v_pasch Posted June 14, 2011 Report Share Posted June 14, 2011 Καλησπέρα παιδιά, Θέλω ο Exchange Server 2007 να μπορεί να στέλνει σε έναν exchange 2003 που είναι έξω από το Exchange Organization και να είναι encrypted. Έχω κάνει στον 2007 τα παρακάτω: Νέο Send-Connector (τύπου partner) με address space το remote domain Set-Transportserver -TLSSendDomainSecureList <το remote domainτο remote domain> Νέο receive-Connector (τύπου partner) με receive network την ip του Exchange 2003 και Mutual TLS Enable Έχω κάνει στον 2003 τα παρακάτω: Νεο SMTP Connector με address space το remote domain Τι άλλο πρέπει να κάνω για να γίνεται η επικοινωνία encrypted? Link to comment Share on other sites More sharing options...
i-away Posted June 14, 2011 Report Share Posted June 14, 2011 Βασίλη καλησπέρα, Πληροφορίες και οδηγίες θα βρείς εδώ διαβασε προσεκτικά καθώς η διαδικασία αλλάζει ανάλογα με την έκδοση του Exchange. Link to comment Share on other sites More sharing options...
v_pasch Posted June 16, 2011 Author Report Share Posted June 16, 2011 Καλημέρα, Έκανα ότι λέει το άρθρο (σε τεστ περιβάλλον αρχικά) αλλά δε παίζει. Έκανα τα παρακάτω στον 2007 Έχω κάνει 1 ακόμα send connector (partner) Έχω κάνει 1 ακόμα receive connector (partner) Πριν κάνω κάτι άλλο η αποστολή και λήψη γίνεται κανονικά από αυτούς τους connectors. Import pfx cerificate Enable-ExchangeCertificate -Services SMTP Set-TransportConfig -TLSSendDomainSecureList woodgrovebank.com Set-SendConnector Internet -DomainSecureEnabled:$true Set-TransportConfig -TLSReceiveDomainSecureList woodgrovebank.com Set-ReceiveConnector Internet -DomainSecureEnabled $true -AuthMechanism TLS Έκανα τα παρακάτω στον 2003 Έχω κάνει 1 ακόμα send connector για το remote domain Στο smtp virtual server έβαλα το certificate και δήλωσα tls + require 128bit encription Όταν στέλνω από 2003 σε 2007 έχω το παρακάτω στα logs 2011-06-16T08:37:22.462Z,DC\tls,08CDF9850A5D4B7C,1,192.168.2.182:25,192.168.2.181:9007,*,SMTPSubmit SMTPAcceptAnySender SMTPAcceptAuthoritativeDomainSender AcceptRoutingHeaders,Set Session Permissions2011-06-16T08:37:22.462Z,DC\tls,08CDF9850A5D4B7C,2,192.168.2.182:25,192.168.2.181:9007,>,"220 DC.test.gr Microsoft ESMTP MAIL Service ready at Thu, 16 Jun 2011 11:37:22 +0300",2011-06-16T08:37:22.462Z,DC\tls,08CDF9850A5D4B7C,3,192.168.2.182:25,192.168.2.181:9007,<,EHLO exch2003.Customer.gr,2011-06-16T08:37:22.462Z,DC\tls,08CDF9850A5D4B7C,4,192.168.2.182:25,192.168.2.181:9007,>,250-DC.test.gr Hello [192.168.2.181],2011-06-16T08:37:22.462Z,DC\tls,08CDF9850A5D4B7C,5,192.168.2.182:25,192.168.2.181:9007,>,250-SIZE 