none
5.7.1 (no permission to send as this sender) Fehler bei TLS Verbindung RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    ich habe eine funktionierende TSL Kommunikation zwischen 2 Exchangeservern (2007 und 2010) in unterschiedlichen Domänen und Standorten. User aus dem Standort A können Mails an Standort B und umgekehrt schicken. Die Mails werden im Outlook auch mit dem grünen Häkchen angezeigt ... soweit alles in Ordnung. Nun gibt es aber folgendes Problem:

    Im Standort A gibt es eine interne Verteilergruppe in dem ein Kontakt mit Externer Adresse des Standort B existiert. Beispiel:

    Verteiler: alleuser@standort-a.local/de -> darin enthalten ein Kontakt mit der externen Mail-Adresse (intern natürlich auch) user1@standort-b.de.

    Das Problem ist das genau diese Mails nicht am Standort B ankommen. Als Fehlermeldung bekomme ich:

    5.7.1 Client does not have permissons to send as this sender

    Als Absenderadresse wird die Verteilergruppe des Standort A angezeigt (alleuser@standort-a.de). Die Domäne des Standort A ist nicht in den Akzeptierten Domänen des Standort B enthalten.

    Normal müsste die Mails doch ankommen oder habe ich einen Denkfehler?

    Für Hilfe oder Ideen bin ich euch Dankbar!

    Mit freundlichen Grüßen

    Michael Scherr

    Dienstag, 27. Januar 2015 15:24
    |

Antworten

  • Question
    Anmelden
    1
    Anmelden

    Hallo,

    habe soeben das Problem lösen können. Meiner Vermutung das bei einer TLS Verbindung diese Einschränkung besteht war richtig. Deine Idee das "Accept-Any-Sender" zu vergeben natürlich auch.

    Ich muss bei dem Connector per ADSIEDIT der SID (S-1-9-1419165041-1139599005-3936102811-1022490595-10 ... diese war auch schon im Connector enthalten) das besagte Recht geben. Diese SID gehört laut TechNet (https://technet.microsoft.com/en-us/library/aa997170(EXCHG.140).aspx) zu den Partner Servern, wozu TLS Authentifizierte Server ja gehören.

    Dann ging es sofort!

    Danke nochmal für die Tips!

    Mfg

    Micha



    Donnerstag, 29. Januar 2015 08:48
    |

Alle Antworten

  • Question
    Anmelden
    1
    Anmelden

    Moin,

    von welchem Exchange Server kommt der NDR?

    Gruesse aus Berlin schickt Robert - MVP Exchange Server

    Dienstag, 27. Januar 2015 16:59
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    ich würde sagen der am Standort B (Exchange 2010) generiert die Meldung. Es wird im SMTP Sendeprotokoll vom Standort A zu mindestens dieser Fehler angezeigt. Oder bedeutet dies nicht zwangläufig das die Meldung vom Standort B kommt?

    Eine direkte Fehlermail bekomme ich leider auch nicht. Wenn ich von einem Outlook Client am Standort A die Mail an den Verteiler schicke funktioniert es. Schickt allerdings ein Endgerät (Drucker, Dienst, Server) eine Mail an den Verteiler kommt die besagte Fehlermeldung. Die anderen Empfänger (interne) in dem Verteiler bekommen aber die Mail.

    Mit freundlichen Grüßen

    Michael Scherr

    Dienstag, 27. Januar 2015 17:04
    |
  • Question
    Anmelden
    1
    Anmelden

    Verstehe ich das richtig, dass von Outlook gesendet, alles klappt, aber via SMTP gibt es Probleme?

    Die Fehlermeldung kommt daher eventuell gar nicht aus Dom B, sondern wird schon beim Einliefern in Dom A erzeugt?

    Dann ist Dein Empfangsconnector eventuell schief.

    Wie sind die Einstellungen des Empfangsconnectors, auf dem so ein Gerät einliefert in Hinblick auf Authentifizierung? Muss sich so ein Gerät authentifizieren?

    Hast Du im Connector ms-Exch-SMTP-Accept-Any-Sender gesetzt?

    Wenn nein, ist der Fall klar: Das Gerät authentifiziert sich entweder gar nicht oder es authentifiziert sich mit einem AD-Benutzer. In beiden Fälle darf das Gerät aber nicht den Absender "umschreiben", sondern muss "seinen" Absender nehmen. Da geht bei einer Gruppe natürlich nicht, da man sich mit einer Gruppe nicht authentifizieren kann.

    Die fehlt also im Empfangsconnector ms-Exch-SMTP-Accept-Any-Sender, siehe auch hier:

    http://geekswithblogs.net/ksellenrode/archive/2014/05/03/156170.aspx


    Gruesse aus Berlin schickt Robert - MVP Exchange Server

    Dienstag, 27. Januar 2015 17:14
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    also der Empfangsconnector in Standort A ist so konfiguriert das er alle Mails an interne User ohne Authentifizierung an nimmt (Anonym ohne Relay). Die gleiche Konfiguration ist am Standort B so.

    Meinst du mit dem Empfangsconnector den am Standort A oder den Am Standort B? Beeinflusst die Konfiguration das Relaying oder hat dies damit nichts zu tun?

    Ich sehe ja das die Mail dem Server am Standort B zugestellt wird, in den Einstellungen des Empfangsconnectors ist "ms-Exch-SMTP-Accept-Any-Sender" für Jeder auch festgelegt.

