none
E-Mail-Versand klappt nicht von Dienst

    Frage

  • Hallo,

    ich versuche, ein Programm seine Protokolle über einen auf dem gleichen Server installierten Exchange 2010 versenden zu lassen.

    Es handelt sich um ein Dateisynchronisationstool (www.superflexible.de). Im Programm sind die Einstellungen für den E-Mail-Versand seiner Protokolle so gesetzt:

    SMTP-Server: localhost Port 25
    Ohne Authentifizierung
    Mail an die Adresse: admin@domain.tld

    Dort gibt es einen Test-Button, wenn ich den drücke, wird erfolgreich eine Test-E-Mail an den Admin verschickt.

    Nun läuft aber das Programm als Dienst und müsste dabei ebenfalls E-Mails verschicken, und dann steht nur im Protokoll:
    "Sending email failed! Authentication unsuccessful"

    Was muss ich da wo einstellen? Am Empfangskonnektor des Exchange 2010 dürfte es doch nicht liegen, wenn der Testbutton funktioniert?

    Viele Grüße,
    Oliver

     

    Sonntag, 5. Dezember 2010 20:12

Antworten

  • Hi Oliver,

    Deshalb bleibt als Problem nur, dass Benutzer zwar senden dürfen, der Admin aber nicht. Oder verstehe ich Dich falsch?

    Hier die Liste in der Langform; wie man die erzeugt, wusste ich nicht:

    DANIEL\Domänen-Admins          True {ms-Exch-Store-Transport-Access}       

    DANIEL\Organisations-Admins       True {ms-Exch-Store-Transport-Access}    

    Hier habt ihr auf höherer Ebene euren Admins einiges genommen und das Deny
    schlägt sich jetzt wohl auf den Admin durch. Ich würde mich jetzt nicht auf
    die Suche machen, von wo das Deny stammt und empfehle dir ein dediziertes
    Mailkonto, was du für den Versand nutzt und dessen Kennwort nie abläuft...

    Viele Grüße
    Christian

    Freitag, 17. Dezember 2010 08:42
    Moderator

Alle Antworten

  • Hi Oliver,

    in welchem Kontext läuft der Dienst und warum richtest du keine
    Authentifizieurng ein?
    Poste mal bitte "get-receiveconnector|fl", damit sehen wir dann, welche Rechte
    auf den Connectoren aktiv sind.

    Ich vermute, dass das Programm während der Tests die Credentials des
    angemeldeten Nutzers nimmt und beim Dienst ungültige Daten.
    ...oder versuchst du nach extern zu senden?

    Vermutlich wird die Mail dann geblockt, weil du versuchst von eurer
    authorative Domain zu schicken obwohl für den Exchange im
    von-Feld ja nicht die Domain selbst stehen darf... wenn anonym nicht aktiv
    ist.
    Du musst in diesem Fall ms-exch-smtp-accept-authoritative-domain-sender und
    Ms-Exch-SMTP-Accept-Any-Recipient im Auge haben:
    http://technet.microsoft.com/de-de/library/aa996395%28EXCHG.80%29.aspx
    http://technet.microsoft.com/de-de/library/bb232021%28EXCHG.80%29.aspx

    Ist dieser aktiv, geht die Mail wahrscheinlich nach außen und dann ist die
    Frage, ob die Berechtigungsgruppe ExchangeUser am Connector aktiv?

    Vielleicht richtest du dir auch einen zusätzlichen Connector ein, damit die
    Standard-Connectoren nicht verändert werden:
    http://www.msxfaq.de/connector/receiveconnector.htm

    Viele Grüße
    Christian

    Montag, 6. Dezember 2010 05:21
    Moderator
  • Hallo Daniel,

    die Authentifizierung klappt nicht. In dem fraglichen Programm auf dem Server habe ich es mit Benutzername und mit E-Mail-Adresse (jeweils plus Kennwort) und Port 25 probiert.

    Die E-Mail wird intern gesendet. Schöner wäre es, wenn es nur mit Authentifizierung ginge und dann sowohl intern als auch extern.

    Gibt es eine relativ standardisierte Anleitung, wie man Exchange 2007/2010 beibringt, Nachrichten aus dem lokalen Netz mit SMTP-Authentifizierung anzunehmen und intern/extern weiterzuleiten? Damit kämpfe ich jedesmal.

