Folgender Fehler kann auftreten wenn

  • der Exchange Server über eine UTM E-Mails versendet und
  • ein öffentliches/anderes Zertifikat installiert ist.
Protokollname: Application
Quelle:        MSExchangeTransport
Datum:         21.11.2013 08:21:30
Ereignis-ID:   12014
Aufgabenkategorie:TransportService
Ebene:         Fehler
Schlüsselwörter:Klassisch
Benutzer:      Nicht zutreffend
Computer:      server.domain.tld

Beschreibung:

Microsoft Exchange konnte ein Zertifikat nicht finden, das den Domänennamen "server.domain.tld" im persönlichen Informationsspeicher auf dem lokalen Computer enthält. Daher kann die STARTTLS-SMTP-Aktionsart für den Connector "Windows SBS Internet Send server" mit einem FQDN-Parameter von "server.domain.tld" nicht unterstützt werden. Überprüfen Sie die Connectorkonfiguration sowie die installierten Zertifikate, damit sichergestellt wird, dass ein Zertifikat mit einem Domänennamen für jeden Connector-FQDN vorhanden ist. Wenn das Zertifikat vorhanden ist, führen Sie "Enable-ExchangeCertificate -Services SMTP" aus, damit sichergestellt ist, dass der Microsoft Exchange-Transportdienst auf den Zertifikatschlüssel zugreifen kann.

Das klingt zunächst etwas verwirrend, hat aber folgenden Hintergrund:

Auf dem Exchange Server wurde wegen ActiveSync ein öffentliches Zertifikat installiert. Da sich der FQDN im Sende-Connector aufgrund der SMTP-Anbindung des Exchange Servers an eine UTM gegenüber der Angabe im SSL-Zertifikat unterscheidet, kommt es zu diesem Fehler.

Nun kann man den Fehler entweder Ignorieren oder dadurch lösen das STARTTLS ignoriert wird. Da letztlich die UTM gegenüber dem öffentlich Netz, sprich dem Internet, per SMTP die E-Mails annimmt oder versendet, ist eher an dieser Stelle das richtige Zertifikat bzw. die Konfiguration relevant.

Um STARTTLS zu Ignorieren, muss in der EMS folgender Befehl ausgeführt werden:

get-sendconnector "Windows SBS Internet Send server" | set-sendconnector -IgnoreSTARTTLS: $true

Der Name des Connectors muss entsprechend angepasst werden. In diesem Beitrag stammen die Ausgaben von einen SBS 2011 Standard. Überprüfen kann man die Einstellung mit dem Befehl

get-sendconnector "Windows SBS Internet Send server" | fl

Unter “IgnoreStartTLS” steht dann je nach Konfiguration True oder False.

AddressSpaces                : {smtp:*;1}
AuthenticationCredential     : System.Management.Automation.PSCredential
Comment                      :
ConnectedDomains             : {}
ConnectionInactivityTimeOut  : 00:10:00
DNSRoutingEnabled            : False
DomainSecureEnabled          : False
Enabled                      : True
ErrorPolicies                : Default
ForceHELO                    : False
Fqdn                         : server.domain.tld
HomeMTA                      : Microsoft MTA
HomeMtaServerId              : server
Identity                     : Windows SBS Internet Send server
IgnoreSTARTTLS               : True
IsScopedConnector            : False
IsSmtpConnector              : True
LinkedReceiveConnector       :
MaxMessageSize               : unlimited
Name                         : Windows SBS Internet Send server
Port                         : 25
ProtocolLoggingLevel         : None
RequireOorg                  : False
RequireTLS                   : False
SmartHostAuthMechanism       : None
SmartHosts                   : {[10.0.0.1]}
SmartHostsString             : [10.0.0.1]
SmtpMaxMessagesPerConnection : 20
SourceIPAddress              : 0.0.0.0
SourceRoutingGroup           : Exchange Routing Group (DWBGZMFD01QNBJR)
SourceTransportServers       : {server}
TlsAuthLevel                 :
TlsDomain                    :
UseExternalDNSServersEnabled : False

Quelle

Disable StartTLS on EX2010 Send Connectors – Quick Fix