    Mit freundlichen Grüßen

    Michael Scherr



    Dienstag, 27. Januar 2015 17:18
    |
  • Question
    Anmelden
    1
    Anmelden

    Hallo,

    also ich habe jetzt noch einmal ein wenig getestet. Es scheint wirklich an dem Umschreiben des Absendern durch die Verteilerliste zu liegen. Konfiguriere ich an dem Gerät der er direkt an den Kontakt die Mail schicken soll, kommt diese auch an. Der Unterschied ist auch in der Nachrichtenverfolgung zu sehen ... sobald er an den Verteilerschickt ist der ReturnPath ein anderer als direkt (ist ja logisch). Er versucht also im Namen der Verteilerliste eine Mail zu schicken.

    Unklar ist mir nur jetzt wo ich diese Konfiguration anpassen muss? Ich denke am Standort B ... weil ich ja sehen das die Mail dort schon ankommt und abgewiesen wird. Nur was konfiguriere ich genau und bei welchem Objekt (Jeder, Authentifizierte, etc).

    Mfg

    Micha

    Dienstag, 27. Januar 2015 17:50
    |
  • Question
    Anmelden
    1
    Anmelden

    Moin,

    leider kann ich das im Augenblick nicht sinnvoll testen.

    Der er den Returnpath umschreibt ist ok, denn Antworten sollen ja nicht an das Gerät sondern an den Verteiler gehen. Oder steht das als ReturnPath die Mail-Adresse des Standortes B?

    Unklar ist mir, warum Standort B das ablehnt, dem ist doch egal, welchen Absender aus Standort A das Gerät nimmt.

    Der große Unterschied ist allerdings der Empangsconnector von A! Der wird von Outlook nicht verwendet, aber vom Gerät.

    Du musst also erstmal wirklich genau analysieren, welche Einstellungen auf den Empfangsconnectoren sind und wann in der Kette was passiert. Nachrichtentracking und SMTP-Protokolle beider Ort musst Du also mal in richtige Reihenfolge bringen.

    Ist mir bewusst aber so auch noch nie untergekommen. :(

    Gruesse aus Berlin schickt Robert - MVP Exchange Server

    Mittwoch, 28. Januar 2015 08:18
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    ich konnte jetzt noch ein wenig testen und bin zu folgendem Schluss gekommen. Wenn die die Mail an einen anderen Exchange (ohne TLS Verbindung zu Standort A) schicke kommt sie an. Ich vermute daher eine Problem am Standort B.

    Kann es sein das bei einer TLS Verbindung von Haus aus solche Mails blockiert werden (würde ja irgendwie der TLS Sicherheit wiedersprechen, wenn man davon ausgehen soll das die Mail von der TLS Domäne bekomme als sicher ist und nicht "verfälscht" ist).

    Die Connectoren an dem Standort wo die Mails ankommen sind identisch konfiguriert wie an dem Standort B wo sie nicht ankommen.

    Mit freundlichen Grüßen

    Michael Scherr

    Donnerstag, 29. Januar 2015 08:08
    |
  • Question
    Anmelden
    0
    Anmelden

    Moin,

    bedenke bitte Dein Beobachtung "Outlook geht", "SMTP geht nicht".

    Rein technisch müsste bei B in beiden Fällen die gleiche Mail ankommen. Beim Empfänger sollte es keinen Unterschied geben.

    Für mich ist das technisch daher nicht plausibel, auch nicht bei TLS.

    Daher noch mal: Was steht in den Protokollen! Theoretisch müssten sogar die SMTP-Protokolle reichen, denn der Fehler kommt beim SMTP-Vorgang.

    Gruesse aus Berlin schickt Robert - MVP Exchange Server

    Donnerstag, 29. Januar 2015 08:38
    |
  • Question
    Anmelden
    1
    Anmelden

    Hallo,

    habe soeben das Problem lösen können. Meiner Vermutung das bei einer TLS Verbindung diese Einschränkung besteht war richtig. Deine Idee das "Accept-Any-Sender" zu vergeben natürlich auch.

    Ich muss bei dem Connector per ADSIEDIT der SID (S-1-9-1419165041-1139599005-3936102811-1022490595-10 ... diese war auch schon im Connector enthalten) das besagte Recht geben. Diese SID gehört laut TechNet (https://technet.microsoft.com/en-us/library/aa997170(EXCHG.140).aspx) zu den Partner Servern, wozu TLS Authentifizierte Server ja gehören.

    Dann ging es sofort!

    Danke nochmal für die Tips!

    Mfg

    Micha



    Donnerstag, 29. Januar 2015 08:48
    |
  • Question
    Anmelden
    0
    Anmelden

    Ok, prima und Danke für die Info.

    Gruesse aus Berlin schickt Robert - MVP Exchange Server

    Donnerstag, 29. Januar 2015 11:32
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    ist es denn so das dies bei einer TLS Verbindung (Partner Server) ein beabsichtigtes verhalten ist oder liegt/lag hier eine Fehlkonfiguration vor?

    Mfg Micha

    Donnerstag, 29. Januar 2015 11:33
    |
  • Question
    Anmelden
    0
    Anmelden

    Moin,

    die Berechtigungsgruppe "Partner" muss normalerweise bei Domain Security aktiviert sein, findest Du ja auch in Deinem Link.

    "Accept-Any-Sender" habe ich da aber noch nicht erlebt.

    Allerdings ist Dein Fall schon ein wenig speziell: Per SMTP an einen Verteiler in dem Kontakte eines Domain Security Partners sind, habe ich bewusst noch nie erlebt.

    Gruesse aus Berlin schickt Robert - MVP Exchange Server

    Donnerstag, 29. Januar 2015 11:41
    |