11
Exchange 2016, NDR, "TLS is required"
Hallo.
Wir betreiben einen On-Premise Exchange 2016 unter Windows Server 2016 Standard (VM unter HYPER-V 2016).
Domänenfunktionsebene Windows 2016.
OS und Exchange sind aktuell gepatcht, Exchange hat auch schon CU23 und auch die nachfolgenden, kleineren Sicherheitsupdates erhalten.
Der Exchange läuft an sich wie ein Glöckchen, es gibt nur seltenst mal Probleme.
Aktuell meldet uns ein Absender, mit dem wir öfter zu tun haben, daß er an uns (und nur an uns) keine einzige E-Mail herausbringt, er erhält stets einen NDR mit der Meldung "tls session is required, but the server did not offer tls support".
Was und vor allem bei wem läuft da schief?
Der Absender behauptet - erwartungsgemäß - das läge an uns. Wir erhalten aber ständig alle möglichen E-Mails von extern, an alle unsere Postfächer (gerne auch Junk und Spam
). Ich habe auch von den Anwendern keine Beschwerden, daß erwartete externe Mails etwa nicht einträfen. Außer von dem einen Absender 
.
Wenn wir alles von extern kriegen, außer von dem Einen, dann sind wir doch nicht krank, oder?
Der Absender - ich konnte noch nicht mit der dortigen IT sprechen, sondern bloß mit einem betroffenen Anwender - konnte mir nicht sagen, welches Mailsystem dort im Einsatz ist, er redete bloß was von "Hetzner", vermutlich haben die auch einen Exchange, der aber bei Hetzner gemietet rumsteht.
Weiß jemand, was die NDR-Meldung bedeutet, und ob wir da was tun können oder müssen?
Aus den wenigen Google-Suchergebnissen zu der Meldung werde ich nicht richtig schlau.
Vielen Dank.
Viele Grüße
von
departure69
Wir betreiben einen On-Premise Exchange 2016 unter Windows Server 2016 Standard (VM unter HYPER-V 2016).
Domänenfunktionsebene Windows 2016.
OS und Exchange sind aktuell gepatcht, Exchange hat auch schon CU23 und auch die nachfolgenden, kleineren Sicherheitsupdates erhalten.
Der Exchange läuft an sich wie ein Glöckchen, es gibt nur seltenst mal Probleme.
Aktuell meldet uns ein Absender, mit dem wir öfter zu tun haben, daß er an uns (und nur an uns) keine einzige E-Mail herausbringt, er erhält stets einen NDR mit der Meldung "tls session is required, but the server did not offer tls support".
Was und vor allem bei wem läuft da schief?
Der Absender behauptet - erwartungsgemäß - das läge an uns. Wir erhalten aber ständig alle möglichen E-Mails von extern, an alle unsere Postfächer (gerne auch Junk und Spam
). Ich habe auch von den Anwendern keine Beschwerden, daß erwartete externe Mails etwa nicht einträfen. Außer von dem einen Absender .Wenn wir alles von extern kriegen, außer von dem Einen, dann sind wir doch nicht krank, oder?
Der Absender - ich konnte noch nicht mit der dortigen IT sprechen, sondern bloß mit einem betroffenen Anwender - konnte mir nicht sagen, welches Mailsystem dort im Einsatz ist, er redete bloß was von "Hetzner", vermutlich haben die auch einen Exchange, der aber bei Hetzner gemietet rumsteht.
Weiß jemand, was die NDR-Meldung bedeutet, und ob wir da was tun können oder müssen?
Aus den wenigen Google-Suchergebnissen zu der Meldung werde ich nicht richtig schlau.
Vielen Dank.
Viele Grüße
von
departure69
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 3756873681
Url: https://administrator.de/contentid/3756873681
Ausgedruckt am: 21.11.2024 um 20:11 Uhr
11 Kommentare
Neuester Kommentar
Moin,
der komplette NDR wäre interessant. Allein die Meldung ist imho schwierig zu beantworten, wer jetzt was meldet.
Gruß
der komplette NDR wäre interessant. Allein die Meldung ist imho schwierig zu beantworten, wer jetzt was meldet.
Gruß
@ArnoNymous:
Danke für Deine Antwort.
Der wollte mir den NDR bzw. einen Screenshot davon ja zusenden, aber auch mich erreicht er nicht per Mail
Viele Grüße
von
departure69
Danke für Deine Antwort.
Der wollte mir den NDR bzw. einen Screenshot davon ja zusenden, aber auch mich erreicht er nicht per Mail
Viele Grüße
von
departure69
Könnt ihr denn Mails an diesen Absender schicken?
Könnt ihr denn Mails an diesen Absender schicken?
Ja, so kam das ja erst auf. Unsere Chefsekretärin hat dorthin geschrieben, und der Externe wollte per Mail antworten. Seither kriegt er diese NDRs, nicht nur beim Versuch, an die Chefsekretärin zu antworten, sondern z. B. auch bei Mails an mich.
Ich hab' ihn jetzt gebeten, den kompletten NDR mal ausnahmsweise an meine private E-Mail-Adresse zu schicken, sobald ich da was kriege, stell' ich's hier rein.
