thomas-99
Goto Top

Exchange 2003 - 550 5.7.1 ... we do not relay

Hallo zusammen,

habe bei einem Kunden einen Exchange Server 2003 SP3. Bis diese Woche funktionierte er ohne Probleme. Seit Donnerstag versendet er keine Emails mehr:
Dies ist ein Fehlerprotokoll des SMTP-Protokolls für den virtuellen Server mit ID 1, Verbindung #7. Remotehost xxx.xxx.xxx.xxx' hat auf den SMTP-Befehl 'rcpt' mit '550 5.7.1 <testuser@gmx.net>... we do not relay <user@domain.tld> ' geantwortet. Der vollständige gesendete Befehl lautete 'RCPT TO:<testuser@gmx.net> '. Hierdurch wird die Verbindung wahrscheinlich fehlschlagen.
Folgendes habe ich geprüft:

1. DNS läuft und mail.domain.tld wird sauber aufgelöst
2. SMTP Connector hat die korrekten Zugangsdaten (Erweitert -> ausgehende Sicherheit)
3. Kann mit Outlook Express auf demselben Server Emails versenden + Empfangen
4. SmtpDiag zeigt keine Fehler
5. Trage ich die öffentliche IP vom Exchange Server beim Mailserver in die Whitelist ein, versendet Exchange alle Emails über den Mailserver

Vermute, dass es beim der SMTP Authentifizierung Probleme gibt. Mit dem Eintragen der IP in die Whitelist umgehe ich die SMTP Authentifizierung. Der Exchange Server wird als vertraut eingestuft und jeder kann ohne Anmeldung Emails versenden. Das ist natürlich nicht erwünscht.

Jemand eine Idee oder hatte ein ähnliches Problem?

DANKE
Ciao Thomas

Content-ID: 223400

Url: https://administrator.de/contentid/223400

Ausgedruckt am: 08.11.2024 um 11:11 Uhr

loonydeluxe
loonydeluxe 01.12.2013 aktualisiert um 13:57:29 Uhr
Goto Top
Klingt so, als wenn du keine Authentifizierung für den Versand benutzt. Hast du die Serveradresse und Zugangsdaten in den virtuellen Standardserver oder in den SMTP-Connector eingetragen? Beachte, dass bei Exchange 2003 ein dreiteiliger Smarthost angegeben werden muss, also statt "smtpserver.de" eben "smtp.smtpserver.de" (DNS-Konfiguration beachten face-smile)
Wenn du ein Outlook per POP3/SMTP anbindest, kannst du dann versenden?

Du kannst auch mal versuchen, eine E-Mail per SMTP-Protokoll via Telnet/Putty am Exchange-Server und am Smarthost abzugeben. Einmal ohne (helo) und einmal mit Authentifizierung (ehlo), beides aber nur unverschlüsselt.

Beispiel für unauthentifizierten Versand, sollte kein Server zulassen, sofern er nicht der Zielserver für die Empfänger-Adresse ist:
telnet SMTP-Server-DNS-Adresse 25
helo
mail from: absender@deinedomain.de
rcpt to: empfaenger@domain.de
data
from: absender@deinedomain.de
to: empfaenger@domain.de
subject: testmail
Das ist der E-Mail-Text
.

Beispiel für authentifizierten Versand:
telnet SMTP-Server-DNS-Adresse 25
ehlo
auth login
BENUTZERNAME --> muss Base64-codiert eingegeben werden, dafür gibt es Online-Konverter und auch herunterladbare Programme
PASSWORT --> muss Base64-codiert eingegeben werden
mail from: absender@deinedomain.de
rcpt to: empfaenger@domain.de
data
from: absender@deinedomain.de
to: empfaenger@domain.de
subject: testmail
Das ist der E-Mail-Text
.


Die letzte Zeile mit dem abschließenden Punkt signalisiert dem SMTP-Server, dass der E-Mail-Inhalt vollständig übertragen wurde.
Weiteres zum authentifizierten Versand mit "ehlo" gibt es hier: http://de.wikipedia.org/wiki/SMTP-Auth
thomas-99
thomas-99 01.12.2013 um 14:31:18 Uhr
Goto Top
DANKE für deine Antwort.

Ja das war auch mein Verdacht - Exchange hat die SMTP Authentifizierung "verlernt". Irgendetwas läuft hier schief.

