Jump to content

Exchange Server 2007 & 2003 TLS Connector


v_pasch
 Share

Recommended Posts

Καλησπέρα παιδιά,

Θέλω ο Exchange Server 2007 να μπορεί να στέλνει σε έναν exchange 2003 που είναι έξω από το Exchange Organization και να είναι encrypted.

Έχω κάνει στον 2007 τα παρακάτω:

Νέο Send-Connector (τύπου partner) με address space το remote domain

Set-Transportserver -TLSSendDomainSecureList <το remote domainτο remote domain>

Νέο receive-Connector (τύπου partner) με receive network την ip του Exchange 2003 και Mutual TLS Enable

Έχω κάνει στον 2003 τα παρακάτω:

Νεο SMTP Connector με address space το remote domain

 

Τι άλλο πρέπει να κάνω για να γίνεται η επικοινωνία encrypted?

Link to comment
Share on other sites

Βασίλη καλησπέρα,

 

Πληροφορίες και οδηγίες θα βρείς εδώ διαβασε προσεκτικά καθώς η διαδικασία αλλάζει ανάλογα με την έκδοση του Exchange.

Link to comment
Share on other sites

Καλημέρα,

Έκανα ότι λέει το άρθρο (σε τεστ περιβάλλον αρχικά) αλλά δε παίζει.

Έκανα τα παρακάτω στον 2007

Έχω κάνει 1 ακόμα send connector (partner)

Έχω κάνει 1 ακόμα receive connector (partner)

Πριν κάνω κάτι άλλο η αποστολή και λήψη γίνεται κανονικά από αυτούς τους connectors.

Import pfx cerificate

Enable-ExchangeCertificate  -Services SMTP

Set-TransportConfig -TLSSendDomainSecureList woodgrovebank.com

Set-SendConnector Internet -DomainSecureEnabled:$true

Set-TransportConfig -TLSReceiveDomainSecureList woodgrovebank.com

Set-ReceiveConnector Internet -DomainSecureEnabled $true -AuthMechanism TLS

Έκανα τα παρακάτω στον 2003

Έχω κάνει 1 ακόμα send connector για το remote domain

Στο smtp virtual server έβαλα το certificate και δήλωσα tls + require 128bit encription