10485760,2011-06-16T08:37:22.462Z,DC\tls,08CDF9850A5D4B7C,6,192.168.2.182:25,192.168.2.181:9007,>,250-PIPELINING,2011-06-16T08:37:22.462Z,DC\tls,08CDF9850A5D4B7C,7,192.168.2.182:25,192.168.2.181:9007,>,250-DSN,2011-06-16T08:37:22.462Z,DC\tls,08CDF9850A5D4B7C,8,192.168.2.182:25,192.168.2.181:9007,>,250-ENHANCEDSTATUSCODES,2011-06-16T08:37:22.462Z,DC\tls,08CDF9850A5D4B7C,9,192.168.2.182:25,192.168.2.181:9007,>,250-STARTTLS,2011-06-16T08:37:22.462Z,DC\tls,08CDF9850A5D4B7C,10,192.168.2.182:25,192.168.2.181:9007,>,250-AUTH,2011-06-16T08:37:22.462Z,DC\tls,08CDF9850A5D4B7C,11,192.168.2.182:25,192.168.2.181:9007,>,250-8BITMIME,2011-06-16T08:37:22.462Z,DC\tls,08CDF9850A5D4B7C,12,192.168.2.182:25,192.168.2.181:9007,>,250-BINARYMIME,2011-06-16T08:37:22.462Z,DC\tls,08CDF9850A5D4B7C,13,192.168.2.182:25,192.168.2.181:9007,>,250 CHUNKING,2011-06-16T08:37:22.462Z,DC\tls,08CDF9850A5D4B7C,14,192.168.2.182:25,192.168.2.181:9007,<,MAIL FROM:[email protected] SIZE=1171,2011-06-16T08:37:52.526Z,DC\tls,08CDF9850A5D4B7C,15,192.168.2.182:25,192.168.2.181:9007,>,530 5.7.1 Not authenticated,2011-06-16T08:37:52.605Z,DC\tls,08CDF9850A5D4B7C,16,192.168.2.182:25,192.168.2.181:9007,<,QUIT,2011-06-16T08:37:52.605Z,DC\tls,08CDF9850A5D4B7C,17,192.168.2.182:25,192.168.2.181:9007,>,221 2.0.0 Service closing transmission channel,2011-06-16T08:37:52.605Z,DC\tls,08CDF9850A5D4B7C,18,192.168.2.182:25,192.168.2.181:9007,-,,Local Όταν στέλνω από 2007 σε 2003 έχω αυτό 2011-06-16T09:01:03.079Z,tls,08CDF9850A5D4B7F,2,192.168.2.182:31153,192.168.2.181:25,<,"220 exch2003.Customer.gr Microsoft ESMTP MAIL Service, Version: 6.0.3790.3959 ready at Thu, 16 Jun 2011 12:01:03 +0300 ",2011-06-16T09:01:03.079Z,tls,08CDF9850A5D4B7F,3,192.168.2.182:31153,192.168.2.181:25,>,EHLO DC.test.gr,2011-06-16T09:01:03.079Z,tls,08CDF9850A5D4B7F,4,192.168.2.182:31153,192.168.2.181:25,<,250-exch2003.Customer.gr Hello [192.168.2.182],2011-06-16T09:01:03.079Z,tls,08CDF9850A5D4B7F,5,192.168.2.182:31153,192.168.2.181:25,<,250-TURN,2011-06-16T09:01:03.079Z,tls,08CDF9850A5D4B7F,6,192.168.2.182:31153,192.168.2.181:25,<,250-SIZE,2011-06-16T09:01:03.079Z,tls,08CDF9850A5D4B7F,7,192.168.2.182:31153,192.168.2.181:25,<,250-ETRN,2011-06-16T09:01:03.079Z,tls,08CDF9850A5D4B7F,8,192.168.2.182:31153,192.168.2.181:25,<,250-PIPELINING,2011-06-16T09:01:03.079Z,tls,08CDF9850A5D4B7F,9,192.168.2.182:31153,192.168.2.181:25,<,250-DSN,2011-06-16T09:01:03.079Z,tls,08CDF9850A5D4B7F,10,192.168.2.182:31153,192.168.2.181:25,<,250-ENHANCEDSTATUSCODES,2011-06-16T09:01:03.079Z,tls,08CDF9850A5D4B7F,11,192.168.2.182:31153,192.168.2.181:25,<,250-8bitmime,2011-06-16T09:01:03.079Z,tls,08CDF9850A5D4B7F,12,192.168.2.182:31153,192.168.2.181:25,<,250-BINARYMIME,2011-06-16T09:01