Exchange secure TLS connection could not be established

Hi,

unser SCOM meldete ein Problem auf unserem Exchange Server, ein Send-Connector hatte Problem beim Empfang von Emails mit der TLS Verbindung. Der Exchange Server (2010 SP3 UR1) hatte dann auch diverse Eventlog Einträge:

A secure connection to domain-secured domain ‚kundendomain.de‘ on connector ‚Internet Mail SMTP (EX2010-1)‘ could not be established because the validation of the Transport Layer Security (TLS) certificate for kundendomain.de failed with status ‚UntrustedRoot. Contact the administrator of kundedomain.de to resolve the problem, or remove the domain from the domain-secured list.

Der Fehler lies sich auf im SMTP-Recieve Log genauer nachvollziehen:

2013-07-02T00:00:13.216Z,ex2010-1\SMTP,08D03639B8BBE13F,15,10.1.2.3:25,123.456.789.10:13322,>,220 2.0.0 SMTP server ready,
2013-07-02T00:00:13.216Z,ex2010-1\SMTP,08D03639B8BBE13F,16,10.1.2.3:25,123.456.789.10:13322,*,,Sending certificate
2013-07-02T00:00:13.216Z,ex2010-1\SMTP,08D03639B8BBE13F,17,10.1.2.3:25,123.456.789.10:13322,*,“CN=mail.WIRdomain.de, OU=IT, O=WIR GmbH, L=Stadt, S=““““, C=DE, SERIALNUMBER=9jdU6QQyv3BEg/AadaIO/pbD2ZT4gtdw“,Certificate subject
2013-07-02T00:00:13.216Z,ex2010-1\SMTP,08D03639B8BBE13F,18,10.1.2.3:25,123.456.789.10:13322,*,“CN=GeoTrust SSL CA, O=““GeoTrust, Inc.““, C=US“,Certificate issuer name
2013-07-02T00:00:13.216Z,ex2010-1\SMTP,08D03639B8BBE13F,19,10.1.2.3:25,123.456.789.10:13322,*,01332C,Certificate serial number
2013-07-02T00:00:13.216Z,ex2010-1\SMTP,08D03639B8BBE13F,20,10.1.2.3:25,123.456.789.10:13322,*,306306CD1B566DF1663165FCE9C3897B9BCEB89D7AA,Certificate thumbprint
2013-07-02T00:00:13.216Z,ex2010-1\SMTP,08D03639B8BBE13F,21,10.1.2.3:25,123.456.789.10:13322,*,mail.WIRdomain.de;autodiscover.WIRdomain.de;smtp.WIRdomain.de,Certificate alternate names
2013-07-02T00:00:13.310Z,ex2010-1\SMTP,08D03639B8BBE13F,22,10.1.2.3:25,123.456.789.10:13322,*,,Received certificate
2013-07-02T00:00:13.310Z,ex2010-1\SMTP,08D03639B8BBE13F,23,10.1.2.3:25,123.456.789.10:13322,*,C025E0C35B3B93DEE21CC2E9477AF4E56047BD0C,Certificate thumbprint
2013-07-02T00:00:13.310Z,ex2010-1\SMTP,08D03639B8BBE13F,24,10.1.2.3:25,123.456.789.10:13322,*,SMTPSubmit SMTPAcceptAnySender SMTPAcceptAuthoritativeDomainSender AcceptRoutingHeaders,Set Session Permissions
2013-07-02T00:00:13.326Z,ex2010-1\SMTP,08D03639B8BBE13F,25,10.1.2.3:25,123.456.789.10:13322,<,EHLO smtp.kundendomain.de,
2013-07-02T00:00:13.326Z,ex2010-1\SMTP,08D03639B8BBE13F,26,10.1.2.3:25,123.456.789.10:13322,*,,TlsDomainCapabilities=’None‘; Status=’Success‘; Domain=“
2013-07-02T00:00:13.326Z,ex2010-1\SMTP,08D03639B8BBE13F,27,10.1.2.3:25,123.456.789.10:13322,>,250-smtp.WIRdomain.de Hello [123.456.789.10],
2013-07-02T00:00:13.326Z,ex2010-1\SMTP,08D03639B8BBE13F,28,10.1.2.3:25,123.456.789.10:13322,>,250-SIZE 51445760,
2013-07-02T00:00:13.326Z,ex2010-1\SMTP,08D03639B8BBE13F,29,10.1.2.3:25,123.456.789.10:13322,>,250-PIPELINING,
2013-07-02T00:00:13.326Z,ex2010-1\SMTP,08D03639B8BBE13F,30,10.1.2.3:25,123.456.789.10:13322,>,250-DSN,
2013-07-02T00:00:13.326Z,ex2010-1\SMTP,08D03639B8BBE13F,31,10.1.2.3:25,123.456.789.10:13322,>,250-ENHANCEDSTATUSCODES,
2013-07-02T00:00:13.326Z,ex2010-1\SMTP,08D03639B8BBE13F,32,10.1.2.3:25,123.456.789.10:13322,>,250-AUTH,
2013-07-02T00:00:13.326Z,ex2010-1\SMTP,08D03639B8BBE13F,33,10.1.2.3:25,123.456.789.10:13322,>,250-8BITMIME,
2013-07-02T00:00:13.326Z,ex2010-1\SMTP,08D03639B8BBE13F,34,10.1.2.3:25,123.456.789.10:13322,>,250-BINARYMIME,
2013-07-02T00:00:13.326Z,ex2010-1\SMTP,08D03639B8BBE13F,35,10.1.2.3:25,123.456.789.10:13322,>,250 CHUNKING,
2013-07-02T00:00:13.357Z,ex2010-1\SMTP,08D03639B8BBE13F,36,10.1.2.3:25,123.456.789.10:13322,<,MAIL FROM:<vorname.nachname@kundendomain.de> SIZE=16517,
2013-07-02T00:00:13.357Z,ex2010-1\SMTP,08D03639B8BBE13F,37,10.1.2.3:25,123.456.789.10:13322,*,,Client certificate chain validation status: ‚UntrustedRoot‘
2013-07-02T00:00:13.357Z,ex2010-1\SMTP,08D03639B8BBE13F,38,10.1.2.3:25,123.456.789.10:13322,*,Tarpit for ‚0.00:00:05‘,
2013-07-02T00:00:18.371Z,ex2010-1\SMTP,08D03639B8BBE13F,39,10.1.2.3:25,123.456.789.10:13322,>,454 4.7.5 Certificate validation failure,
2013-07-02T00:00:18.371Z,ex2010-1\SMTP,08D03639B8BBE13F,40,10.1.2.3:25,123.456.789.10:13322,<,RCPT TO:<vnachname@WIRdomain.de>,
2013-07-02T00:00:18.371Z,ex2010-1\SMTP,08D03639B8BBE13F,41,10.1.2.3:25,123.456.789.10:13322,*,Tarpit for ‚0.00:00:05‘,
2013-07-02T00:00:23.385Z,ex2010-1\SMTP,08D03639B8BBE13F,42,10.1.2.3:25,123.456.789.10:13322,>,503 5.5.2 Need mail command,
2013-07-02T00:00:23.385Z,ex2010-1\SMTP,08D03639B8BBE13F,43,10.1.2.3:25,123.456.789.10:13322,<,QUIT,
2013-07-02T00:00:23.385Z,ex2010-1\SMTP,08D03639B8BBE13F,44,10.1.2.3:25,123.456.789.10:13322,>,221 2.0.0 Service closing transmission channel,

