[Exchange 2013] SMTP Connector - Serversoftware en clouddiensten

donderdag 26 januari 2017 11:48

Acties:

BEATI PAVPERES SPIRITV

Topicstarter

Bijna elke thread die ik open gaat over Exchange... de tol van al doende een product te leren.

Om een device gebruikt te laten maken van de e-mailfunctionaliteit van Exchange moet dat over SMTP gaan. Helaas krijg ik dat niet aan de praat. Nochtans vind ik 100 pagina's over dit thema en overal staat hetzelfde: TLS uit voor basic authentication en anonymous aan.

In meer detail:

code:

V Transport Layer Security (TLS)
    X Enable domain security (mutual Auth TLS)
V Basic authentication
    X Offer basic authentication only after starting TLS
V Integrated Windows authentication
V Exchange Server authentication
X Externally secured (for example, with IPsec)

Permission groups:

V Exchange Servers
V Legacy Exchange Servers
X Partners
V Exchange users
V Anonymous users

(Dit is de Default HubTransportRole)

Wat zie ik over het hoofd? Ongeacht de instellingen krijg ik telkens opnieuw:

code:

Connecting to mail server.
Connected.
220 mail.tweakers.net Microsoft ESMTP MAIL Service ready at Thu, 26 Jan 2017 11:27:43 +0100
EHLO TWEAKMAIL
250-mail.tweakers.net Hello [10.0.0.10]
250-SIZE
250-PIPELINING
250-DSN
250-ENHANCEDSTATUSCODES
250-STARTTLS
250-X-ANONYMOUSTLS
250-AUTH NTLM
250-X-EXPS GSSAPI NTLM
250-8BITMIME
250-BINARYMIME
250-CHUNKING
250-XEXCH50
250-XRDST
250 XSHADOWREQUEST
AUTH LOGIN
504 5.7.4 Unrecognized authentication type
Forcing disconnection from SMTP server.
QUIT
221 2.0.0 Service closing transmission channel
Disconnected.

Ik moet toegeven dat die connectors mij verwarren. 't Helpt vast niet dat ik 6 servers heb (3x 2010, 3x 2013) met verschillende, historische connectors.

Alvast bedankt.

Edit:
Ik verbind mij met Telnet en kijk:

code:

1	250-AUTH NTLM LOGIN

Kan dat zijn dat daar vertraging op zit om een of andere reden? De authenticatie werkt plots zonder dat ik nog iets veranderd heb. Ik loop nu tegen nog iets anders ("550 5.7.1 Client does not have permissions to send as this sender") maar dat kan ik nu uitzoeken.

Op zich ben ik blij dat de AUTH nu lukt, maar ik weet graag waarom.

[ Voor 10% gewijzigd door YellowOnline op 26-01-2017 13:22 ]

donderdag 26 januari 2017 14:43

Acties:

Dennism

Ik doe altijd het volgende:

1. Nieuwe Recieve connector aanmaken (Hub Transport - Custom selecteren) - Naam geven, bijv "Internal Relay" of "MFP Relay" als deze bijv alleen voor printers is.
2. Binding kan standaard blijven tenzij je speciale vereisten hebt.
3. 0.0.0.0 - 255.255.255.255 verwijderen bij de ipadressen / ranges die mogen versturen via deze connector en de juiste ip adressen / ranges aangeven van de apparaten die mogen versturen via deze connector
4. Authenticatie: TLS en Anonymous en External Secured aangevinkt of TLS en Anonymous en dan na het aanmaken het volgende Powershell commando uitvoeren: Get-ReceiveConnector “Receive Connector Name” | Add-ADPermission -User “NT AUTHORITY\ANONYMOUS LOGON” -ExtendedRights “Ms-Exch-SMTP-Accept-Any-Recipient”

Mogelijk dat een expert als Jazzy een nog betere methode heeft, maar is degene die ik gebruik

donderdag 26 januari 2017 14:51

Acties:

Glashelder

Anti Android

Ik gebruik ook de methode van Dennism maar dit kan gewoon via de ECP. Je moet er alleen even op letten dat je een Frontend-transport connector aan maakt. En inderdaad even 'anonieme gebruikers' aanvinken.

PV 4915wp op oost, 2680 wp op west, 1900 wp op zuid. pvoutput - AUX 8 kW bi bloc

donderdag 26 januari 2017 15:11

Acties:

Dennism

Glashelder schreef op donderdag 26 januari 2017 @ 14:51:
Ik gebruik ook de methode van Dennism maar dit kan gewoon via de ECP. Je moet er alleen even op letten dat je een Frontend-transport connector aan maakt. En inderdaad even 'anonieme gebruikers' aanvinken.