:03.079Z,tls,08CDF9850A5D4B7F,13,192.168.2.182:31153,192.168.2.181:25,<,250-CHUNKING,2011-06-16T09:01:03.079Z,tls,08CDF9850A5D4B7F,14,192.168.2.182:31153,192.168.2.181:25,<,250-VRFY,2011-06-16T09:01:03.079Z,tls,08CDF9850A5D4B7F,15,192.168.2.182:31153,192.168.2.181:25,<,250-TLS,2011-06-16T09:01:03.079Z,tls,08CDF9850A5D4B7F,16,192.168.2.182:31153,192.168.2.181:25,<,250-STARTTLS,2011-06-16T09:01:03.079Z,tls,08CDF9850A5D4B7F,17,192.168.2.182:31153,192.168.2.181:25,<,250-X-EXPS GSSAPI NTLM,2011-06-16T09:01:03.079Z,tls,08CDF9850A5D4B7F,18,192.168.2.182:31153,192.168.2.181:25,<,250-AUTH GSSAPI NTLM,2011-06-16T09:01:03.079Z,tls,08CDF9850A5D4B7F,19,192.168.2.182:31153,192.168.2.181:25,<,250-X-LINK2STATE,2011-06-16T09:01:03.079Z,tls,08CDF9850A5D4B7F,20,192.168.2.182:31153,192.168.2.181:25,<,250-XEXCH50,2011-06-16T09:01:03.079Z,tls,08CDF9850A5D4B7F,21,192.168.2.182:31153,192.168.2.181:25,<,250 OK,2011-06-16T09:01:03.079Z,tls,08CDF9850A5D4B7F,22,192.168.2.182:31153,192.168.2.181:25,>,STARTTLS,2011-06-16T09:01:03.079Z,tls,08CDF9850A5D4B7F,23,192.168.2.182:31153,192.168.2.181:25,<,220 2.0.0 SMTP server ready,2011-06-16T09:01:03.079Z,tls,08CDF9850A5D4B7F,24,192.168.2.182:31153,192.168.2.181:25,*,,Sending certificate2011-06-16T09:01:03.079Z,tls,08CDF9850A5D4B7F,25,192.168.2.182:31153,192.168.2.181:25,*,CN=DC.test.gr,Certificate subject2011-06-16T09:01:03.079Z,tls,08CDF9850A5D4B7F,26,192.168.2.182:31153,192.168.2.181:25,*,"CN=Issuing CA, DC=webserve, DC=gr",Certificate issuer name2011-06-16T09:01:03.079Z,tls,08CDF9850A5D4B7F,27,192.168.2.182:31153,192.168.2.181:25,*,11AF249E000000000072,Certificate serial number2011-06-16T09:01:03.079Z,tls,08CDF9850A5D4B7F,28,192.168.2.182:31153,192.168.2.181:25,*,B418C4E916254DBA4E8B26B73624A7B7E2A7C259,Certificate thumbprint2011-06-16T09:01:03.079Z,tls,08CDF9850A5D4B7F,29,192.168.2.182:31153,192.168.2.181:25,*,DC.test.gr,Certificate alternate names2011-06-16T09:01:03.094Z,tls,08CDF9850A5D4B7F,30,192.168.2.182:31153,192.168.2.181:25,*,,Received certificate2011-06-16T09:01:03.094Z,tls,08CDF9850A5D4B7F,31,192.168.2.182:31153,192.168.2.181:25,*,488E8F2D1D4C1A21E359E5413899D87BE3CE8A58,Certificate thumbprint2011-06-16T09:01:03.157Z,tls,08CDF9850A5D4B7F,32,192.168.2.182:31153,192.168.2.181:25,>,QUIT,2011-06-16T09:01:03.297Z,tls,08CDF9850A5D4B7F,33,192.168.2.182:31153,192.168.2.181:25,<,221 2.0.0 exch2003.Customer.gr Service closing transmission channel,2011-06-16T09:01:03.297Z,tls,08CDF9850A5D4B7F,34,192.168.2.182:31153,192.168.2.181:25,-,,LocalΤα certificates τα έχω πάρει από τη CA του κανονικού μου domain. Τι έχω κάνει λάθος? Link to comment Share on other sites More sharing options...
