ComputerBase Menü
Aktuelles

Mails kommen mit aktiviertem TLS nicht an bei einem Empfänger

M

Michi777

Commander
Registriert
Apr. 2009
Beiträge
2.235
Liebe Community!

Exchange 2010\SBS2011 das System.

wir haben einen Partner, welcher unsere Mails nicht bekommt wenn TLS aktiviert ist.
Wenn es deaktiviert ist gehen die Mails durch - unlogisch da ja meist ein sensibel eingestellter Zielserver ältere TLS Versionen nicht annimmt.
Ich habe fast keine Erfahrung mit TLS, es war voreingestellt vom Jahr 2013 und Exchange ist eines der fordernsten Themen für mich.

Fragen:
1)Was könnte es da haben und wie komme ich zu einer Lösung?
2)Kann ich TLS nur generell ein\ausschalten oder kann ich je Empfängerdomäne etwas festlegen d.h. für diesen Partner deaktivieren?

...in nächsten Monaten wird eh auf neue Serverlandschaft umgestellt, aber eine schnelle Lösung muss dazwischen her für das Problem.

Vielen Dank!
 
TLS, also Transport Layer Security, ist nur das Protokoll. Welcher Verschlüsselungsalgorithmus verwendet wird, wird bei der Verbindung ausgehandelt. Dabei tauschen sich beide Seiten über die nutzbaren Algorithmen und Schlüsselstärken aus.

Dabei werden ggf. auch bestimmte Versionen bzw. Schlüsselstärken von einem der beiden Kommunikationspartner vorausgesetzt. D.h. unterstützt der sendende Teilnehmer nicht die Mindestanforderungen an die Verschlüsselung des Empfängers, kommt die Verbindung nicht zu Stande.

Habt ihr diesbzgl. den Exchange 2010er aktuell gehalten? Ggf. erwartet der Server eures Partners Verfahren, die euer Server nicht kann. Oder umgekehrt, eurem Server ist der eures Partners zu unsicher.

Ggf. sind auch TLS Versionen unzulässigerweise zu unterschiedlich. Es gibt ja 1.0 bis 1.3, und wünschenswert ist natürlich immer nur die neueste Variante, bzw. kann das auch bei einem Server so voreingestellt sein, dass erst Verbindungen ab einer gewissen Protokollversion zugelassen werden.

Btw. wenn TLS deaktiviert ist, wird es schlicht nicht benutzt, und der Zielserver akzeptiert offenbar solche Verbindungen. Das ist gar nicht so unlogisch.

Eigentlich müsste Info über sowas in irgendwelchen Error-Logs auftauchen bzgl. des Mailversands.

Zertifikate aktuell und noch gültig?
 
Zuletzt bearbeitet:
Was sagen denn die Logs/Fehlermeldungen?
Gehen die Mail wirklich überhaupt nicht raus oder werden sie von der Gegenstelle abgewiesen?
Gibt es denn beim versenden an andere Empfänger Probleme oder nur bei dem einem?
 
Ich habe hier ein paar Screenshots für euch und sensible daten davor entfernt.
Weil TLS 1.2 auf no steht bei dem Test bin ich mir nun nicht sicher ob der kollege den befehl für temporäres deaktivieren reingetan hat - ich habe versucht unter Exchange - Sendeconnector nachzusehen jedoch habe ich noch nicht den Bereich gefunden wo ich sehe welche TLS Version und ob aktiv, ebenso nicht welche logs und wo die liegen - bitte um Hilfestellung dazu, bin da zu unerfahren.

Diese Befehle verwendete mein Kollege um temporäre Lösung zu bringen (je ein oder aus).
Set-Sendconnector -IgnoreSTARTTLS $true
Identity: SMTP MX

Set-Sendconnector -IgnoreSTARTTLS $false
Identity: SMTP MX


Empfänger sagt er bekommt von allen Anderen Firmen die Mails korrekt und wir senden\empfangen auch von allen anderen Partnern die Mails korrekt
 

Anhänge

  • screeny 1.png
    screeny 1.png
    27,7 KB · Aufrufe: 523
  • screeny 2.png
    screeny 2.png
    196,1 KB · Aufrufe: 525
Also das zweite Bild zeigt in der Summary links diverse Beschwerden über alte und/oder schwache Verschlüsselungsalgorithmen und zu alte unterstützte Protokolle. Letzteres muss kein Problem sein, sofern auch die aktuelleren Unterstützt werden. Aber offenbar ist das nur eingeschränkt der Fall, mit TLS1.0. Das kann und sollte sogar schonmal abgelehnt werden.

Offenbar unterschreitet ihr wirklich eine Mindestanforderung beim Empfänger. Was bei diesem katastrophalen Rating eures Servers auch nicht verwundert.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: abcddcba
@Grimba:
Das komische sobald TLS deaktiviert kommt es dort an, aber bei sensiblen Empfängern wie Banken wieder nicht.
Mhm, unlogisch das Ganze und die Antwort der fehlgeschlagenen Mail dauert so 4h nach Senden bis man Bescheid weiss.
 
Das ist nicht unlogisch.

Euer Partner akzeptiert halt einfach auch unverschlüsselte Verbindungen. Eigentlich sagt euch der Server eures Partners damit:"Wenn ihr das Verschlüsselung nennt, schickt's gleich unverschlüsselt, verarschen kann ich mich selber" :D Spaß beiseite. Ist halt die Entscheidung eures Partners, was den Server angeht.

Was die Dauer angeht, keinen Plan.