Jup, ik doe het in de regel ook via het ECP. Powershell is volgens mij alleen nodig als je niet alle rechten wil toekennen die "External Secured" geeft bij het aanvinken van deze optie bij het selecteren bij Authenticatie. Je kan er dan voor kiezen "External Secured" niet aan te vinken, en via het Powershell commando de permissie die wel nodig is handmatig toe te voegen.

donderdag 26 januari 2017 15:28

Acties:

Killah_Priest

Idem, na een hele hoop geklooi met authenticatie (wat op iedere multifunctional etc weer net even anders gaat) maak ik ook connectors aan welke in feite dus anonymous relay ondersteunen met alleen de betreffende IP adressen in de whitelist (niet extreem secure maar in veel gevallen is het voldoende).
Ik doe het overigens altijd vanuit Powershell, ik kom bijna nooit in de ECP (maar dat is omdat ik vrijwel alles in Powershell doe).

donderdag 26 januari 2017 15:51

Acties:

YellowOnline

BEATI PAVPERES SPIRITV

Topicstarter

Dennism schreef op donderdag 26 januari 2017 @ 14:43:
Ik doe altijd het volgende:

1. Nieuwe Recieve connector aanmaken (Hub Transport - Custom selecteren) - Naam geven, bijv "Internal Relay" of "MFP Relay" als deze bijv alleen voor printers is.
2. Binding kan standaard blijven tenzij je speciale vereisten hebt.
3. 0.0.0.0 - 255.255.255.255 verwijderen bij de ipadressen / ranges die mogen versturen via deze connector en de juiste ip adressen / ranges aangeven van de apparaten die mogen versturen via deze connector
4. Authenticatie: TLS en Anonymous en External Secured aangevinkt of TLS en Anonymous en dan na het aanmaken het volgende Powershell commando uitvoeren: Get-ReceiveConnector “Receive Connector Name” | Add-ADPermission -User “NT AUTHORITY\ANONYMOUS LOGON” -ExtendedRights “Ms-Exch-SMTP-Accept-Any-Recipient”

Mogelijk dat een expert als Jazzy een nog betere methode heeft, maar is degene die ik gebruik

Via ADSI zie ik dat Ms-Exch-SMTP-Accept-Any-Recipient al goed staat out-of-the-box.

Killah_Priest schreef op donderdag 26 januari 2017 @ 15:28:
Idem, na een hele hoop geklooi met authenticatie (wat op iedere multifunctional etc weer net even anders gaat) maak ik ook connectors aan welke in feite dus anonymous relay ondersteunen met alleen de betreffende IP adressen in de whitelist (niet extreem secure maar in veel gevallen is het voldoende).
Ik doe het overigens altijd vanuit Powershell, ik kom bijna nooit in de ECP (maar dat is omdat ik vrijwel alles in Powershell doe).

Het begrip anonymous is wat verwarrend in deze context: uiteindelijk moet een device zich aanmelden met een AD-gebruikersnaam en wachtwoord. Echt anoniem en enkel whitelisten is niet het plan.

[ Voor 103% gewijzigd door YellowOnline op 26-01-2017 16:03 ]

donderdag 26 januari 2017 15:58

Acties:

tiguan

Hier staat anonymous niet aan, maar ik kan prima via SMTP versturen. Ik heb wel Exchange-gebruikers aan staan.

donderdag 26 januari 2017 16:10

Acties:

YellowOnline

BEATI PAVPERES SPIRITV

Topicstarter

Ik ga deze blogpost momenteel eens door: http://geekswithblogs.net...ve/2014/05/03/156170.aspx

Edit: maar dat verandert niets. Ik blijf tegen die 5.7.1 Client does not have permissions to send as this sender lopen

550 5.7.1 Client does not have permission to send as this sender

The sender specified in the MAIL FROM field of the SMTP protocol conversation is an address in an authoritative domain. However, the session doesn't have the ms-Exch-SMTP-Accept-Authoritative-Domain-Sender permission. This might occur if a message was submitted from the Internet to an Edge Transport server from a sender address for which the Exchange organization is authoritative.

[ Voor 86% gewijzigd door YellowOnline op 26-01-2017 16:38 ]

maandag 30 januari 2017 10:49

Acties:

YellowOnline

BEATI PAVPERES SPIRITV

Topicstarter

Schop.

Ja, ik loop nog altijd tegen die 5.7.1

Edit: Krijg nou wat. Blijkbaar is mijn connector wel in orde maar ligt het aan mijn test-account die geen Send-As rechten heeft op zichzelf

PowerShell:

1	Get-Mailbox $HetEmailAdres \| Add-ADPermission -User 'NT AUTHORITY\Self' -ExtendedRights "Send As"

[ Voor 72% gewijzigd door YellowOnline op 30-01-2017 13:23 ]