tordi
Goto Top

Exchange 2016 smtp Sendeconnector Smarthost, meldet sich beim ISP mit interner IP an

Hallo, ich stehe vor dem Problem das mein neu aufgesetzter Server, 2016 Standart, Exchange 2016 , keine externen Emails sendet.
In den Logifles habe ich gesehen das er versucht sich beim ISP (1und1) mit seiner Internen IP an zu melden, was dann abgelehnt wird.
Installiert und eingerichtet habe ich alles nach Frankysweb Anleitung.
Bin für eine Hilfe sehr dankbar.
Gruß Tordi

Content-Key: 425351

Url: https://administrator.de/contentid/425351

Ausgedruckt am: 29.03.2024 um 02:03 Uhr

Mitglied: Spirit-of-Eli
Spirit-of-Eli 06.03.2019 um 16:17:11 Uhr
Goto Top
Moin,

wahrscheinlich hast du es leider nicht so eingerichtet.
Wie schaut denn der Sendeconnector aus?

Gruß
Spirit
Mitglied: tordi
tordi 06.03.2019, aktualisiert am 21.04.2022 um 14:56:47 Uhr
Goto Top
Hier die Screenshots :
Im Bild mit der Bereichdefinition steht nur die interne Server Bezeichnung .int da sollte das Problem liegen oder ?

sm0
sm1
sm2

Danke Tordi
Mitglied: Kraemer
Kraemer 06.03.2019 um 16:36:46 Uhr
Goto Top
Moin,
was dann abgelehnt wird.
die exakte™ Meldung inkl. aller weiteren Infos bitte einmal hier Posten

Gruß
Mitglied: tordi
tordi 06.03.2019 um 16:42:52 Uhr
Goto Top
Hier die Meldung aus der Mail-Antwort:
Ihre Nachricht konnte nicht zugestellt werden, und es wurde kein gültiger, erweiterter Statuscode vom Remote-E-Mail-System ausgestellt, um die genaue Ursache zu ermitteln. Status: "550-Requested action not taken: mailbox unavailable 550 invalid DNS MX or A/AAAA resource record".

Die folgende Organisation hat Ihre Nachricht abgelehnt: kundenserver.de.

Hier die Info aus dem Logfile, 192.168.1.2 ist die Server Ip intern:

2019-03-06T14:19:17.608Z,1und1 Sender,08D6A22663ACF9A0,4,192.168.1.2:8202,217.72.192.67:25,*,,Dropping connection because server is not accepting mail. Server response :554-kundenserver.de (mxeue111) Nemesis ESMTP Service not available\r\n554-No SMTP service\r\n554-IP address is black listed.\r\n554 For explanation visit https://www.ionos.com/help/index.php?id=2425&ip=93.243.69.117&c= ...
2019-03-06T14:19:17.609Z,1und1 Sender,08D6A22663ACF9A0,5,192.168.1.2:8202,217.72.192.67:25,>,QUIT,
Mitglied: Kraemer
Kraemer 06.03.2019 um 17:00:02 Uhr
Goto Top
Na ist doch fein. Sogar mit Hilfe. Hast du die Punkte schon geprüft?

BTW: Bist du dir sicher, das 1und1 Wildcard als Username akzeptiert? Die Fehlermeldung könnte man anders interpretieren.

Gruß
Mitglied: shadynet
shadynet 06.03.2019 um 17:10:23 Uhr
Goto Top
554-IP address is black listed
Eigentlich steht da ja schon alles. Ist das ne feste externe IP Adresse? Die steht bei spamhaus in der Liste...
Mitglied: Pjordorf
Pjordorf 06.03.2019 um 17:28:27 Uhr
Goto Top
Hallo,

Zitat von @tordi:
Requested action not taken: mailbox unavailable 550
Könnte auch an dein * Benutzer liegen

Server response :554-kundenserver.de (mxeue111) Nemesis ESMTP Service not available\r\n554-No SMTP service\r\n554-IP address is black listed.\r\n554 For explanation visit
Und dann sagt ein 554 eben das deine (nicht die von 1und1) auf irgendeiner Blacklist steht. Auch das führt zum Postannehmen ablehnen.

Und hier steht deine zu diesem Zeitpunkt verwendete IP mit der du bei iund1 aufgefallen bist.

Und ein MXToolbox bestätigt das diese IP auf einer Schwarzen Liste steht.

Grundlagen zum Betrieb eines eigenen Exchanges solltest du schon haben. Nur mit Ping kommst du da nicht weit.

