meinerjunge 10 Geschrieben 14. April 2014 Autor Melden Teilen Geschrieben 14. April 2014 Hallo, danke für eure Beiträge und sorry dass ich erst jetz antworte. Laut Log nutzt Du aber TLS. Welche Cipherlänge ist bei Dir im Einsatz? Schau mal hier rein: http://www.mcseboard.de/topic/194460-exchange-2003-mails-von-gmx-kommen-nicht-an-tls/ Cipher ist RC4-MD5. Bzgl. TLS: War im Sende- und Empfangs-Connector deaktiviert. Habe es aktiviert, ändert aber nichts daran, dass die Mails nicht zugestellt werden könne (Fehlermeldung bleibt gleich). Andere STMP-Verbindungen (z.B. nach T-online) wurden ohne TLS durchgeführt, nur bei Web.De und GMX wird eine TLS-Verbindung (laut Log) benutzt. MfG Meiner Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 14. April 2014 Melden Teilen Geschrieben 14. April 2014 Moui, ich könnte mir gut vorstellen, dass Cipher RC4-MD5 nicht von der gegenüberliegenden Seite akzeptiert wird, da beides als geknackt gilt. Zitieren Link zu diesem Kommentar
meinerjunge 10 Geschrieben 14. April 2014 Autor Melden Teilen Geschrieben 14. April 2014 Moui, ich könnte mir gut vorstellen, dass Cipher RC4-MD5 nicht von der gegenüberliegenden Seite akzeptiert wird, da beides als geknackt gilt. Danke, das wars, Cipher per Windows-Hotfix nach AES gestellt, schon läuft der Mailverkehr wieder sauber. Danke für Eure Hilfe! Zitieren Link zu diesem Kommentar
michael0101 10 Geschrieben 16. April 2014 Melden Teilen Geschrieben 16. April 2014 Hallo Newbie, kannst du mir sagen wie du genau vorgegangen bist?Also welchen Patch du eingespielt hast? Bzw. wo ich sehen kann, welche Verschlüsselung derzeit aktiv ist? und was du sonst aktivieren musstest? [Zertifikat?] Danke Michael Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 16. April 2014 Melden Teilen Geschrieben 16. April 2014 Folge dem Link, Luke. Da wirst Du finden verlinkten Patch für Windows Server 2003: http://support.microsoft.com/kb/948963 RC4 deaktivierst Du dann: http://support.microsoft.com/kb/2868725 Zitieren Link zu diesem Kommentar
rch 0 Geschrieben 22. April 2014 Melden Teilen Geschrieben 22. April 2014 Hallo zusammen! Ich habe das gleiche Problem. Exchange 2007 und Mails and web.de und gmx.de gehen nicht raus, wegen der SSL Negotiation. Den Hotfix habe ich eingespielt, dennoch keine Besserung. Es wird Smarthost benutzt. Muss ich die TLS Standard Auth aktivieren in den Connectoren? Ist ein Portchange von nöten? Danke schon einmal Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 22. April 2014 Melden Teilen Geschrieben 22. April 2014 Moin, wo steht denn der Smarthost? Wenn Du den nutzt, gehen ja die Mails über diesen und nicht direkt an web.de oder gmx.de. Zitieren Link zu diesem Kommentar
samy-samson 10 Geschrieben 28. Mai 2014 Melden Teilen Geschrieben 28. Mai 2014 Hallo zusammen, ich hoffe es ist nicht schlimm dass ich das Thema nochmal aufwärme aber es passt einfach sehr gut. Ich habe eigentlich das gleiche Problem nur mit bei Strato gehosteten Domains. Ich habe einen Exchange 2007 (SBS 2008). Die gleiche Fehlermeldung wie "meinerjunge" im ersten Post. In der ServerQueue: 451 4.4.0 Primary target IP responded with: "421 4.4.1 connection timed out." Attempted Failover to alternate Host, but that did not success. Either there are no alternate Hosts, or delivery failed to all alternate hosts. und auch ein fast gleichen Fehlereintrag im SMTP Connector Logfile. 