10
Exchange 2016 - sporadische TLS Unavailable Fehler
Hallo Zusammen,
ich habe hier einen Exchange 2016 mit einer Watchguard Firewall davor.
Der Exchange ist per Static-Nat von aussen erreichbar konfiguriert - funzt soweit.
Jedoch habe ich sporadisch das Problem, dass Emails, welche mit TLS-Verschlüsselung gesendet werden, nicht oder stark zeitverzögert ankommen - aber ich komme nicht dahinter warum. TLS ist in den Konnektoren auf den Standardwerten soweit eingerichtet, Port 587 ist offen zum Exchange und nach draußen.
Der Absender bekommt folgende Mail:
Remote Server returned '< #5.0.0 smtp; 5.4.7 - Delivery expired (message too old) 'TLS Unavailable' (delivery attempts: 0)>'
Der generierende Server ist allerdings nicht mein Exchange, sondern ein anderer - mir unbekannter von iphmx.com - scheint irgendein Relay vom Kunden zu sein oder whatever...
Nun - vermute ja aber fast, dass es dennoch irgendwo ein Problem auf meiner Seite gibt, da ich teilweise E-Mails von einer Bank ebenfalls einfach nicht bekommen habe.
Wo könnte ich hier suchen bzw. was könnte die Ursache sein?
ich habe hier einen Exchange 2016 mit einer Watchguard Firewall davor.
Der Exchange ist per Static-Nat von aussen erreichbar konfiguriert - funzt soweit.
Jedoch habe ich sporadisch das Problem, dass Emails, welche mit TLS-Verschlüsselung gesendet werden, nicht oder stark zeitverzögert ankommen - aber ich komme nicht dahinter warum. TLS ist in den Konnektoren auf den Standardwerten soweit eingerichtet, Port 587 ist offen zum Exchange und nach draußen.
Der Absender bekommt folgende Mail:
Remote Server returned '< #5.0.0 smtp; 5.4.7 - Delivery expired (message too old) 'TLS Unavailable' (delivery attempts: 0)>'
Der generierende Server ist allerdings nicht mein Exchange, sondern ein anderer - mir unbekannter von iphmx.com - scheint irgendein Relay vom Kunden zu sein oder whatever...
Nun - vermute ja aber fast, dass es dennoch irgendwo ein Problem auf meiner Seite gibt, da ich teilweise E-Mails von einer Bank ebenfalls einfach nicht bekommen habe.
Wo könnte ich hier suchen bzw. was könnte die Ursache sein?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 614785
Url: https://administrator.de/contentid/614785
Printed on: April 19, 2024 at 03:04 o'clock
10 Comments
Latest comment
TLS-Inspection im SMTP-Proxy auf der Watchguard deaktivieren. Außerdem solltest du ein Mailgateway deinem Exchange vorschalten 
ich habe hier einen Exchange 2016 mit einer Watchguard Firewall davor.
Der Exchange ist per Static-Nat von aussen erreichbar konfiguriert - geht soweit.
Der Exchange ist per Static-Nat von aussen erreichbar konfiguriert - geht soweit.
Kein Proxy Dienst trotz davorgeschalteter Firewall?
Jedoch habe ich sporadisch das Problem, dass Emails, welche mit TLS-Verschlüsselung gesendet werden, nicht oder stark zeitverzögert ankommen - aber ich komme nicht dahinter warum. TLS ist in den Konnektoren auf den Standardwerten soweit eingerichtet, Port 587 ist offen zum Exchange und nach draußen.
Warum wird da irgendetwas auf Port 587 gemacht?
Der Absender bekommt folgende Mail:
Remote Server returned '< #5.0.0 smtp; 5.4.7 - Delivery expired (message too old) 'TLS Unavailable' (delivery attempts: 0)>'
Der generierende Server ist allerdings nicht mein Exchange, sondern ein anderer - mir unbekannter von iphmx.com - scheint irgendein Relay vom Kunden zu sein oder whatever...
Nun - vermute ja aber fast, dass es dennoch irgendwo ein Problem auf meiner Seite gibt, da ich teilweise E-Mails von einer Bank ebenfalls einfach nicht bekommen habe.
Wo könnte ich hier suchen bzw. was könnte die Ursache sein?
Remote Server returned '< #5.0.0 smtp; 5.4.7 - Delivery expired (message too old) 'TLS Unavailable' (delivery attempts: 0)>'
Der generierende Server ist allerdings nicht mein Exchange, sondern ein anderer - mir unbekannter von iphmx.com - scheint irgendein Relay vom Kunden zu sein oder whatever...
Nun - vermute ja aber fast, dass es dennoch irgendwo ein Problem auf meiner Seite gibt, da ich teilweise E-Mails von einer Bank ebenfalls einfach nicht bekommen habe.
Wo könnte ich hier suchen bzw. was könnte die Ursache sein?
Näheres findet sich in den Logbüchern der an der Kommunikation beteiligten Systeme.
Wie oben bereits erwähnt, könntest du bei dem Watchguard mal den SMTP Proxy einschalten. Dann hast du auch gleich zusätzliche Protokollmöglichkeit.
Welches Zertifikat kam beim Exchange zum Einsatz?
Welches Zertifikat kam beim Exchange zum Einsatz?
Hallo Zusammen,
der SMTP Proxy ist bereits bei der Watchguard aktiv, das Logging ebenfalls - wobei ich hier nicht schlau draus werde. TLS Inspection ist aus.