In den virtuellen Standardserver habe ich alles eingetragen, was möglich ist und nach jeder Änderungen: SMTP Stop/Start. Den Smarthost habe ich mit [xxx.xxx.xxx.xxx] und mit mail.domain.tld getestet. Und der SMTP-Connector hat ebenfalls die richtige Maildomain: mail.domain.tld

An Telnet habe ich auch schon gedacht, umgehe damit nur Exchange. Habe die Einstellungen vom Mailserver in Outlook Express eingetragen (auf demselben Exchange Server) und damit hat es sofort funktioniert und das mit SMTP Authentifizierung. Selbst wenn ich mein Outlook mit den Daten einrichte, kann ich Emails versenden.

Habe weiter das MSExchangeTransport Protokoll aktiviert maximale Einstellung. Soweit ich das sehen kann, läuft alles korrekt, bis an dem Punkt wo der Mailserver die SMTP Authentifizierung verlangt.

Ist der SMTP Connector defekt?
Gibt es eine Möglichkeit wie bei Telnet eine Art Log vom Exchange zu aktiveren?
Würde genau sehen wollen, was Exchange genau wie sendet und warum der Mailserver dies ablehnt.

DANKE
Ciao Thomas
loonydeluxe
loonydeluxe 01.12.2013 um 14:41:11 Uhr
Goto Top
Ist eventuell die Einstellung für SSL/TLS falsch? Wird der richtige Zielport verwendet, falls du SSL/TLS benutzt?

Falls du es auf dem Server installieren möchtest, kannst du mit Wireshark den Netzwerktraffic mitschneiden. Filtere dann mit dem TCP-Remoteport auf 25.

"Eigentlich" musst du im virtuellen Standardserver nix eintragen, der SMTP-Connector reicht. Und den SMTP-Connector kannst du auch einfach neu anlegen (Einstellungem merken face-wink) Im Ziel für den Connector kommt dann * rein, damit dieser für alle Remotedomains benutzt wird.
thomas-99
thomas-99 01.12.2013 um 14:55:14 Uhr
Goto Top
SSL/TLS ist alles deaktiviert. Port läuft auf 25. Habe jetzt auch den SMTP-Connector gelöscht, Server neu gestartet und diesen neu eingerichtet. Immer noch dasselbe Problem.

Werde jetzt mit Wireshark testen um den Traffic mal zu analysieren.

Ist echt wie verhext - keine Ahnung was Exchange jetzt hat.
schmitzi
schmitzi 01.12.2013 um 15:13:33 Uhr
Goto Top
Hi, kann es evtl. sein dass da in der Exchange-Queue noch eine Mail mit einem anderen Absender
als gmx drinsteht, die GMX halt nicht relayed ?

Gruss RS
loonydeluxe
loonydeluxe 01.12.2013 um 15:58:16 Uhr
Goto Top
Der Empfänger ist GMX. Der Absender gehört zu einer Domain, mit dem der Exchange-Server sendet und vom Smarthost weitergesendet werden soll.
thomas-99
thomas-99 01.12.2013 um 16:16:13 Uhr
Goto Top
Also im Exchange-Queue ist nichts.

Log von Wireshark hilft mir nicht wirklich:

548 12.172204000 XXX.XXX.XXX.XXX 192.168.XXX.XXX SMTP 129 S: 220 mail.domain.tld ESMTP Mailserver 10; Sun, 01 Dec 2013 15:11:42 +0100
549 12.173649000 192.168.XXX.XXX XXX.XXX.XXX.XXX SMTP 84 C: EHLO mail.domain.tld
561 12.532878000 XXX.XXX.XXX.XXX 192.168.XXX.XXX SMTP 129 [TCP Retransmission] S: 220 mail.domain.tld ESMTP Mailserver 10; Sun, 01 Dec 2013 15:11:42 +0100
604 13.971027000 XXX.XXX.XXX.XXX 192.168.XXX.XXX SMTP 319 S: 250 mail.domain.tld Hello mail.domain.tld [IP Exchange Server], pleased to meet you. | 250 ENHANCEDSTATUSCODES | 250 SIZE | 250 EXPN | 250 ETRN | 250 ATRN | 250 DSN | 250 CHECKPOINT | 250 8BITMIME | 250 AUTH PLAIN LOGIN DIGEST-MD5 CRAM-MD5 GSSAPI | 250 STARTTLS | 250 HELP
606 13.999984000 192.168.XXX.XXX XXX.XXX.XXX.XXX SMTP 98 C: MAIL FROM:<user@domain.tld>
685 16.971552000 XXX.XXX.XXX.XXX 192.168.XXX.XXX SMTP 111 S: 250 2.1.0 <user@domain.tld>... Sender ok
706 17.474629000 XXX.XXX.XXX.XXX 192.168.XXX.XXX SMTP 111 [TCP Retransmission] S: 250 2.1.0 <user@domain.tld>... Sender ok
752 19.237792000 XXX.XXX.XXX.XXX 192.168.XXX.XXX SMTP 139 S: 550 5.7.1 <testuser@gmx.net>... we do not relay <user@domain.tld>
753 19.238228000 192.168.XXX.XXX XXX.XXX.XXX.XXX SMTP 60 C: RSET

