heinrichm
Goto Top

Exchange Server 2016 Zertifikats Probleme Mails werden abgelehnt

Moin Moin zusammen!
Auf https://de.ssl-tools.net/mailservers habe ich einen Mailserver getestet, da E-Mails die an z.B. freenet.de und gmx.de gesendet werden nicht zugestellt werden. Die Mails werden abgelehnt.
Auf der Seite oben erhalte ich folgende Ergebnisse:

Zertifikate Probleme erkannt.
Protokoll sicher
Hostname / IP-Adresse i. O.
Priorität i. O.
STARTTLS i.O
Zertifikate Hier wird der Lokale Servername angezeigt n.i.O.

Auf dem Server sind folgende Zertifikate installiert:
1. Ein gekauftes, welches IMAP, POP,IIS und SMTP mit den Alternative Antragstellernamen: mail.domäne.com, autodiscover.domäne.com und Domäne.com enthält.
2. Das Microsoft Exchange Server Auth Certificate ohne Zuweisung
3. Microsoft Exchange mit den Alternative Antragstellernamen: Servername, servername.domäne.local Diese ist auch dem IIS zugewiesen
4. WMSVC-SHA2 ohne Zuweisung

Auf der Test-Seite oben, werden mir unter Zertifikate immer die Alternative Antragstellernamen des Microsoft Exchange Zertifikates angezeigt und nicht die des gekauften Zertifikates. Das scheint das Problem zu sein. Der Server hat im Sendeconnector in der Bereichsdefinition unter FQDN: die mail.domäne.com eingetragen. Ruft man die mail.Domäne.com im Browser auf gibt es keine Probleme und der OWA ist mit dem gekauften Zertifikat erreichbar.

Die Fehlermeldung der zurückgewiesenen E-Mail lautet:

Ihre Nachricht konnte nicht zugestellt werden, und es wurde kein gültiger, erweiterter Statuscode vom Remote-E-Mail-System ausgestellt, um die genaue Ursache zu ermitteln. Status: "550 X-Host-Lookup-Failed: Reverse DNS lookup failed for xxx.xxx.xxx.xxx (failed)".
X-Host-Lookup-Failed: Reverse DNS lookup failed for xxx.xxx.xxx.xxx (failed)

Hat jemand eine Idee?

Ach so es handelt sich hier, wie in der Überschrift zu erkennen, um einen Exchange Server 2016 mit allen Updates.

Gruß HeinrichM

Content-ID: 386359

Url: https://administrator.de/forum/exchange-server-2016-zertifikats-probleme-mails-werden-abgelehnt-386359.html

Ausgedruckt am: 22.12.2024 um 14:12 Uhr

137084
137084 13.09.2018 aktualisiert um 11:04:27 Uhr
Goto Top
Reverse DNS lookup failed
Sagt die Fehlermeldung doch schon. Bei eurem Internet-Provider oder dem der eure feste IP verwaltet den Reverse (Pointer)-Record aktualisieren lassen der auf den FQDN des Mailservers zeigt, denn den prüft so gut wie jeder Mailserver heutzutage und wenn der eben nicht stimmt werden Mails von den Empfangsservern aus gutem Grund abgelehnt!
Kraemer
Kraemer 13.09.2018 um 11:00:57 Uhr
Goto Top
und zum Thema Zertifikat:
https://docs.microsoft.com/de-de/exchange/architecture/client-access/ass ...
du musst dieses auch dem SMTP-Dienst zuweisen
StefanKittel
StefanKittel 13.09.2018 um 11:03:30 Uhr
Goto Top
Hallo,

die Fehlermeldung "Reverse DNS lookup failed" hat nichts mit Zertifikaten zu tun.
Mach mal bitte Deine Hausaufgaben...

Dein Server baut eine Verbindung zu einem fremden Mail-Server auf.
Dort meldet er sich mit seinem Hostnamen an. Zum Beispiel mail.firma.de.
Diesen Namen siehst Du auch wenn Du Dich per Telnet auf Port 25 verbindest.

z.B. "220 remote.firma.de Microsoft ESMTP MAIL Service ready at Thu, 13 Sep 2018 11:00:48 +0200"
Dazu eine öffentliche IP z.B. "87.1.2.3".

