Hier mal wieder ein kleines Problem, über welches ich heute gestolpert bin. Während der Migration von Exchange 2010 zu Exchange 2016 konnte ein Benutzer nach der Umstellung der Spam Filter auf die Exchange 2016 Server keine E-Mails mehr von externen Absendern empfangen (SenderNotAuthenticatedForMailbox).
Dieses Problem ist erst aufgetreten als das Mailrouting auf die Exchange 2016 Server geändert wurde. Das Postfach des betreffenden Benutzers lag schon seit längerem auf den neuen Servern.
Wie bereits erwähnt betraf das Problem nur einen Benutzer. In der Nachrichtenverfolgung wurde bei Mails welche von externen Absendern an den betreffenden Benutzer geschickt wurden, der folgende Fehler angezeigt:
[{LED=550 5.7.134 RESOLVER.RST.SenderNotAuthenticatedForMailbox; authentication required; Delivery restriction check failed because the sender was not authenticated when sending to this mailbox};{MSG=};{FQDN=};{IP=};{LRT=}]
Der Absender erhält in diesem Fall einen NDR mit dem entsprechenden Fehlertext. Offensichtlich fordern die Exchange 2016 Server nach Umstellung des Mailroutings nun eine Authentifizierung vom Absender. Dies schlägt bei externen Absendern natürlich fehl. Die entsprechende Einstellung kennt man eher von Verteilergruppen, hier lässt sich verhindern, dass externe Absender an interne Verteiler schicken können (beispielsweise alle@firma.de).
Die Lösung war in diesem Fall also sehr banal, für den Benutzer war die Option “Authentifizierung aller Absender anfordern” aktiviert. Damit der Benutzer Mails auch von externen Absendern erhalten kann, welche sich natürlich nicht am Exchange Server authentifizieren, muss diese Option wieder abgeschaltet werden.
Die Option findet sich in den Postfachfunktionen:
Hier kann nun die Option “Authentifizierung für alle Absender anfordern” deaktiviert werden:
Falls es mehrere Benutzer betrifft lässt sich mittels Exchange Management Shell rausfinden, welche Benutzer betroffen sind. Dazu kann der folgende Befehl verwendet werden:
|
1
|
get-mailbox -resultsize unlimited | where {$_.RequireSenderAuthenticationEnabled -match "true"} |
Um die Option für alle Benutzer zu deaktivieren kann dann wiederum der folgende Befehl verwendet werden:
|
1
|
get-mailbox -resultsize unlimited | where {$_.RequireSenderAuthenticationEnabled -match "true"} | set-mailbox -RequireSenderAuthenticationEnabled $false |
Das hier beschriebene Verhalten gilt übrigens auch für Exchange 2013 und Exchange 2019. Ganz interessant ist die Tatsache, dass dieses Problem erst nach der Umstellung des Mailroutings aufgetreten ist. Die besagte Option war für den Benutzer scheinbar bereits seit längerem aktiviert, denn das Admin Audit Log der Exchange Server lieferte keine Einträge, dass diese Option erst kürzlich aktiviert wurde.
Ich mir dann noch einen Testbenutzer mit Postfach auf den Exchange 2016 Servern erstellt und den Sachverhalt nachgestellt. Eine Mail ohne Authentifizierung welche über Exchange 2010 empfangen wird und an Exchange 2016 geroutet wird, wird zugestellt. Eine weitere Mail ohne Authentifizierung welche über Exchange 2016 empfangen wird, wird abgelehnt (SenderNotAuthenticatedForMailbox)
Dieses Verhalten ist nun ganz interessant, kommt die Mail an einem Exchange 2010 Server an, leitet dieser die Mail von einem externen Benutzer an den Exchange 2016 Server weiter, auf dem sich das Postfach des Benutzers befindet. Die Authentifizierung scheint nun auf dem Exchange Server Level zu erfolgen. Exchange 2016 scheint also davon auszugehen, dass wenn die Mail über einen Exchange 2010 Server empfangen wurde, authentifiziert wurde. Ich hab es hier einmal versucht grafisch zu verdeutlichen:
Hat zufällig jemand eine Exchange Umgebung in der Koexistenz zur Hand und kann dieses Verhalten bestätigen oder widerlegen? Ich würde mich dazu über Feedback freuen.
Tipp: Das Exchange Audit Log lässt sich mit folgenden Befehl prüfen:
|
1
|
Search-AdminAuditLog -Cmdlets set-mailbox -Parameters RequireSenderAuthenticationEnabled |
Hi,
wenn ich es richtig weiß. dann hat sich das tatsächlich geändert, wir haben es an Verteilerlisten bemerkt, auch hier ändert es sich, früher war die Weiterleitung über ein Postfach an einen Verteiler authorisiert, heute kennt der Exchange Server die Quelle aus dem Internet.
Gruß
Hi Frank,
etwas weiter gedacht: bedeutet das, dass RequireSenderAuthenticationEnabled in Exchange 2010 Umgebungen auf Benutzerpostfächern nicht greift? Sonst hätte sich der Benutzer in deinem Szenario doch vermutlich nicht beschwert (oder der Koexistenzzeitraum war sehr lang).
LG
Timbo
Hi Frank,
wir haben hier ebenfalls Migrationsumgebung zwischen Exchange 2010 und Exchange 2016. Ich konnte jedoch keine Probleme nach Umstellung des Mailroutings diesbezüglich feststellen. Sowohl die Bestandsmailboxen, als auch die täglich neu angelegten weisen keine Probleme hinsichtlich des Attributes „RequireSenderAuthenticationEnabled“ auf. Gruß, Monthy
Hallo Frank,
bin gerade in einer 2010/2016 Migration. Stand kurz vor dem Schwenck der URL’s und des Mailroutings mit 3 Exchange 2010 (1xCAS, 2xMBX (DAG)) zu 2 x Exchange 2016 (DAG). Angelegter Testuser auf Ex2016 ist derzeit der „RequireSenderAuthenticationEnabled“ Status auf False. Sollte mir hier was auffallen – bin jetzt wachsam – werde ich berichten.
LG
RalphAndreas