530 5.7.1 Not Authenticated

Hallo Gemeinde,

nachdem ich hier schon mein Glück versucht habe, leider nicht ganz so erfolgreich, versuche ich es hier auch noch einmal:

Einer unserer Kunden möchte nur noch per TLS mit uns kommunizieren
nachdem ich mich durch die Einrichtung TLS gekämpft habe. habe ich jetzt Probleme mit dem Mailempfang (Mailversand klappt)

Der Sender der "remote" Domain bekommen einen 530 5.7.1 Not authenticated error
Auf meinem Mailserver bekomme ich ein 11017 Event

Was habe ich gemacht:

- Zertifikat erstellt, eingebunden und an die Dienste gehangen
- neuen Empfangsconnector angelegt >
(Netzwerk; Remote IP des Mailservers eingetragen)
(Authentifizierung: TLS, Domänensicherheit aktivieren)
(Berechtigungsgruppen: anonyme Benutzer)
- Set-TransportConfig -TLSSendDomainSecureList woodgrovebank.com
- Set-SendConnector "Connector" -DomainSecureEnabled:$true
- Set-TransportConfig -TLSReceiveDomainSecureList woodgrovebank.com
- Set-ReceiveConnector "TLS" -DomainSecureEnabled $true -AuthMechanism TLS
Transportdienst neu gestartet

In meinem Log steht:

,*,mail.Firma.net;Server.netz.Firma.de;netz.Firma.de;mail.netz.Firma.de;autodiscover.netz.Firma.de;service.Firma.de;Firma.net;Firma.de,Certificate
 alternate names
,<,EHLO mail.Remote-Firma.de,
,>,250-Server.netz.Firma.de Hello [Remote-IP],
,>,250-SIZE,
,>,250-PIPELINING,
,>,250-DSN,
,>,250-ENHANCEDSTATUSCODES,
,>,250-AUTH,
,>,250-8BITMIME,
,>,250-BINARYMIME,
,>,250 CHUNKING,
,<,MAIL FROM:<Max.Mustermann@Remote-Firma.de> SIZE=12964,
,>,530 5.7.1 Not authenticated,

Wenn ich von der CheckTLS Seite einen Tast mache kommt auch ein Fehler

hat jemand eine Idee?

Hallo Jürgen,

ja, habe ich, da steht aber nichts "brauchbares" drinne (denke ich)

,*,SMTPSubmit SMTPAcceptAnySender SMTPAcceptAuthoritativeDomainSender AcceptRoutingHeaders,Set Session Permissions
,>,"220 Mein_Mailserver.Netz.Firma.de Microsoft ESMTP MAIL Service ready at Mon, 9 Mar 2015 06:59:59 +0100",
,<,EHLO checktls.com,
,>,250-Mein_Mailserver.Netz.Firma.de Hello [69.61.187.232],
,>,250-SIZE 20971520,
,>,250-PIPELINING,
,>,250-DSN,
,>,250-ENHANCEDSTATUSCODES,
,>,250-STARTTLS,
,>,250-AUTH,
,>,250-8BITMIME,
,>,250-BINARYMIME,
,>,250 CHUNKING,
,<,STARTTLS,
SMTP server ready,
,*,,Sending certificate
,*,"CN=mail.Firma.net, L=Ort, OU=ORG, O=Firma GmbH, C=DE",Certificate subject
,*,"STREET=Industriestr. 20, L=*****, PostalCode=57250, S=Nordrhein Westfalen, CN=TeleSec ServerPass CA 2, OU=Trust Center Services, O=Firma GmbH, C=DE",Certificate issuer name
,*,00435345A35D1345345C679,Certificate serial number
,*,8grfhjs553445545fsfs457C460989131F1A5,Certificate thumbprint
,*,mail.Firma.net;Mein_Mailserver.Netz.Firma.de;Netz.Firma.de;mail.Netz.Firma.de;autodiscover.Netz.Firma.de;service.Firma.de;Firma.net;Firma.de,Certificate alternate names
,<,EHLO checktls.com,
,>,250-Mein_Mailserver.Netz.Firma.de Hello [69.61.187.232],
,>,250-SIZE 20971520,
,>,250-PIPELINING,
,>,250-DSN,
,>,250-ENHANCEDSTATUSCODES,
,>,250-AUTH,
,>,250-8BITMIME,
,>,250-BINARYMIME,
,>,250 CHUNKING,
,<,MAIL FROM:<test@checktls.com>,
,>,530 5.7.1 Not authenticated,
,<,QUIT,
,>,221 2.0.0 Service closing transmission channel,
,-,,Local

Ist es evtl. möglich, dass es an der Firewall liegt?

Unser MX EIntag zeigt ja nicht direkt auf den Server, sondern auf eine Firewall, die dann wiedeum NAT auf den Mailserver macht
Könnte das in Verbindung mit TLS ein Problem darstellen?

Hallo Robert,

Ich habe der Übersichtlichkeit den Anfang des Logs abgeschnitten, das ist soweit auch alles ok
Parallel werde ich nochmal die Firewall testen lassen, weiss nur noch nicht wie ich da anzusetzen habe
Hab sonst echt keine Idee mehr

Leider kann ich das Log-File hier nicht posten, weil ich immer einen Fehler bekomme: (hab den auch als Screenshot angehängt)

Deshalb als Screenshot

Aber der Richtige Receive-Connector ausgewählt

Hast jemand noch eine Idee

Zitat von RobertW

Kann es sein, dass diese Domäne bei Dir als Akzeptierte Domäne vorhanden ist?

Nein, die Domain ist nicht in den Akzeptierten

Zitat von RobertW

Hast Du manuell an den Sicherheitsberechtigungen des Connector gedreht?
Schalt mal bitte zum Testen "Partner" als ein.

Ja, hab schon einiges getestet, auch die Partner Einstellung; derzeit habe ich alles auf nur "Anonyme Benutzer" stehen

Zitat von RobertW

Und noch zwei Dinge zum Klarstellen:
- Ist das 2010 (lt. mcseboard) oder 2007 (wie hier)?
- Im Log steht eine UIP-Adrese (69.xxxx). Das ist mal "Mein_Mailserver" und mal der fremde!

Es ist kein Problem, wenn Du das log anonymisierst. Du muss nun unbedingt darauf achten, dass die Infos trotzdem korrekt bleiben, denn durch das anonymisieren können wir nicht erkennen, was zu Dir und was zum Gegenüber gehört.

Es ist ein Exchange 2007

Im Log steht Tatsächlich "Mein_Mailserver und dann die IP des Senders
Also wirklich so: ,>,250-Mein_Mailserver.Netz.Firma.de Hello [69.61.187.232],

Die Angaben sind wirlich so korrekt, habs nochmal geprüft
die 69-x-x-x Adresse ich die von CheckTLS.com
Die steht auch im Receive-Connector eingetragen

Ich habe gerde mit Set-Transportconfig -TLSSendDomainSecurelist $Null alle Einträge gelöscht
Jetzt klappt zumindest der CheckTLS Tast
Aber ich möchte/muss ja die TLS Kommunikation mit der Remote-Firme "erzwingen"