    Hier der Output zu den Konntektoreinstellungen:

     

    RunspaceId        : 78b17ac2-5e0c-4691-aa58-75ebe7df454d
    AuthMechanism       : Tls, Integrated, BasicAuth, ExchangeServer
    Banner         : 
    BinaryMimeEnabled      : True
    Bindings        : {:::25, 0.0.0.0:25}
    ChunkingEnabled       : True
    DefaultDomain       : 
    DeliveryStatusNotificationEnabled  : True
    EightBitMimeEnabled      : True
    BareLinefeedRejectionEnabled   : False
    DomainSecureEnabled      : False
    EnhancedStatusCodesEnabled    : True
    LongAddressesEnabled     : False
    OrarEnabled        : False
    SuppressXAnonymousTls     : False
    AdvertiseClientSettings     : False
    Fqdn         : DANIELS-SERVER.Daniel.ws
    Comment         : 
    Enabled         : True
    ConnectionTimeout      : 00:10:00
    ConnectionInactivityTimeout    : 00:05:00
    MessageRateLimit      : unlimited
    MessageRateSource      : IPAddress
    MaxInboundConnection     : 5000
    MaxInboundConnectionPerSource   : unlimited
    MaxInboundConnectionPercentagePerSource : 100
    MaxHeaderSize       : 64 KB (65,536 bytes)
    MaxHopCount        : 30
    MaxLocalHopCount      : 8
    MaxLogonFailures      : 3
    MaxMessageSize       : 195.3 MB (204,800,000 bytes)
    MaxProtocolErrors      : 5
    MaxRecipientsPerMessage     : 5000
    PermissionGroups      : AnonymousUsers, ExchangeUsers, ExchangeServers, ExchangeLegacyServers
    PipeliningEnabled      : True
    ProtocolLoggingLevel     : None
    RemoteIPRanges       : {::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff, 0.0.0.0-255.255.255.255}
    RequireEHLODomain      : False
    RequireTLS        : False
    EnableAuthGSSAPI      : False
    ExtendedProtectionPolicy    : None
    LiveCredentialEnabled     : False
    TlsDomainCapabilities     : {}
    Server         : DANIELS-SERVER
    SizeEnabled        : EnabledWithoutValue
    TarpitInterval       : 00:00:05
    MaxAcknowledgementDelay     : 00:00:30
    AdminDisplayName      : 
    ExchangeVersion       : 0.1 (8.0.535.0)
    Name         : Default DANIELS-SERVER
    DistinguishedName      : CN=Default DANIELS-SERVER,CN=SMTP Receive Connectors,CN=Protocols,CN=DanielS-SERVER,CN=Servers,CN=Exchange Administrative Group (FYDIBOHF23SPDLT),CN=Administrative Groups,CN=Daniels First Organization,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=Daniel,DC=pro
    Identity        : DANIELS-SERVER\Default DANIELS-SERVER
    Guid         : b9a69c1f-b691-492b-bc66-fd33078475a3
    ObjectCategory       : Daniel.ws/Configuration/Schema/ms-Exch-Smtp-Receive-Connector
    ObjectClass        : {top, msExchSmtpReceiveConnector}
    WhenChanged        : 18.07.2010 20:18:25
    WhenCreated        : 05.06.2010 23:38:48
    WhenChangedUTC       : 18.07.2010 18:18:25
    WhenCreatedUTC       : 05.06.2010 21:38:48
    OrganizationId       : 
    OriginatingServer      : DANIELS-SERVER.Daniel.ws
    IsValid         : True
    
    RunspaceId        : 78b17ac2-5e0c-4691-aa58-75ebe7df454d
    AuthMechanism       : Tls, Integrated, BasicAuth, BasicAuthRequireTLS
    Banner         : 
    BinaryMimeEnabled      : True
    Bindings        : {:::587, 0.0.0.0:587}
    ChunkingEnabled       : True
    DefaultDomain       : 
    DeliveryStatusNotificationEnabled  : True
    EightBitMimeEnabled      : True
    BareLinefeedRejectionEnabled   : False
    DomainSecureEnabled      : False
    EnhancedStatusCodesEnabled    : True
    LongAddressesEnabled     : False
    OrarEnabled        : False
    SuppressXAnonymousTls     : False
    AdvertiseClientSettings     : False
    Fqdn         : DANIELS-SERVER.Daniel.ws
    Comment         : 
    Enabled         : True
    ConnectionTimeout      : 00:10:00
    ConnectionInactivityTimeout    : 00:05:00
    MessageRateLimit      : 5
    MessageRateSource      : User
    MaxInboundConnection     : 5000
    MaxInboundConnectionPerSource   : 20
    MaxInboundConnectionPercentagePerSource : 2
    MaxHeaderSize       : 64 KB (65,536 bytes)
    MaxHopCount        : 30
    MaxLocalHopCount      : 8
    MaxLogonFailures      : 3
    MaxMessageSize       : 195.3 MB (204,800,000 bytes)
    MaxProtocolErrors      : 5
    MaxRecipientsPerMessage     : 200
    PermissionGroups      : ExchangeUsers
    PipeliningEnabled      : True
    ProtocolLoggingLevel     : None
    RemoteIPRanges       : {::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff, 0.0.0.0-255.255.255.255}
    RequireEHLODomain      : False
    RequireTLS        : False
    EnableAuthGSSAPI      : True
    ExtendedProtectionPolicy    : None
    LiveCredentialEnabled     : False
    TlsDomainCapabilities     : {}
    Server         : DANIELS-SERVER
    SizeEnabled        : Enabled
    TarpitInterval       : 00:00:05
    MaxAcknowledgementDelay     : 00:00:30
    AdminDisplayName      : 
    ExchangeVersion       : 0.1 (8.0.535.0)
    Name         : Client DANIELS-SERVER
    DistinguishedName      : CN=Client DANIELS-SERVER,CN=SMTP Receive Connectors,CN=Protocols,CN=DanielS-SERVER,CN=Servers,CN=Exchange Administrative Group (FYDIBOHF23SPDLT),CN=Administrative Groups,CN=Daniels First Organization,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=Daniel,DC=pro
    Identity        : DANIELS-SERVER\Client DANIELS-SERVER
    Guid         : 3a6beead-7ab6-49b0-82a5-0a19757673c3
    ObjectCategory       : Daniel.ws/Configuration/Schema/ms-Exch-Smtp-Receive-Connector
    ObjectClass        : {top, msExchSmtpReceiveConnector}
    WhenChanged        : 06.06.2010 03:09:28
    WhenCreated        : 05.06.2010 23:38:48
    WhenChangedUTC       : 06.06.2010 01:09:28
    WhenCreatedUTC       : 05.06.2010 21:38:48
    OrganizationId       : 
    OriginatingServer      : DANIELS-SERVER.Daniel.ws
    IsValid         : True
    