skok Posted June 16, 2011 Report Share Posted June 16, 2011 Ο Exchange 2003 είναι εκτός του Domain που έχεις τo CA ? Δηλαδή το CA είναι στο domain του Exchange 2007 ? Μαλλον δεν έχεις κάνει trust το Root Public Certificate του CA στο Exchange 2003 Αυτό θα το δεις γιατί το Certificate στο Tab Certification Path θα έχει κόκκινο x στο Root Certificate του CA Θα πρότεινα το εξής .Aπό το Site του CA κάνεις export το Public Root Certificate του CA. Πηγαίνεις στον Exchange 2003 Οpen MMC - Certificates - Select Computer Account - Πηγαίνεις στην console στα Trusted Root Certification Authorities - Certificates και -Import το Public Root Certificate του CA Δες και το άρθρο http://blogs.technet.com/b/exchange/archive/2006/10/04/3395006.aspx Link to comment Share on other sites More sharing options...
v_pasch Posted June 16, 2011 Author Report Share Posted June 16, 2011 Το Certificate είναι από 3o domain. το έχω κάνει αυτό και το βλέπει κανονικά κ το βγάζει valid Link to comment Share on other sites More sharing options...
skok Posted June 16, 2011 Report Share Posted June 16, 2011 http://technet.microsoft.com/en-us/library/bb124253(EXCHG.80).aspx http://www.chicagotech.net/netforums/viewtopic.php?f=1&t=7156 Uncheck το Offer Basic Authentication only after starting Transport Layer Security στο Receive Connector Authentication Tab Link to comment Share on other sites More sharing options...
v_pasch Posted June 17, 2011 Author Report Share Posted June 17, 2011 Λοιπόν από τον 2007 προς το 2003 στέλνω κανονικά email και κάνει starttls στέλνει το certificate και μετά στέλνει το μαιλ. Από 2003 σε 2007 ενώ έχω βάλει στο smtp connector το tls στο outbound security όταν πάει να στείλει email βγαίνει το Must issue a STARTTLS command first. Είμαι κοντά αλλά δ μπορώ να βρω τι άλλο πρέπει να κάνω Link to comment Share on other sites More sharing options...
i-away Posted June 17, 2011 Report Share Posted June 17, 2011 Βασίλη νομίζω ότι ακολουθώντας αυτό θα λυθεί το πρόβλημα σου . Επίσης απο το log του 2003 έχω μια υποψία ότι δεν φορτώνονται σωστά τα smtp verbs. Φυσιολογικά η σειρά είναι: 250-mail1.example.com Hello [172.16.0.1] 250-TURN 250-ATRN 250-SIZE 5242880 250-ETRN 250-PIPELINING 250-DSN 250-ENHANCEDSTATUSCODES 250-8bitmime 250-BINARYMIME 250-CHUNKING 250-VRFY 250-X-EXPS GSSAPI NTLM * 250-AUTH GSSAPI NTLM 240-X-EXPS=LOGIN * 250-X-LINK2STATE * 250-XEXCH50 * 250 OK Αν δεν το βλέπεις αυτό σημαίνει ότι έχεις αλλού πρόβλημα. Επίσης βλέπω ότι δεν φορτώνει το TLS πριν το κάνει start. Έλεγξε το και πες μας. Link to comment Share on other sites More sharing options...