Er übermittelt dabei auch sine öffentliche IP-Adresse.

Nun führt der fremde Server einen DNS-Lookup für die IP "87.1.2.3" aus und schaut ob es dem Hostnamen "remote.firma.de" entspricht.
Wenn nicht, ist es ein "Reverse DNS lookup failed".

Dafür benötigt man eine feste IP-Adressen.
Die rDNS-Einträge macht man im Webinterface des Providers oder gibt es dort in Auftrag.
Du kannst es nicht bei Dir konfigurieren.

Viele Grüße

Stefan
Vision2015
Vision2015 13.09.2018 um 11:12:46 Uhr
Goto Top
Moin...

Remote-E-Mail-System ausgestellt, um die genaue Ursache zu ermitteln. Status: "550 X-Host-Lookup-Failed: Reverse DNS lookup failed for xxx.xxx.xxx.xxx (failed)".
X-Host-Lookup-Failed: Reverse DNS lookup failed for xxx.xxx.xxx.xxx (failed)

jo, dein reverse mapping ist dein problem!
trage in deiner DNS verwaltung beim provider, deine feste ip mit dem hostnamen ein, bei der Telekom
im kundencenter (oder jeglicher anderer provider) gibbet den pukt feste IP adresse und reverse mapping, da trägst du auch den hostnamen ein.... und morgen ist alles gut!
kümmere dich darum, und alles wird gut!
bis das geklärt ist, kannst du evtl. über einen smart host versenden, also bei deinem provider!

Frank
HeinrichM
HeinrichM 13.09.2018 um 12:09:59 Uhr
Goto Top
Hi,
ja das ist ja richtig jedoch tu ich mich schwer dies so einzustellen.

Derzeit ist es so:

Beim 1&1 liegt die Domäne.

Domäne.de hat einen A Record der auf die IP von 1&1 zeigt.
Dann gibt es noch einen MX Record, der auf die Sub-Domäne mail.Domäne.de zeigt.

Die Mail.Domäne.de zeigt mit dem A Record auf die Feste IP Adresse meines Anschlusses.

Bei welcher Domäne (Haupt oder mail.) muss jetzt das reverse mapping eingetragen werden und wie?

Gruß HeinrichM
137084
137084 13.09.2018 aktualisiert um 12:37:37 Uhr
Goto Top
Zitat von @HeinrichM:
Beim 1&1 liegt die Domäne.
Die haben damit nichts zu tun.
Bei welcher Domäne (Haupt oder mail.) muss jetzt das reverse mapping eingetragen werden und wie?
Nicht bei 1und1 sondern bei deinem Anschluss-Provider welcher dir deine feste IP bereitstellt musst du dies beantragen. Denn dem ist die IP-Adresse zugeordnet und nur der oder ein dem Provider angeschlossener Befugter kann den Pointer-Record ändern.
<IP> -> mail.domain.tld

Es ist immer wieder erstaunlich ... face-sad.
https://www.msxfaq.de/internet/reversedns.htm
https://de.wikipedia.org/wiki/PTR_Resource_Record
HeinrichM
HeinrichM 13.09.2018 um 14:01:01 Uhr
Goto Top
OK noch mal fürs Verständnis:

Ich habe bei z.B. 1&1 eine www.firma.de
Dort lege ich eine sub-Domain an: mail.firma.de

Bei der www.firma.de setze ich einen A und MX Record auf die mail.firma.de
Bei der mail.firma.de setzt ich einen A Record auf die Feste-IP-Adresse meines Anschlusses z.B. Telekom.

Bei der Telekom setzte ich dann den Reverse DNS auf www.firma.de

So sollte es doch funktionieren Richtig?