Zertifikat ist ein offiziell ausgestelltes für den Mailserver.
Das einzige, was mir bisher im Zusammenhang mit TLS auffiel, ist beim Test über https://de.ssl-tools.net, dass er mir hier das selbstsignierte Zertifikat der Watchguard anzeigt. Ich habe zwar in der Firebox mein Zertifikat hochgeladen, aber unschlüssig, was passiert, wenn ich dort das default Proxy Zertifikat lösche....
der SMTP Proxy ist bereits bei der Watchguard aktiv, das Logging ebenfalls - wobei ich hier nicht schlau draus werde. TLS Inspection ist aus.
Zertifikat ist ein offiziell ausgestelltes für den Mailserver.
Das einzige, was mir bisher im Zusammenhang mit TLS auffiel, ist beim Test über https://de.ssl-tools.net, dass er mir hier das selbstsignierte Zertifikat der Watchguard anzeigt. Ich habe zwar in der Firebox mein Zertifikat hochgeladen, aber unschlüssig, was passiert, wenn ich dort das default Proxy Zertifikat lösche....
dass er mir hier das selbstsignierte Zertifikat der Watchguard anzeigt.
Das bedeutet, dass es sich nicht um eine Portweiterleitung handelt, sondern der Watchguard der Kommunikationspartner ist bzw die Email annimmt. Das wäre auch gut so. Dieser benötigt natürlich ebenfalls das Zertifikat für den FQDN, wie er von Aussen erreichbar ist, also so eines, wie es Exchange gerade hat.
Hallo NordicMike,
hast du Erfahrungen in dem Thema? Ich habe zwar das Cert bei der Firebox hochgeladen, jedoch nicht als Standard Proxy Cert ausgewählt - somit habe ich sowohl das selbst signierte der Firebox drin als auch mein offizielles. Watchguard selbst meint hier, dass das Cert automatisch gezogen wird, sobald ich TLS aktiviere - aber ich vermute das passt nicht ganz? Das selbst signierte zu löschen habe ich bisher nicht versucht, da dies wohl mit dem HTTPS-Proxy zusammenhängt...
Jetzt fängt auch das Problem an, dass Mails teilweise nicht rausgehen wollen:
2020-10-22T08:33:30.559Z,EX2016.mailversand.mydomain.de,08D871305D53E403,2,,[2a01:238:20a:202:55f0::1133]:587,*,,"Failed to connect. Winsock error code: 10051, Win32 error code: 10051, Destination domain: smtp.strato.de, Error Message: Ein Socketvorgang bezog sich auf ein nicht verfügbares Netzwerk [2a01:238:20a:202:55f0::1133]:587."
Bin gerade etwas planlos....
hast du Erfahrungen in dem Thema? Ich habe zwar das Cert bei der Firebox hochgeladen, jedoch nicht als Standard Proxy Cert ausgewählt - somit habe ich sowohl das selbst signierte der Firebox drin als auch mein offizielles. Watchguard selbst meint hier, dass das Cert automatisch gezogen wird, sobald ich TLS aktiviere - aber ich vermute das passt nicht ganz? Das selbst signierte zu löschen habe ich bisher nicht versucht, da dies wohl mit dem HTTPS-Proxy zusammenhängt...
Jetzt fängt auch das Problem an, dass Mails teilweise nicht rausgehen wollen:
2020-10-22T08:33:30.559Z,EX2016.mailversand.mydomain.de,08D871305D53E403,2,,[2a01:238:20a:202:55f0::1133]:587,*,,"Failed to connect. Winsock error code: 10051, Win32 error code: 10051, Destination domain: smtp.strato.de, Error Message: Ein Socketvorgang bezog sich auf ein nicht verfügbares Netzwerk [2a01:238:20a:202:55f0::1133]:587."
Bin gerade etwas planlos....
Du kannst als erstel mal IPv6 und TLS ausschalten. Über Port 25 SMTP funktioniert das erst einmal problemlos. Dann machst du dir ein Zertifikat von Letsencrypt und haust es auf den Watchguard und auf den Exchange. Das Zertifikat im Browser bekannt zu machen reicht da nicht, weil die internetweiten Email Server das Zertifikat im Browser nicht sehen - selbst ein lokals Mail Client Progrsamm nicht.
Meinst du im Exchange IPv6 und TLS oder auf der Watchguard? Exchange soll man ja nicht ....
Auf Exchange und Watchguard. Auf Watchguard werden die externen zugreifen und Exchange wird von intern zugegriffen. Also sollten beide das Zertifikat besitzen. Du kannst das interne auch über ein anderes Zertifikat machen, wenn du es dann an alle Clients verteilst. Letsencrypt hat den Vorteil, dass es bereits alle automatisch akzeptieren und es muss nicht mehr verteilt werden.
Zitat von @westberliner:
Meinst du im Exchange IPv6 und TLS oder auf der Watchguard? Exchange soll man ja nicht ....
Meinst du im Exchange IPv6 und TLS oder auf der Watchguard? Exchange soll man ja nicht ....
Nein, in der Microsoft Infrastruktur sollte man IPv6 nicht deaktivieren:
IPv6 is a mandatory part of Windows Vista and Windows Server 2008 and newer versions. We do not recommend that you disable IPv6 or its components. If you do, some Windows components may not function.
