Exchange: TLS Testen

Exchange: TLS Testen

Ein Exchangeserver verwendet wenn möglich TLS (muss auf dem Sende- und Empfangsconnector eingerichtet sein).

Möchte man gerne die Verbindungen kontrollieren, dann kann man OpenSSL installieren und mit dem folgenden Befehl die Verbindung kontrollieren:

openssl s_client -connect remote.leibling.de:25 -starttls smtp

Exchange 2016: Emails gehen nicht raus

Bei einem frisch installierten Exchange Server hatte ich das Problem das Mails nicht raus gingen. Weder direkt per MX noch über Relay.

Der Exchange sollte Mails an ein Mailrelay auf einer internen Sophos übergeben, die Mails gingen weder rein noch raus.

Wurden Mails im OWA versendet, lagen diese in Entwürfe und gaben die Meldung „Es ist ein Fehler aufgetreten“ und im Outlook blieben die Mails einfach im Postausgang liegen.

Testweise habe ich dann mit Telnet eine Mail an den Exchange gesendet um zu schauen ob ich einen Fehler sehe – und siehe da, mir wurde gemeldet: „4.5.1 Temporary Server Error PRX2“.

Bei einer Recherche fand ich dazu 2 Möglichkeiten:

Zum einen sollte in den Servereigenschaften (ECP) der DNS Server überschrieben werden, da es Probleme geben kann wenn ein interner (z.B. DC) und ein externer DNS (z.B. Provider DNS oder Firewall/Router mit Forwarder nach außen) verwendet werden in den Servernetzwerkeinstellungen. Zusätzlich könnte man auch in der Hosts-Datei alle internen Server mit IP, Hostname und FQDN aufnehmen.

Zum anderen kann es zu Problemen kommen wenn mehrere Connectoren den selbern Port verwenden (auch wenn die unterschiedliche Quelladressen verwenden). Da der SMTP und ein Relayserver auf dem selben Port lagen, habe ich kurzerhand den Relay auf die Sophos umverlegt.

Nach einem Serverneustart funktionierte nun wieder alles.

Quellen:

http://www.servolutions.de/support/articles/temporaryservererror2013.htm

https://www.servolutions.de/support/installexchg2013.htm#section3


Zabbix Emailkonfiguration

Als erstes muss auf der VM ein Mailserver eingerichtet werden, damit Zabbix relayen kann (unterstützt keine authentifizierung).

Dazu eignet sich z.B. Postfix, da es auf dem Server installiert – jedoch noch nicht eingerichtet ist.

Postfix einrichten:

  • In der /etc/postfix/main.cf den Eintrag mynetworks = 192.168.x.0/24 eintragen und Postfix starten (postfix start).
  • opslp TOols installieren mit zypper install openslp
  • Postfix neustarten (postfix stop && postfix start)
  • Postfix dann als Dienst einrichten mit systemd (systemctl enable postfix).
  • Maschine neustarten (init 6) und testen ob Zugriff möglich (telnet localhost 25).

Nun kann Postfix als Relay z.B. über Google eingerichtet werden:

  • Konfigdatei erweitern um Relay (/vi /etc/postfix/main.cf):

smtp_use_tls=yes smtp_sasl_auth_enable = yes

smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd

smtp_sasl_security_options = noanonymous

smtp_sasl_tls_security_options = noanonymous

relay_domains = empfaengerdomain.de

inet_interface = localhost,192.168.1.1

Danach den Postfix neustarten mit postfix reload.

  • Sasl_passwd erstellen (vi /etc/postfix/sasl_passwd) mit folgenden Eintrag:

[smtp.gmail.com]:587 some.user@gmail.com:PASSWORD

  • Die Rechte der Passwortdatei anpassen mit:
chmod 640 /etc/postfix/sasl_passwd*
chown postfix:postfix /etc/postfix/sasl_passwd*
  • Die Passwortdatei verschlüsseln:
postmap /etc/postfix/sasl_passwd
  • Postfix neustarten:

service postfix restart Danach kann man mit mailx eine Testmail senden: mailx -s testmail emfpaenger@tld.de ENTER.ENTER

Wenn diese ankommt, dann kann man Zabbix anpassen.

  • Emailkonfiguration unter Administration > Media Types > Email anpassen (achtung: Wenn Postfix nur unter localhost annimmt, bitte darauf achten das auch localhost verwendet wird unter Media).
  • Notifications aktivieren unter Configuration > Notification > „Report problems …“ > Enable.
  • Emailadresse vom Admin anpassen unter Administration > Users > rechts Dropdown „User“ auswählen > admin > Media > Emailadresse anlegen.

Links: http://blog.bobbyallen.me/2013/12/30/using-gmail-with-postfix-as-an-smtp-relay/


Exchange Relay an externe Adressen

Wenn man einen Relay (Connector ohne Anmeldung) erstellt bei einem Exchange ab 2007, dann hat dieser Standardmäßig nur das Recht intern zu senden.

Soll er auch extern senden können, so muss der folgende Befehl auf der Shell eingegeben werden:

Get-ReceiveConnector “Name des Empfangsconnectors” | Add-ADPermission -User “NT-Autorität\Anonymous-Anmeldung” -ExtendedRights “ms-Exch-SMTP-Accept-Any-Recipient”