2014-05-28T00:03:17.960Z,Sendeconnector,xx,0,,81.169.145.98:25,*,,attempting to connect 2014-05-28T00:03:17.986Z,Sendeconnector,xx,1,eigeneIP:18281,81.169.145.98:25,+,, 2014-05-28T00:03:18.008Z,Sendeconnector,xx,2,eigeneIP:18281,81.169.145.98:25,<,220 smtp.rzone.de ESMTP RZmta 34.2 ready (mi12), 2014-05-28T00:03:18.008Z,Sendeconnector,xx,3,eigeneIP:18281,81.169.145.98:25,>,EHLO xx, 2014-05-28T00:03:18.030Z,Sendeconnector,xx,4,eigeneIP:18281,81.169.145.98:25,<,250-smtp.rzone.de greets eigeneIP, 2014-05-28T00:03:18.031Z,Sendeconnector,xx,5,eigeneIP:18281,81.169.145.98:25,<,250-ENHANCEDSTATUSCODES, 2014-05-28T00:03:18.031Z,Sendeconnector,xx,6,eigeneIP:18281,81.169.145.98:25,<,250-8BITMIME, 2014-05-28T00:03:18.031Z,Sendeconnector,xx,7,eigeneIP:18281,81.169.145.98:25,<,250-PIPELINING, 2014-05-28T00:03:18.031Z,Sendeconnector,xx,8,eigeneIP:18281,81.169.145.98:25,<,250-DELIVERBY, 2014-05-28T00:03:18.031Z,Sendeconnector,xx,9,eigeneIP:18281,81.169.145.98:25,<,250-SIZE 104857600, 2014-05-28T00:03:18.031Z,Sendeconnector,xx,10,eigeneIP:18281,81.169.145.98:25,<,250-STARTTLS, 2014-05-28T00:03:18.031Z,Sendeconnector,xx,11,eigeneIP:18281,81.169.145.98:25,<,250 HELP, 2014-05-28T00:03:18.031Z,Sendeconnector,xx,12,eigeneIP:18281,81.169.145.98:25,>,STARTTLS, 2014-05-28T00:03:18.052Z,Sendeconnector,xx,13,eigeneIP:18281,81.169.145.98:25,<,220 Ready to start TLS, 2014-05-28T00:03:18.052Z,Sendeconnector,xx,14,eigeneIP:18281,81.169.145.98:25,*,,Sending certificate 2014-05-28T00:03:18.052Z,Sendeconnector,xx,15,eigeneIP:18281,81.169.145.98:25,*,"CN=XX",Certificate subject 2014-05-28T00:03:18.052Z,Sendeconnector,xx,16,eigeneIP:18281,81.169.145.98:25,*,"CN=XX",Certificate issuer name 2014-05-28T00:03:18.052Z,Sendeconnector,xx,17,eigeneIP:18281,81.169.145.98:25,*,xxxxxxxxxxxxxxxxxxxxxxx,Certificate serial number 2014-05-28T00:03:18.052Z,Sendeconnector,xx,18,eigeneIP:18281,81.169.145.98:25,*,yyyyyyyyyyyyyyyyyyyyyyy,Certificate thumbprint 2014-05-28T00:03:18.053Z,Sendeconnector,xx,19,eigeneIP:18281,81.169.145.98:25,*,XX;www.XX,Certificate alternate names 2014-05-28T00:03:18.133Z,Sendeconnector,xx,20,eigeneIP:18281,81.169.145.98:25,-,,Local 2014-05-28T00:03:18.134Z,Sendeconnector,xx,0,,2a01:238:20a:202:50f0::2097:25,*,,attempting to connect 2014-05-28T00:03:18.137Z,Sendeconnector,xx,1,,2a01:238:20a:202:50f0::2097:25,*,,"Failed to connect. Error Code: 10051, Error Message: A socket operation was attempted to an unreachable network 2a01:238:20a:202:50f0::2097:25" Im Sendconnector ist unter Network auch "Enable Domain Security (Mutual Auth TLS)" angehakt. Die Mails werden von unserem Server direkt (ohne Smarthost etc.) gesendet und empfangen. Ich habe auch schon den Sendetest bei CheckTLS gemacht und der bringt folgendes: tls negotiation successful (cypher: AES128-SHA ... Da es sich wohl um eine AES128-SHA Verschlüsselung handelt habe ich die deaktivierung von RC4 (noch) nicht gemacht. So jetzt weiß ich nicht mehr weiter. Ich hoffe Ihr könnt damit etwas anfangen. Auf jeden Fall schonmal vielen Dank ;-) Samy Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 28. Mai 2014 Melden Teilen Geschrieben 28. Mai 2014 ich hoffe es ist nicht schlimm dass ich das Thema nochmal aufwärme aber es passt einfach sehr gut. Grundsätzlich häng Dich bitte nicht an andere Thread, vorallem, wenn Du selbst schon die Fehlerursache des Original-Threads (falscher Cipher) ausgeschlossen hast Im Sendconnector ist unter Network auch "Enable Domain Security (Mutual Auth TLS)" angehakt. Das würde ich abschalten und nur wieder einschalten, wenn man genau weiß, was das ist und das man es braucht. ;) Zitieren Link zu diesem Kommentar
samy-samson 10 Geschrieben 29. Mai 2014 Melden Teilen Geschrieben 29. Mai 2014 Hi Robert, danke erstmal für deine Antwort. Das Mutual TLS habe ich jetzt ausgeschaltet (nachdem ich mich etwas darüber belesen habe ;-)). Ich habe danach den Transport Service neu gestartet. Leider hat es das problem noch nicht gelöst. Soll ich das Thema nochmal in einem neuen Thread aufmachen oder wäre das dann doppelt schlecht? Grüße, Samy Zitieren Link zu diesem Kommentar
samy-samson 10 Geschrieben 30. Mai 2014 Melden Teilen Geschrieben 30. Mai 2014 Hallo Nochmal, ich habe jetzt trotzdem mal die drei Registryschlüssel gesetzt und den Transport Service neugestartet (reicht das eig. oder muss man alle Exchange Services neustarten?). Damit hat es (wie schon vermutet) auch noch nicht geklappt. Habt ihr noch Ideen? Was könnte ich noch versuchen oder testen? Ich muss das Problem langsam mal lösen :rolleyes: Ich danke euch, Grüße Samy Zitieren Link zu diesem Kommentar
