departure69
Goto Top

Exchange 2016, NDR, "TLS is required"

Hallo.

Wir betreiben einen On-Premise Exchange 2016 unter Windows Server 2016 Standard (VM unter HYPER-V 2016).

Domänenfunktionsebene Windows 2016.

OS und Exchange sind aktuell gepatcht, Exchange hat auch schon CU23 und auch die nachfolgenden, kleineren Sicherheitsupdates erhalten.

Der Exchange läuft an sich wie ein Glöckchen, es gibt nur seltenst mal Probleme.

Aktuell meldet uns ein Absender, mit dem wir öfter zu tun haben, daß er an uns (und nur an uns) keine einzige E-Mail herausbringt, er erhält stets einen NDR mit der Meldung "tls session is required, but the server did not offer tls support".

Was und vor allem bei wem läuft da schief?

Der Absender behauptet - erwartungsgemäß - das läge an uns. Wir erhalten aber ständig alle möglichen E-Mails von extern, an alle unsere Postfächer (gerne auch Junk und Spam face-wink). Ich habe auch von den Anwendern keine Beschwerden, daß erwartete externe Mails etwa nicht einträfen. Außer von dem einen Absender face-sad.

Wenn wir alles von extern kriegen, außer von dem Einen, dann sind wir doch nicht krank, oder?

Der Absender - ich konnte noch nicht mit der dortigen IT sprechen, sondern bloß mit einem betroffenen Anwender - konnte mir nicht sagen, welches Mailsystem dort im Einsatz ist, er redete bloß was von "Hetzner", vermutlich haben die auch einen Exchange, der aber bei Hetzner gemietet rumsteht.

Weiß jemand, was die NDR-Meldung bedeutet, und ob wir da was tun können oder müssen?

Aus den wenigen Google-Suchergebnissen zu der Meldung werde ich nicht richtig schlau.

Vielen Dank.

Viele Grüße

von

departure69

Content-ID: 3756873681

Url: https://administrator.de/forum/exchange-2016-ndr-tls-is-required-3756873681.html

Ausgedruckt am: 24.12.2024 um 19:12 Uhr

ArnoNymous
ArnoNymous 26.08.2022 um 10:27:40 Uhr
Goto Top
Moin,

der komplette NDR wäre interessant. Allein die Meldung ist imho schwierig zu beantworten, wer jetzt was meldet.

Gruß
departure69
departure69 26.08.2022 um 10:31:26 Uhr
Goto Top
@ArnoNymous:

Danke für Deine Antwort.

Der wollte mir den NDR bzw. einen Screenshot davon ja zusenden, aber auch mich erreicht er nicht per Mail face-sad


Viele Grüße

von

departure69
ArnoNymous
ArnoNymous 26.08.2022 um 10:39:27 Uhr
Goto Top
Könnt ihr denn Mails an diesen Absender schicken?
departure69
departure69 26.08.2022 um 10:57:44 Uhr
Goto Top
Könnt ihr denn Mails an diesen Absender schicken?

Ja, so kam das ja erst auf. Unsere Chefsekretärin hat dorthin geschrieben, und der Externe wollte per Mail antworten. Seither kriegt er diese NDRs, nicht nur beim Versuch, an die Chefsekretärin zu antworten, sondern z. B. auch bei Mails an mich.

Ich hab' ihn jetzt gebeten, den kompletten NDR mal ausnahmsweise an meine private E-Mail-Adresse zu schicken, sobald ich da was kriege, stell' ich's hier rein.

Viele Grüße

von

departure69
VGem-e
VGem-e 26.08.2022 um 10:57:59 Uhr
Goto Top
Moin,

@departure69:
hast Du keine Möglichkeit, Dir Screenshot ggf. per Word-Datei o.ä. zu besorgen per Cloudspeicher (z.B. BayernBox, WeTransfer o.ä.)?

Gruß
VGem-e
LordGurke
LordGurke 26.08.2022 um 11:03:26 Uhr
Goto Top
Steht euer Exchange im MX-Record und nimmt die E-Mails von außen an? Oder steht da irgendwas dazwischen?

Die Ursache scheint ja, dass ihr keine verschlüsselte Verbindung für die Einlieferung anbietet. Das ist zwar per Standard optional und es muss auch ohne Verschlüsselung gehen, aber da scheiden sich mittlerweile die Geister drüber. Gemäß Standard ist der Absender jedenfalls im Unrecht.

Ich nehme an, dass euer Exchange TLS auf Port 25 anbietet. Wenn da aber eine Firewall davor steht, die selbst SMTP macht, ist das vielleicht dort abgeschaltet.
Ansonsten könntet ihr ja von extern mal per "telnet" auf Port 25 verbinden und schauen, ob STARTTLS angeboten wird.

