l4k3k3m4n
Goto Top

TLS Versand über 1und1 Smarthost

Guten Tag,

unser Exchange 2010 nutzt smtp.1und1.de als Smarthost zum versenden von Emails.
Der Versnad soll jetzt über TLS erfolgen.

Dazu setze ich im Sendeconnector bei der Smarthost-Authentifizierung einen Haken bei "Standardauthentifizierung über TLS".

Ab diesem Zeitpunkt ist Mailversand nicht mehr möglich. Folgende Fehlermeldung in der Warteschlange:

451 4.4.0 Primary target IP adress responded with: "454 4.7.5 Certificate validation failure. "Attempted failover to alternate host, but that did not succeed. Either there are no alternate hosts, or delivery failed to all alternate hosts.

Welches Zertifikat wird hier geprüft und ist fehlerhaft? Eigentlich sollte es sich ja um das von 1und1 handeln?


Habe ich etwas übersehen?

Danke!

Content-ID: 231336

Url: https://administrator.de/contentid/231336

Ausgedruckt am: 13.11.2024 um 00:11 Uhr

Dani
Dani 28.02.2014 um 16:31:00 Uhr
Goto Top
Moin,
siehe hier um deine Einstellungen abzugeleichen.


Grüße,
Dani
Rolf14
Rolf14 28.02.2014 um 16:49:33 Uhr
Goto Top
Hey es reicht nicht einfach auf TLS zu klicken. Du musst manuell via Shell den Port für den Connector ändern.
colinardo
colinardo 28.02.2014 aktualisiert um 16:53:22 Uhr
Goto Top
Hallo,
dann hast du vermutlich entweder ein internes selbst-signiertes Zertifikat dem SMTP-Dienst zugeordnet (Serverkonfiguration > Exchange-Zertifikate),
oder euer Server gibt sich bei aktivem Zertifikat auf dem SMTP mit einem Namen (im HELO) beim 1und1 bekannt der nicht mit dem Common-Name auf eurem gültigen Zertifikat übereinstimmt.

4c90e8d6186c2afd1a9e2df8c7ea7900

Grüße Uwe
colinardo
colinardo 28.02.2014 aktualisiert um 16:53:32 Uhr
Goto Top
Zitat von @Rolf14:

Hey es reicht nicht einfach auf TLS zu klicken. Du musst manuell via Shell den Port für den Connector ändern.
1und1 akzeptiert auch auf Port 25 TLS.
Dani
Dani 28.02.2014 um 16:54:56 Uhr
Goto Top
@colinardo
Da sagt das 1und1 Hilfecenter etwas anderes.


Grüße,
Dani
colinardo
colinardo 28.02.2014 aktualisiert um 17:05:16 Uhr
Goto Top
Zitat von @Dani:
@colinardo
Da sagt das 1und1 Hilfecenter etwas anderes.
mach mal ein telnet auf Port 25 ...
220 smtp.1und1.de (mreue103) Welcome to Nemesis ESMTP server
ehlo myhost
250-smtp.1und1.de
250-STARTTLS
250-AUTH LOGIN PLAIN
250-AUTH=LOGIN PLAIN
250-SIZE 120000000
250 HELP
soweit ich von einem Kollegen bei United Internet weiß, wird das auf Port 25 auch nicht abgeschaltet, nur eben die unverschlüsselte Variante via LOGIN PLAIN.

Grüße Uwe
l4k3k3m4n
l4k3k3m4n 28.02.2014 um 17:09:29 Uhr
Goto Top
Erstmal danke für die Tips.

TLS geht bei 1und1 auch auf Port 25.
Der Fehler ist auf Port 587 identisch.

Ich habe kein öffentliches Zertifikat im Exchange installiert, das war bisher nicht nötig.
Das liegt bisher nur auf dem Reverse Proxy für owa,activesync und outlook anywhere.