MfG HeinrichM
StefanKittel
StefanKittel 13.09.2018 um 14:08:23 Uhr
Goto Top
Den rDNS auf den Hostnamen des Mailservers. Also mail.firma.de
137084
137084 13.09.2018 aktualisiert um 14:15:44 Uhr
Goto Top
Zitat von @HeinrichM:
Dort lege ich eine sub-Domain an: mail.firma.de
Jip, aber unter firma.de nicht unter www.firma.de
Bei der www.firma.de setze ich einen A und MX Record auf die mail.firma.de
Nein, du willst doch nicht die Webseite auf den Mailserver leiten face-smile. Du setzt nur den MX Record für die Hauptdomain firma.de auf mail.firma.de. Denn der andere Mailserver schnappt sich ja bei der Zustellung einer Mail die Domain-Endung aus der E-Mail-Adresse (also @firma.de) und schaut damit ins DNS nach dem MX.
Bei der mail.firma.de setzt ich einen A Record auf die Feste-IP-Adresse meines Anschlusses z.B. Telekom.
Jip
Bei der Telekom setzte ich dann den Reverse DNS auf www.firma.de
Nein, auf mail.firma.de
HeinrichM
HeinrichM 14.09.2018 um 07:21:13 Uhr
Goto Top
Moin Moin zusammen. So langsam verstehe auch ich und danke schon mal an dieser Stelle für die sehr guten Beiträge.
Jetzt habe ich alles so umgesetzt und auch beim DSL Provider sind die Einträge gesetzt. Leider ist das Ergebnis immer noch das selbe. Auf https://de.ssl-tools.net/mailservers
Es wird immer noch das falsch Zertifikat auf dem Server abgefragt. Hier das Ergebnis:

Server
eingehende Mails
Diese Server nehmen E-Mails für @firma.de-adressen entgegen.
Hostname / IP-Adresse mail.firma.de xxx.xxx.xxx.xxx
Priorität 10
STARTTLS unterstützt
Zertifikate SERVERNAME


Zertifikatskette
SERVERNAME (Zertifikat ist selbst signiert.)
1803 Tagen verbleibend 2048 bit sha1WithRSAEncryption
Hostname Mismatch Unknown Authority

Subjekt
Common Name (CN) SERVERNAME
Alternative Namen SERVERNAME
SERVERNAME.INTERNE DOMÄNE.local

Kann es nicht doch so ein, dass das Problem mit der IIS Zuweisung der Zertifikate zu tun hat?

Wie eingangs erwähnt, habe ich ja zwei Zertifikate die auf den IIS zeigen.

1. Ein gekauftes, welches die Dienste: IMAP, POP,IIS und SMTP mit den Alternative Antragstellernamen: mail.domäne.com, autodiscover.domäne.com und Domäne.com enthält.
3. Microsoft Exchange mit den Alternative Antragstellernamen: Servername, servername.domäne.local Diese ist auch dem IIS zugewiesen.

Wie sieht das Ergebnis bei Euch aus wenn Ihr den SSL-Check macht? Zwei grüne Häkchen? Hat noch jemand eine Idee?

Gruß HeinrichM
Kraemer
Kraemer 14.09.2018 um 08:05:02 Uhr
Goto Top
zum Thema Zertifikate habe ich dir einen Link gegeben.
Zum Thema DNS: Das kann bis zu 24 Stunden dauern - je nach Einstellungen. Musst du prüfen.
Vision2015
Lösung Vision2015 14.09.2018 aktualisiert um 14:35:31 Uhr
Goto Top
Moin...
Zitat von @HeinrichM:

Moin Moin zusammen. So langsam verstehe auch ich und danke schon mal an dieser Stelle für die sehr guten Beiträge.
Gern...
Jetzt habe ich alles so umgesetzt und auch beim DSL Provider sind die Einträge gesetzt. Leider ist das Ergebnis immer noch das selbe. Auf https://de.ssl-tools.net/mailservers
du hast das problem also doch noch nicht richtig vertsanden... du hast / hattest 2 probleme..
wenn du alles richtig gemacht hast, ist Problem 1 erledigt... dein Reverse Mapping!
Bitte prüfe das mit MX Toolbox. wenn das erledigt ist, kümmern wir uns um problem 2, dein Zertifikat!