Und wegen dem NDR, der nicht ankommt: Sowohl ihr als auch der Absender habt doch vielleicht noch die Möglichkeit, Faxe zu verschicken oder zu empfangen face-wink
departure69
departure69 26.08.2022 um 11:44:38 Uhr
Goto Top
@VGem-e:

Servus.

hast Du keine Möglichkeit, Dir Screenshot ggf. per Word-Datei o.ä. zu besorgen per Cloudspeicher

Theoretisch natürlich ja, aber der Betroffene, mit dem ich dauernd verhandele (wie gesagt, dortige IT noch nicht erreichbar gewesen), ist bloß genervt, ich kann von Glück sagen, wenn der's hinkriegt, mir vom NDR einen Screenshot an meine private Mail zu senden. Dem jetzt einen Cloud-Upload anzubieten, würd' ihn überfordern.

Viele Grüße

von

departure69
departure69
departure69 26.08.2022 um 11:52:50 Uhr
Goto Top
@LordGurke:

Steht euer Exchange im MX-Record und nimmt die E-Mails von außen an?

Ja.

Oder steht da irgendwas dazwischen?

"Steht" klingt mir zu mächtig, aber natürlich müssen die Mails zuerst noch eine Firewall (Mikrotik RB 1016) und dann noch eine Messaging Security (von Trend Micro) passieren. Aber ich denke, das ist normal, mußte mir noch nie Gedanken darüber machen.

Die Ursache scheint ja, dass ihr keine verschlüsselte Verbindung für die Einlieferung anbietet.

Möglich, aber wie und woher hätte ich wissen sollen oder können, eine solche anbieten zu müssen? Und wie das zu bewerkstelligen ist? Ich installiere immer alle Updates für Exchange, das war's.

Gemäß Standard ist der Absender jedenfalls im Unrecht.

Das klingt gut face-wink.

Ich nehme an, dass euer Exchange TLS auf Port 25 anbietet. Wenn da aber eine Firewall davor steht, die selbst SMTP macht, ist das vielleicht dort abgeschaltet.

Möglich, keine Ahnung. Firewall habe ich oben genannt. Aber was die im Einzelnen so ganz genau treibet, weiß nur das Systemhaus, das diese wartet. SMTP an der Firewall? Glaube ich zumindest nicht.

Ansonsten könntet ihr ja von extern mal per "telnet" auf Port 25 verbinden und schauen, ob STARTTLS angeboten wird.

Was ist dazu genau zu tun? Wie geht das?

Erstmal vielen dank für Deine Anmerkungen face-smile.

Viele Grüße

von

departure69
em-pie
em-pie 26.08.2022 aktualisiert um 13:51:24 Uhr
Goto Top
Moin,

klingt für mich, mit denen gegeben Infos, danach, dass der Absender eine verschlüsselte Verbindung erfordert! Eine Kommunikation mit einem Mail-Server (=Dienst, der Mails annimmt, egal ob Firewall, AntiSpam-Engine, Exchange, ...), der keine Verschlüsselung zulässt, wird dann abgelehnt.

Was du tun kannst/ musst:
Prüfe, wer aus Sicht des WANs als aller erstes Mails (auf Port 25) entgegen nimmt. Wenn der schon keine Verschlüsselung anbietet/ oder eine veraltete nutzt. Muss der als erstes gerade gezogen werden.
Ich tippe hier auf euren TrendMicro. Der mikrotik wird die Mails nur stumpf forwarden (Vermtung!).

Danach geht es weiter: Wenn Trendmicro TLS anbietet, musst du den Exchange prüfen.

<Edit>aus dem NDR sollte auch hervorgehen, wer der generierende Server ist. Das wäre, neben der Fehlernummer/ dem -text ebenfalls eine wichtige Info</edit>


Hilfe-Links:
https://docs.trendmicro.com/en-us/enterprise/trend-micro-email-security- ...
https://docs.trendmicro.com/de-de/enterprise/hosted-email-security-admin ...
https://www.frankysweb.de/exchange-server-und-tls-1-2/
departure69
departure69 26.08.2022 um 14:09:27 Uhr
Goto Top
@em-pie:

Danke für die ausführliche Information.

Sobald ich den vollen Wortlaut des NDR habe, melde ich mich nochmal.

Viele Grüße

von

departure69
radiogugu
radiogugu 26.08.2022, aktualisiert am 28.08.2022 um 15:26:29 Uhr
Goto Top
Nabend.

Gib mal in das entsprechende Feld euren Domain Namen ein (E-Mail Adresse: uwe.mueller@freitag.de > freitag.de eingeben):

https://www.checktls.com/TestReceiver?LEVEL=DETAIL&amp

Dort bekommst du dann angezeigt, ob diese Domäne auch StartTLS anbietet.

Das sollte dort zu lesen sein:

250-STARTTLS
250-ENHANCEDSTATUSCODES
250-8BITMIME
250-SMTPUTF8
250 CHUNKING
[000.341] 		We can use this server
[000.341] 		TLS is an option on this server
[000.341] 	‑‑> 	STARTTLS
[000.449] 	<‑‑ 	220 2.0.0 Ready to start TLS
[000.450] 		STARTTLS command works on this server

Dann weißt du, ob anklopfende Mail Server TLS angeboten bekommen.

Gruß
Marc