Exchange 2003 Mails von GMX kommen nicht an (TLS)

[sconsulting 0]

Vermutlich das gleiche AES Algho Problem. Da hat MS wohl einen halb fertigen Patch rausgebracht ohne QS.

 

Vermutlich schon, nach der Deinstallation von KB948963 funktioniert der IMAP über SSL Zugang wieder.  Ich hoffe nun, dass uns GMX entgegenkommt...

[viragomann 10]

Hallo!

 

Ehe ich hier als fauler Sack bezeichnet werde, der nur die anderen machen lässt, will ich erst mal meine relative Untätigkeit in der Sache rechtfertigen:
Der Server, der dieses Problem hat, gehört meinem Chef, ich bin aber zur Zeit im Urlaub.

 

Größten Dank gebührt hier aber CoolBlue, der nun wohl auf der Empfänger-Seite alles versucht hat.

Es bleibt nun wirklich nur noch eine Reaktion von GMX abzuwarten.

 

Ein Update des Exchange wäre auch bei uns für Ende des Jahres geplant, aber bis dahin muss der Mailtransfer funktionieren.

Verschlüsselung abschalten käme für mich nur auf Verlangen meines Chefs in Frage. Bislang gab es aber offenbar keine Beschwerden. Jedenfalls keine, die massive genug sind, meinen Urlaub zu stören.

 

Ich bin mal auch dem Link oben von NeMiX gefolgt, und habe dort mein Problem Kund getan. Vielleicht wird man bei GMX eher tätig, wenn es mehrere Beschwerden gibt.

Mal sehen.

 

Sollte es seitens GMX keine Lösung geben, würde mir als Abhilfe nur einfallen, für GMX (und andere betroffene Netze) einen eigenen virtuellen SMTP-Server ohne TLS zu konfigurieren. Die Trennung der Verbindung müsste dann durch ein quellselektives Routing erfolgen.

[CoolBlue 10]

Oh mann danke Newbie, die Lösung hätte mir doch sofort einfallen können.

 

Ich hatte zwar an einen zweiten SMTP Server gedacht, jedoch dann nur an die MX Records gedacht und da gibs keine Problemlösung.. aber der Kunde hat ja ne gute Firewall dort kann ich ja nen Source-Routing einstellen, anhand der GMX Adressenbereiche. Ist natürlich auch etwas komplex die Konfiguration aber machbar.

[Wolf1961 0]

Wie stelle ich mir das vor mit dem quellselektiven Routing?  Das müsste doch vor dem Port 25 sein, damit gmx-emails auf einen anderen Port umgeleitet werden, den der zweite virtuelle Smtp-Server überwacht.

 

Gruß

Wolfgang

[viragomann 10]

Ja, genau.

Man benötigt dafür eine Firewall / Router, die / der den Mailverkehr, der von den GMX-Servern auf Port 25 ankommt, auf einen anderen, nicht benötigten Port (z.B. 26) bzw. auf eine andere IP als der 1. SMTP weiterleitet.

Üblicherweise erledigt das das NAT in der Firewall. Aber nicht bei jeder kann man dabei nach Quell-IP filtern, was hier nötig ist.

Den 2. SMTP konfigurierst du, dass er auf diese andere IP/Port-Kombi lauscht, und bis auf das Zertifikat gleich wie den 1. Wenn du hierfür eine zusätzlich IP verwendest, vergiss nicht, diese auch auf der Netzwerkschnittstelle einzutragen.

[sconsulting 0]

Üblicherweise erledigt das das NAT in der Firewall. Aber nicht bei jeder kann man dabei nach Quell-IP filtern, was hier nötig ist.

 

Weiss per Zufall jemand ob das mit einer Zyxel USG-100 Firewall realisierbar wäre?