Es wird immer noch das falsch Zertifikat auf dem Server abgefragt. Hier das Ergebnis:

Server
eingehende Mails
Diese Server nehmen E-Mails für @firma.de-adressen entgegen.
Hostname / IP-Adresse mail.firma.de xxx.xxx.xxx.xxx
Priorität 10
STARTTLS unterstützt
Zertifikate SERVERNAME


Zertifikatskette
SERVERNAME (Zertifikat ist selbst signiert.)
1803 Tagen verbleibend 2048 bit sha1WithRSAEncryption
Hostname Mismatch Unknown Authority

Subjekt
Common Name (CN) SERVERNAME
Alternative Namen SERVERNAME
SERVERNAME.INTERNE DOMÄNE.local

Kann es nicht doch so ein, dass das Problem mit der IIS Zuweisung der Zertifikate zu tun hat?
so... lass doch bitte die finger vom IIS

Wie eingangs erwähnt, habe ich ja zwei Zertifikate die auf den IIS zeigen.
finger wech vom IIS....

1. Ein gekauftes, welches die Dienste: IMAP, POP,IIS und SMTP mit den Alternative Antragstellernamen: mail.domäne.com, autodiscover.domäne.com und Domäne.com enthält.
ein Zertifikat enthält keine Dienste... sind die hostnamen den Richtig?

3. Microsoft Exchange mit den Alternative Antragstellernamen: Servername, servername.domäne.local Diese ist auch dem IIS zugewiesen.
finger wech vom IIS

Wie sieht das Ergebnis bei Euch aus wenn Ihr den SSL-Check macht? Zwei grüne Häkchen? Hat noch jemand eine Idee?
ja... ich hoffe du hast das Zertifikat für den Exchange richtig eingerichtet, am besten im Exchange Admin Center! dort werden auch alle Dienste dem Zertifikat zugewiesen!
ist ein Exchange richtig eingerichtet?
lass mal bitte das PowerShell script von @colinardo laufen. und richte alles ordentlich ein!
Powershell: Konfigurieren der internen und externen URLs von Exchange Server 2013, 2016
den link zum Orginal Beitrag auf Administrator.de reiche ich gleich nach!
und wie immer, vorher eine Datensicherung erstellen!
hier Lese das mal, mit du verstehst worum es geht!


Gruß HeinrichM
Frank
HeinrichM
HeinrichM 17.09.2018 um 07:21:48 Uhr
Goto Top
Hallo und guten Morgen zusammen!

Bitte prüfe das mit MX Toolbox. wenn das erledigt ist, kümmern wir uns um problem 2, dein Zertifikat!


OK sieht gut aus.
reverse lookup
so... lass doch bitte die finger vom IIS
finger wech vom IIS....
Überredet face-smile


ja... ich hoffe du hast das Zertifikat für den Exchange richtig eingerichtet, am besten im Exchange Admin Center! dort werden auch alle Dienste dem Zertifikat zugewiesen!

Ja ich habe im ECP unter "Server => Zertifikate => +" eins Angefordert. Dann gekauft und auch importiert. Bei "Alternative Antragstellernamen" habe ich drei Adressen mail.Firma.com, autodiscover.firma.com und Firma.com
Sollte doch so passen. Diesem Zertifikat habe ich dann auch die Dienste zugewiesen.
zert

ist ein Exchange richtig eingerichtet?
lass mal bitte das PowerShell script von @colinardo laufen. und richte alles ordentlich ein!
Powershell: Konfigurieren der internen und externen URLs von Exchange Server 2013, 2016
den link zum Orginal Beitrag auf Administrator.de reiche ich gleich nach!
und wie immer, vorher eine Datensicherung erstellen!
hier Lese das mal, mit du verstehst worum es geht!

Ich gehe davon aus, dass ich ihn richtig konfiguriert habe. Zur Unterstützung habe ich mich auf diese Seite verlassen.
https://docs.microsoft.com/de-de/exchange/plan-and-deploy/post-installat ...

Eben kommt noch ein Update, das KB4457131 das installiere ich und werde dann das Skript anpassen und laufen lassen.

Gruß HeinrichM
HeinrichM
HeinrichM 17.09.2018 um 17:18:15 Uhr
Goto Top
So Freunde der Fall ist gelöst!

zertigut

Wie es dazu gekommen ist schreibe ich morgen.

Dank Euch!!!

Gruß HeinrichM
HeinrichM
HeinrichM 18.09.2018 um 11:31:05 Uhr
Goto Top
Hallo nochmals,
Es gab zwei Probleme.

