Exchange 2016, NDR, "TLS is required"
Hallo.
Wir betreiben einen On-Premise Exchange 2016 unter Windows Server 2016 Standard (VM unter HYPER-V 2016).
Domänenfunktionsebene Windows 2016.
OS und Exchange sind aktuell gepatcht, Exchange hat auch schon CU23 und auch die nachfolgenden, kleineren Sicherheitsupdates erhalten.
Der Exchange läuft an sich wie ein Glöckchen, es gibt nur seltenst mal Probleme.
Aktuell meldet uns ein Absender, mit dem wir öfter zu tun haben, daß er an uns (und nur an uns) keine einzige E-Mail herausbringt, er erhält stets einen NDR mit der Meldung "tls session is required, but the server did not offer tls support".
Was und vor allem bei wem läuft da schief?
Der Absender behauptet - erwartungsgemäß - das läge an uns. Wir erhalten aber ständig alle möglichen E-Mails von extern, an alle unsere Postfächer (gerne auch Junk und Spam ). Ich habe auch von den Anwendern keine Beschwerden, daß erwartete externe Mails etwa nicht einträfen. Außer von dem einen Absender .
Wenn wir alles von extern kriegen, außer von dem Einen, dann sind wir doch nicht krank, oder?
Der Absender - ich konnte noch nicht mit der dortigen IT sprechen, sondern bloß mit einem betroffenen Anwender - konnte mir nicht sagen, welches Mailsystem dort im Einsatz ist, er redete bloß was von "Hetzner", vermutlich haben die auch einen Exchange, der aber bei Hetzner gemietet rumsteht.
Weiß jemand, was die NDR-Meldung bedeutet, und ob wir da was tun können oder müssen?
Aus den wenigen Google-Suchergebnissen zu der Meldung werde ich nicht richtig schlau.
Vielen Dank.
Viele Grüße
von
departure69
Wir betreiben einen On-Premise Exchange 2016 unter Windows Server 2016 Standard (VM unter HYPER-V 2016).
Domänenfunktionsebene Windows 2016.
OS und Exchange sind aktuell gepatcht, Exchange hat auch schon CU23 und auch die nachfolgenden, kleineren Sicherheitsupdates erhalten.
Der Exchange läuft an sich wie ein Glöckchen, es gibt nur seltenst mal Probleme.
Aktuell meldet uns ein Absender, mit dem wir öfter zu tun haben, daß er an uns (und nur an uns) keine einzige E-Mail herausbringt, er erhält stets einen NDR mit der Meldung "tls session is required, but the server did not offer tls support".
Was und vor allem bei wem läuft da schief?
Der Absender behauptet - erwartungsgemäß - das läge an uns. Wir erhalten aber ständig alle möglichen E-Mails von extern, an alle unsere Postfächer (gerne auch Junk und Spam ). Ich habe auch von den Anwendern keine Beschwerden, daß erwartete externe Mails etwa nicht einträfen. Außer von dem einen Absender .
Wenn wir alles von extern kriegen, außer von dem Einen, dann sind wir doch nicht krank, oder?
Der Absender - ich konnte noch nicht mit der dortigen IT sprechen, sondern bloß mit einem betroffenen Anwender - konnte mir nicht sagen, welches Mailsystem dort im Einsatz ist, er redete bloß was von "Hetzner", vermutlich haben die auch einen Exchange, der aber bei Hetzner gemietet rumsteht.
Weiß jemand, was die NDR-Meldung bedeutet, und ob wir da was tun können oder müssen?
Aus den wenigen Google-Suchergebnissen zu der Meldung werde ich nicht richtig schlau.
Vielen Dank.
Viele Grüße
von
departure69
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 3756873681
Url: https://administrator.de/forum/exchange-2016-ndr-tls-is-required-3756873681.html
Ausgedruckt am: 24.12.2024 um 19:12 Uhr
11 Kommentare
Neuester Kommentar
Moin,
@departure69:
hast Du keine Möglichkeit, Dir Screenshot ggf. per Word-Datei o.ä. zu besorgen per Cloudspeicher (z.B. BayernBox, WeTransfer o.ä.)?
Gruß
VGem-e
@departure69:
hast Du keine Möglichkeit, Dir Screenshot ggf. per Word-Datei o.ä. zu besorgen per Cloudspeicher (z.B. BayernBox, WeTransfer o.ä.)?
Gruß
VGem-e
Steht euer Exchange im MX-Record und nimmt die E-Mails von außen an? Oder steht da irgendwas dazwischen?
Die Ursache scheint ja, dass ihr keine verschlüsselte Verbindung für die Einlieferung anbietet. Das ist zwar per Standard optional und es muss auch ohne Verschlüsselung gehen, aber da scheiden sich mittlerweile die Geister drüber. Gemäß Standard ist der Absender jedenfalls im Unrecht.
Ich nehme an, dass euer Exchange TLS auf Port 25 anbietet. Wenn da aber eine Firewall davor steht, die selbst SMTP macht, ist das vielleicht dort abgeschaltet.