Gruß,
Peter
Mitglied: 138810
Lösung 138810 06.03.2019 aktualisiert um 19:45:44 Uhr
Goto Top
Du hast den Port nicht angepasst. Setz diesen in der Powershell (Set-Sendconnector) auf 587. Auf Port 25 akzeptiert 1und1 kein SMTP mit Auth mehr, deswegen auch die Meldung das du geblacklistet bist, weil du ja von einer dynamischen IP auf Port 25 ankommst und die werden ja per Default geblockt!
Außerdem solltest du das neue Root-Zertifikat von Telesec installieren und die Authentifizierung auf TLS umstellen!
https://www.telesec.de/de/public-key-infrastruktur/support/root-zertifik ...
Mitglied: tordi
tordi 06.03.2019 um 22:13:16 Uhr
Goto Top
Hallo Peter Pjordorf, danke für die Hilfreichen Worte. Am * Benutzer liegt es nicht und lesen kann ich auch das die Ip auf der schwarzen Liste steht. Und wenn ich mit meinem Wissen um den Ping nicht weiterkomme, dann ja dann frage ich mal die Profis. Super das es hier diese Möglichkeit gibt. Deswegen meinen aufrichtigen Dank an freesolo und Euch anderen ! Deine/Eure Antwort war hilfreich, korrekt . Danke.
Gruß Thorsten
Mitglied: tordi
tordi 06.03.2019 aktualisiert um 22:47:47 Uhr
Goto Top
Hallo, von Backlist bin ich jetzt weg und Port 587 ist angegeben, dafür stellt sich ein anderer Fehler ein.

Teste ich die Verbindung via Telnet ist alles okay : telnet smtp.1und1.de 587, Exchange kann aber keine Verbindung aufbauen.


2019-03-06T21:05:33.166Z,1und1,08D6A26D0399AD35,2,,212.227.15.41:587,*,,"Failed to connect. Winsock error code: 10060, Win32 error code: 10060, Destination domain: TestwerkeAG.de, Error Message: Ein Verbindungsversuch ist fehlgeschlagen, da die Gegenstelle nach einer bestimmten Zeitspanne nicht richtig reagiert hat, oder die hergestellte Verbindung war fehlerhaft, da der verbundene Host nicht reagiert hat 212.227.15.41:587."


Gruß Thorsten
Mitglied: Pjordorf
Pjordorf 06.03.2019 aktualisiert um 23:35:10 Uhr
Goto Top
Hallo,

Zitat von @tordi:
Am * Benutzer liegt es nicht
Ist das eine bestätigte aussage von 1und1 oder deine? Es geht hier mnicht darum das du Post abholen willst, sondern das du Post einkippen willst. Sicher das dort beim Anmelden ein * erlaubt ist. Nutze doch mal einen namentlichen Benutzer der auch den Mailserver bei 1und1 bekannt ist, auch dein Telnet ist kein aussage ob bei SMTP mit TLS ebenfalls ein * als benutzername reicht. Telnet nutzt TCP Port 23, SMTP nutzt TCP Port 25, mit TLS eben TCP 587 usw.

und lesen kann ich auch das die Ip auf der schwarzen Liste steht.
Und warum hast du dies nicht am Anfang gesagt? Uns testen oder was?

Und wenn ich mit meinem Wissen um den Ping nicht weiterkomme, dann ja dann frage ich mal die Profis.
Jetzt stellst du es da als wenn nur dein Wissen um den Ping nicht reicht

Aber das mitschneiden per Wireshark wird auch dir aufzeigen wo an welcher Stelle das tatsächliche Problem sitzt. Und nein, ich werde keine * Benutzer bei 1und1 anlegen und testen. Fakt ist mit einen nicht sternchen namen geht es.

"Failed to connect. Winsock error code: 10060, Win32 error code: 10060, Destination domain: TestwerkeAG.de, Error Message: Ein Verbindungsversuch ist fehlgeschlagen, da die Gegenstelle nach einer bestimmten Zeitspanne nicht richtig reagiert hat, oder die hergestellte Verbindung war fehlerhaft, da der verbundene Host nicht reagiert hat 212.227.15.41:587."
Nutzt du Windows? Klar, für einen Exchange Version 2016. Sicher das der * Benutzer nicht der übeltäter ist? Was steht in den Ereignissprotokollen drin?