Viele Grüße
von
departure69
Moin,
@departure69:
hast Du keine Möglichkeit, Dir Screenshot ggf. per Word-Datei o.ä. zu besorgen per Cloudspeicher (z.B. BayernBox, WeTransfer o.ä.)?
Gruß
VGem-e
@departure69:
hast Du keine Möglichkeit, Dir Screenshot ggf. per Word-Datei o.ä. zu besorgen per Cloudspeicher (z.B. BayernBox, WeTransfer o.ä.)?
Gruß
VGem-e
Steht euer Exchange im MX-Record und nimmt die E-Mails von außen an? Oder steht da irgendwas dazwischen?
Die Ursache scheint ja, dass ihr keine verschlüsselte Verbindung für die Einlieferung anbietet. Das ist zwar per Standard optional und es muss auch ohne Verschlüsselung gehen, aber da scheiden sich mittlerweile die Geister drüber. Gemäß Standard ist der Absender jedenfalls im Unrecht.
Ich nehme an, dass euer Exchange TLS auf Port 25 anbietet. Wenn da aber eine Firewall davor steht, die selbst SMTP macht, ist das vielleicht dort abgeschaltet.
Ansonsten könntet ihr ja von extern mal per "telnet" auf Port 25 verbinden und schauen, ob STARTTLS angeboten wird.
Und wegen dem NDR, der nicht ankommt: Sowohl ihr als auch der Absender habt doch vielleicht noch die Möglichkeit, Faxe zu verschicken oder zu empfangen
Die Ursache scheint ja, dass ihr keine verschlüsselte Verbindung für die Einlieferung anbietet. Das ist zwar per Standard optional und es muss auch ohne Verschlüsselung gehen, aber da scheiden sich mittlerweile die Geister drüber. Gemäß Standard ist der Absender jedenfalls im Unrecht.
Ich nehme an, dass euer Exchange TLS auf Port 25 anbietet. Wenn da aber eine Firewall davor steht, die selbst SMTP macht, ist das vielleicht dort abgeschaltet.
Ansonsten könntet ihr ja von extern mal per "telnet" auf Port 25 verbinden und schauen, ob STARTTLS angeboten wird.
Und wegen dem NDR, der nicht ankommt: Sowohl ihr als auch der Absender habt doch vielleicht noch die Möglichkeit, Faxe zu verschicken oder zu empfangen
1
@VGem-e:
Servus.
Theoretisch natürlich ja, aber der Betroffene, mit dem ich dauernd verhandele (wie gesagt, dortige IT noch nicht erreichbar gewesen), ist bloß genervt, ich kann von Glück sagen, wenn der's hinkriegt, mir vom NDR einen Screenshot an meine private Mail zu senden. Dem jetzt einen Cloud-Upload anzubieten, würd' ihn überfordern.
Viele Grüße
von
departure69
Servus.
hast Du keine Möglichkeit, Dir Screenshot ggf. per Word-Datei o.ä. zu besorgen per Cloudspeicher
Theoretisch natürlich ja, aber der Betroffene, mit dem ich dauernd verhandele (wie gesagt, dortige IT noch nicht erreichbar gewesen), ist bloß genervt, ich kann von Glück sagen, wenn der's hinkriegt, mir vom NDR einen Screenshot an meine private Mail zu senden. Dem jetzt einen Cloud-Upload anzubieten, würd' ihn überfordern.
Viele Grüße
von
departure69
@LordGurke:
Ja.
"Steht" klingt mir zu mächtig, aber natürlich müssen die Mails zuerst noch eine Firewall (Mikrotik RB 1016) und dann noch eine Messaging Security (von Trend Micro) passieren. Aber ich denke, das ist normal, mußte mir noch nie Gedanken darüber machen.
Möglich, aber wie und woher hätte ich wissen sollen oder können, eine solche anbieten zu müssen? Und wie das zu bewerkstelligen ist? Ich installiere immer alle Updates für Exchange, das war's.
Das klingt gut.
Möglich, keine Ahnung. Firewall habe ich oben genannt. Aber was die im Einzelnen so ganz genau treibet, weiß nur das Systemhaus, das diese wartet. SMTP an der Firewall? Glaube ich zumindest nicht.
Was ist dazu genau zu tun? Wie geht das?
Erstmal vielen dank für Deine Anmerkungen
.
Viele Grüße
von
departure69
Steht euer Exchange im MX-Record und nimmt die E-Mails von außen an?
Ja.
Oder steht da irgendwas dazwischen?
"Steht" klingt mir zu mächtig, aber natürlich müssen die Mails zuerst noch eine Firewall (Mikrotik RB 1016) und dann noch eine Messaging Security (von Trend Micro) passieren. Aber ich denke, das ist normal, mußte mir noch nie Gedanken darüber machen.
Die Ursache scheint ja, dass ihr keine verschlüsselte Verbindung für die Einlieferung anbietet.
Möglich, aber wie und woher hätte ich wissen sollen oder können, eine solche anbieten zu müssen? Und wie das zu bewerkstelligen ist? Ich installiere immer alle Updates für Exchange, das war's.