Όταν στέλνω από 2003 σε 2007

έχω το παρακάτω στα logs

2011-06-16T08:37:22.462Z,DC\tls,08CDF9850A5D4B7C,1,192.168.2.182:25,192.168.2.181:9007,*,SMTPSubmit SMTPAcceptAnySender SMTPAcceptAuthoritativeDomainSender AcceptRoutingHeaders,Set Session Permissions
2011-06-16T08:37:22.462Z,DC\tls,08CDF9850A5D4B7C,2,192.168.2.182:25,192.168.2.181:9007,>,"220 DC.test.gr Microsoft ESMTP MAIL Service ready at Thu, 16 Jun 2011 11:37:22 +0300",
2011-06-16T08:37:22.462Z,DC\tls,08CDF9850A5D4B7C,3,192.168.2.182:25,192.168.2.181:9007,<,EHLO exch2003.Customer.gr,
2011-06-16T08:37:22.462Z,DC\tls,08CDF9850A5D4B7C,4,192.168.2.182:25,192.168.2.181:9007,>,250-DC.test.gr Hello [192.168.2.181],
2011-06-16T08:37:22.462Z,DC\tls,08CDF9850A5D4B7C,5,192.168.2.182:25,192.168.2.181:9007,>,250-SIZE 10485760,
2011-06-16T08:37:22.462Z,DC\tls,08CDF9850A5D4B7C,6,192.168.2.182:25,192.168.2.181:9007,>,250-PIPELINING,
2011-06-16T08:37:22.462Z,DC\tls,08CDF9850A5D4B7C,7,192.168.2.182:25,192.168.2.181:9007,>,250-DSN,
2011-06-16T08:37:22.462Z,DC\tls,08CDF9850A5D4B7C,8,192.168.2.182:25,192.168.2.181:9007,>,250-ENHANCEDSTATUSCODES,
2011-06-16T08:37:22.462Z,DC\tls,08CDF9850A5D4B7C,9,192.168.2.182:25,192.168.2.181:9007,>,250-STARTTLS,
2011-06-16T08:37:22.462Z,DC\tls,08CDF9850A5D4B7C,10,192.168.2.182:25,192.168.2.181:9007,>,250-AUTH,
2011-06-16T08:37:22.462Z,DC\tls,08CDF9850A5D4B7C,11,192.168.2.182:25,192.168.2.181:9007,>,250-8BITMIME,
2011-06-16T08:37:22.462Z,DC\tls,08CDF9850A5D4B7C,12,192.168.2.182:25,192.168.2.181:9007,>,250-BINARYMIME,
2011-06-16T08:37:22.462Z,DC\tls,08CDF9850A5D4B7C,13,192.168.2.182:25,192.168.2.181:9007,>,250 CHUNKING,
2011-06-16T08:37:22.462Z,DC\tls,08CDF9850A5D4B7C,14,192.168.2.182:25,192.168.2.181:9007,<,MAIL FROM:[email protected] SIZE=1171,
2011-06-16T08:37:52.526Z,DC\tls,08CDF9850A5D4B7C,15,192.168.2.182:25,192.168.2.181:9007,>,530 5.7.1 Not authenticated,
2011-06-16T08:37:52.605Z,DC\tls,08CDF9850A5D4B7C,16,192.168.2.182:25,192.168.2.181:9007,<,QUIT,
2011-06-16T08:37:52.605Z,DC\tls,08CDF9850A5D4B7C,17,192.168.2.182:25,192.168.2.181:9007,>,221 2.0.0 Service closing transmission channel,
2011-06-16T08:37:52.605Z,DC\tls,08CDF9850A5D4B7C,18,192.168.2.182:25,192.168.2.181:9007,-,,Local

 