     

    Montag, 6. Dezember 2010 16:32
  • Hi Oliver,

    Hallo Daniel,

    wer ist Daniel?

    die Authentifizierung klappt nicht. In dem fraglichen Programm auf dem Server habe ich es mit Benutzername und mit E-Mail-Adresse (jeweils plus Kennwort) und Port 25 probiert.

    Probier es mal mit dem UPN - zum Testen nutz sonst mal OE oder Outlook:
    http://www.msxfaq.de/admin/upn.htm

    Die E-Mail wird intern gesendet. Schöner wäre es, wenn es nur mit Authentifizierung ginge und dann sowohl intern als auch extern.

    Ja, das Recht Accept-Any-Recipient kommt mit der Auth. über die Exchange-User.
    Also Anmeldung testen... das sollt klappen...

    Wenn nicht, müsstest du einen zusätzlichen Connector einrichten, über den du
    das Relayen gewährst. Die Infos dazu findest du bei Frank - erster Post:
    "Anonyme Clients mit Relay: Eine ganz besondere Gruppe sind Clients, die nicht
    nur anonym an Exchange zustellen, sondern auch über Exchange ins Internet
    senden sollen. Nur wenn es explizit keine andere Option gibt, kann über einen
    Receive Connector auch ein anonymes Relay aktiviert werden. Dazu sollten dann
    die fraglichen Systeme explizit mit IP-Adresse eingetragen werden, so dass nur
    diese Systeme die Connector Konfiguration verwenden können."

    Hier der Output zu den Konntektoreinstellungen:

    Die beiden Connectoren sehen auf den ersten Blick iO aus...

    Viele Grüße
    Christian

    Dienstag, 7. Dezember 2010 07:04
    Moderator
  • Ich habe mich nun entschlossen, auf die anonyme Einlieferung zu verzichten. Es geht um Status-E-Mails, die von diversen Monitoring-Tools auf dem Server und von Geräten im LAN erzeugt werden sollen.

    Bin ich aus Eurer Sicht sauber vorgegangen mit folgendem Weg?

    Ich habe einen neuen Konnektor "Test" angelegt:

    • benutzerdefiniert
    • nimmt nur E-Mails von den fraglichen IPs an - Server, Netzwerkdrucker usw.
    • Authentifizierung - nur ein Haken, nämlich Standardauthentifizierung
    • Berechtigungsgruppen - Exchange-Benutzer

    Es klappt, wenn ich irgendeinen Standardbenutzer verwende. Nun würde ich gerne für das Einliefern dieser E-Mails das Admin-Konto benutzen, und das klappt nicht, offenbar aus dem hier beschriebenen Grund:

    http://technet.microsoft.com/de-de/library/bb218360%28EXCHG.80%29.aspx

    Ich nehme an, dass ich über die Exchange-Shell an dem Konnektor "Test" etwas ändern muss.

    Ist das richtig, ratsam, und - was müsste ich eingeben?

    Samstag, 11. Dezember 2010 12:18
  • Moin,

    den genauen Befehl habe ich im Augenblick nicht im Kopf, aber:

    Ich persönlich finde Sicherheit wichtig, aber man kann es dabei auch
    übertreiben. Du hast das auf Remote-IP-Adressen eingegrenzt, ich denke, das
    sollte reichen. Damit dieser Connector ausgenutzt wird, müsste jemand auf
    einem der fraglichen Geräte einen Trojaner installieren. Und trotzdem
    könnte der nicht nach draußen senden, sondern nur interne Benutzer
    erreichen.

    Exchange 2003 hat auch im Standard Mails von jedem angenommen und wurde
    deswegen auch nicht gleich und ständig von internem Spam oder Angriffen
    überrannt.