Und der Mailserver hat in seinem Log nicht wirklich etwas zu bieten:

XXX.XXX.XXX.XXX [0808] 13:10:46 <<< RCPT TO:<testuser@gmx.net>
XXX.XXX.XXX.XXX [0808] 13:10:46 >>> 550 5.7.1 <testuser@gmx.net>... we do not relay <user@domain.tld>
XXX.XXX.XXX.XXX [09EC] 13:13:07 <<< RCPT TO:<testuser@gmx.net>

Komme hier auch nicht weiter. Oder übersehe ich etwas?
Das PW für den Login über SMTP Authentifizierung wird eigentlich im Klartext gesendet, weil TLS/SSL deaktiviert ist.
Müßte ich das nicht sehen?
loonydeluxe
loonydeluxe 01.12.2013 um 16:34:39 Uhr
Goto Top
Hast du hier was gekürzt?

zwischen
604 13.971027000 XXX.XXX.XXX.XXX 192.168.XXX.XXX SMTP 319 S: 250 mail.domain.tld Hello mail.domain.tld [IP Exchange Server], pleased to meet you. | 250 ENHANCEDSTATUSCODES | 250 SIZE | 250 EXPN | 250 ETRN | 250 ATRN | 250 DSN | 250 CHECKPOINT | 250 8BITMIME | 250 AUTH PLAIN LOGIN DIGEST-MD5 CRAM-MD5 GSSAPI | 250 STARTTLS | 250 HELP
und
606 13.999984000 192.168.XXX.XXX XXX.XXX.XXX.XXX SMTP 98 C: MAIL FROM:<user@domain.tld>
685 16.971552000 XXX.XXX.XXX.XXX 192.168.XXX.XXX SMTP 111 S: 250 2.1.0 <user@domain.tld>... Sender ok

sollte eigentlich dazwischen noch so etwas wie
Eingabe der Auth-Methode:
AUTH LOGIN
Ausgabe: Erwarte Benutzername
334 VXNlcm5hbWU6
Eingabe Benutzername in Base64
aGFucw==
Ausgabe: Erwarte Passwort
334 UGFzc3dvcmQ6
Eingabe: Passwort in Base64
c2Nobml0emVsbWl0a2FydG9mZmVsc2FsYXQ=
Ausgabe: Auth erfolgreich
235 ok
erscheinen.

Ansonsten führt der Exchange wohl keine Authentifizierung durch. Und ohne Authentifizierung wird ein "normal" konfigurierter Mailserver/Smarthost sich weigern, etwas zu relayen.
thomas-99
thomas-99 01.12.2013 um 16:52:16 Uhr
Goto Top
Nein, habe hier nichts gekürzt. Da sind andere UDP Sachen, alles was Port 25 SMTP angeht habe ich gefiltert.
z.B.
605 13.998273000 keine Mailserver IP 192.168.XXX.XXX UDP 83 Source port: 65057 Destination port: 4410

Und von 606 bis 685 ist alles Mögliche, nichts was mit dem Mailserver zu tun hat - sind andere IPs - keine Mailserver IP
Dann wäre klar, Exchange hat vergessen, wie man eine korrekte SMPT Authentifizierung durchführt.
Wie kann ich es dem Server wieder beibringen?