v_pasch Posted June 20, 2011 Author Report Share Posted June 20, 2011 Έχεις δίκιο. Όταν ο 2007 στέλνει το 2003 υπάρχει αυτό το log 2011-06-17T13:45:50.102Z,AXA,08CDFAE8D306C1AC,5,192.168.2.181:23134,192.168.2.179:25,<,250-TURN,2011-06-17T13:45:50.102Z,AXA,08CDFAE8D306C1AC,6,192.168.2.181:23134,192.168.2.179:25,<,250-SIZE,2011-06-17T13:45:50.102Z,AXA,08CDFAE8D306C1AC,7,192.168.2.181:23134,192.168.2.179:25,<,250-ETRN,2011-06-17T13:45:50.102Z,AXA,08CDFAE8D306C1AC,8,192.168.2.181:23134,192.168.2.179:25,<,250-PIPELINING,2011-06-17T13:45:50.102Z,AXA,08CDFAE8D306C1AC,9,192.168.2.181:23134,192.168.2.179:25,<,250-DSN,2011-06-17T13:45:50.102Z,AXA,08CDFAE8D306C1AC,10,192.168.2.181:23134,192.168.2.179:25,<,250-ENHANCEDSTATUSCODES,2011-06-17T13:45:50.102Z,AXA,08CDFAE8D306C1AC,11,192.168.2.181:23134,192.168.2.179:25,<,250-8bitmime,2011-06-17T13:45:50.102Z,AXA,08CDFAE8D306C1AC,12,192.168.2.181:23134,192.168.2.179:25,<,250-BINARYMIME,2011-06-17T13:45:50.102Z,AXA,08CDFAE8D306C1AC,13,192.168.2.181:23134,192.168.2.179:25,<,250-CHUNKING,2011-06-17T13:45:50.102Z,AXA,08CDFAE8D306C1AC,14,192.168.2.181:23134,192.168.2.179:25,<,250-VRFY,2011-06-17T13:45:50.102Z,AXA,08CDFAE8D306C1AC,15,192.168.2.181:23134,192.168.2.179:25,<,250-TLS,2011-06-17T13:45:50.102Z,AXA,08CDFAE8D306C1AC,16,192.168.2.181:23134,192.168.2.179:25,<,250-STARTTLS,2011-06-17T13:45:50.102Z,AXA,08CDFAE8D306C1AC,17,192.168.2.181:23134,192.168.2.179:25,<,250-X-EXPS GSSAPI NTLM,2011-06-17T13:45:50.102Z,AXA,08CDFAE8D306C1AC,18,192.168.2.181:23134,192.168.2.179:25,<,250-AUTH GSSAPI NTLM,2011-06-17T13:45:50.102Z,AXA,08CDFAE8D306C1AC,19,192.168.2.181:23134,192.168.2.179:25,<,250-X-LINK2STATE,2011-06-17T13:45:50.102Z,AXA,08CDFAE8D306C1AC,20,192.168.2.181:23134,192.168.2.179:25,<,250-XEXCH50,2011-06-17T13:45:50.102Z,AXA,08CDFAE8D306C1AC,21,192.168.2.181:23134,192.168.2.179:25,<,250 OK,2011-06-17T13:45:50.102Z,AXA,08CDFAE8D306C1AC,22,192.168.2.181:23134,192.168.2.179:25,>,STARTTLS, Από 2003 σε 2007 υπάρχει αυτό 250-maiserver.local Hello [127.0.0.1]250-SIZE250-PIPELINING250-DSN250-ENHANCEDSTATUSCODES250-STARTTLS250-X-ANONYMOUSTLS250-AUTH NTLM250-X-EXPS GSSAPI NTLM250-8BITMIME250-BINARYMIME250-CHUNKING250-XEXCH50250 XRDST Άρα είναι πρόβλημα του 2007 ε? στο receive connector που έχω κάνει έχω ενεργοποιήσει το requestTLS Link to comment Share on other sites More sharing options...
v_pasch Posted June 20, 2011 Author Report Share Posted June 20, 2011 Ο 2007 όμως δεν υποστηρίζει etrn σωστά? άρα δε θα έχει 250-TURN & 250-ETRN Link to comment Share on other sites More sharing options...
v_pasch Posted June 20, 2011 Author Report Share Posted June 20, 2011 να πω σε αυτό το σημείο ότι επειδή όλο αυτό είναι σε τεστ περιβάλλον πριν το κανονικό παίζω με selfsign certificates τα οποία έχουν γίνει cross trusted στους 2 exchange Servers, οπότε πιστεύω ότι αυτό δ ειναι το πρόβλημα. Link to comment Share on other sites More sharing options...