samy-samson 10 Geschrieben 1. Juni 2014 Melden Teilen Geschrieben 1. Juni 2014 Hallo, ich habe weiter getestet. Strato hat mir geschrieben dass sie DHE-RSA-AES256-SHA zur Verschlüsselung nutzen. Ich habe daraufhin versucht das gleiche bei meinem Server einzustellen (mit dieser Anleitung: http://social.technet.microsoft.com/Forums/exchange/en-US/5830c533-38eb-4d88-92fe-6e1a02d7bac4/change-block-size-from-aes128-to-aes256-in-exchange-2007-for-forced-tls-to-an-external-receipient?forum=exchangesvrgenerallegacy ). Das hat leider nicht funktioniert (laut CheckTLS immernoch AES128-SHA). Des Weiteren hatte ich bei CheckTLS.com immer den Test Sender gemacht (weil ich ja versenden will was auch funktioniert). Jetzt habe ich auch mal den Test Receiver gemacht und habe folgendes erhalten: Checking Benutzer@domain.delooking up MX hosts on domain "domain.de" mail.domain.de (preference:20)Trying TLS on mail.domain.de[externe IP xx.xx.xx.xx] (20):seconds test stage and result[000.143] Connected to server[000.279] <-- 220 server.domain.local Microsoft ESMTP MAIL Service ready at Sun, 1 Jun 2014 16:13:21 +0200[000.280] We are allowed to connect[000.280] --> EHLO checktls.com[000.439] <-- 250-server.domain.local Hello [interne IP adresse xx.xx.xx.xx]250-SIZE250-PIPELINING250-DSN250-ENHANCEDSTATUSCODES250-X-ANONYMOUSTLS250-AUTH NTLM250-8BITMIME250 XRDST[000.440] We can use this server[000.440] TLS is not an option on this server[000.440] --> MAIL FROM: <test@checktls.com>[000.574] <-- 250 2.1.0 Sender OK[000.574] Sender is OK[000.575] --> RCPT TO: <benutzer@domain.de>[000.713] <-- 250 2.1.5 Recipient OK[000.714] Recipient OK, E-mail address proofed[000.714] --> QUIT[000.848] <-- 221 2.0.0 Service closing transmission channel Und da steht jetzt: TLS is not an option on this server. Jetzt stellt sich die Frage: Ich kann wohl mit TLS senden aber wohl nicht mit TLS empfangen? Ich will zwar an Stratodomains Mails schicken aber vielleicht liegt hier ja doch das Problem? Was fällt euch noch so ein? Danke und viele Grüße, Samy Zitieren Link zu diesem Kommentar
thaavic 0 Geschrieben 27. Oktober 2014 Melden Teilen Geschrieben 27. Oktober 2014 Hallo Gemeinde, @samy-samson: Konntest du das Problem mittlerweile lösen? Ich habe exakt das selbe Problem und komme nicht weiter. Habe ebenfalls DHE-RSA-AES256-SHA an erster Stelle stehen, dennoch zeigt mir CheckTLS, dass ich mit AES128 versende. Wobei ich aber glaube, dass das gar nicht das eigentliche Problem ist, denn ich habe einen Testserver der absolut frei von jeglichen Veränderungen ist. Dieser Testserver sendet ohne Probleme an Strato. Ich habe die Exchange Einstellungen alle überprüft, konnte aber keine Unterschiede ausmachen. AES128 steht dort in der Liste an erster Stelle und wurde von mir nicht verändert. Was mir aber aufgefallen ist: Ich habe mit beiden Servern bei CheckTLS einen Test gemacht und beide wurden mit SUCCESSFUL bestätigt. Mein Produktivsystem, dass nicht an Strato senden kann, versendet die E-Mails wohl mit Charset ISO-8859-1, denn in der E-Mail von CheckTLS steht ~~> Content-Type: text/plain; charset="iso-8859-1" ~~> Content-Transfer-Encoding: quoted-printable ~~> MIME-Version: 1.0 ~~> ~~> . Der Testserver der versenden kann hat aber das hier: ~~> Content-Type: text/plain; charset="utf-8" ~~> Content-Transfer-Encoding: base64 Ich habe echt keine Ahnung ob es daran liegen kann, aber ansonsten sind mir einfach keine Unterschiede aufgefallen. Komisch ist, dass ich auf dem Testserver diese Einstellungen nicht geändert habe. Weshalb ist dann einmal ISO-8859-1 und einmal UTF-8 eingestellt? Wenn also du oder jemand anderes noch irgendwelche Tipps für mich hat, wäre ich sehr dankbar. MfG Thaavic Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.