Exchange2016 - Send-MailMessage : Für den SMTP-Server ist eine sichere Verbindung erforderlich

[BOfH_666 577]

vor einer Stunde schrieb michelo82:

Von jedem anderen Server kann ich auf diese Art (gleiches Skript) Mails senden.

 

Vermutlich ist es inzwischen auch sportlicher Ehrgeiz, das eben doch hinzukriegen, aber  - 'ne verrückte Idee, ich weiß - warum versendest Du denn das Skript nicht einfach von einem anderen Server aus? Man muss sich das Leben ja nicht unbedingt schwerer machen als nötig.  

[michelo82 12]

Hi

wenn die Aufgabe über den Aufgabenplaner startet wird der Default Frontend genutzt

2021-05-07T13:11:54.869Z,EXCHANGE\Default Frontend EXCHANGE,08D90B7D716E2276,4,[::1]:25,[::1]:42459,<,AUTH ntlm,
2021-05-07T13:11:54.869Z,EXCHANGE\Default Frontend EXCHANGE,08D90B7D716E2276,5,[::1]:25,[::1]:42459,>,334 <authentication response>,
2021-05-07T13:11:54.873Z,EXCHANGE\Default Frontend EXCHANGE,08D90B7D716E2276,6,[::1]:25,[::1]:42459,*,,Inbound authentication failed because the client MEINEFIRMA.DE\dienstkonto doesn't have submit permission.
2021-05-07T13:11:54.873Z,EXCHANGE\Default Frontend EXCHANGE,08D90B7D716E2276,7,[::1]:25,[::1]:42459,*,,User Name: NULL
2021-05-07T13:11:54.873Z,EXCHANGE\Default Frontend EXCHANGE,08D90B7D716E2276,8,[::1]:25,[::1]:42459,*,Tarpit for '0.00:00:05' due to '535 5.7.3 Authentication unsuccessful',
2021-05-07T13:11:59.889Z,EXCHANGE\Default Frontend EXCHANGE,08D90B7D716E2276,9,[::1]:25,[::1]:42459,>,535 5.7.3 Authentication unsuccessful,
2021-05-07T13:11:59.889Z,EXCHANGE\Default Frontend EXCHANGE,08D90B7D716E2276,10,[::1]:25,[::1]:42459,<,MAIL FROM:<test3@meine-firma.de>,
2021-05-07T13:11:59.889Z,EXCHANGE\Default Frontend EXCHANGE,08D90B7D716E2276,11,[::1]:25,[::1]:42459,*,Tarpit for '0.00:00:05' due to '530 5.7.57 SMTP; Client was not authenticated to send anonymous mail during MAIL FROM',
2021-05-07T13:12:04.900Z,EXCHANGE\Default Frontend EXCHANGE,08D90B7D716E2276,12,[::1]:25,[::1]:42459,>,530 5.7.57 SMTP; Client was not authenticated to send anonymous mail during MAIL FROM,
2021-05-07T13:12:04.900Z,EXCHANGE\Default Frontend EXCHANGE,08D90B7D716E2276,13,[::1]:25,[::1]:42459,-,,Local

 

Ich habe zum testen localhost als SMTP eingetragen.

 

Von einem andere Server aus wird sicherlich auch wieder gebastel. Mein Skript soll bestimmte Events aus der Ereignisanzeige des Exchange verschicken.

[BOfH_666 577]

vor 33 Minuten schrieb michelo82:

Von einem andere Server aus wird sicherlich auch wieder gebastel. Mein Skript soll bestimmte Events aus der Ereignisanzeige des Exchange verschicken.

 

... klingt für mich grad wie das kleinere Übel ...   

[winmadness 79]

Welcher Fehler erscheint, wenn Du als Absenderadresse eine außerhalb Deiner verwalteten Domain und ohne Authentifizierung verwendest - also z.B. "exchange@mail.de".

Ich habe den Mailversand auf meinen Exchange 2016 Server als Aufgabe eingetragen und getestet. Wenn ich eine Absender-Adresse exchange@firma.de verwende, bekomme ich einen Fehler. Bei exchange@mail.de funktioniert es.

[NorbertFe 2.027]

Ist denn die lokale ipv6 im richtigen connector?

[michelo82 12]

Am 7.5.2021 um 16:12 schrieb winmadness:

Welcher Fehler erscheint, wenn Du als Absenderadresse eine außerhalb Deiner verwalteten Domain und ohne Authentifizierung verwendest - also z.B. "exchange@mail.de".

Auch '530 5.7.57 SMTP; Client was not authenticated to send anonymous mail during MAIL FROM'

 

@NorbertFe ich habe die IPv6 und IPv4 Adresse in den Connector "internes Relay" eingetragen (mit dem Haken Anonyme Benutzer).

 

Es wird wieder der Default Frontend Connector benutzt, der ja keine Anoynmen Benutzer mehr zulässt.