[Dirk-HH-83 14]

-same here

-auch thawte zertifikat (beim smtp server jedoch abgelaufen) und exchange 2003

- zum vergleich andere kunden mit fast identischer ausstattung (exchange 2003 und eigenem MX Eintrag, allerdings kein gekauftes zertifikat thawte) haben kein web.de/gmx.de empfangsproblem

- bei dem aktuellen kunden mit dem problem ist es also eine besondere exchange schalterstellung, updatestatus oder das zertifikat

 

 

 

 

Hallo,

 

nachdem ich heute auf meinem 2003 Exchange Server (SBS 2003) darauf gestossen bin, dass Mails von gmx und web.de seit ca. dem 8.08.13 nicht mehr ankommen, habe ich diesen Thread hier gefunden und heute den Tag über verfolgt.

 

Zu Schluss habe ich heute Abend nur vom virtuellen Standardserver für Smtp das Zertifikat entfernt, jetzt empfängt mein Exchangeserver die Mails wieder, da kein Versuch einer Verschlüsselung erfolgt. Ist zwar auch nicht super gut, aber bis eine Lösung/Änderung von gmx/web.de erfolgt oder von MS veröffentlicht wird, kommen die Mails erst einmal wieder an.

 

Auf den anderen virtuellen Servern ist das Zertifikat (was ein übrigens ein Eigenzertifikat ist) weiter vorhanden und die Verschlüsselung für POP3 Clients oder HTTP etc. funktioniert weiterhin.

 

[sconsulting 0]

Und von GMX hat bis jetzt noch niemand was gehört?

[CoolBlue 10]

Nö

[Dirk-HH-83 14]

 ESM / Server / Eigenschaften / Zugriff / Zertifikat  entfernen       ist   risikofrei  ?  

 

nicht das plötzlich etwas anderes nicht funktioniert.

wenn was nicht funktioniert, kann das vorher gesicherte Zertifikat ganz einfach wieder integriert werden?

[NorbertFe 2.041]

Du kannst es ja sicherheitshalber mit der Mmc vorher exportieren (mit private Key), wenns dir dann bessert geht.

 

Bye

Norbert

[Dirk-HH-83 14]

Problem:   wenn Zertifikat vom virtuellen SMTP Server entfernt wird, dann muss die andere Firma erzwungenen TLS Versand zu SBS 2003 bei sich abschalten.  TLS Mails kommen eingehend sonst nicht mehr an.

 

mit einem zweiten "virtuellen standardserver für smtp"  geht es m.W. nach nicht, oder extra netzwerkkarte benötigt u.ä....

[viragomann 10]

Problem:   wenn Zertifikat vom virtuellen SMTP Server entfernt wird, dann muss die andere Firma erzwungenen TLS Versand zu SBS 2003 bei sich abschalten.  TLS Mails kommen eingehend sonst nicht mehr an.

 

TLS zu erzwingen, hatte ich bislang ohnehin noch nicht gewagt. Weiß nictht, ob das schon jeder, der Post schicken will, unterstützt.

 

 

mit einem zweiten "virtuellen standardserver für smtp"  geht es m.W. nach nicht, oder extra netzwerkkarte benötigt u.ä....

 

Warum nicht? Man kann doch für eine Netzwerkschnittstelle mehrere IPs konfigurierenden und den 2. SMTP auf einer dieser lauschen lassen. Oder gleiche IP und anderer Port. Für die Trennung je nach Verbindungs-Quell-IP muss man allerdings davor im NAT auf jeden Fall Sorgen. Wenn der Server direkt im Internet hängt, was ich nicht annehme, sehe ich keine Möglichkeit.

[Dirk-HH-83 14]

Danke, der SBS ist direkt im Internet, eine Fortinet 50b davor.

"Trennung je nach Verbindungs-Quell-IP davor im NAT..."   kann die Fortinet 50b eher nicht, würde ich behaupten

 

Also z.B. fragen ob die "andere Firma mit dem erzwungenen TLS Versand zu dem Problem SBS 2003"

über Regeln/Routing Port 587 festlegen kann (oder alternativ an einen SMTP Server mit unterstützem TLS...(Linux Spam Proxy)

bearbeitet 22. August 2013 von Dirk-HH-83

[CoolBlue 10]

Fortinet sollte das können.

Nen SMTP Relay (Proxy reicht nicht) wäre auch eine Idee. Aber nicht leicht einzurichten, da ein AD E-Mail Adressen Sync stattfinden muss, damit keine NDAs generiert werden.