Gemäß Standard ist der Absender jedenfalls im Unrecht.
Das klingt gut
.Ich nehme an, dass euer Exchange TLS auf Port 25 anbietet. Wenn da aber eine Firewall davor steht, die selbst SMTP macht, ist das vielleicht dort abgeschaltet.
Möglich, keine Ahnung. Firewall habe ich oben genannt. Aber was die im Einzelnen so ganz genau treibet, weiß nur das Systemhaus, das diese wartet. SMTP an der Firewall? Glaube ich zumindest nicht.
Ansonsten könntet ihr ja von extern mal per "telnet" auf Port 25 verbinden und schauen, ob STARTTLS angeboten wird.
Was ist dazu genau zu tun? Wie geht das?
Erstmal vielen dank für Deine Anmerkungen
.Viele Grüße
von
departure69
Moin,
klingt für mich, mit denen gegeben Infos, danach, dass der Absender eine verschlüsselte Verbindung erfordert! Eine Kommunikation mit einem Mail-Server (=Dienst, der Mails annimmt, egal ob Firewall, AntiSpam-Engine, Exchange, ...), der keine Verschlüsselung zulässt, wird dann abgelehnt.
Was du tun kannst/ musst:
Prüfe, wer aus Sicht des WANs als aller erstes Mails (auf Port 25) entgegen nimmt. Wenn der schon keine Verschlüsselung anbietet/ oder eine veraltete nutzt. Muss der als erstes gerade gezogen werden.
Ich tippe hier auf euren TrendMicro. Der mikrotik wird die Mails nur stumpf forwarden (Vermtung!).
Danach geht es weiter: Wenn Trendmicro TLS anbietet, musst du den Exchange prüfen.
<Edit>aus dem NDR sollte auch hervorgehen, wer der generierende Server ist. Das wäre, neben der Fehlernummer/ dem -text ebenfalls eine wichtige Info</edit>
Hilfe-Links:
https://docs.trendmicro.com/en-us/enterprise/trend-micro-email-security- ...
https://docs.trendmicro.com/de-de/enterprise/hosted-email-security-admin ...
https://www.frankysweb.de/exchange-server-und-tls-1-2/
klingt für mich, mit denen gegeben Infos, danach, dass der Absender eine verschlüsselte Verbindung erfordert! Eine Kommunikation mit einem Mail-Server (=Dienst, der Mails annimmt, egal ob Firewall, AntiSpam-Engine, Exchange, ...), der keine Verschlüsselung zulässt, wird dann abgelehnt.
Was du tun kannst/ musst:
Prüfe, wer aus Sicht des WANs als aller erstes Mails (auf Port 25) entgegen nimmt. Wenn der schon keine Verschlüsselung anbietet/ oder eine veraltete nutzt. Muss der als erstes gerade gezogen werden.
Ich tippe hier auf euren TrendMicro. Der mikrotik wird die Mails nur stumpf forwarden (Vermtung!).
Danach geht es weiter: Wenn Trendmicro TLS anbietet, musst du den Exchange prüfen.
<Edit>aus dem NDR sollte auch hervorgehen, wer der generierende Server ist. Das wäre, neben der Fehlernummer/ dem -text ebenfalls eine wichtige Info</edit>
Hilfe-Links:
https://docs.trendmicro.com/en-us/enterprise/trend-micro-email-security- ...
https://docs.trendmicro.com/de-de/enterprise/hosted-email-security-admin ...
https://www.frankysweb.de/exchange-server-und-tls-1-2/
@em-pie:
Danke für die ausführliche Information.
Sobald ich den vollen Wortlaut des NDR habe, melde ich mich nochmal.
Viele Grüße
von
departure69
Danke für die ausführliche Information.
Sobald ich den vollen Wortlaut des NDR habe, melde ich mich nochmal.
Viele Grüße
von
departure69
Nabend.
Gib mal in das entsprechende Feld euren Domain Namen ein (E-Mail Adresse: uwe.mueller@freitag.de > freitag.de eingeben):
https://www.checktls.com/TestReceiver?LEVEL=DETAIL&
Dort bekommst du dann angezeigt, ob diese Domäne auch StartTLS anbietet.
Das sollte dort zu lesen sein:
Dann weißt du, ob anklopfende Mail Server TLS angeboten bekommen.
Gruß
Marc
Gib mal in das entsprechende Feld euren Domain Namen ein (E-Mail Adresse: uwe.mueller@freitag.de > freitag.de eingeben):
https://www.checktls.com/TestReceiver?LEVEL=DETAIL&
Dort bekommst du dann angezeigt, ob diese Domäne auch StartTLS anbietet.
Das sollte dort zu lesen sein:
250-STARTTLS
250-ENHANCEDSTATUSCODES
250-8BITMIME
250-SMTPUTF8
250 CHUNKING
[000.341] We can use this server
[000.341] TLS is an option on this server
[000.341] ‑‑> STARTTLS
[000.449] <‑‑ 220 2.0.0 Ready to start TLS
[000.450] STARTTLS command works on this serverDann weißt du, ob anklopfende Mail Server TLS angeboten bekommen.
Gruß
Marc
3