Ich hoffe, es gibt eine andere Lösung als die einer Neuinstallation.
schmitzi
schmitzi 01.12.2013 um 16:55:14 Uhr
Goto Top
Hi, welche Firewall ist denn da im Spiel ? Evtl. irgendwas neu / Fixup ?
loonydeluxe
loonydeluxe 01.12.2013 um 17:04:32 Uhr
Goto Top
Service Pack + Updates sind drauf? Bei Exchange 2003 mit SP2 sollte im Info-Fenster der Exchange-MMC diese Versionsnummer stehen: 6.5.7638.2

Hab gerade keinen Ex2003 zum nachschauen, aber kannst du mal einen Screenshot der Authentifizierungseinstellungen im SMTP-Connector posten?
thomas-99
thomas-99 01.12.2013 um 17:04:39 Uhr
Goto Top
Nein, keine neue Firewall, keine Änderungen, kein neuer oder geänderter Vieren Scanner. Habe die FW schon komplett deaktiviert. Außerdem klappt das Versenden der Mails per Outlook Express ohne Probleme. Wenn der Port 25 zu wäre, würde Outlook Express keine Mails versenden.

Morgen wollen die wieder mit dem Ding arbeiten. Immerhin, ich weiß was nicht geht nur wie ich das Problem löse ... keine Ahnung
schmitzi
schmitzi 01.12.2013 aktualisiert um 17:33:48 Uhr
Goto Top
hmmm setze doch mal am vorhandenen SMTP-Connector die "Kosten" hoch
(um ihn zu umgehen, sprich nicht gleich zu löschen),
und lege Dir testweise einen neuen "billigeren" Connector an,
Adresseraum SMTP mit * wie wohl gehabt, und konfiguriere diesen mal durch...?

PS wegen Firewall meinte ich nicht eine Firewall auf dem Server sondern
die hinter der der an Eurem LAN hängt,
also zB bei Cisco PIX den SMTP-Fixup mal abschalten, der könnte stören
thomas-99
thomas-99 01.12.2013 um 17:47:23 Uhr
Goto Top
Hatte den Connector komplett gelöscht und erneut eingerichtet - ich glaube gefühlt 100-mal face-sad
Und Einrichtung nach Lehrbuch!!
Der Fehler ist immer der Gleiche, Exchange führt keine SMTP Authentifizierung durch.
Ich muss irgendwie den Connector fixen. Wenn ich den Login aus dem Connector entferne, ist der Login Prozess beim öffentlichen Mailserver genauso, wie wenn ich die Login Daten im Connector eintrage. Da ist kein Unterschied in der Log vom Wireshark.
thomas-99
thomas-99 01.12.2013 um 17:50:35 Uhr
Goto Top
Die Firewall wurde nicht geändert - war am Donnerstg nicht in der Firma.
Ich hatte schon am Freitag vor Ort die FW auf dem Server abgeschaltet, die externe FW kurzzeitig deaktiviert umd zu sehen, ob "plötzlich" etwas stört.
Daran lag es nicht.
schmitzi
schmitzi 01.12.2013 um 17:55:18 Uhr
Goto Top
Könntest Du nicht evtl. lokal auf einem Rechner einen "kostenlos-SMTP-Server-Tool" installieren,
der dann hoffentlich die Auth usw nach aussen macht, und den Exchange
dann lokal und ohne Auth/Verschlüsselung seine Mails dort abladen lassen ?
Nur so eine Idee.
Wenn es nichts "kostenloses" gibt vielleicht eine Trial-Version eines Hersteller,
die dann zB 30 Tage läuft...wäre ein Zeitgewinn
thomas-99
thomas-99 01.12.2013 um 18:26:34 Uhr
Goto Top
Also du meinst eine Art Relay Dienst, der nur die Kommunikation zum öffentlichen Server macht.
Wenn ich irgendwie Outlook Express "anzapfen" könnte, würde das schon klappen, denn damit läuft das Versenden der E-Mails.
Wenn ich im Exchange der Port 25 ändere, könnte ich den „fremden“ SMTP Dienst auch auf den Exchange Server laufen lassen.
Ja das könnte klappen. DANKE
Werde gleich suchen. Habe noch einen Linux, der andere Aufgaben erledigt. Der könnte zur Not auch die E-Mails zum öffentlichen Mailserver senden.

Ciao und Danke und schönen Abend face-smile
schmitzi
schmitzi 01.12.2013 um 19:42:29 Uhr
Goto Top
ja, viel Erfolg.
Das mit Outlook-Express anzapfen wird wohl nichts :O)