Ist das das Problem?
colinardo
colinardo 28.02.2014 aktualisiert um 17:19:42 Uhr
Goto Top
hier solltest du kein Zertifikat für den SMTP-Dienst drin haben...

cfd694f5d5f478afab8265bfafd248c0

und auch mal den Zertifikatscache löschen:
http://www.msxforum.de/modules/newbb/viewtopic.php?order=ASC&topic_ ...
l4k3k3m4n
l4k3k3m4n 28.02.2014 um 17:27:23 Uhr
Goto Top
Für den Datenbankserver liegt da ein selbstsigniertes Zertifikat für SMTP drinnen.
Hat Exchange wohl so angelegt. Und das ist falsch?
colinardo
colinardo 28.02.2014 aktualisiert um 17:51:48 Uhr
Goto Top
probier erst mal das hier, letzter Kommentar:
http://www.msxforum.de/modules/newbb/viewtopic.php?order=ASC&topic_ ...

oft hilft es auch in diesem Fall den Send-Connector zu löschen und einen neuen anzulegen..
l4k3k3m4n
l4k3k3m4n 28.02.2014 um 23:12:14 Uhr
Goto Top
Ich habe das Problem gelöst.
Am selbst ausgestellten Zertifikat für SMTP lag es auch nicht.


Für die Validierung eines Zertifikats (in diesem Fall das Zertifikat des 1und1 Smarthosts) nutzt der Exchange Server die Verbindung aus den winhttp Einstellungen. Diese waren am Exchange Server nicht richtig gesetzt (da vorher nie erforderlich). Jetzt steht der Proxy drinnen und die Mails gehen auch über TLS raus. Komischer Zusammenhang, da muss man erstmal drauf kommen. Danke für die Anregungen.
colinardo
colinardo 28.02.2014 aktualisiert um 23:42:40 Uhr
Goto Top
Alles klar, danke für die Rückmeldung. Stimmt dann kann der Exchange ja keine CRLs der Zertifikate abrufen .... kleine Ursache große Wirkung face-smile
Hier noch der Link dazu für alle die hier vorbeischauen und das selbe Problem haben:
http://technet.microsoft.com/de-de/library/bb430772(v=exchg.141).aspx

Grüße Uwe
Abraham84
Abraham84 23.01.2019 um 11:25:20 Uhr
Goto Top
Wir haben seit zwei tagen das Problem, dass über unseren Exchange Server keine E-Mails mehr über den STMP von 1&1 rausgehen.

Ich bekomme die gleiche Fehlermeldung
451 4.4.0 Primary target IP adress responded with: "454 4.7.5 Certificate validation failure. "Attempted failover to alternate host, but that did not succeed. Either there are no alternate hosts, or delivery failed to all alternate hosts.

In meinen WinHTTP Einstellungen ist kein Proxyserver gesetzt. Welcher wäre denn für den 1&1 Versand nötig?
colinardo
colinardo 23.01.2019 aktualisiert um 11:39:51 Uhr
Goto Top
Servus.
Wir haben seit zwei tagen das Problem, dass über unseren Exchange Server keine E-Mails mehr über den STMP von 1&1 rausgehen.
@Abraham84
IONOS hat vor kurzem das TLS-Zertifikat gewechselt. Und Microsoft hat letztens über Updates die alte CA aus den Windows-Systemen entfernt. Du musst deswegen die neue Telesec CA in die Root-Zertifikate auf deinem Server importieren damit dein Server dem neuen Zertifikat vertrauen kann!
Exchange Error: 454 4.7.5 certificate validation failure über IONOS-smarthost
Nach dem Einspielen des Root-Zertifikats und einem Neustart des Transport-Dienstes sollte der Mailversand über TLS wieder erfolgreich sein.

Grüße Uwe
Abraham84
Abraham84 23.01.2019 um 13:56:49 Uhr
Goto Top
Servus,

WOW, Besten Dank mal wieder für diese superschnelle Info, colinardo!
Der Mailversand läuft wieder!

Viele Grüße
patrick