    Kurz gesagt: Ich würde nur eines nehmen, entweder Authentifikation für alle
    auf dem Default-Connector, oder einen eingeschränkten Connector (Remote-IP)
    mit Anonym.

    Aber das ist nur meine Meinung. ;)


    Grüße aus Berlin schickt Robert
    MVP Exchange Server
    Samstag, 11. Dezember 2010 15:25
  • Hi Oliver,

    finde es komisch, dass es beim Admin nicht laufen sollte, wenn dieser
    authentifiziert ist. Du kannst mal "get-ReceiveConnector xyz|
    Get-ADPermission" posten. "ms-Exch-SMTP-Submit" müsste dort für die auth. User
    stehen.
    Wenn du den Connector auf extern gesichert setzt, müsste das Recht IMHO auch
    nochmal gesetzt werden.
    Du könntest das auch über: Get-ReceiveConnector "connector" | Add-ADPermission
    -User "domain\administrator" -ExtendedRights "ms-Exch-SMTP-Submit" gezielt
    setzen, aber ich würde dir eher empfehlen ein dediziertes Dienstekonto dafür
    zu nutzen.

    http://msexchangeteam.com/archive/2006/12/28/432013.aspx

    Grundsätzlich würde ich den Connector aber einfach auf anonym setzen, denn
    durch die IP-Zuordnung finde ich es sicher genug, denn er kann auch nur nach
    intern Mailen und ein Relayingmissbrauch ist nicht möglich.

    Viele Grüße
    Christian

    Dienstag, 14. Dezember 2010 15:52
    Moderator

  • finde es komisch, dass es beim Admin nicht laufen sollte, wenn dieser
    authentifiziert ist. Du kannst mal "get-ReceiveConnector xyz|
    Get-ADPermission" posten. "ms-Exch-SMTP-Submit" müsste dort für die auth. User
    stehen.