Banken akzeptieren hingegen vermutlich generell keine unverschlüsselten Verbindungen. Dennoch ist es selbstverständlich fragwürdig, bis zu welcher Protokollebene runter man dort noch Verbindungen akzeptiert. Aber das ist ein anderes Thema.

Bei dem Server finde ich es eher unlogisch, dass ihr nur so wenige Probleme habt.
 
Kann ich nun um das Problem zu lösen mit IIS Crypto 3.0 einfach TLS 1.2 anhaken und Reboot?
...klingt irgendwie zu einfach bzgl. neuer Verschlüsselung implementieren.

Sollte ich noch weitere Felder anhaken?
 

Anhänge

  • screeny 3.JPG
    screeny 3.JPG
    81,4 KB · Aufrufe: 452
Keine Ahnung, probiers.

Ggf. solltest du dich auch dringend mal erkundigen, was man für Cipher Suites (und Protokolle) besser abschaltet, im ureigensten Interesse. RC4 z.B. ist sowas von tot.

Du kannst natürlich jetzt erstmal alles anschalten an Protokollen und Cipher Suites, und dann schauen, ob die Mails durchkommen.

Bedenke aber: Dann geht euer Server aber auch so ziemlich jede noch so unsichere verschlüsselte Verbindung ein. Man muss sich halt immer überlegen: Je strikter man ist, desto eher läuft man Gefahr, nicht mehr mit Servern sprechen zu können, die nicht so aktuell sind, sofern man das muss.

Umgekehrt kann man bei einem Server, der jedes noch so alte und gebrochene Verschlüsselungsverfahren akzeptiert wohl kaum von einer sicheren Verbindung sprechen.

Hier sollte man schon regelmäßig mal nachjustieren, und sich vor allem auch regelmäßig informieren, welche Verfahren und Protokolle man noch unterstützen sollte und welche nicht.

Wo, wie was? Keine Ahnung, ich bin kein Admin. Da du den Server wartest, vermutlich du schon.

TLS 1.2 wäre auf jeden Fall ein Anfang.
 
Ja also ich werde mich nun darum bemühen dieses einzelne Problem (einzelner Empfänger kriegt Mails nicht) annehmen.
Tiefere Konfigurationen am alten Exchange nicht mehr machen, weil die neue Serverlandschaft (DL380 g10 + Server 2019 + Exchange 2016 on HyperV) bald umgesetzt wird und dort ist dann alles bestens konfiguriert.
 
Konnte nun erfolgreich an den betroffenen Empfänger senden und ebenso zu einem sicherheitssensiblen Empfänger (TLS 1.2 vorausgesetzt).
Das Tool IIS Crypto ist wirklich toll.
 
Wenn ich mir den Zustand des aktuellen Servers anschaue und dann diese Quintessenz ...
Michi777 schrieb:
dieses einzelne Problem (einzelner Empfänger kriegt Mails nicht)
Zum Vergrößern anklicken....
... nach allen gegebenen Anregungen lese, die mich doch etwas daran zweifeln lässt, dass hier verstanden worden ist, dass es hier eben nicht nur um die "mechanische Komponente" (1 Empfänger kriegt Mails nicht) geht, so kann ich dem hier ...
Evil E-Lex schrieb:
Damit würde ich keinesfalls warten, bis der Server ausgetauscht wird. Das hätte schon vor Jahren passieren müssen. Aber wie immer gilt: Vorher verstehen und testen.
Zum Vergrößern anklicken....
... nur vollständig und nachdrücklich beipflichten. Denn ...
Michi777 schrieb:
die neue Serverlandschaft (DL380 g10 + Server 2019 + Exchange 2016 on HyperV)
Zum Vergrößern anklicken....
... ist nämlich kein Allheilmittel, auf das man dann in Zukunft kein Auge mehr haben braucht, bis der nächste Server in 5 Jahren die Mails verweigert und man dann ggf. mal nachbessern muss. So schön sich die Buzzwords auch in Reihe packen lassen, das Thema Verschlüsselung lässt sich nicht auf ein an/aus-Häkchen reduzieren!
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Evil E-Lex
Genau das ist einer der Gründe, warum man seinen Exchange nicht direkt mit der Außenwelt kommunizieren lässt, sondern das Ganze Giraffel über einen Smarthost (auch SMTP-Relay-Server genannt) sendet und empfängt, der dafür vom Hersteller vorgesehen ist. Viele E-Mail-Security- / -Archive-Appliances können das alles richtig von Haus aus. Der Exchange spricht dann intern nur noch mit der der Appliance und die erledigt den Rest. Oftmals sind dadurch auch Mandatory-TLS Verbindungen usw. viel einfacher zu konfigurieren.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

R
Outlook mails kommen nicht an
2
Antworten
23
Aufrufe
640
rushfox
R
M
Mailversand mit Blat funktioniert nicht bei größeren Mailgruppen (Mails kommen nicht an)
Antworten
17
Aufrufe
2.045
cumulonimbus8
cumulonimbus8
L
Exchange/Outlook gesendete mails kommen nicht an
Antworten
9
Aufrufe
5.295
Lurandil
L
H
Domain und Mailprovider gewechselt: Mails kommen nicht an.
2
Antworten
32
Aufrufe
4.244
wiflow
wiflow
mr999
GMX E-Mails kommen erneut, also 2x im Laufe des Tages an in Outlook 2019
2 3
Antworten
47
Aufrufe
11.705
mr999
mr999
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 171 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz