Exchange 2016 - sporadische TLS Unavailable Fehler

Mitglied: westberliner

westberliner (Level 1) - Jetzt verbinden

21.10.2020 um 17:03 Uhr, 704 Aufrufe, 10 Kommentare

Hallo Zusammen,

ich habe hier einen Exchange 2016 mit einer Watchguard Firewall davor.

Der Exchange ist per Static-Nat von aussen erreichbar konfiguriert - geht soweit.

Jedoch habe ich sporadisch das Problem, dass Emails, welche mit TLS-Verschlüsselung gesendet werden, nicht oder stark zeitverzögert ankommen - aber ich komme nicht dahinter warum. TLS ist in den Konnektoren auf den Standardwerten soweit eingerichtet, Port 587 ist offen zum Exchange und nach draußen.


Der Absender bekommt folgende Mail:

Remote Server returned '< #5.0.0 smtp; 5.4.7 - Delivery expired (message too old) 'TLS Unavailable' (delivery attempts: 0)>'

Der generierende Server ist allerdings nicht mein Exchange, sondern ein anderer - mir unbekannter von iphmx.com - scheint irgendein Relay vom Kunden zu sein oder whatever...

Nun - vermute ja aber fast, dass es dennoch irgendwo ein Problem auf meiner Seite gibt, da ich teilweise E-Mails von einer Bank ebenfalls einfach nicht bekommen habe.

Wo könnte ich hier suchen bzw. was könnte die Ursache sein?
Mitglied: Luci0815
21.10.2020, aktualisiert um 18:16 Uhr
TLS-Inspection im SMTP-Proxy auf der Watchguard deaktivieren. Außerdem solltest du ein Mailgateway deinem Exchange vorschalten
Bitte warten ..
Mitglied: mbehrens
21.10.2020 um 18:14 Uhr
Zitat von westberliner:

ich habe hier einen Exchange 2016 mit einer Watchguard Firewall davor.

Der Exchange ist per Static-Nat von aussen erreichbar konfiguriert - geht soweit.

Kein Proxy Dienst trotz davorgeschalteter Firewall?

Jedoch habe ich sporadisch das Problem, dass Emails, welche mit TLS-Verschlüsselung gesendet werden, nicht oder stark zeitverzögert ankommen - aber ich komme nicht dahinter warum. TLS ist in den Konnektoren auf den Standardwerten soweit eingerichtet, Port 587 ist offen zum Exchange und nach draußen.

Warum wird da irgendetwas auf Port 587 gemacht?

Der Absender bekommt folgende Mail:

Remote Server returned '< #5.0.0 smtp; 5.4.7 - Delivery expired (message too old) 'TLS Unavailable' (delivery attempts: 0)>'

Der generierende Server ist allerdings nicht mein Exchange, sondern ein anderer - mir unbekannter von iphmx.com - scheint irgendein Relay vom Kunden zu sein oder whatever...

Nun - vermute ja aber fast, dass es dennoch irgendwo ein Problem auf meiner Seite gibt, da ich teilweise E-Mails von einer Bank ebenfalls einfach nicht bekommen habe.

Wo könnte ich hier suchen bzw. was könnte die Ursache sein?

Näheres findet sich in den Logbüchern der an der Kommunikation beteiligten Systeme.
Bitte warten ..
Mitglied: NordicMike
22.10.2020 um 09:36 Uhr
Wie oben bereits erwähnt, könntest du bei dem Watchguard mal den SMTP Proxy einschalten. Dann hast du auch gleich zusätzliche Protokollmöglichkeit.
Welches Zertifikat kam beim Exchange zum Einsatz?
Bitte warten ..
Mitglied: westberliner
22.10.2020 um 10:36 Uhr
Hallo Zusammen,

der SMTP Proxy ist bereits bei der Watchguard aktiv, das Logging ebenfalls - wobei ich hier nicht schlau draus werde. TLS Inspection ist aus.

Zertifikat ist ein offiziell ausgestelltes für den Mailserver.