    Identity             User                 Deny  Inherited
    --------             ----                 ----  ---------
    DANIELS-SERVER\DANIEL... NT-AUTORITÄT\ANON... False False   
    DANIELS-SERVER\DANIEL... NT-AUTORITÄT\ANON... False False   
    DANIELS-SERVER\DANIEL... NT-AUTORITÄT\ANON... False False   
    DANIELS-SERVER\DANIEL... NT-AUTORITÄT\ANON... False False   
    DANIELS-SERVER\DANIEL... NT-AUTORITÄT\ANON... False False   
    DANIELS-SERVER\DANIEL... NT-AUTORITÄT\Auth... False False   
    DANIELS-SERVER\DANIEL... NT-AUTORITÄT\Auth... False False   
    DANIELS-SERVER\DANIEL... NT-AUTORITÄT\Auth... False False   
    DANIELS-SERVER\DANIEL... NT-AUTORITÄT\Auth... False False   
    DANIELS-SERVER\DANIEL... DANIEL\Delegated Setup True  True    
    DANIELS-SERVER\DANIEL... DANIEL\Delegated Setup True  True    
    DANIELS-SERVER\DANIEL... DANIEL\Delegated Setup True  True    
    DANIELS-SERVER\DANIEL... DANIEL\Exchange Ser... False True    
    DANIELS-SERVER\DANIEL... DANIEL\Exchange Ser... False True    
    DANIELS-SERVER\DANIEL... DANIEL\Exchange Ser... False True    
    DANIELS-SERVER\DANIEL... DANIEL\Exchange Ser... False True    
    DANIELS-SERVER\DANIEL... NT-AUTORITÄT\NETZ... False True    
    DANIELS-SERVER\DANIEL... DANIEL\DANIELS-SERVER$   False True    
    DANIELS-SERVER\DANIEL... DANIEL\Delegated Setup False True    
    DANIELS-SERVER\DANIEL... NT-AUTORITÄT\SYSTEM  False True    
    DANIELS-SERVER\DANIEL... NT-AUTORITÄT\NETZ... False True    
    DANIELS-SERVER\DANIEL... DANIEL\Exchange Ser... True  True    
    DANIELS-SERVER\DANIEL... DANIEL\Organization... False True    
    DANIELS-SERVER\DANIEL... DANIEL\Public Folde... False True    
    DANIELS-SERVER\DANIEL... NT-AUTORITÄT\SYSTEM  False True    
    DANIELS-SERVER\DANIEL... DANIEL\Domänen-Admins  True  True    
    DANIELS-SERVER\DANIEL... DANIEL\Organisation... True  True    
    DANIELS-SERVER\DANIEL... DANIEL\Organization... True  True    
    DANIELS-SERVER\DANIEL... DANIEL\DANIELBraun       True  True    
    DANIELS-SERVER\DANIEL... DANIEL\Domänen-Admins  True  True    
    DANIELS-SERVER\DANIEL... DANIEL\Organisation... True  True    
    DANIELS-SERVER\DANIEL... DANIEL\Organization... True  True    
    DANIELS-SERVER\DANIEL... DANIEL\DANIELBraun       True  True    
    DANIELS-SERVER\DANIEL... DANIEL\Domänen-Admins  True  True    
    DANIELS-SERVER\DANIEL... DANIEL\Schema-Admins   True  True    
    DANIELS-SERVER\DANIEL... DANIEL\Organisation... True  True    
    DANIELS-SERVER\DANIEL... DANIEL\Organization... True  True    
    DANIELS-SERVER\DANIEL... DANIEL\Domänen-Admins  True  True    
    DANIELS-SERVER\DANIEL... DANIEL\Schema-Admins   True  True    
    DANIELS-SERVER\DANIEL... DANIEL\Organisation... True  True    
    DANIELS-SERVER\DANIEL... DANIEL\Organization... True  True    
    DANIELS-SERVER\DANIEL... DANIEL\Domänen-Admins  True  True    
    DANIELS-SERVER\DANIEL... DANIEL\Organisation... True  True    
    DANIELS-SERVER\DANIEL... DANIEL\Domänen-Admins  True  True    
    DANIELS-SERVER\DANIEL... DANIEL\Organisation... True  True    
    DANIELS-SERVER\DANIEL... DANIEL\Domänen-Admins  True  True    
    DANIELS-SERVER\DANIEL... DANIEL\Organisation... True  True    
    DANIELS-SERVER\DANIEL... DANIEL\Domänen-Admins  True  True    
    DANIELS-SERVER\DANIEL... DANIEL\Organisation... True  True    
    DANIELS-SERVER\DANIEL... NT-AUTORITÄT\Auth... True  True    
    DANIELS-SERVER\DANIEL... DANIEL\Organization... False True    
    DANIELS-SERVER\DANIEL... DANIEL\Public Folde... False True    
    DANIELS-SERVER\DANIEL... DANIEL\Organization... False True    
    DANIELS-SERVER\DANIEL... DANIEL\Public Folde... False True    
    DANIELS-SERVER\DANIEL... DANIEL\Organization... False True    
    DANIELS-SERVER\DANIEL... DANIEL\Public Folde... False True    
    DANIELS-SERVER\DANIEL... DANIEL\Organization... False True    
    DANIELS-SERVER\DANIEL... DANIEL\Public Folde... False True    
    DANIELS-SERVER\DANIEL... DANIEL\Organization... False True    
    DANIELS-SERVER\DANIEL... DANIEL\Public Folde... False True    
    DANIELS-SERVER\DANIEL... DANIEL\Organization... False True    
    DANIELS-SERVER\DANIEL... DANIEL\Public Folde... False True    
    DANIELS-SERVER\DANIEL... DANIEL\Organization... False True    
    DANIELS-SERVER\DANIEL... DANIEL\Public Folde... False True    
    DANIELS-SERVER\DANIEL... DANIEL\Organization... False True    
    DANIELS-SERVER\DANIEL... DANIEL\Public Folde... False True    
    DANIELS-SERVER\DANIEL... DANIEL\Organization... False True    
    DANIELS-SERVER\DANIEL... DANIEL\Public Folde... False True    
    DANIELS-SERVER\DANIEL... DANIEL\Organization... False True    
    DANIELS-SERVER\DANIEL... DANIEL\Public Folde... False True    
    DANIELS-SERVER\DANIEL... DANIEL\Organization... False True    
    DANIELS-SERVER\DANIEL... DANIEL\Public Folde... False True    
    DANIELS-SERVER\DANIEL... DANIEL\Organization... False True    
    DANIELS-SERVER\DANIEL... DANIEL\Public Folde... False True    
    DANIELS-SERVER\DANIEL... DANIEL\Exchange Ser... False True    
    DANIELS-SERVER\DANIEL... DANIEL\Exchange Ser... False True    
    DANIELS-SERVER\DANIEL... DANIEL\Exchange Ser... False True    
    DANIELS-SERVER\DANIEL... DANIEL\Exchange Ser... False True    
    DANIELS-SERVER\DANIEL... DANIEL\Exchange Ser... False True    
    DANIELS-SERVER\DANIEL... DANIEL\Exchange Ser... False True    
    DANIELS-SERVER\DANIEL... DANIEL\Exchange Ser... False True    
    DANIELS-SERVER\DANIEL... DANIEL\Exchange Ser... False True    
    DANIELS-SERVER\DANIEL... DANIEL\Exchange Ser... False True    
    DANIELS-SERVER\DANIEL... DANIEL\Exchange Ser... False True    
    DANIELS-SERVER\DANIEL... DANIEL\Exchange Ser... False True    
    DANIELS-SERVER\DANIEL... DANIEL\Exchange Ser... False True    
    DANIELS-SERVER\DANIEL... DANIEL\Exchange Ser... False True    
    DANIELS-SERVER\DANIEL... DANIEL\Exchange Ser... False True    
    DANIELS-SERVER\DANIEL... DANIEL\Exchange Ser... False True    
    DANIELS-SERVER\DANIEL... DANIEL\Exchange Ser... False True    
    DANIELS-SERVER\DANIEL... DANIEL\Exchange Ser... False True    
    DANIELS-SERVER\DANIEL... DANIEL\Exchange Ser... False True    
    DANIELS-SERVER\DANIEL... DANIEL\Exchange Ser... False True    
    DANIELS-SERVER\DANIEL... DANIEL\Exchange Ser... False True    
    DANIELS-SERVER\DANIEL... DANIEL\Exchange Ser... False True    
    DANIELS-SERVER\DANIEL... DANIEL\Exchange Ser... False True    
    DANIELS-SERVER\DANIEL... DANIEL\Exchange Ser... False True    
    DANIELS-SERVER\DANIEL... DANIEL\Exchange Ser... False True    
    DANIELS-SERVER\DANIEL... Jeder                False True    
    DANIELS-SERVER\DANIEL... NT-AUTORITÄT\ANON... False True    
    DANIELS-SERVER\DANIEL... Jeder                False True    
    DANIELS-SERVER\DANIEL... NT-AUTORITÄT\ANON... False True    
    DANIELS-SERVER\DANIEL... Jeder                False True    
    DANIELS-SERVER\DANIEL... NT-AUTORITÄT\ANON... False True    
    DANIELS-SERVER\DANIEL... Jeder                False True    
    DANIELS-SERVER\DANIEL... NT-AUTORITÄT\ANON... False True    
    DANIELS-SERVER\DANIEL... DANIEL\Exchange Ser... False True    
    DANIELS-SERVER\DANIEL... DANIEL\Organization... False True    
    DANIELS-SERVER\DANIEL... DANIEL\Public Folde... False True    
    DANIELS-SERVER\DANIEL... NT-AUTORITÄT\SYSTEM  False True    
    DANIELS-SERVER\DANIEL... DANIEL\Exchange Ser... False True    
    DANIELS-SERVER\DANIEL... DANIEL\Organization... False True    
    DANIELS-SERVER\DANIEL... DANIEL\Exchange Tru... False True    
    DANIELS-SERVER\DANIEL... DANIEL\DANIELBraun       False True    
    DANIELS-SERVER\DANIEL... DANIEL\Organisation... False True    
    DANIELS-SERVER\DANIEL... DANIEL\Domänen-Admins  False True    