Ansonsten könntet ihr ja von extern mal per "telnet" auf Port 25 verbinden und schauen, ob STARTTLS angeboten wird.
Und wegen dem NDR, der nicht ankommt: Sowohl ihr als auch der Absender habt doch vielleicht noch die Möglichkeit, Faxe zu verschicken oder zu empfangen
Die Ursache scheint ja, dass ihr keine verschlüsselte Verbindung für die Einlieferung anbietet. Das ist zwar per Standard optional und es muss auch ohne Verschlüsselung gehen, aber da scheiden sich mittlerweile die Geister drüber. Gemäß Standard ist der Absender jedenfalls im Unrecht.
Ich nehme an, dass euer Exchange TLS auf Port 25 anbietet. Wenn da aber eine Firewall davor steht, die selbst SMTP macht, ist das vielleicht dort abgeschaltet.
Ansonsten könntet ihr ja von extern mal per "telnet" auf Port 25 verbinden und schauen, ob STARTTLS angeboten wird.
Und wegen dem NDR, der nicht ankommt: Sowohl ihr als auch der Absender habt doch vielleicht noch die Möglichkeit, Faxe zu verschicken oder zu empfangen
Moin,
klingt für mich, mit denen gegeben Infos, danach, dass der Absender eine verschlüsselte Verbindung erfordert! Eine Kommunikation mit einem Mail-Server (=Dienst, der Mails annimmt, egal ob Firewall, AntiSpam-Engine, Exchange, ...), der keine Verschlüsselung zulässt, wird dann abgelehnt.
Was du tun kannst/ musst:
Prüfe, wer aus Sicht des WANs als aller erstes Mails (auf Port 25) entgegen nimmt. Wenn der schon keine Verschlüsselung anbietet/ oder eine veraltete nutzt. Muss der als erstes gerade gezogen werden.
Ich tippe hier auf euren TrendMicro. Der mikrotik wird die Mails nur stumpf forwarden (Vermtung!).
Danach geht es weiter: Wenn Trendmicro TLS anbietet, musst du den Exchange prüfen.
<Edit>aus dem NDR sollte auch hervorgehen, wer der generierende Server ist. Das wäre, neben der Fehlernummer/ dem -text ebenfalls eine wichtige Info</edit>
Hilfe-Links:
https://docs.trendmicro.com/en-us/enterprise/trend-micro-email-security- ...
https://docs.trendmicro.com/de-de/enterprise/hosted-email-security-admin ...
https://www.frankysweb.de/exchange-server-und-tls-1-2/
klingt für mich, mit denen gegeben Infos, danach, dass der Absender eine verschlüsselte Verbindung erfordert! Eine Kommunikation mit einem Mail-Server (=Dienst, der Mails annimmt, egal ob Firewall, AntiSpam-Engine, Exchange, ...), der keine Verschlüsselung zulässt, wird dann abgelehnt.
Was du tun kannst/ musst:
Prüfe, wer aus Sicht des WANs als aller erstes Mails (auf Port 25) entgegen nimmt. Wenn der schon keine Verschlüsselung anbietet/ oder eine veraltete nutzt. Muss der als erstes gerade gezogen werden.
Ich tippe hier auf euren TrendMicro. Der mikrotik wird die Mails nur stumpf forwarden (Vermtung!).
Danach geht es weiter: Wenn Trendmicro TLS anbietet, musst du den Exchange prüfen.
<Edit>aus dem NDR sollte auch hervorgehen, wer der generierende Server ist. Das wäre, neben der Fehlernummer/ dem -text ebenfalls eine wichtige Info</edit>
Hilfe-Links:
https://docs.trendmicro.com/en-us/enterprise/trend-micro-email-security- ...
https://docs.trendmicro.com/de-de/enterprise/hosted-email-security-admin ...
https://www.frankysweb.de/exchange-server-und-tls-1-2/
Nabend.
Gib mal in das entsprechende Feld euren Domain Namen ein (E-Mail Adresse: uwe.mueller@freitag.de > freitag.de eingeben):
https://www.checktls.com/TestReceiver?LEVEL=DETAIL&
Dort bekommst du dann angezeigt, ob diese Domäne auch StartTLS anbietet.
Das sollte dort zu lesen sein:
Dann weißt du, ob anklopfende Mail Server TLS angeboten bekommen.
Gruß
Marc
Gib mal in das entsprechende Feld euren Domain Namen ein (E-Mail Adresse: uwe.mueller@freitag.de > freitag.de eingeben):
https://www.checktls.com/TestReceiver?LEVEL=DETAIL&
Dort bekommst du dann angezeigt, ob diese Domäne auch StartTLS anbietet.
Das sollte dort zu lesen sein:
250-STARTTLS
250-ENHANCEDSTATUSCODES
250-8BITMIME
250-SMTPUTF8
250 CHUNKING
[000.341] We can use this server
[000.341] TLS is an option on this server
[000.341] ‑‑> STARTTLS
[000.449] <‑‑ 220 2.0.0 Ready to start TLS
[000.450] STARTTLS command works on this server
Dann weißt du, ob anklopfende Mail Server TLS angeboten bekommen.
Gruß
Marc