Mails an GMX mit Exchange 2007

[meinerjunge 10]

Hallo Forum,

 

seit einigen Tagen können wir keine Mails mehr an GMX und WEB.DE versenden, empfangen funktioniert ohne Problem.

 

Wir haben eine eigene Domain mit fester IP und hosten unsere Mails selber auf einem Exchange 2007.

 

In der Warteschlange stehen die Mails mit dem Fehler:

 

451 4.4.0 Primary target IP address responded with: "421 4.4.1 Connection timed out. "Attempted failover to alternate host, but that did not succeed. Either there are no alternate hosts, or delivery failed to all alternate hosts.

 

Die DNS Eintragungen zu unsere Domain passen (Revers-IP, MX usw.).

 

Kann mir jemand weiter helfen woran es noch liegen könnte?

 

 

MfG Meiner

[RobertWi 81]

Moin,

 

wie genau ist denn der Sende-Connector eingestellt? Sendet der wirklich an Port 25?

 

Was steht im SMTP-Protokoll?

 

Ist sichergestellt, dass sich nicht die Firewall-Konfig verändert hat?

[meinerjunge 10]

 

Moin,

 

wie genau ist denn der Sende-Connector eingestellt? Sendet der wirklich an Port 25?

 

Was steht im SMTP-Protokoll?

 

Ist sichergestellt, dass sich nicht die Firewall-Konfig verändert hat?

Der Sendeconnector sendet an Port 25. Der Connector wurd nicht verändert, er ist so eingestellt, dass er ohne TLS-Verschlüsselung an alle Domains über SMPT sendet (ich sehe den Verbindungsaufbau in der Firewall).

(TLS hatte ich schon aktiviert, ändert aber nichts).

 

Im SMTP-Protokoll steht:

2014-04-11T12:30:15.390Z,Senden Extern,xx,2,10.1.3.24:1356,213.165.67.115:25,<,220 gmx.net (mxgmx108) Nemesis ESMTP Service ready,
2014-04-11T12:30:15.390Z,Senden Extern,xx,3,10.1.3.24:1356,213.165.67.115:25,>,EHLO mail.domain.com,
2014-04-11T12:30:15.468Z,Senden Extern,xx,4,10.1.3.24:1356,213.165.67.115:25,<,250-gmx.net Hello mail.domain.com [xx.xx.xx.xx],
2014-04-11T12:30:15.468Z,Senden Extern,xx,5,10.1.3.24:1356,213.165.67.115:25,<,250-SIZE 157286400,
2014-04-11T12:30:15.468Z,Senden Extern,xx,6,10.1.3.24:1356,213.165.67.115:25,<,250 STARTTLS,
2014-04-11T12:30:15.468Z,Senden Extern,xx,7,10.1.3.24:1356,213.165.67.115:25,>,STARTTLS,
2014-04-11T12:30:15.562Z,Senden Extern,xx,8,10.1.3.24:1356,213.165.67.115:25,<,220 OK,
2014-04-11T12:30:15.562Z,Senden Extern,xx,9,10.1.3.24:1356,213.165.67.115:25,*,,Sending certificate
2014-04-11T12:30:15.562Z,Senden Extern,xx,10,10.1.3.24:1356,213.165.67.115:25,*,CN=mail.domain.com,Certificate subject
2014-04-11T12:30:15.562Z,Senden Extern,xx,11,10.1.3.24:1356,213.165.67.115:25,*,CN=mail.domain.com,Certificate issuer name
2014-04-11T12:30:15.562Z,Senden Extern,xx,12,10.1.3.24:1356,213.165.67.115:25,*,xxxxxxxxxxxxxxxxxxx,Certificate serial number
2014-04-11T12:30:15.562Z,Senden Extern,xx,13,10.1.3.24:1356,213.165.67.115:25,*,yyyyyyyyyyyyyyyyyyyy,Certificate thumbprint
2014-04-11T12:30:15.562Z,Senden Extern,xx,14,10.1.3.24:1356,213.165.67.115:25,*,mail.domain.com;edge-server,Certificate alternate names
2014-04-11T12:30:15.640Z,Senden Extern,xx,15,10.1.3.24:1356,213.165.67.115:25,-,,Local
2014-04-11T12:30:15.640Z,Senden Extern,xx,0,,213.165.67.97:25,*,,attempting to connect

Die Firewall-Konfig hat sich nicht geändert.

[Daniel -MSFT- 129]

Laut Log nutzt Du aber TLS. Welche Cipherlänge ist bei Dir im Einsatz? Schau mal hier rein: http://www.mcseboard.de/topic/194460-exchange-2003-mails-von-gmx-kommen-nicht-an-tls/

[meinerjunge 10]

Ich denke ich habe den Fehler gefunden der Exchangeadmin benutzt auf dem Server ein selbst erstelltes Zertifikat zur Serverauthentifizierung, dieses ist natürlich bei GMX usw. ungültig/nicht vertrauenswürdig (seitdem die Serverkommunikation nur noch verschlüsselt abläuft).

 

 

Habe ich Recht?

[NorbertFe 2.041]

Nein, ich bezweifle es stark, dass du recht hast.

[h-d.neuenfeldt 21]

ich habe es gerade mit einem 2003er Exchange mal probiert und habe OHNE mich um die Umstellung bei WEB.DE zu kümmern kein Problem eine Mail an WEB.DE zu senden ...

 

und ich arbeite gänzlich OHNE TLS ...

[RobertWi 81]

Ohne TLS ist das nicht verwunderlich, aber MIT könnte es bei 2003 auch Probleme geben, weil dort neuere Standards nicht mehr eingebaut wurden.

[h-d.neuenfeldt 21]

ich habe es so verstanden, dass sich die ursprüngliche Frage auf ein System OHNE TLS bezieht, da

(TLS hatte ich schon aktiviert, ändert aber nichts).

:wink2: ;)

[RobertWi 81]

So schreibt er. Im Log sieht man aber, dass TLS gemacht wird.

[h-d.neuenfeldt 21]

in einem anderen Zusammenhang zur Fehlermeldung :"421.4.4.1" gefunden :

Diese Fehlermeldung bedeutet das der Parameter "ConnectionTimeout" im Exchange Empfangskonnektor auf einen viel zu kleinen Wert eingestellt wurde

[Daniel -MSFT- 129]

@h-d.neuenfeldt: Warum arbeitest Du ohne TLS? Der Aufwand dafür ist relativ gering und der Sicherheitsgewinn dagegen gross.

[h-d.neuenfeldt 21]

ganz einfach : ich habe noch nie darüber nachgedacht ... :nene: :nene: :nene:

 

ich hab es mir dann heute mal angeguckt und festgestellt, dass man dazu wohl ein offizielles Zertifikat braucht, was mein Arbeitgeber zur Zeit nicht hat.

 

Da wir gerade auf Exchange 2013 umrüsten, gebe ich die Aufgabe mal als Anfrage an unseren Lieferanten ...

[Daniel -MSFT- 129]

So ein Zertifikat brauchst Du eh für OWA. Das kannst Du auch gleich für TLS mitverwenden. Kostet <100 EUR im Jahr. Oder Du nimmst gleich ein UC-Zertifikat, wenn es Exchange 2013 wird.

[NorbertFe 2.041]

Gegenseitiges Vertrauen bei tls ist eher selten bei nicht abgestimmter anderslautender Vereinbarung. Spricht also nix gegen selfsigned Zertifikat.