    Dienstag, 14. Dezember 2010 23:29
  • Hi O. Braun,

    finde es komisch, dass es beim Admin nicht laufen sollte, wenn dieser
    authentifiziert ist. Du kannst mal "get-ReceiveConnector xyz|
    Get-ADPermission" posten. "ms-Exch-SMTP-Submit" müsste dort für die auth. User
    stehen.

    Identity             User                 Deny  Inherited
    --------             ----                 ----  --------- DANIELS-SERVER\DANIEL... NT-AUTORITÄT\ANON... False False   

    OK, du hast wahrscheinlich schon gesehen, dass man da nichts
    rausbekommt...also nochmal

    Get-ReceiveConnector|Get-ADPermission|ft -autosize user, deny, extendedrights

    Hast du schon auf extern gesichert gestellt und getestet?

    Viele Grüße
    Christian

    Mittwoch, 15. Dezember 2010 07:59
    Moderator
  • "Extern gesichert und getestet" - ich habe mich doch entschieden, den Konnektor nur für atuthentifizierte Sender zu erlauben; anonyme Sender sind hier nicht nötig.

    Deshalb bleibt als Problem nur, dass Benutzer zwar senden dürfen, der Admin aber nicht. Oder verstehe ich Dich falsch?

    Hier die Liste in der Langform; wie man die erzeugt, wusste ich nicht:


