Mailflow mit Sophos...
 
Benachrichtigungen
Alles löschen

Mailflow mit Sophos - Certificate validatio failure

13 Beiträge
2 Benutzer
0 Reactions
418 Ansichten
(@monsterrabe)
Active Member
Beigetreten: Vor 3 Monaten
Beiträge: 7
Themenstarter  

Hallo,

 

wir haben eine Hybridkonfiguration eingerichtet. Der Mailflow vom Exchange zu Office365 funktioniert nicht der Fehler lautet: 454 4.7.5 Certificate Validation Failure

 

Wir haben eine Sophos Firewall mit aktivierter E-Mail-Funktion. Unter den Richtlinien habe ich die Domäne firma.mail.onmicrosoft.com ohne Schutz angelegt. Auch eine Firewall Regel für Port 25 mit passender NAT-Regel habe ich bereits angelegt. Im Sendeconnector habe ich beide Funktionen getestet (Mit der Empfängerdomäne verbundener MX-Eintrag  und E-Mail über Smarthosts weiterleiten ).

 

Der Sendeconnector ist das Public Wildcard zugewiesen.

 

Hat noch jemand eine Idee für mich?

 

 

 

 

 


   
Zitat
NorbertFe
(@norbertfe)
Noble Member
Beigetreten: Vor 4 Jahren
Beiträge: 1470
 

Den Artikel kennst du?

 

https://learn.microsoft.com/de-de/exchange/transport-routing

 

Platzieren Sie keine Server, Dienste oder Geräte zwischen Ihren lokalen Exchange-Servern und Microsoft 365 oder Office 365, die SMTP-Datenverkehr verarbeiten oder ändern. Sicherer E-Mail-Fluss zwischen Ihrer lokalen Exchange-Organisation und Microsoft 365 oder Office 365 hängt von Informationen ab, die in Nachrichten enthalten sind, die zwischen der Organisation gesendet werden. Firewalls, die SMTP-Datenverkehr über TCP-Port 25 ohne Änderung zulassen, werden unterstützt. Wenn ein Server, Dienst oder Gerät eine Nachricht verarbeitet, die zwischen Ihrer lokalen Exchange-Organisation und Microsoft 365 oder Office 365 gesendet wird, werden diese Informationen entfernt. Wenn dies der Fall ist, wird die Nachricht nicht mehr als organisationsintern eingestuft und unterliegt Antispamfiltern, Transport- und Journalregeln sowie andere Richtlinien, die möglicherweise nicht für die Nachricht gelten.

 

 


   
AntwortZitat

(@monsterrabe)
Active Member
Beigetreten: Vor 3 Monaten
Beiträge: 7
Themenstarter  

@norbertfe ja das habe ich gesehen. Die Sophos wird leider auch für andere Dienste genuzt. Kann ich der Sophos beibringen den Versand an Office365 nicht zu bearbeiten?


   
AntwortZitat
NorbertFe
(@norbertfe)
Noble Member
Beigetreten: Vor 4 Jahren
Beiträge: 1470
 

Hast du mehr als eine ip? Ansonsten wirds mit der Sophos nix.


   
AntwortZitat

(@monsterrabe)
Active Member
Beigetreten: Vor 3 Monaten
Beiträge: 7
Themenstarter  

@norbertfe auf der WAN-Seite haben wir ein /29 Netz


   
AntwortZitat
NorbertFe
(@norbertfe)
Noble Member
Beigetreten: Vor 4 Jahren
Beiträge: 1470
 

Naja dann neuer Name und neue ip per nat auf den Exchange. Dann smtp outbound nat über die neue ip zu o365. Exchange Zertifikat muss dann den neuen Namen beinhalten. In dem Szenario kannst du dein Konstrukt mit der Sophos beibehalten. Evtl. Auch gleich noch centralized mail transport Szenario anschauen.


   
AntwortZitat

(@monsterrabe)
Active Member
Beigetreten: Vor 3 Monaten
Beiträge: 7
Themenstarter  

@norbertfe eingehend funktioniert aber im bisherigen Szenario. Der centralized mail transport funktioniert leider nocht nicht. Aber das wäre meine zweite Sorge gewesen.

Ich bin mir nicht ganz sicher, aber unter der XGS kann ich keine Einstellungen für das Ausgehende Interface festlegen. Eine NAT Regel für Port 25 habe ich getestet, erhalte aber den gleichen Fehler. Ich werde es aber jetzt noch einmal versuchen, vielleicht war gestern einfach zu spät.


   
AntwortZitat
NorbertFe
(@norbertfe)
Noble Member
Beigetreten: Vor 4 Jahren
Beiträge: 1470
 

Veröffentlicht von: @monsterrabe

aber unter der XGS kann ich keine Einstellungen für das Ausgehende Interface festlegen.

Natürlich geht das.


   
AntwortZitat

(@monsterrabe)
Active Member
Beigetreten: Vor 3 Monaten
Beiträge: 7
Themenstarter  

Das wäre aus meiner Sicht die NAT Regel für den SMTP Versand. Mache ich hier etwas falsch?

 


   
AntwortZitat
NorbertFe
(@norbertfe)
Noble Member
Beigetreten: Vor 4 Jahren
Beiträge: 1470
 

Sieht für mich ok aus, aber ich bin mit der xgs nicht so vertraut. Aber dass es geht, weiß ich, sonst gäbs bei uns diverse Probleme. ;)


   
AntwortZitat

(@monsterrabe)
Active Member
Beigetreten: Vor 3 Monaten
Beiträge: 7
Themenstarter  

Welcher Wert sollte unter Get-ExchangeCertificate| fl Subject stehen?


   
AntwortZitat
(@monsterrabe)
Active Member
Beigetreten: Vor 3 Monaten
Beiträge: 7
Themenstarter  

So, ich habe den Assistent noch einmal durchlaufen lassen und jetzt funktioniert es...


   
AntwortZitat

NorbertFe
(@norbertfe)
Noble Member
Beigetreten: Vor 4 Jahren
Beiträge: 1470
 

Sehr gut. 👍 


   
AntwortZitat
Teilen: