Zum Inhalt wechseln


Foto

Exchange 2016 TLS negotiation failed with error SocketError


  • Bitte melde dich an um zu Antworten
10 Antworten in diesem Thema

#1 TheCracked

TheCracked

    Board Veteran

  • 788 Beiträge

 

Geschrieben 12. September 2017 - 07:41

Hallo Zusammen,

 

ein Kunde kann uns keine eMail senden.

Er bekommt angeblich nach X Tagen erst eine unzustellbarkeitsmail.

 

Im Log habe ich nachstehendes gefunden:

2017-09-11T12:57:12.066Z,EXCHANGE2016\Default Frontend EXCHANGE2016,08D4EF690315F3AD,0,10.10.40.120:25,62.245.x.x:25717,+,,
2017-09-11T12:57:12.067Z,EXCHANGE2016\Default Frontend EXCHANGE2016,08D4EF690315F3AD,1,10.10.40.120:25,62.245.x.x:25717,>,"220 exchange2016.DOMAIN.local Microsoft ESMTP MAIL Service ready at Mon, 11 Sep 2017 14:57:11 +0200",
2017-09-11T12:57:12.079Z,EXCHANGE2016\Default Frontend EXCHANGE2016,08D4EF690315F3AD,2,10.10.40.120:25,62.245.x.x:25717,<,EHLO mail1.KUNDE.de,
2017-09-11T12:57:12.080Z,EXCHANGE2016\Default Frontend EXCHANGE2016,08D4EF690315F3AD,3,10.10.40.120:25,62.245.x.x:25717,>,250  exchange2016.DOMAIN.local Hello [62.245.x.x] SIZE 37748736 PIPELINING DSN ENHANCEDSTATUSCODES STARTTLS X-ANONYMOUSTLS AUTH NTLM X-EXPS GSSAPI NTLM 8BITMIME BINARYMIME CHUNKING XRDST,
2017-09-11T12:57:12.092Z,EXCHANGE2016\Default Frontend EXCHANGE2016,08D4EF690315F3AD,4,10.10.40.120:25,62.245.x.x:25717,<,STARTTLS,
2017-09-11T12:57:12.093Z,EXCHANGE2016\Default Frontend EXCHANGE2016,08D4EF690315F3AD,5,10.10.40.120:25,62.245.x.x:25717,>,220 2.0.0 SMTP server ready,
2017-09-11T12:57:12.093Z,EXCHANGE2016\Default Frontend EXCHANGE2016,08D4EF690315F3AD,6,10.10.40.120:25,62.245.x.x:25717,*," CN=mx01.DOMAIN.de, OU=XXX, O=xxxx, L=XXXX, S=xxx, C=DE CN=DOMAIN, DC=DOMAIN, DC=local 210000005AxxxA01128C3§DAE18C9C1400020000005A 4BDD0EDD3048F77B7B57258D28E5A51755D3D98C 2017-08-23T09:36:25.000Z 2019-08-23T09:36:25.000Z mx01.DOMAIN.de;exchange2016.DOMAIN.local;AutoDiscover.DOMAIN.local;AutoDiscover.DOMAIN.de;exchange2016;DOMAIN.local;DOMAIN.de",Sending certificate Subject Issuer name Serial number Thumbprint Not before Not after Subject alternate names
2017-09-11T12:57:12.110Z,EXCHANGE2016\Default Frontend EXCHANGE2016,08D4EF690315F3AD,7,10.10.40.120:25,62.245.x.x:25717,*,,TLS negotiation failed with error SocketError
2017-09-11T12:57:12.110Z,EXCHANGE2016\Default Frontend EXCHANGE2016,08D4EF690315F3AD,8,10.10.40.120:25,62.245.x.x:25717,-,,Remote(SocketError)

Liegt das am Kunde.. oder an unserem Exchange?

 

 

Viele Grüße

TC


Bearbeitet von TheCracked, 12. September 2017 - 07:41.


#2 Nobbyaushb

Nobbyaushb

    Board Veteran

  • 2.629 Beiträge

 

Geschrieben 12. September 2017 - 07:44

Ist das das Log vom Kunden oder Eures?

 

;)


Mfg aus Bremen

 

Norbert (der andere :))

MVP Exchange Server


#3 testperson

testperson

    Board Veteran

  • 4.510 Beiträge

 

Geschrieben 12. September 2017 - 07:57

Generell ist es in so einem Fall am einfachsten, die Gegenseite anzurufen und zusammen an dem Problem zu arbeiten.