    User                  Deny ExtendedRights                   
    ----                  ---- --------------                   
    NT-AUTORITÄT\ANONYMOUS-ANMELDUNG    False {ms-Exch-SMTP-Accept-Any-Sender}          
    NT-AUTORITÄT\ANONYMOUS-ANMELDUNG    False {ms-Exch-SMTP-Accept-Any-Recipient}         
    NT-AUTORITÄT\ANONYMOUS-ANMELDUNG    False {ms-Exch-SMTP-Accept-Authoritative-Domain-Sender}  
    NT-AUTORITÄT\ANONYMOUS-ANMELDUNG    False {ms-Exch-Accept-Headers-Routing}          
    NT-AUTORITÄT\ANONYMOUS-ANMELDUNG    False {ms-Exch-SMTP-Submit}                
    NT-AUTORITÄT\Authentifizierte Benutzer False {ms-Exch-Bypass-Anti-Spam}             
    NT-AUTORITÄT\Authentifizierte Benutzer False {ms-Exch-Accept-Headers-Routing}          
    NT-AUTORITÄT\Authentifizierte Benutzer False {ms-Exch-SMTP-Submit}                
    NT-AUTORITÄT\Authentifizierte Benutzer False {ms-Exch-SMTP-Accept-Any-Recipient}         
    DANIEL\Delegated Setup          True {Send-As}                      
    DANIEL\Delegated Setup          True {Receive-As}                    
    DANIEL\Delegated Setup          True                           
    DANIEL\Exchange Servers         False {ms-Exch-Store-Constrained-Delegation}       
    DANIEL\Exchange Servers         False {ms-Exch-Store-Transport-Access}          
    DANIEL\Exchange Servers         False {ms-Exch-Store-Read-Access}             
    DANIEL\Exchange Servers         False {ms-Exch-Store-Read-Write-Access}          
    NT-AUTORITÄT\NETZWERKDIENST      False {ms-Exch-EPI-Token-Serialization}          
    DANIEL\DANIELS-SERVER$           False                           
    DANIEL\Delegated Setup          False                           
    NT-AUTORITÄT\SYSTEM          False                           
    NT-AUTORITÄT\NETZWERKDIENST      False                           
    DANIEL\Exchange Servers         True {Receive-As}                    
    DANIEL\Organization Management      False {ms-Exch-Recipient-Update-Access}          
    DANIEL\Public Folder Management     False {ms-Exch-Recipient-Update-Access}          
    NT-AUTORITÄT\SYSTEM          False {ms-Exch-Recipient-Update-Access}          
    DANIEL\Domänen-Admins          True {Send-As}                      
    DANIEL\Organisations-Admins       True {Send-As}                      
    DANIEL\Organization Management      True {Send-As}                      
    DANIEL\DANIELLICHT             True {Send-As}                      
    DANIEL\Domänen-Admins          True {Receive-As}                    
    DANIEL\Organisations-Admins       True {Receive-As}                    
    DANIEL\Organization Management      True {Receive-As}                    
    DANIEL\DANIELLICHT             True {Receive-As}                    
    DANIEL\Domänen-Admins          True {ms-Exch-EPI-Impersonation}             
    DANIEL\Schema-Admins           True {ms-Exch-EPI-Impersonation}             
    DANIEL\Organisations-Admins       True {ms-Exch-EPI-Impersonation}             
    DANIEL\Organization Management      True {ms-Exch-EPI-Impersonation}             
    DANIEL\Domänen-Admins          True {ms-Exch-EPI-Token-Serialization}          
    DANIEL\Schema-Admins           True {ms-Exch-EPI-Token-Serialization}          
    DANIEL\Organisations-Admins       True {ms-Exch-EPI-Token-Serialization}          
    DANIEL\Organization Management      True {ms-Exch-EPI-Token-Serialization}          
    DANIEL\Domänen-Admins          True {ms-Exch-Store-Constrained-Delegation}       
    DANIEL\Organisations-Admins       True {ms-Exch-Store-Constrained-Delegation}       
    DANIEL\Domänen-Admins          True {ms-Exch-Store-Transport-Access}          
    DANIEL\Organisations-Admins       True {ms-Exch-Store-Transport-Access}          
    DANIEL\Domänen-Admins          True {ms-Exch-Store-Read-Access}             
    DANIEL\Organisations-Admins       True {ms-Exch-Store-Read-Access}             
    DANIEL\Domänen-Admins          True {ms-Exch-Store-Read-Write-Access}          
    DANIEL\Organisations-Admins       True {ms-Exch-Store-Read-Write-Access}          
    NT-AUTORITÄT\Authentifizierte Benutzer True                           
    DANIEL\Organization Management      False {ms-Exch-Create-Top-Level-Public-Folder}      
    DANIEL\Public Folder Management     False {ms-Exch-Create-Top-Level-Public-Folder}      
    DANIEL\Organization Management      False {ms-Exch-Store-Visible}               
    DANIEL\Public Folder Management     False {ms-Exch-Store-Visible}               
    DANIEL\Organization Management      False {ms-Exch-Store-Admin}                
    DANIEL\Public Folder Management     False {ms-Exch-Store-Admin}                
    DANIEL\Organization Management      False {ms-Exch-Store-Create-Named-Properties}       
    DANIEL\Public Folder Management     False {ms-Exch-Store-Create-Named-Properties}       
    DANIEL\Organization Management      False {ms-Exch-Modify-PF-ACL}               
    DANIEL\Public Folder Management     False {ms-Exch-Modify-PF-ACL}               
    DANIEL\Organization Management      False {ms-Exch-Mail-Enabled-Public-Folder}        
    DANIEL\Public Folder Management     False {ms-Exch-Mail-Enabled-Public-Folder}        
    DANIEL\Organization Management      False {ms-Exch-Modify-Public-Folder-Quotas}        
    DANIEL\Public Folder Management     False {ms-Exch-Modify-Public-Folder-Quotas}        
    DANIEL\Organization Management      False {ms-Exch-Modify-PF-Admin-ACL}            
    DANIEL\Public Folder Management     False {ms-Exch-Modify-PF-Admin-ACL}            
    DANIEL\Organization Management      False {ms-Exch-Modify-Public-Folder-Expiry}        
    DANIEL\Public Folder Management     False {ms-Exch-Modify-Public-Folder-Expiry}        
    DANIEL\Organization Management      False {ms-Exch-Modify-Public-Folder-Replica-List}     
    DANIEL\Public Folder Management     False {ms-Exch-Modify-Public-Folder-Replica-List}     
    DANIEL\Organization Management      False {ms-Exch-Modify-Public-Folder-Deleted-Item-Retention}
    DANIEL\Public Folder Management     False {ms-Exch-Modify-Public-Folder-Deleted-Item-Retention}
    DANIEL\Organization Management      False {ms-Exch-Create-Public-Folder}           
    DANIEL\Public Folder Management     False {ms-Exch-Create-Public-Folder}           
    DANIEL\Exchange Servers         False                           
    DANIEL\Exchange Servers         False                           
    DANIEL\Exchange Servers         False                           
    DANIEL\Exchange Servers         False                           
    DANIEL\Exchange Servers         False                           
    DANIEL\Exchange Servers         False                           
    DANIEL\Exchange Servers         False                           
    DANIEL\Exchange Servers         False                           
    DANIEL\Exchange Servers         False                           
    DANIEL\Exchange Servers         False                           
    DANIEL\Exchange Servers         False                           
    DANIEL\Exchange Servers         False                           
    DANIEL\Exchange Servers         False                           
    DANIEL\Exchange Servers         False                           
    DANIEL\Exchange Servers         False                           
    DANIEL\Exchange Servers         False                           
    DANIEL\Exchange Servers         False                           
    DANIEL\Exchange Servers         False                           
    DANIEL\Exchange Servers         False                           
    DANIEL\Exchange Servers         False                           
    DANIEL\Exchange Servers         False                           
    DANIEL\Exchange Servers         False                           
    DANIEL\Exchange Servers         False                           
    DANIEL\Exchange Servers         False                           
    Jeder                 False {ms-Exch-Store-Create-Named-Properties}       
    NT-AUTORITÄT\ANONYMOUS-ANMELDUNG    False {ms-Exch-Store-Create-Named-Properties}       
    Jeder                 False {ms-Exch-Create-Public-Folder}           
    NT-AUTORITÄT\ANONYMOUS-ANMELDUNG    False {ms-Exch-Create-Public-Folder}           
    Jeder                 False                           
    NT-AUTORITÄT\ANONYMOUS-ANMELDUNG    False                           
    Jeder                 False                           
    NT-AUTORITÄT\ANONYMOUS-ANMELDUNG    False                           
    DANIEL\Exchange Servers         False                           
    DANIEL\Organization Management      False                           
    DANIEL\Public Folder Management     False                           
    NT-AUTORITÄT\SYSTEM          False                           
    DANIEL\Exchange Servers         False                           
    DANIEL\Organization Management      False                           
    DANIEL\Exchange Trusted Subsystem    False                           
    DANIEL\DANIELLICHT             False                           
    DANIEL\Organisations-Admins       False                           
    DANIEL\Domänen-Admins          False     
    