Das einzige, was mir bisher im Zusammenhang mit TLS auffiel, ist beim Test über https://de.ssl-tools.net, dass er mir hier das selbstsignierte Zertifikat der Watchguard anzeigt. Ich habe zwar in der Firebox mein Zertifikat hochgeladen, aber unschlüssig, was passiert, wenn ich dort das default Proxy Zertifikat lösche....
Bitte warten ..
Mitglied: NordicMike
22.10.2020, aktualisiert um 11:13 Uhr
dass er mir hier das selbstsignierte Zertifikat der Watchguard anzeigt.
Das bedeutet, dass es sich nicht um eine Portweiterleitung handelt, sondern der Watchguard der Kommunikationspartner ist bzw die Email annimmt. Das wäre auch gut so. Dieser benötigt natürlich ebenfalls das Zertifikat für den FQDN, wie er von Aussen erreichbar ist, also so eines, wie es Exchange gerade hat.
Bitte warten ..
Mitglied: westberliner
22.10.2020 um 12:32 Uhr
Hallo NordicMike,

hast du Erfahrungen in dem Thema? Ich habe zwar das Cert bei der Firebox hochgeladen, jedoch nicht als Standard Proxy Cert ausgewählt - somit habe ich sowohl das selbst signierte der Firebox drin als auch mein offizielles. Watchguard selbst meint hier, dass das Cert automatisch gezogen wird, sobald ich TLS aktiviere - aber ich vermute das passt nicht ganz? Das selbst signierte zu löschen habe ich bisher nicht versucht, da dies wohl mit dem HTTPS-Proxy zusammenhängt...

Jetzt fängt auch das Problem an, dass Mails teilweise nicht rausgehen wollen:

2020-10-22T08:33:30.559Z,EX2016.mailversand.mydomain.de,08D871305D53E403,2,,[2a01:238:20a:202:55f0::1133]:587,*,,"Failed to connect. Winsock error code: 10051, Win32 error code: 10051, Destination domain: smtp.strato.de, Error Message: Ein Socketvorgang bezog sich auf ein nicht verfügbares Netzwerk [2a01:238:20a:202:55f0::1133]:587."

Bin gerade etwas planlos....
Bitte warten ..
Mitglied: NordicMike
22.10.2020 um 13:09 Uhr
Du kannst als erstel mal IPv6 und TLS ausschalten. Über Port 25 SMTP funktioniert das erst einmal problemlos. Dann machst du dir ein Zertifikat von Letsencrypt und haust es auf den Watchguard und auf den Exchange. Das Zertifikat im Browser bekannt zu machen reicht da nicht, weil die internetweiten Email Server das Zertifikat im Browser nicht sehen - selbst ein lokals Mail Client Progrsamm nicht.
Bitte warten ..
Mitglied: westberliner
22.10.2020 um 15:00 Uhr
Meinst du im Exchange IPv6 und TLS oder auf der Watchguard? Exchange soll man ja nicht ....
Bitte warten ..
Mitglied: NordicMike
22.10.2020 um 15:43 Uhr
Auf Exchange und Watchguard. Auf Watchguard werden die externen zugreifen und Exchange wird von intern zugegriffen. Also sollten beide das Zertifikat besitzen. Du kannst das interne auch über ein anderes Zertifikat machen, wenn du es dann an alle Clients verteilst. Letsencrypt hat den Vorteil, dass es bereits alle automatisch akzeptieren und es muss nicht mehr verteilt werden.
Bitte warten ..
Mitglied: mbehrens
23.10.2020 um 00:55 Uhr
Zitat von westberliner:

Meinst du im Exchange IPv6 und TLS oder auf der Watchguard? Exchange soll man ja nicht ....

Nein, in der Microsoft Infrastruktur sollte man IPv6 nicht deaktivieren:

IPv6 is a mandatory part of Windows Vista and Windows Server 2008 and newer versions. We do not recommend that you disable IPv6 or its components. If you do, some Windows components may not function.
Bitte warten ..
Heiß diskutierte Inhalte
Router & Routing
Lancom Router Site to Site Problem mit Außenstellen
gelöst mossoxFrageRouter & Routing24 Kommentare

Guten Tag zusammen, in der Hauptgeschäftsstelle nutzen wir einen Lancom 1781VA Router und haben i.d.R. zwei gleichzeitige IPSec Site ...

