none
Настройка TLS receiveconnector Edge 2013 RRS feed

  • Общие обсуждения

  • Добрый день.

    Подскажите в таком вопросе.

    Имеется следующая архитектура два сервера с ролями CAS+MBX EX2013 На WindowsSRV2012R2.

    еще два сервера Edge один 2010 другой 2013. (2010 еще не выведен из работы)

    Была поставлена задача настройки шифрованного (TLS) обмена почтой с дружественной организацией.

    Был создан сертификат подписанный доменным центром сертификации.

    Был создан коннектор с указанием это сертификата и требованием TLS на Edge2013

    вот параметры 

    AuthMechanism                           : Tls
    Banner                                  :
    BinaryMimeEnabled                       : True
    Bindings                                : {0.0.0.0:25}
    ChunkingEnabled                         : True
    DefaultDomain                           :
    DeliveryStatusNotificationEnabled       : True
    EightBitMimeEnabled                     : True
    SmtpUtf8Enabled                         : False
    BareLinefeedRejectionEnabled            : False
    DomainSecureEnabled                     : False
    EnhancedStatusCodesEnabled              : True
    LongAddressesEnabled                    : False
    OrarEnabled                             : False
    SuppressXAnonymousTls                   : False
    ProxyEnabled                            : False
    AdvertiseClientSettings                 : False
    Fqdn                                    : ms.mydomain.ru
    ServiceDiscoveryFqdn                    :
    TlsCertificateName                      : <I>CN=Mydomain CA, DC=mydomain, DC=ru<S>CN=ms.mydomain.ru
    Comment                                 :
    Enabled                                 : True
    ConnectionTimeout                       : 00:05:00
    ConnectionInactivityTimeout             : 00:01:00
    MessageRateLimit                        : 600
    MessageRateSource                       : IPAddress
    MaxInboundConnection                    : 5000
    MaxInboundConnectionPerSource           : 20
    MaxInboundConnectionPercentagePerSource : 2
    MaxHeaderSize                           : 128 KB (131,072 bytes)
    MaxHopCount                             : 60
    MaxLocalHopCount                        : 12
    MaxLogonFailures                        : 3
    MaxMessageSize                          : 100 MB (104,857,600 bytes)
    MaxProtocolErrors                       : 5
    MaxRecipientsPerMessage                 : 200
    PermissionGroups                        : None
    PipeliningEnabled                       : True
    ProtocolLoggingLevel                    : None
    RemoteIPRanges                          : {10.0.0.1, 10.0.0.2, 10.0.0.3}
    RequireEHLODomain                       : False
    RequireTLS                              : True
    EnableAuthGSSAPI                        : False
    ExtendedProtectionPolicy                : None
    LiveCredentialEnabled                   : False
    TlsDomainCapabilities                   : {}
    Server                                  : EdgeServer
    TransportRole                           : HubTransport
    SizeEnabled                             : Enabled
    TarpitInterval                          : 00:00:05
    MaxAcknowledgementDelay                 : 00:00:30
    AdminDisplayName                        :
    ExchangeVersion                         : 0.1 (8.0.535.0)
    Name                                    : TLS from friendly
    DistinguishedName                       : CN=TLS from friendly,CN=SMTP Receive Connectors,CN=Protocols,CN=Edgeserver                                      ,CN=Servers,CN=Exchange Administrative Group (FYDIBOHF23SPDLT),CN=Administr
                                              ative Groups,CN=First Organization,CN=Microsoft Exchange,CN=Services,CN=Confi
                                              guration,CN={2AD46F3B-0323-4485-929C-7ED26E94CBFF}
    Identity                                : Edgeserver\TLS fromf riendly
    Guid                                    : 5264185b-389c-4731-a9da-baeed807fbc5
    ObjectCategory                          : CN=ms-Exch-Smtp-Receive-Connector,CN=Schema,CN=Configuration,CN={2AD46F3B-032
                                              3-4485-929C-7ED26E94CBFF}
    ObjectClass                             : {top, msExchSmtpReceiveConnector}
    WhenChanged                             : 19.01.2018 14:14:15
    WhenCreated                             : 21.12.2017 17:23:37
    WhenChangedUTC                          : 19.01.2018 11:14:15
    WhenCreatedUTC                          : 21.12.2017 14:23:37
    OrganizationId                          :
    Id                                      : Edgeserver\TLS from friendly
    OriginatingServer                       : localhost
    IsValid                                 : True
    ObjectState                             : Unchanged

    TLS не работает.

    Точнее на запрос через телнет

    ehlo friendlydomain.ru

    выдает поддержку tls

    а если спросить 

    ehlo mail.friendlydomain.ru

    то, не поддерживает TLS

    Помогите разобраться в чем проблема.

    На Edge 2010 все работает с такими-же настройками.



    19 января 2018 г. 11:59

Все ответы

  • Проблема в DomainSecureEnabled                     : False

    Изучите руководство по настройке.

    И неясно, (хотя если Вы говорите что на 2010 работает), то есть как я понимаю в конфиге доверенный домен

    Get-TransportConfig | fl TLSSendDomainSecureList

    21 января 2018 г. 7:18
  • Проблема в DomainSecureEnabled                     : False


    И неясно, (хотя если Вы говорите что на 2010 работает), то есть как я понимаю в конфиге доверенный домен

    Get-TransportConfig | fl TLSSendDomainSecureList

    [PS] C:\Windows\system32>Get-TransportConfig | fl TLSSendDomainSecureList


    TLSSendDomainSecureList : {}

    Прочитал руководство, у нас не используется Mutual TLS, а обычная авторизация TLS.

    22 января 2018 г. 5:58
  • Хорошо бы сходить для начала  и посмотреть на SMTP логи. Там информации получите больше, чем в телнет сессии, котрую Вы пробовали установить.
    22 января 2018 г. 6:32
  • Хорошо бы сходить для начала  и посмотреть на SMTP логи. Там информации получите больше, чем в телнет сессии, котрую Вы пробовали установить.

    В smtp логах по поиску с этого IP-адреса ничего нету.

    И кстати в TLSSendDomainSecureList    : {}, тоже ничего нету, хотя почта отправляется с обоих Edge (2010 и 2013) серверов с шифрованием TLS.

    • Изменено pkatala 22 января 2018 г. 8:58
    22 января 2018 г. 7:31