Jump to content

Nichtdomänenmitglied soll Mails über Exchange verschicken dürfen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

wir haben letzte Woche so ein nettes Werkzeugverwaltungsgerät bekommen, das div. Statusmeldungen etc. per Mail verschicken kann.

 

Dieses Gerät ist jedoch kein Mitglied in unserer Domäne und ich kann dem Ding irgendwie nicht beibringen, Mails auch nach extern zu schicken.

 

Ich habe einen Domänen-Benutzer angelegt, den ich in den Mail-Einstellungen des Gerätes als Authentifizierungsuser verwende. Leider funktioniert das mit dem nach extern senden nur dann, wenn dieser User Domänen-Admin ist, ansonsten kommt die Meldung:

 

Fehler LogonDenied bei der eingehenden Authentifizierung für den Empfangsconnector xxxx. Der Authentifizierungsmechanismus ist Ntlm. Die Quell-IP-Adresse des Clients, der die Authentifizierung bei Microsoft Exchange versucht hat, ist [xxx.xxx.xxx.xxx].

 

Habe dann ein paar Einstellungen durchprobiert und irgendwann auch mal diese Meldung erhalten:

 

Das Konto 'Domäne\User' hat gültige Anmeldeinformationen bereitgestellt, besitzt jedoch keine Übermittlungsberechtigungen für den SMTP-Empfangsconnector 'xxxx'. Fehler bei der Authentifizierung.

 

Nur intern versenden ist kein Problem, aber ein paar Meldungen müssen auch nach extern zum Anbieter. Wie bringe ich meinem Mail-Server oder dem Gerät jetzt bei, dass sie das machen sollen? Bislang hatte ich nur Geräte, die in der Domäne waren bzw. voll anonym Mailen.

 

Kann mir evtl. jemand nen Tipp geben, wo es hakt?

 

Danke schonmal.

Alex

Link zu diesem Kommentar

Hmm, sorry, hab ich total vergessen:

 

Exchange 2010

 

Im Connector ist folgendes eingestellt:

Reiter Netzwerk - E-Mail von Remoteservern ...: IP-Adresse des Gerätes

Reiter Authentifizierung: Haken bei TLS, Standardauth., integrierte Windows-Auth.

Reiter Berechtigungsgruppen: Anonyme Benutzer

 

Und wie gesagt, der Benutzer, den ich angelegt habe, ist momentan Domänen-Admin, damit das überhaupt funktioniert.

Link zu diesem Kommentar

Exchange-Benutzer auch, wenn der angelegte User im AD kein Mail-Konto hat?

 

Ich muss dem System Benutzername, Passwort, Serveradresse und Mail-Adresse mitteilen.

 

AD-Benutzter habe ich angelegt und ein PW vergeben, Serveradresse ist klar aber ne Mail-Adresse hat der Benutzer nicht, die ist quasi rein virtuell oder so nur zum versenden.

Link zu diesem Kommentar

Gegenfrage: Wo meinst Du denn, würde Exchange den Benutzernamen und das PW überprüfen, wenn nicht im AD?

 

In den Standard-Einstellungen kann ein authentifizierter User nur dann per SMTP einliefern, wenn er beim Senden seine eigene Mail-Adresse angibt. Damit soll vermieden werden, dass Absender gefälscht werden. Und wo wird die Adresse wohl stehen? Richtig: Im Postfach.

 

Wenn der Benutzer kein Postfach haben soll, oder er soll mit jeder beliebigen Adresse senden, musst Du im Connector die Berechtigung "ms-Exch-SMTP-Accept-Any-Sender" vergeben.

http://technet.microsoft.com/de-de/library/jj673053(v=exchg.150).aspx

http://help.globalscape.com/help/me3/configuring_authenticated_access_to_exchange.htm

Link zu diesem Kommentar

Ja, vom Prinzip her ist das natürlich schon logisch.

 

Ich könnte natürlich ein Postfach anlegen und da dann eine Weiterleitung zu mir einrichten, falls jemand auf die Idee kommt, an diese Adresse zu antworten. Oder einstellen, dass nur Mails von auth. Benutzern empfangen werden dürfen (d.h. intern), dann geht's auch wieder, da intern kein Mensch die Mail-Adresse kennen wird.

 

Aber ich frage mich, wie das dann z.B. unser ERP-System macht. Das nutzt auch eine im Prinzip x-beliebige Mail-Adresse und versendet anonym. Ich habe hier auch nur einen Empfangsconnector eingerichtet, der von der ERP-Server-IP das Versenden erlaubt.

 

Und bei dem Gerät habe ich auch schon versucht, Benutzername und Passwort weg zu lassen, damit er anonym sendet, hat aber auch nicht geklappt.

Link zu diesem Kommentar

Moin,

 

Du würfelst da einiger Dinge durcheinander. Daher zuer: Anforderungen klären.

 

Wenn ein Gerät anonym einliefern, dann kann es logischerweise jede Absender-Adresse nutzen. Ohne Anmeldung, kein Überprüfung des Absender, nur noch Überprüfung des Empfängers möglich.