Gruß,
Peter
Mitglied: tordi
tordi 07.03.2019 aktualisiert um 01:00:27 Uhr
Goto Top
Ich nutze die *@username.de Funktion auf dem 2016 Server und auf anderen . Das funktioniert ohne Probleme . Auch habe ich es mit einem anderen User probiert, nur der Vollständigkeit halber, geht auch nicht.
Auch kann man sich im webmailer bei 1und1 mit dem * Wildcard anmelden und Emails lesen.
Den Rest sehe ich mir morgen nochmal an. Ich vermute aber das es etwas mit dem Zertifikat zu tun hat.
Und mein Wissen reicht nicht, deswegen frage ich hier.
Danke Peter für die Nachricht und ich will niemanden testen, ich kann es nicht besser und deswegen frage ich lieber.
Und Peter Du sollst für mich nichts anlegen und testen. Sicher hast Du Besseres zu tun. Deswegen mein Dank an Dich für die tolle Hilfestellung.

Gruß Thorsten
Mitglied: Pjordorf
Pjordorf 07.03.2019 um 02:13:35 Uhr
Goto Top
Hallo,

Zitat von @tordi:
Ich nutze die *@username.de Funktion auf dem 2016 Server und auf anderen
Bedeutet nicht viel, da es ebeb nicht der Mailserver von 1und1 ist, Was sagt der Support von 1und1 dazu?

Auch habe ich es mit einem anderen User probiert, nur der Vollständigkeit halber, geht auch nicht.
Und warum lässt du uns dann darüber nachdenken bzw.Diskutieren?

Auch kann man sich im webmailer bei 1und1 mit dem * Wildcard anmelden und Emails lesen.
Hat nichts zu bedeuten. solange du nicht Definitiv weisst das es mit * als Namen klappt. Nur 1und1 kann es dir bestätigt sagen

Den Rest sehe ich mir morgen nochmal an. Ich vermute aber das es etwas mit dem Zertifikat zu tun hat.
Wie was denn nun? Ein Winsock Error 10060 bei Google führt mich zu ca, 35400 Treffer, aber von Zertifikate ist dort nie die rede.
https://www.google.com/search?q=exchange+2016+winsock+error+10060
Kommt auch der 4.4.1 SMTP Error da vor?

Gruß,
Peter
Mitglied: tordi
tordi 07.03.2019 um 08:35:37 Uhr
Goto Top
Als einzige Fehlermeldung kommt:

2019-03-07T07:30:31.715Z,1und1,08D6A2CB60FBBC17,1,,217.72.192.67:587,*,,attempting to connect
2019-03-07T07:30:32.898Z,1und1,08D6A2CB60FBBC17,2,,217.72.192.67:587,*,,"Failed to connect. Winsock error code: 10061, Win32 error code: 10061, Destination domain: TestwerkeAG.de, Error Message: Es konnte keine Verbindung hergestellt werden, da der Zielcomputer die Verbindung verweigerte 217.72.192.67:587."

Gruß Thorsten
Mitglied: tordi
tordi 07.03.2019 um 09:15:38 Uhr
Goto Top
Hallo, ich habe eben mal die ionos Hotline angerufen, die meinen es liegt an der Authentifizierung SMTP-Auth. Zumindest ein Hinweis.
Thorsten
Mitglied: goscho
goscho 07.03.2019 aktualisiert um 10:59:39 Uhr
Goto Top
Moin
Zitat von @tordi:

Hallo, ich habe eben mal die ionos Hotline angerufen, die meinen es liegt an der Authentifizierung SMTP-Auth. Zumindest ein Hinweis.
Du musst bei 1und1 einen zusätzlichen Benutzer anlegen, über den du dich authentifizierst, um das SMTP-Relay nutzen zu können.
Außerdem solltest du das neue Zertifikat auf deinem Exchange installieren, wie es dir @138810 schon schrieb:

