Hallo zusammen,
seit kurzem plagt mich ein Problem auf unserem Exchange-Server. Der SMTP-Dienst bzw der Hub Transport funktioniert ohne Verschlüsselung ohne Probleme. Allerdings will es mir einfach nicht gelingen, dem Dienst zu sagen, dass er auch auf SSL-Anfragen antworten soll.
Info vorweg: Beim Versuch, unter Linux eine SSL-Verbindung mit dem Server ehrzustellen, bricht der Vorgang nach 7 Byte ab. Der Exchange-Server antwortet mit "220 xyz", wobei xyz den Anfangsbuchstaben unseres Exchange-Servers entspricht (genauer gesagt der Wert, mit dem er auf HELO antwortet). Der Exchange antwortet auf dem SMTPS-Port also unverschlüsselt mit SMTP und es scheint bereits beim Initialisieren der SSL-Verbindung zu scheitern.
Folgenden Befehl habe ich in Linux genutzt:
openssl s_client -connect [server]:465 -debug -status
und als Antwort kommt:
read from 0x17da100 [0x17dfc00] (7 bytes => 7 (0x7))
0000 - 32 32 30 20 72 65 6d 220 rem
140142531835552:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol:s23_clnt.c:749:
---
no peer certificate available
Wenn ich beispielsweise aber als Port 443 angebe für eine HTTPS-Verbindung, antwortet der Server beispielsweise mit den Steuerzeichen "16 03 01 12 96 02" und das Handshake-Verfahren beginnt.
Daher nehme ich an, dass unser Zertifikat entweder an einer Stelle falsch eingebunden ist oder dass der Transport Service aus irgenwelchen Gründen nicht weiß, dass er auch auf SSL antworten soll.
-------------------
Systeminfos: Exchange 2010 in Domänennetzwerk, Zwei Server Konfiguriert als DAG, Änderungen werden testweise auf dem einen Server durchgeführt und der Server direkt über IP angesprochen.
Konfigurationsinfos:
Im Hub Transport ist der receive connector mit meiner IP als Test-IP eingetragen. Unter "Network" ist der Port 465 hier ebenfalls aktiviert. Im Reiter Authentication ist TLS aktiviert und bei Permission Groups Exchange users und zu Testzwecken auch Zeitweise Anonymous users + basic Authentication.
Unter Server-Configuration ist ein Exchange-Zertifikat eingebunden. SMTP ist hier als assoziierter Service eingetragen, das gleiche Zertifikat wird vom IMAP-Service allerdings unterstützt und der o.g. Linux-Befehl bekommt eine Verbindung auf IMAPS Port 993 zustande.
Die exchange-shell bestätigt mit get-exchangecertificate ebenfalls, dass das Zertifikat für SMTP aktiviert ist.
------------------
Kann es sein, dass die Verbindung bei Exchange ausschließlich über STARTTLS zustande kommen kann, nicht aber über SSL direkt? Bei STARTTLS über Thunderbird habe ich nämlich ein anderes Problem, da dabei die Logindaten nicht angenommen werden. Die Nutzerdaten für IMAP werden akzeptiert, wenn bei SMTP der anonyme Login möglich ist, aber sobald ich mich über SMTP auch authentifizieren will klappt das nicht (Die Konfiguration hier wird nur akzeptiert, wenn IMAP und SMTP(S) erreicht werden können). SMTP ohne Verschlüsselung funktioniert mit den gleichen Nutzerdaten. Selbst wenn die Verbindung nur über STARTTLS zustande kommen sollte, wird der Login in dem Fall jedenfalls nicht akzeptiert - eine genaue Fehlermeldung bekomme ich hier leider nicht.
Gibt es Ideen, woran es noch liegen könnte?
Vielen Dank für alle Antworten,
Yasamb