 

Normalfall: Benutzer kann nur nach Authentifikation mit seiner eigenen Adresse einliefern und an jede Adresse schicken

Aufgeweicht: Benutzer kann nur nach Authentifikation mit jeder beliebigen Adresse einliefern und an jede Adresse schicken

Gefährlich: Benutzer kann ohne Authentifikation einliefern (mit beliebigem Absender), aber nur an interne Adresse

Extrem gefährlich: Benutzer kann ohne Authentifikation einliefern (mit beliebigem Absender), aber an jede Adresse

 

Die Lösung mit der "Weiterleitung" macht man manchmal, dann aber mit einem Kontakt. Wenn ein Geräte, dass nicht selbst authentifizieren kann, einliefern muss (dann sind Fall 1 und 2 ja nicht möglich), nimmt man den Fall drei, lässt das Gerät aber einen Kontakt zu stellen. Der ist ein interner Empfänger, leitet die Mail aber einen externen Empfänger weiter.

bearbeitet von RobertWi
Link zu diesem Kommentar

Hallo,

 

ich habe jetzt für den Benutzer ein Postfach am Exchange eingerichtet. Problem ist jetzt nur, dass ich jetzt keine Fehlermeldung mehr bekomme (was eigentlich gut wäre) aber leider auch keine E-Mail (und das ist dann widerum b***d).

Den eigenen Empfangsconnector brauche ich ja jetzt dann auch nicht mehr oder?

 

Ich versteh's langsam nicht mehr... Und hab's vorher wahrscheinlich auch nicht richtig verstanden :confused:

 

Oder liegt's evtl. daran, dass ich das Gerät jetzt zwar in die Domäne eingebunden habe, aber weiterhin mit dem lokalen Benutzer angemeldet bleibe und keine Domänenanmeldung mache? Dürfte aber doch eigentlich egal sein oder? Bekomme ja auch keine Fehlermeldung....

 

:rolleyes:

Link zu diesem Kommentar

Moin,

 

wie Du am Gerät angemeldet bist, ist egal. Die Anmeldung muss bei SMTP erfolgen und das macht die Anwendung, die SMTP benutzt.

 

Schau in das SMTP-Protokoll (eventuell vorher auf allen Empfangsconnectoren aktivieren). Darin kannst Du sehen, welcher Connector sich angeprochen fühlt und wie der Fehler lautet:

http://www.symantec.com/business/support/index?page=content&id=HOWTO92299

http://serverfault.com/questions/269472/where-can-i-find-logs-of-emails-sent-from-an-exchange-relay

Link zu diesem Kommentar

Da steht doch genau das, was dir Robert oben "verklickern" will.

Normalfall: Benutzer kann nur nach Authentifikation mit seiner eigenen Adresse einliefern und an jede Adresse schicken

Es authentifiziert sich also Nutzer A mit a@domain.tld und versucht mit b@domain.tld zu senden. Das darf er nicht!

Bye
Norbert

bearbeitet von NorbertFe
Link zu diesem Kommentar

Sorry, wenn ich's nicht verstehe... Es Authentifiziert sich User A und versucht auch mit User A zu versenden...

 

220 SERVERXXX.Domain.local Microsoft ESMTP MAIL Service ready at Wed, 12 Mar 2014 10:37:59 +0100",
EHLO Benutzer,
250-SERVERXXX.Domain.local Hello [xxx.xxx.xxx.xxx],
250-SIZE,
250-PIPELINING,
250-DSN,
250-ENHANCEDSTATUSCODES,
250-STARTTLS,
250-X-ANONYMOUSTLS,
250-AUTH NTLM LOGIN,
250-X-EXPS GSSAPI NTLM,
250-8BITMIME,
250-BINARYMIME,
250-CHUNKING,
250-XEXCH50,
250-XRDST,
250 XSHADOW,
AUTH ntlm,
334 <authentication response>,
Inbound Negotiate failed because of LogonDenied
User Name: NULL
Tarpit for '0.00:00:05',
535 5.7.3 Authentication unsuccessful,
AUTH login,
334 <authentication response>,
SMTPSubmit SMTPAcceptAnyRecipient BypassAntiSpam AcceptRoutingHeaders,Set Session Permissions
Domain\Benutzer,authenticated
235 2.7.0 Authentication successful,
MAIL FROM:<xxx@xxx.xx>,
receiving message
250 2.1.0 Sender OK,
RCPT TO:<xxx@xxx.xx>,
250 2.1.5 Recipient OK,
RCPT TO:<xxx@xxx.xx>,
250 2.1.5 Recipient OK,
RCPT TO:<xxx@xxx.xx>,
250 2.1.5 Recipient OK,
DATA,
354 Start mail input; end with <CRLF>.<CRLF>,
550 5.7.1 Client does not have permissions to send as this sender,
Remote

Link zu diesem Kommentar

Wie meinst du das?

 

Das ist die original Meldung aus dem Logfile, gekürzt halt um die Zeitangaben. Alles innerhalb weniger Sekunden passiert.

 

Was seltsam ist, ist der Benutzer "NULL" und danach die normale Anmeldung, die dann auch geklappt hat.

 

Ich kann in dem System auch nur Benutzername, Passwort, Serveradresse, Mailadresse und Betreff angeben. Das wird in eine Textdatei geschrieben, die dann wohl deren System ausliest. Und als Benutzer habe ich dann eben "Domain\Benutzer" angegeben.

bearbeitet von MiLLHouSe
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...