Όταν στέλνω από 2007 σε 2003 έχω αυτό

2011-06-16T09:01:03.079Z,tls,08CDF9850A5D4B7F,2,192.168.2.182:31153,192.168.2.181:25,<,"220 exch2003.Customer.gr Microsoft ESMTP MAIL Service, Version: 6.0.3790.3959 ready at  Thu, 16 Jun 2011 12:01:03 +0300 ",
2011-06-16T09:01:03.079Z,tls,08CDF9850A5D4B7F,3,192.168.2.182:31153,192.168.2.181:25,>,EHLO DC.test.gr,
2011-06-16T09:01:03.079Z,tls,08CDF9850A5D4B7F,4,192.168.2.182:31153,192.168.2.181:25,<,250-exch2003.Customer.gr Hello [192.168.2.182],
2011-06-16T09:01:03.079Z,tls,08CDF9850A5D4B7F,5,192.168.2.182:31153,192.168.2.181:25,<,250-TURN,
2011-06-16T09:01:03.079Z,tls,08CDF9850A5D4B7F,6,192.168.2.182:31153,192.168.2.181:25,<,250-SIZE,
2011-06-16T09:01:03.079Z,tls,08CDF9850A5D4B7F,7,192.168.2.182:31153,192.168.2.181:25,<,250-ETRN,
2011-06-16T09:01:03.079Z,tls,08CDF9850A5D4B7F,8,192.168.2.182:31153,192.168.2.181:25,<,250-PIPELINING,
2011-06-16T09:01:03.079Z,tls,08CDF9850A5D4B7F,9,192.168.2.182:31153,192.168.2.181:25,<,250-DSN,
2011-06-16T09:01:03.079Z,tls,08CDF9850A5D4B7F,10,192.168.2.182:31153,192.168.2.181:25,<,250-ENHANCEDSTATUSCODES,
2011-06-16T09:01:03.079Z,tls,08CDF9850A5D4B7F,11,192.168.2.182:31153,192.168.2.181:25,<,250-8bitmime,
2011-06-16T09:01:03.079Z,tls,08CDF9850A5D4B7F,12,192.168.2.182:31153,192.168.2.181:25,<,250-BINARYMIME,
2011-06-16T09:01:03.079Z,tls,08CDF9850A5D4B7F,13,192.168.2.182:31153,192.168.2.181:25,<,250-CHUNKING,
2011-06-16T09:01:03.079Z,tls,08CDF9850A5D4B7F,14,192.168.2.182:31153,192.168.2.181:25,<,250-VRFY,
2011-06-16T09:01:03.079Z,tls,08CDF9850A5D4B7F,15,192.168.2.182:31153,192.168.2.181:25,<,250-TLS,
2011-06-16T09:01:03.079Z,tls,08CDF9850A5D4B7F,16,192.168.2.182:31153,192.168.2.181:25,<,250-STARTTLS,
2011-06-16T09:01:03.079Z,tls,08CDF9850A5D4B7F,17,192.168.2.182:31153,192.168.2.181:25,<,250-X-EXPS GSSAPI NTLM,
2011-06-16T09:01:03.079Z,tls,08CDF9850A5D4B7F,18,192.168.2.182:31153,192.168.2.181:25,<,250-AUTH GSSAPI NTLM,
2011-06-16T09:01:03.079Z,tls,08CDF9850A5D4B7F,19,192.168.2.182:31153,192.168.2.181:25,<,250-X-LINK2STATE,
2011-06-16T09:01:03.079Z,tls,08CDF9850A5D4B7F,20,192.168.2.182:31153,192.168.2.181:25,<,250-XEXCH50,
2011-06-16T09:01:03.079Z,tls,08CDF9850A5D4B7F,21,192.168.2.182:31153,192.168.2.181:25,<,250 OK,
2011-06-16T09:01:03.079Z,tls,08CDF9850A5D4B7F,22,192.168.2.182:31153,192.168.2.181:25,>,STARTTLS,
2011-06-16T09:01:03.079Z,tls,08CDF9850A5D4B7F,23,192.168.2.182:31153,192.168.2.181:25,<,220 2.0.0 SMTP server ready,
2011-06-16T09:01:03.079Z,tls,08CDF9850A5D4B7F,24,192.168.2.182:31153,192.168.2.181:25,*,,Sending certificate
2011-06-16T09:01:03.079Z,tls,08CDF9850A5D4B7F,25,192.168.2.182:31153,192.168.2.181:25,*,CN=DC.test.gr,Certificate subject
2011-06-16T09:01:03.079Z,tls,08CDF9850A5D4B7F,26,192.168.2.182:31153,192.168.2.181:25,*,"CN=Issuing CA, DC=webserve, DC=gr",Certificate issuer name
2011-06-16T09:01:03.079Z,tls,08CDF9850A5D4B7F,27,192.168.2.182:31153,192.168.2.181:25,*,11AF249E000000000072,Certificate serial number
2011-06-16T09:01:03.079Z,tls,08CDF9850A5D4B7F,28,192.168.2.182:31153,192.168.2.181:25,*,B418C4E916254DBA4E8B26B73624A7B7E2A7C259,Certificate thumbprint
2011-06-16T09:01:03.079Z,tls,08CDF9850A5D4B7F,29,192.168.2.182:31153,192.168.2.181:25,*,DC.test.gr,Certificate alternate names
2011-06-16T09:01:03.094Z,tls,08CDF9850A5D4B7F,30,192.168.2.182:31153,192.168.2.181:25,*,,Received certificate
2011-06-16T09:01:03.094Z,tls,08CDF9850A5D4B7F,31,192.168.2.182:31153,192.168.2.181:25,*,488E8F2D1D4C1A21E359E5413899D87BE3CE8A58,Certificate thumbprint
2011-06-16T09:01:03.157Z,tls,08CDF9850A5D4B7F,32,192.168.2.182:31153,192.168.2.181:25,>,QUIT,
2011-06-16T09:01:03.297Z,tls,08CDF9850A5D4B7F,33,192.168.2.182:31153,192.168.2.181:25,<,221 2.0.0 exch2003.Customer.gr

Service closing transmission channel,
2011-06-16T09:01:03.297Z,tls,08CDF9850A5D4B7F,34,192.168.2.182:31153,192.168.2.181:25,-,,Local

Τα certificates τα έχω πάρει από τη CA του κανονικού μου domain.