Netzwerke
Sporadische Ausfälle im gesamten Heimnetz
gelöst bilbo-dvdFrageNetzwerke20 Kommentare

Guten Morgen, ich habe einen Kabelanschluss bei Vodafone und mein Tarif wurde im März auf CableMax 1000 umgestellt. Ich ...

Router & Routing
RDP nur im internen Netz möglich nicht aber per vpn?
einfach112FrageRouter & Routing18 Kommentare

Hallo zusammen. Beim Kunden habe ich einen Server mit VMWARE laufen. Darauf ein Windows Server 2016 Essentials als VM ...

Sicherheit
Sicherheit oder bessere Benutzbarkeit?
StefanKittelFrageSicherheit17 Kommentare

Hallo, ich habe eine Webanwendung programmiert und sehe mich nun mit einer Frage zur Benutzbarkeit konfrontiert. Bei der Anmeldung ...

Internet
Über meinen WAN ist lidl.de nicht ereichbar
gelöst NetGodFrageInternet16 Kommentare

Hallo zusammen, mit meinem DTAG-Anschluß ist derzeit kein Durchkommen zu www.lidl.de möglich. Zu den selben Zeitpunkten ist es aber ...

Apache Server
Wer installiert mir Jitsi-meet mit Stun- Turn-Server und wartet dies?
gelöst default-userFrageApache Server16 Kommentare

Nachdem ich mit der Audio- und Videoqualität der meisten angebotenen Videokonferenz-Lösungen nicht zufrieden bin, möchte ich einen eigenen Jitsi-meet-Server ...

Ähnliche Inhalte
Vmware

ESXI Windows 2016 RDS sporadisch "offline"

ThabeusFrageVmware13 Kommentare

Moin, evtl. hat hier jemand dieses etwas ausergewöhnliche "Problemchen" auch schon gehabt. Zur Struktur: ESXI mit vcenter Installierte Server ...

Microsoft Office

Rechtschreibung in Outlook 2016 deaktiviert sich sporadisch

FaranosFrageMicrosoft Office3 Kommentare

Hallo zusammen, ich habe seit mehreren Wochen ein Problem und komme einfach nicht weiter. Ich habe bemerkt, dass die ...

Outlook & Mail

Outlook 2016 findet sporadisch keine neuen Mails

dressaFrageOutlook & Mail1 Kommentar

Hallo miteinander. Ich habe seit mehreren Monaten das Problem das mein Outlook 2016 bei meinem IMAP - Konto ab ...

Exchange Server

Exchange 2016 cu8 Verbindung Powershell schlägt fehl

blackhawk17FrageExchange Server8 Kommentare

Guten Abend, ich wollte heute 2 ganz frische Exchange Server 2016 auf Microsoft Server 2016 installieren . Die Installation ...

Exchange Server

Outlook 2016 - Verschlüsselung mit Zertifikat schlägt fehl

gelöst damoglessFrageExchange Server14 Kommentare

Hallo, Ich verwende: Exchenge 2013 Outlook 2016 Kostenloses Comodo Zertifikat zur E-Mail Signierung und Verschlüsselung Folgendes Problem: Ich habe ...

Netzwerke

OpenVPN TLS

121851FrageNetzwerke4 Kommentare

Hallo zusammen, habe mir mir einen OpenVPN Server aufgesetzt und der funktioniert. Habe jetzt mal in die Logdatei gesehen ...

Neue Fragen
Administrator Magazin
11 | 2020 Virtualisierung ist aus der IT nicht mehr wegzudenken. In der November-Ausgabe des IT-Administrator Magazins dreht sich der Schwerpunkt um das Thema "Server- und Storage-Virtualisierung". Darin erfahren Sie, wie sich die Virtualisierungstechnologie entwickelt hat, welche Varianten es im Bereich Server und Speicher gibt und wie ...
Neue Beiträge
Neue Jobangebote
Server- und Storage-VirtualisierungServer- und Storage-VirtualisierungBerechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid Cloud