https://www.telesec.de/de/public-key-infrastruktur/support/root-zertifik ...
Mitglied: tordi
tordi 07.03.2019 um 11:06:18 Uhr
Goto Top
Hallo goscho, den neuen Benutzer habe ich angelegt und es auch damit versucht. Leider lässt sich das neue Zertifikat nicht installieren. Der Vorgang läuft durch, das Zertifikat taucht aber in der Liste hinterher nicht auf.
Thorsten
Mitglied: goscho
goscho 07.03.2019 um 11:30:41 Uhr
Goto Top
Zitat von @tordi:
Leider lässt sich das neue Zertifikat nicht installieren. Der Vorgang läuft durch, das Zertifikat taucht aber in der Liste hinterher nicht auf.
Du hast das Zertifikat heruntergeladen, abgespeichert, per Doppelklick geöffnet, dann auf Installieren geklickt und dabei dann "Vertrauenswürdige Stammzertifizierungsstellen ausgewählt"?
Mitglied: 138810
138810 07.03.2019 aktualisiert um 11:44:16 Uhr
Goto Top
Der Vorgang läuft durch, das Zertifikat taucht aber in der Liste hinterher nicht auf.
Dann hast du es nicht richtig importiert! Nicht den Assistenten den Ort wählen lassen sondern manuell als Ziel das Computerkonto und als Ordner Vertrauenswürdige Stammzertifizierungsstellen.
Manmanman da sind wieder Spezialisten am Werk...
Mitglied: tordi
tordi 07.03.2019 aktualisiert um 12:15:51 Uhr
Goto Top
Das mit dem Zertifikat sehe ich mir gleich an. ich denke ich bin dem Problem auf der Spur.
Ich habe mal den Smarthost so eingestellt wie ich es auf den alten Servern hatte. auth.smtp.kundenserver.de.
Dann habe ich mir die Logfiles angesehen auf dem Exchange 2016 und dort steht jetzt login auth okay.... aber der Senderconnector sendet mit der internen Emailaddresse ( Administrator@testwerke.int statt administrator@testwerke.de ) und beendet dann den Transfer.
Ich habe mir ein SMTP Tool runter geladen und mit den Settings die ich aktuell Verwende ( *@testwerke.de) getestet. Klappt alles und die Mail geht raus. Gehe also davon aus das der interne Mail Absender die Ursache ist.
Die aktuelle Frage, warum sendet Exchange mit der internen Email Adresse.

235 Authentication succeeded,
2019-03-07T11:01:52.422Z,1und1,08D6A2EAD6572652,19,192.168.1.2:35284,212.227.15.146:25,*,,sending message with RecordId 257698037762 and InternetMessageId <f2583113ecc34691badce8e9371a33a8@testwerke.int>
2019-03-07T11:01:52.422Z,1und1,08D6A2EAD6572652,20,192.168.1.2:35284,212.227.15.146:25,>,MAIL FROM:<Administrator@testwerke.int> SIZE=4415,
2019-03-07T11:01:52.758Z,1und1,08D6A2EAD6572652,21,192.168.1.2:35284,212.227.15.146:25,<,550 Requested action not taken: mailbox unavailable invalid DNS MX or A/AAAA resource record,
2019-03-07T11:01:52.760Z,1und1,08D6A2EAD6572652,22,192.168.1.2:35284,212.227.15.146:25,>,QUIT,
2019-03-07T11:01:52.823Z,1und1,08D6A2EAD6572652,23,192.168.1.2:35284,212.227.15.146:25,<,221 kundenserver.de Service closing transmission channel,
2019-03-07T11:01:52.823Z,1und1,08D6A2EAD6572652,24,192.168.1.2:35284,212.227.15.146:25,-,,Local

So Zertifikat Installation erfolgreich, Danke für die Hilfen !

Thorsten
Mitglied: 138810
138810 07.03.2019 aktualisiert um 12:21:42 Uhr
Goto Top
Die aktuelle Frage, warum sendet Exchange mit der internen Email Adresse.
Weil diese für den Client am Exchange als Default-Absender Adresse (primary SMTP address) hinterlegt ist. Wenn du jetzt deine E-Mailpolicy anpasst und die externe als Default in den Mailboxen festlegst, dann klappt auch das Versenden über den Smarthost!
Bei 1und1 ist es zwingend das die Absenderadresse eine Mail-Adresse eine deiner Domains externen Domains bei 1und1 ist.
Mitglied: tordi
tordi 07.03.2019 aktualisiert um 12:34:47 Uhr
Goto Top
JAAAAAAAAAAAAAAAaaaaaaaaaaaaaaaaa

Das war es in Summe ... und vielen Dank an Alle !!!

Gut das es ein solches Forum gibt. Vielen lieben Dank nochmal !

Gruß Thorsten

Mein neuer Lieblingslog :

354 Start mail input; end with <CRLF>.<CRLF>,
Requested mail action okay, completed: id=1M8hEd-1h6VrU1Eiv-004m6R",
QUIT,
kundenserver.de Service closing transmission channel,
Mitglied: 138810
138810 07.03.2019 um 13:52:24 Uhr
Goto Top
Na dann bitte auch den Thread zu machen und Lösungen markieren.