Version ohne Filter ;)

 

Warum läßt du dann nicht einfach schon beim Provider filtern

Ein bisschen kommt doch noch durch ;)

 

bzw. stellst einfach auf SMTP Zustellung um, denn dann funktioniert ein Spamfilter auch vernünftig.

Wie meinst du das?

[NorbertFe 2.045]

Aber nur so akzeptiert er Mails von der korrekten IPv6 Adresse und nicht von der Adresse mit dem %15 (Schnittstelle).

 

Dann deaktiviere es korrekt und nicht nur einfach Haken raus. Wobei es auch mit IPv6 funktionieren sollte. ;)

 

Hab nur die einfache Version ohne Filter ;)

 

Naund?

 

Wie meinst du das?

 

Was? SMTP? Was kann man da jetzt nicht verstehen?

 

Bye

Norbert

[michelo82 12]

Dann deaktiviere es korrekt und nicht nur einfach Haken raus. Wobei es auch mit IPv6 funktionieren sollte. ;)

Ja kann ich noch machen. Problem war aber eben, wie man im LOG des SMTPReceive nachschauen konnte, dass die Adresse

fe80::5c05:23c2:b734:8462%15 : 25

an die Adresse

fe80::5c05:23c2:b734:8462%15 : 14582

senden mag! So erhalte ich aber immer "530 5.7.1 Client was not authenticated" da ich diese Adresse nicht bei den akzeptieren Remoteservern angeben kann...

 

Naund?

Warum dann würg? Die Mails werden von draußen (POP3) mit POPCon abgeholt. Da könnte hier und da mal eine unerwünschte Mail drinnen sein...

Ich steh glaub aufn schlauch ;)

 

Was? SMTP? Was kann man da jetzt nicht verstehen?

Mails werden über einen separaten Connector (mit geänderten Port) von POPCon empfangen...das geht doch über SMTP. Oder was meinst du?

[NorbertFe 2.045]

Warum dann würg?

 

Was anderes fällt mir bei POPConnectoren nunmal nicht ein.

 

Mails werden über einen separaten Connector (mit geänderten Port) von POPCon empfangen...das geht doch über SMTP. Oder was meinst du?

 

Wozu Popconnectoren? Es geht einfacher/besser/schneller/unkomplizierter/(such dir was aus) ohne diesen Mist.

 

Bye

Norbert

[michelo82 12]

Wozu Popconnectoren? Es geht einfacher/besser/schneller/unkomplizierter/(such dir was aus) ohne diesen Mist.

 

Meinst du Mails per SMTP abholen?

[NorbertFe 2.045]

Nein ich meine per SMTP zustellen. Schrieb ich ja bereits.

 

Bye

Norbert

[michelo82 12]

Mach ich nicht aber so den Server öffentlich erreichbar?

[NorbertFe 2.045]

Ja, und? Glaubst du, Passworte per POP3 durchs Internet pusten ist besser?

 

Bye

Norbert

[Dukel 454]

Mach ich nicht aber so den Server öffentlich erreichbar?

 

Du kannst den Exchange Edge Server davor hängen, dann ist nur dieser öffentlich.