Τι έχω κάνει λάθος?

Link to comment
Share on other sites

Ο Exchange 2003 είναι εκτός του Domain που έχεις τo CA  ?

Δηλαδή το CA είναι στο domain του  Exchange 2007 ?

Μαλλον δεν έχεις κάνει trust το Root Public Certificate του CA στο  Exchange 2003

Αυτό θα το δεις γιατί το Certificate στο Tab Certification Path θα έχει κόκκινο x στο Root  Certificate του CA

Θα πρότεινα το εξής .Aπό το Site του CA κάνεις export το Public Root Certificate του CA.

Πηγαίνεις στον Exchange 2003

Οpen MMC - Certificates - Select Computer Account

- Πηγαίνεις στην console στα Trusted Root Certification Authorities  - Certificates και

-Import το Public Root Certificate του CA

Δες και το άρθρο http://blogs.technet.com/b/exchange/archive/2006/10/04/3395006.aspx

Link to comment
Share on other sites

Λοιπόν από τον 2007 προς το 2003 στέλνω κανονικά email και κάνει starttls στέλνει το certificate και μετά στέλνει το μαιλ.

Από 2003 σε 2007 ενώ έχω βάλει στο smtp connector το tls στο outbound security όταν πάει να στείλει email βγαίνει το Must issue a STARTTLS command first.

Είμαι κοντά αλλά δ μπορώ να βρω τι άλλο πρέπει να κάνω 

Link to comment
Share on other sites

 Βασίλη νομίζω ότι ακολουθώντας αυτό θα λυθεί το πρόβλημα σου .

 

Επίσης απο το log του 2003 έχω μια υποψία ότι δεν φορτώνονται σωστά τα smtp verbs. Φυσιολογικά η σειρά είναι:         

250-mail1.example.com Hello [172.16.0.1]
250-TURN
250-ATRN
250-SIZE 5242880
250-ETRN
250-PIPELINING
250-DSN
250-ENHANCEDSTATUSCODES
250-8bitmime
250-BINARYMIME
250-CHUNKING
250-VRFY
250-X-EXPS GSSAPI NTLM   *
250-AUTH GSSAPI NTLM
240-X-EXPS=LOGIN  *
250-X-LINK2STATE  *
250-XEXCH50   *
250 OK

Αν δεν το βλέπεις αυτό σημαίνει ότι έχεις αλλού πρόβλημα. Επίσης βλέπω ότι δεν φορτώνει το TLS πριν το κάνει start. Έλεγξε το και πες μας.

 

 

 

 

Link to comment
Share on other sites

Έχεις δίκιο.


