none
Domain Security mehrere domains TLS RRS feed

  • Frage

  • Hi,

    ich will mit einem Partner gerne das Domain Security Feature nutzen, und zwar so dass wir nur noch per TLS kommunizieren und sichergestellt ist dass ich nichts versende wenn auf seiner Seite TLS nicht aktiv usw.

    Dazu habe ich die Domains meines Partners in die TLSSendDomainSecureList hinzugefügt.

    All diese Domains landen bei ihm auf dem gleichen MX.

    Folgendes habe ich konfiguriert:
    Set-TransportConfig -TLSSendDomainSecureList woodgrovebank.com,contoso.com,fabrikam.com

    So sehen seine MX aus:

    nslookup for woodgrovebank.com
        MX preference = 10, mail exchanger = mx1.woodgrovebank.com
        MX preference = 10, mail exchanger = mx2.woodgrovebank.com
    nslookup for contoso.com

       MX preference = 10, mail exchanger = mx1.woodgrovebank.com
       MX preference = 10, mail exchanger = mx2.woodgrovebank.com
    nslookup for fabrikam.com
        MX preference = 10, mail exchanger = mx1.woodgrovebank.com
        MX preference = 10, mail exchanger = mx2.woodgrovebank.com

    Er benutzt ein public Zertifikat auf seinen beiden MX. im Zertifikat steht lediglich mx1.woodgrovebank.com und auf dem zweiten MX mx2.woodgrovebank.com

    Es gibt keine SANs im Zertifikat fuer die Domains contoso.com oder fabrikam.com

    Wenn ich eine E-Mail an bla@woodgrovebank.com sende kommt diese auch bei ihm an.

    Wenn ich eine E-Mail an bla@contoso.com oder bla@fabrika.com sende bleibt diese Mail in meiner Queue und ich erhalte folgende Meldung dazu: "4.7.5 Certificate Validation Failure. Attempted failover to alternative host but that did not succeed"

    Danke für eure Hilfe
    Carsten



    Dienstag, 19. Februar 2013 08:37

Antworten

  • hi,

    der Fehler liegt auf der anderen Seite. Die Gegenseite nutzt scheinbar Loadbalancer und bei jedem Connect kommt ein anderes Zertifikat mit einem nicht passenden Hostname zurück. Wir hatten Glück dass es deshalb manchmal funktionierte...
    Ganz strange Config die nun korrigiert wird und beide mx sind dann auch die echten Hosts und nix virtuelles mehr.
    Vielen Dank!

    Dienstag, 19. Februar 2013 14:39

Alle Antworten