 

Ansonsten, wenn der Exchange direkt am Netz hängt, IIS Crypto mit Best Practice ausführen und durchbooten. Wenn euer Zertifikat der Gegenseite dann passt, solltet Ihr auf eurer Seite schonmal gut aufgestellt sein.


Good morning, that's a nice TNETENNBA!

#4 TheCracked

TheCracked

    Board Veteran

  • 788 Beiträge

 

Geschrieben 12. September 2017 - 08:00

Das ist unser Log..


 

Ansonsten, wenn der Exchange direkt am Netz hängt, IIS Crypto mit Best Practice ausführen und durchbooten. 

 

Das habe ich bei der Migration des Exchange schon einmal gemacht..

 

Bin noch die Logs bisschen durchgegangen.

Dabei ist mir noch die gute postbank aufgefallen. Hier steht genau die gleiche Meldung im Log.


Bearbeitet von TheCracked, 12. September 2017 - 08:21.


#5 testperson

testperson

    Board Veteran

  • 4.510 Beiträge

 

Geschrieben 12. September 2017 - 08:20

Hängt noch etwas vor eurem Exchange was ggfs. im SMTP Traffic rumpfuschen könnte?

Kann der Virenscanner evtl. durch ein Update im SMTP Traffic rumpfuschen?


Good morning, that's a nice TNETENNBA!

#6 TheCracked

TheCracked

    Board Veteran

  • 788 Beiträge

 

Geschrieben 12. September 2017 - 08:27

Also davor ist eine Firewall die unter anderem auch Virenscan oder SSL Inspection betreibt..

Liegt es eventuell an dem.. 

Dann frage ich mich nur, warum es unter exchange2010 nie so ein Problem gab.. 



#7 testperson

testperson

    Board Veteran

  • 4.510 Beiträge

 

Geschrieben 12. September 2017 - 08:39

Es wäre zumindest möglich. Manchmal gibt es halt Updates die zu viel wollen oder nicht richtig wollen ;)

 

Du NATtest an der Firewall Port 25 auf den Exchange obwohl deine Firewall als Mail-Gateway laufen könnte?


Good morning, that's a nice TNETENNBA!

#8 TheCracked

TheCracked

    Board Veteran

  • 788 Beiträge

 

Geschrieben 12. September 2017 - 08:46

Es wäre zumindest möglich. Manchmal gibt es halt Updates die zu viel wollen oder nicht richtig wollen ;)

 

 

Und was kann man hier tun? :)

 

 

Du NATtest an der Firewall Port 25 auf den Exchange obwohl deine Firewall als Mail-Gateway laufen könnte?

 

 

..muss ich passen..

Ob es so laufen könnte kann ich nicht bestätigen. Da müsste ich nachforschen.

Da bin ich nicht so sehr im Thema um ehrlich zu sein.

 

Nächstes Jahr wird das teil ausgewechselt, da ergibt sich vielleicht eine gute Gelegenheit das anderst zu machen.



#9 testperson

testperson

    Board Veteran

  • 4.510 Beiträge

 

Geschrieben 12. September 2017 - 08:52

Und was kann man hier tun? :)

 

Den Admin dieses ominösen Gerätes befragen?

Den Hersteller Support kontaktieren?

Die Firmware / Software des Gerätes aktualisieren?

Die "Features" für den Exchange (oder tesetweise global) deaktivieren?


Good morning, that's a nice TNETENNBA!

#10 TheCracked

TheCracked

    Board Veteran

  • 788 Beiträge

 

Geschrieben 12. September 2017 - 09:56

mir stellt sich gerade noch grundsätzlich die Frage, was das für ein "Problem/Fehler" ist.

Hier kommt einfach die Verbindung nicht zustande oder wie? 



#11 testperson

testperson

    Board Veteran

  • 4.510 Beiträge

 

Geschrieben 12. September 2017 - 10:10

_Irgendwas_ kommt ja zustande. Sonst würdest du in den Logs vom Exchange nix finden. Verschlüsselte Übertragungen finden ein ggfs. (stümperhaft) stattfindendes Man in the Middle immer schlecht.

 

Am einfachste dürfte es immer noch sein, die Gegenseite einfach anzurufen und mit denen zu sprechen.

Dein Zertifikat  "mx01.DOMAIN.de;exchange2016.DOMAIN.local;AutoDiscover.DOMAIN.local;AutoDiscover.DOMAIN.de;exchange2016;DOMAIN.local;DOMAIN.de" sieht stark nach Self-Signed aus. Evtl. möchte der Absender das nicht akzeptieren oder er hat anderweitige "Probleme" / Anforderungen an Zertifikate.


Good morning, that's a nice TNETENNBA!