Όταν ο 2007 στέλνει το 2003 υπάρχει αυτό το log


2011-06-17T13:45:50.102Z,AXA,08CDFAE8D306C1AC,5,192.168.2.181:23134,192.168.2.179:25,<,250-TURN,
2011-06-17T13:45:50.102Z,AXA,08CDFAE8D306C1AC,6,192.168.2.181:23134,192.168.2.179:25,<,250-SIZE,
2011-06-17T13:45:50.102Z,AXA,08CDFAE8D306C1AC,7,192.168.2.181:23134,192.168.2.179:25,<,250-ETRN,
2011-06-17T13:45:50.102Z,AXA,08CDFAE8D306C1AC,8,192.168.2.181:23134,192.168.2.179:25,<,250-PIPELINING,
2011-06-17T13:45:50.102Z,AXA,08CDFAE8D306C1AC,9,192.168.2.181:23134,192.168.2.179:25,<,250-DSN,
2011-06-17T13:45:50.102Z,AXA,08CDFAE8D306C1AC,10,192.168.2.181:23134,192.168.2.179:25,<,250-ENHANCEDSTATUSCODES,
2011-06-17T13:45:50.102Z,AXA,08CDFAE8D306C1AC,11,192.168.2.181:23134,192.168.2.179:25,<,250-8bitmime,
2011-06-17T13:45:50.102Z,AXA,08CDFAE8D306C1AC,12,192.168.2.181:23134,192.168.2.179:25,<,250-BINARYMIME,
2011-06-17T13:45:50.102Z,AXA,08CDFAE8D306C1AC,13,192.168.2.181:23134,192.168.2.179:25,<,250-CHUNKING,
2011-06-17T13:45:50.102Z,AXA,08CDFAE8D306C1AC,14,192.168.2.181:23134,192.168.2.179:25,<,250-VRFY,
2011-06-17T13:45:50.102Z,AXA,08CDFAE8D306C1AC,15,192.168.2.181:23134,192.168.2.179:25,<,250-TLS,
2011-06-17T13:45:50.102Z,AXA,08CDFAE8D306C1AC,16,192.168.2.181:23134,192.168.2.179:25,<,250-STARTTLS,
2011-06-17T13:45:50.102Z,AXA,08CDFAE8D306C1AC,17,192.168.2.181:23134,192.168.2.179:25,<,250-X-EXPS GSSAPI NTLM,
2011-06-17T13:45:50.102Z,AXA,08CDFAE8D306C1AC,18,192.168.2.181:23134,192.168.2.179:25,<,250-AUTH GSSAPI NTLM,
2011-06-17T13:45:50.102Z,AXA,08CDFAE8D306C1AC,19,192.168.2.181:23134,192.168.2.179:25,<,250-X-LINK2STATE,
2011-06-17T13:45:50.102Z,AXA,08CDFAE8D306C1AC,20,192.168.2.181:23134,192.168.2.179:25,<,250-XEXCH50,
2011-06-17T13:45:50.102Z,AXA,08CDFAE8D306C1AC,21,192.168.2.181:23134,192.168.2.179:25,<,250 OK,
2011-06-17T13:45:50.102Z,AXA,08CDFAE8D306C1AC,22,192.168.2.181:23134,192.168.2.179:25,>,STARTTLS,


Από 2003 σε 2007 υπάρχει αυτό


250-maiserver.local Hello [127.0.0.1]
250-SIZE
250-PIPELINING
250-DSN
250-ENHANCEDSTATUSCODES
250-STARTTLS
250-X-ANONYMOUSTLS
250-AUTH NTLM
250-X-EXPS GSSAPI NTLM
250-8BITMIME
250-BINARYMIME
250-CHUNKING
250-XEXCH50
250 XRDST


Άρα είναι πρόβλημα του 2007 ε?


στο receive connector που έχω κάνει έχω ενεργοποιήσει το requestTLS


 

Link to comment
Share on other sites

να πω σε αυτό το σημείο ότι επειδή όλο αυτό είναι σε τεστ περιβάλλον πριν το κανονικό παίζω με selfsign certificates τα οποία έχουν γίνει cross trusted στους 2 exchange Servers, οπότε πιστεύω ότι αυτό δ ειναι το πρόβλημα.

Link to comment
Share on other sites

Το πρόβλημα για το starttls ήταν ότι στο Smtp Connector που είχα κάνει για tls είχα βάλει τον smtp virtual server που είχα κάνει για TLS και τώρα το άλλαξα και έβαλα το default smtp virtual server και κάνει starttls.

Αλλά με κόβει στο mail from ως not authenticated

 

Ταυτόχρονα βγαίνει το error SMTPSubmit SMTPAcceptAnySender SMTPAcceptAuthoritativeDomainSender AcceptRoutingHeaders,Set Session Permissions
,"220 test1.int.gr Microsoft ESMTP MAIL Service ready at Mon, 20 Jun 2011 17:19:34 +0300",
<,EHLO axa.axahq.gr,
>,250-mail.int.gr Hello [192.168.2.180],
>,250-SIZE 10485760,
,>,250-PIPELINING,
>,250-DSN,
>,250-ENHANCEDSTATUSCODES,
>,250-STARTTLS,
>,250-AUTH,
>,250-8BITMIME,
>,250-BINARYMIME,
>,250 CHUNKING,
<,STARTTLS,
>,220 2.0.0 SMTP server ready,
,*,,Sending certificate
,*,CN=mail,Certificate subject
CN=mail,Certificate issuer name
40225FB28B77489A4D1F8F4EEDCDA261,Certificate serial number
,*,6C41D5A096E5D81447932741FB35AB9C5DB2DBE8,Certificate thumbprint
test;test.int.gr,Certificate alternate names
,<,EHLO axa.axahq.gr,
250-test.int.gr Hello [192.168.2.180],
,250-SIZE 10485760,
,250-PIPELINING,
,250-DSN,
>,250-ENHANCEDSTATUSCODES,
>,250-AUTH,
>,250-8BITMIME,
>,250-BINARYMIME,
>,250 CHUNKING,
,<,MAIL FROM:<[email protected]> SIZE=2291,
>,530 5.7.1 Not authenticated,
<,RSET,
>,250 2.0.0 Resetting,
<,MAIL FROM:<[email protected]> SIZE=2291,
>,530 5.7.1 Not authenticated,
<,QUIT,
>,221 2.0.0 Service closing transmission channel,
-,,gr
στο eventlog

A message from domain-secured domain 'axahq.gr' on connector 'tls' failed to authenticate because no Transport Layer Security (TLS) certificate was supplied.

Link to comment
Share on other sites

Έβρηκα!!!!

Το θέμα με το not authenticated γινόταν μάλλον λόγω κάποιας ασυμβατότητας του 2003 με το domain security 2007

Πηγα στο 2007 έκανα set-transportconfig -TLSreceivedomainsecurelist Null και όλα πάνε μια χαρά.

με wireshark είδα ότι είναι κρυπτογραφημένο το κείμενο.

όλη η διαδικασία είναι αυτή



Στον 2003 κάνουμε τα εξής:<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />



1.      
Δίνουμε μία ακόμα IP στον Exchange



2.      
Δημιουργούμε ένα επιπλέον SMTP Virtual Server με
όνομα πχ TLS-Interworks και
δίνουμε την extra IP.



3.       Δίνουμε το
Certificate
στον SMTP Virtual Server και επιλέγουμε στο Communication
require 128
και στο authentication TLS



4.       Δημιουργούμε ένα
SMTP Connector
και του δίνουμε για
Brigdehead Server
τον Default SMTP Virtual Server (που είναι χωρίς TLS)



5.      
Στο Address Space δίνουμε το
remote
domain που θέλουμε να στέλνουμε με κρυπτογράφηση



6.       Στο Advanced στο Outbound βάζουμε TLS



 



Στον 2007
κάνουμε τα εξής:



1.      
Δημιουργούμε ένα ακόμα Send Connector και
στο Address Space δίνουμε το remote domain που θέλουμε να στέλνουμε με κρυπτογράφηση



2.      
Επιλέγουμε Mutual TLS



3.      
Δημιουργούμε ένα ακόμα Receive Connector και
δίνουμε στο Network την IP του Remote Server  και επιλέγουμε Mutual TLS



4.      
Set-TransportConfig
-TLSSendDomainSecureList
<Domain>



5.       Set-SendConnector TLS
-DomainSecureEnabled:$True



6.       Set-SendConnector  –identity TLS -requireTLS:$True



7.       Set-ReceiveConnector TLS
-DomainSecureEnabled:$True -AuthMechanism TLS



8.       Set-ReceiveConnector –identity
TLS -requireTLS:$True



9.       Enable-ExchangeCertificate
–thumbprint FSHDFSDHJFKHSJI –Services SMTP


Link to comment
Share on other sites

 Share

×
×
  • Create New...