Das Problem war, dass der Kunde sein Internes SAN-Zertifikat zusätzlich auch am SMTP Service zugewiesen hatte. Dadurch wurde dieses interne Zertifikat von seiner internen ROOT CA als Authentifizierung, per TLS gegenüber unserem Exchange benutzt.

exchange-certs
exchange-certs

LÖSUNG: Da wir aber dem internen ROOT CA Cert seiner CA nicht vertrauen funktionierte der Mailversand bei Ihm und Empfang über unseren Recieve-Connector nicht mehr. Da aber ein öffentliches SAN-Zertifikat vorhanden ist und auch an dem SMTP-Service hängt wurde das interne SAN-Zertifikat vom SMTP-Service entfernt.

Somit funktionierte auch der E-Mail Versand zwischen dem Kunden und uns wieder mit TLS Verschlüsselung zwischen den Exchange Servern.

Na dann, Viel Spass beim selber Testen!
CU

Advertisements

Outlook Social Connector – XING

Hi,

wir verteilen bei uns gerade die neue Version vom Outlook Social Connector  und dem XING Connector. Bei dem Xing-Connector gabe es jedoch ein Problem.
Ist der Rechner im internen Netzwerk, kann keine Verbindung mit dem Xing-Server hergestellt werden:

outlook-social-xing-connector
outlook-social-xing-connector

Da wir als Proxy TMG einsetzen, sind die Aufrufe nicht authentifiziert:

tmg-xing-blocked

tmg-xing-blocked

LÖSUNG:

Eine Ausnahme Regel für die IP 2.18.249.135 (Akmai Server) erstellen.

tmg-rule-wihout-proxy
tmg-rule-wihout-proxy
tmg-akmai-server
tmg-akmai-server

Dann funktioniert auch der Zugriff auf die XING Konatke:

tmg-xing-allowed
tmg-xing-allowed

Na dann, Viel Spass beim selber Testen!
CU

Office Outlook Connector Beta für Windows Live Hotmail

Hi,
 
es gibt jetzt einen Office Outlook Connector (Beta Status), mit dem können Mailkonten aus Windows Live Hotmail und Office Live Mail mit Outlook 2002, 2003 oder Outlook 2007 verwaltet werden. E-Mail-Nachrichten und Kontakte sind in der kostenlosen Version inbegriffen, mit einer gebührenpflichtigen Registrierung können auch Aufgaben, Notizen und der Kalender verwaltet werden.
Im Detail verfügt die kostenlose Variante über folgende Funktionen:
– Lesen und Senden von Windows Live Hotmail und Office Live Mail E-Mails
– Verwaltung der Live Mail Kontakte
– Junk-E-Mail Blockierung
– Verwaltung mehrere E-Mail-Konten
Mit der kostenpflichtigen Variante erhält man folgende Erweiterungen:
– Verwaltung, Sharing und Synchronisierung von Windows Live Kalender in Outlook
– Zugriff auf Aufgaben und Notizen
 
Download und weitere Informationen:
 
 
Na dann, viel Spaß beim selber Testen!
CU