v_pasch Posted June 20, 2011 Author Report Share Posted June 20, 2011 Το πρόβλημα για το starttls ήταν ότι στο Smtp Connector που είχα κάνει για tls είχα βάλει τον smtp virtual server που είχα κάνει για TLS και τώρα το άλλαξα και έβαλα το default smtp virtual server και κάνει starttls. Αλλά με κόβει στο mail from ως not authenticated Ταυτόχρονα βγαίνει το error SMTPSubmit SMTPAcceptAnySender SMTPAcceptAuthoritativeDomainSender AcceptRoutingHeaders,Set Session Permissions,"220 test1.int.gr Microsoft ESMTP MAIL Service ready at Mon, 20 Jun 2011 17:19:34 +0300",<,EHLO axa.axahq.gr,>,250-mail.int.gr Hello [192.168.2.180],>,250-SIZE 10485760,,>,250-PIPELINING,>,250-DSN,>,250-ENHANCEDSTATUSCODES,>,250-STARTTLS,>,250-AUTH,>,250-8BITMIME,>,250-BINARYMIME,>,250 CHUNKING,<,STARTTLS,>,220 2.0.0 SMTP server ready,,*,,Sending certificate,*,CN=mail,Certificate subjectCN=mail,Certificate issuer name40225FB28B77489A4D1F8F4EEDCDA261,Certificate serial number,*,6C41D5A096E5D81447932741FB35AB9C5DB2DBE8,Certificate thumbprinttest;test.int.gr,Certificate alternate names,<,EHLO axa.axahq.gr,250-test.int.gr Hello [192.168.2.180],,250-SIZE 10485760,,250-PIPELINING,,250-DSN,>,250-ENHANCEDSTATUSCODES,>,250-AUTH,>,250-8BITMIME,>,250-BINARYMIME,>,250 CHUNKING,,<,MAIL FROM:<[email protected]> SIZE=2291,>,530 5.7.1 Not authenticated,<,RSET,>,250 2.0.0 Resetting,<,MAIL FROM:<[email protected]> SIZE=2291,>,530 5.7.1 Not authenticated,<,QUIT,>,221 2.0.0 Service closing transmission channel,-,,grστο eventlog A message from domain-secured domain 'axahq.gr' on connector 'tls' failed to authenticate because no Transport Layer Security (TLS) certificate was supplied. Link to comment Share on other sites More sharing options...
v_pasch Posted June 21, 2011 Author Report Share Posted June 21, 2011 Έβρηκα!!!! Το θέμα με το not authenticated γινόταν μάλλον λόγω κάποιας ασυμβατότητας του 2003 με το domain security 2007 Πηγα στο 2007 έκανα set-transportconfig -TLSreceivedomainsecurelist Null και όλα πάνε μια χαρά. με wireshark είδα ότι είναι κρυπτογραφημένο το κείμενο. όλη η διαδικασία είναι αυτή Στον 2003 κάνουμε τα εξής:<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" /> 1. Δίνουμε μία ακόμα IP στον Exchange 2. Δημιουργούμε ένα επιπλέον SMTP Virtual Server μεόνομα πχ TLS-Interworks καιδίνουμε την extra IP. 3. Δίνουμε τοCertificate στον SMTP Virtual Server και επιλέγουμε στο Communicationrequire 128 και στο authentication TLS 4. Δημιουργούμε έναSMTP Connector και του δίνουμε γιαBrigdehead Server τον Default SMTP Virtual Server (που είναι χωρίς TLS) 5. Στο Address Space δίνουμε τοremotedomain που θέλουμε να στέλνουμε με κρυπτογράφηση 6. Στο Advanced στο Outbound βάζουμε TLS Στον 2007κάνουμε τα εξής: 1. Δημιουργούμε ένα ακόμα Send Connector καιστο Address Space δίνουμε το remote domain που θέλουμε να στέλνουμε με κρυπτογράφηση 2. Επιλέγουμε Mutual TLS 3. Δημιουργούμε ένα ακόμα Receive Connector καιδίνουμε στο Network την IP του Remote Server και επιλέγουμε Mutual TLS 4. Set-TransportConfig-TLSSendDomainSecureList <Domain> 5. Set-SendConnector TLS-DomainSecureEnabled:$True 6. Set-SendConnector –identity TLS -requireTLS:$True 7. Set-ReceiveConnector TLS-DomainSecureEnabled:$True -AuthMechanism TLS 8. Set-ReceiveConnector –identityTLS -requireTLS:$True 9. Enable-ExchangeCertificate–thumbprint FSHDFSDHJFKHSJI –Services SMTP Link to comment Share on other sites More sharing options...
Recommended Posts