1. Wurden Mails bei Freenet.de, Google.de usw. abgelehnt, da beim DSL Anbieter der Reverse DNS nicht eingetragen war. Diese muss auf mail.firma.com zeigen.
2. Auf dem Server waren nicht alle Empfangsconnectoren richtig gesetzt, da diese auch nicht durch die GUI gesetzt werden können. Hierzu habe ich folgende Befehle erarbeitet.

Set-ReceiveConnector -identity “SERVERNAME\Client Frontend SERVERNAME” -AuthMechanism Tls, Integrated, BasicAuth,

BasicAuthRequireTLS
Set-ReceiveConnector -identity “SERVERNAME\Client Frontend SERVERNAME” -Fqdn mail.firma.com

Set-ReceiveConnector -identity “SERVERNAME\Client Proxy SERVERNAME” -AuthMechanism Tls, Integrated, BasicAuth, BasicAuthRequireTLS
Set-ReceiveConnector -identity “SERVERNAME\Client Proxy SERVERNAME” -Fqdn mail.firma.com

Set-ReceiveConnector -identity “SERVERNAME\Default SERVERNAME” -AuthMechanism Tls, Integrated, BasicAuth, BasicAuthRequireTLS
Set-ReceiveConnector -identity “SERVERNAME\Default SERVERNAME” -Fqdn mail.firma.com

Set-ReceiveConnector -identity “SERVERNAME\Default Frontend SERVERNAME” -AuthMechanism Tls, Integrated, BasicAuth,

BasicAuthRequireTLS
Set-ReceiveConnector -identity “SERVERNAME\Default Frontend SERVERNAME” -Fqdn mail.firma.com

Set-ReceiveConnector -identity “SERVERNAME\Outbound Proxy Frontend SERVERNAME” -AuthMechanism Tls, Integrated, BasicAuth,

BasicAuthRequireTLS
Set-ReceiveConnector -identity “SERVERNAME\Outbound Proxy Frontend SERVERNAME” -Fqdn mail.firma.com

Zum Schluss muss der IIS noch neu gestartet werden. Jetzt kann man noch die Einstellungen hier prüfen:

Get-ReceiveConnector -Identity “SERVERNAME\Default Frontend SERVERNAME” | fl

In der Zeile FQDN muss jetzt die mail.firma.com stehen. Dann funktioniert auch alles in SSL Tester.

Gruß HeinrichM
137084
137084 18.09.2018 aktualisiert um 13:55:47 Uhr
Goto Top
Und fährst damit den Zug erst mal schön gegen die Wand wenn ein EX dazu kommt face-smile.
HeinrichM
HeinrichM 18.09.2018 um 13:59:34 Uhr
Goto Top
@137084,
wie meinen?
137084
137084 18.09.2018 aktualisiert um 14:39:47 Uhr
Goto Top
Don’t modify the FQDN value on the default Receive connector Default that’s automatically created on Mailbox servers. If you have multiple Mailbox servers in your Exchange organization and you change the FQDN value on the Default Receive connector, internal mail flow between Mailbox servers fails.
Deswegen, goldene Regel: Für Internet-Facing Communication immer separate eigene Konnektoren anlegen, sonst kriegst du hinterher wenn sich das Netzwerk mal ändert und ein weiterer EX dazu kommt Probleme und weißt dann erst mal nicht wieso. Also, besser is das.
Vision2015
Vision2015 18.09.2018 um 14:47:36 Uhr
Goto Top
Zitat von @HeinrichM:

Hallo nochmals,
Es gab zwei Probleme.

1. Wurden Mails bei Freenet.de, Google.de usw. abgelehnt, da beim DSL Anbieter der Reverse DNS nicht eingetragen war. Diese muss auf mail.firma.com zeigen.
das haben wir dir die ganze zeit geschrieben.. das war problem 1, was du als erstes lösen solltest!''

Gruß HeinrichM
Frank
HeinrichM
HeinrichM 18.09.2018 um 14:50:15 Uhr
Goto Top
Hi Frank,
ja klar - habe ich doch auch gemacht face-smile