 

Meine Connectoren:

Identity                                        Bindings                 
--------                                        --------                 
EXCHANGE\Client Frontend                  	{[::]:587, 0.0.0.0:587}  
EXCHANGE\Outbound Proxy Frontend          	{[::]:717, 0.0.0.0:717}  
EXCHANGE\Client Proxy                      	{[::]:465, 0.0.0.0:465}  
EXCHANGE\Default                           	{0.0.0.0:2525, [::]:2525}
EXCHANGE\internes Relay MGMT Port 25       	{0.0.0.0:25}             
EXCHANGE\Default Frontend                  	{[::]:25, 0.0.0.0:25}    
EXCHANGE\internes Relay MASCHINEN Port 25 	{0.0.0.0:25}             
EXCHANGE\internes Replay DRUCKER Port 25   	{0.0.0.0:25}             
EXCHANGE\internes Relay Port 25            	{0.0.0.0:25} 

 

 

 

[michelo82 12]

Ich denke wir können hier dicht machen. Ich schaue mich nach einer Alternative um, wie ich Mails senden kann (User + Postfach + Passwort als SecureString oder die Idee von @BOfH_666)

[massaraksch 41]

Hi,

 

ein paar Ideen:

 

Wenn dein Task über den "Default Frontend" Connector mit einem Exchange-Konto authentifiziert senden will, dann müssen "Exchange Users" dort bei "Permission Groups" auch erlaubt sein.

Dies sind sie standardmäßig nicht (deshalb ist die "Authentication unsuccessful").

 

Und wenn dann bei "Security Settings" die "Integrated Windows Authentication" aktiviert ist, dann sollten keine Anmeldedaten im Script nötig sein (die kommen ja über den Task-Prozess, der mit dem Konto läuft).

[winmadness 79]

Ich hatte seit letzter Woche ein vergleichbares Problem. Bei mir lag es an den IPv6 Adressen. Diese werden für die Verbindung zum "internen" Receive Connector verwendet. Im Connector hatte ich zwar das ULA Subnet meiner Domain eingetragen, aber es wurde die GUA benötigt. Da sich die GUA ändern kann, habe ich im DNS einen A-Record smtp.domain.de mit der IPv4 Adresse des Exchange-Servers angelegt. Für den SMTP-Mailversand aus Aufgaben / Anwendungen verwende ich nun smtp.domain.de.

bearbeitet 27. Mai 2021 von winmadness

[michelo82 12]

@massaraksch Danke! Das prüfe ich nochmal, was am Default Connector eingestellt ist. Hat das irgendwelche Nachteile, wenn ich die Exchange User dort erlaube?

 

@winmadness Einen DNS Eintrag habe ich. Allerdings nicht mit dem Namen smtp.domain.de sondern den Hostnamen exchange.domain.de.

[NorbertFe 2.027]

vor 3 Minuten schrieb michelo82:

Hat das irgendwelche Nachteile, wenn ich die Exchange User dort erlaube?

Ja, das heißt, dass du auf Port 25 eine authentifizierung zuläßt. Und falls (solls ja geben) das von extern erreichbar ist, hast du schöne eine Variante geschaffen für Brute Force und DoS.

[winmadness 79]

vor 29 Minuten schrieb michelo82:

Einen DNS Eintrag habe ich. Allerdings nicht mit dem Namen smtp.domain.de sondern den Hostnamen exchange.domain.de.

Was ich meinte, ich haben neben dem regulären Eintrag "exchange.domain.de" mit den IPv4 und IPv6 Adressen einen zusätzlichen Eintrag smtp.domain.de NUR mit einer IPv4 Adresse. Diesen verwende ich als SMTP-Server für Anwendungen / Aufgaben. Dadurch muss im extra angelegten Receive Connector für "berechtigte Domain-Absender" nur das interne IPv4 Subnet eingetragen werden.

bearbeitet 28. Mai 2021 von winmadness

[michelo82 12]

Am 28.5.2021 um 12:06 schrieb NorbertFe:

Ja, das heißt, dass du auf Port 25 eine authentifizierung zuläßt. Und falls (solls ja geben) das von extern erreichbar ist, hast du schöne eine Variante geschaffen für Brute Force und DoS.

Danke! Port 25 ist von außen nicht erreichbar.

 

Am 28.5.2021 um 12:31 schrieb winmadness:

Was ich meinte, ich haben neben dem regulären Eintrag "exchange.domain.de" mit den IPv4 und IPv6 Adressen einen zusätzlichen Eintrag smtp.domain.de NUR mit einer IPv4 Adresse. Diesen verwende ich als SMTP-Server für Anwendungen / Aufgaben. Dadurch muss im extra angelegten Receive Connector für "berechtigte Domain-Absender" nur das interne IPv4 Subnet eingetragen werden.

 

Ich werd verrückt! Das funktioniert!

[NorbertFe 2.027]

vor 14 Minuten schrieb michelo82:

Danke! Port 25 ist von außen nicht erreichbar.

 

Trotzdem keine gute Idee. ;) Die andere funktioniert deutlich besser. :)