                                           


    Mittwoch, 15. Dezember 2010 15:54
  • Hi Oliver,

    Deshalb bleibt als Problem nur, dass Benutzer zwar senden dürfen, der Admin aber nicht. Oder verstehe ich Dich falsch?

    Hier die Liste in der Langform; wie man die erzeugt, wusste ich nicht:

    DANIEL\Domänen-Admins          True {ms-Exch-Store-Transport-Access}       

    DANIEL\Organisations-Admins       True {ms-Exch-Store-Transport-Access}    

    Hier habt ihr auf höherer Ebene euren Admins einiges genommen und das Deny
    schlägt sich jetzt wohl auf den Admin durch. Ich würde mich jetzt nicht auf
    die Suche machen, von wo das Deny stammt und empfehle dir ein dediziertes
    Mailkonto, was du für den Versand nutzt und dessen Kennwort nie abläuft...

    Viele Grüße
    Christian

    Freitag, 17. Dezember 2010 08:42
    Moderator
  • Hallo Christian,

    ok, ich nehme einfach ein Benutzerkonto. Problem umgangen.

    Aber:

    Da ist nichts von mir "genommen" worden, und sonst gibt es keinen Admin. Server 2008 R2, Exchange 2010, SQL 2008 R2, Kleinzeug wie Symantec Backup Exec und NoSpamProxy. Ich habe an den Rechten des Admins und der Gruppen nichts manuell geändert und glaube, das ist von Haus aus so gesetzt.

    Viele Grüße,
    Oliver

    Freitag, 17. Dezember 2010 18:28
  • Hi Oliver,

    der Dienste-Account ist auf jeden Fall der saubere Weg, als einen Admin-Account zur Emailübermittlung zu nutzen.

    Übrigends habe ich die gleichen Denys - den Connector habe ich aber nicht weiter getestet. IMHO sollte das auch klappen und du müsstest mal das Kennwort prüfen und das SMTP-Logging erhöhen, falls es dich noch interessiert! ;)

    Viele Grüße und einen schönen 4. Advent!

    Christian

    Sonntag, 19. Dezember 2010 14:45
    Moderator