Exchange 2016 TLS negotiation failed with error SocketError

[TheCracked 13]

Hallo Zusammen,

 

ein Kunde kann uns keine eMail senden.

Er bekommt angeblich nach X Tagen erst eine unzustellbarkeitsmail.

 

Im Log habe ich nachstehendes gefunden:

2017-09-11T12:57:12.066Z,EXCHANGE2016\Default Frontend EXCHANGE2016,08D4EF690315F3AD,0,10.10.40.120:25,62.245.x.x:25717,+,,
2017-09-11T12:57:12.067Z,EXCHANGE2016\Default Frontend EXCHANGE2016,08D4EF690315F3AD,1,10.10.40.120:25,62.245.x.x:25717,>,"220 exchange2016.DOMAIN.local Microsoft ESMTP MAIL Service ready at Mon, 11 Sep 2017 14:57:11 +0200",
2017-09-11T12:57:12.079Z,EXCHANGE2016\Default Frontend EXCHANGE2016,08D4EF690315F3AD,2,10.10.40.120:25,62.245.x.x:25717,<,EHLO mail1.KUNDE.de,
2017-09-11T12:57:12.080Z,EXCHANGE2016\Default Frontend EXCHANGE2016,08D4EF690315F3AD,3,10.10.40.120:25,62.245.x.x:25717,>,250  exchange2016.DOMAIN.local Hello [62.245.x.x] SIZE 37748736 PIPELINING DSN ENHANCEDSTATUSCODES STARTTLS X-ANONYMOUSTLS AUTH NTLM X-EXPS GSSAPI NTLM 8BITMIME BINARYMIME CHUNKING XRDST,
2017-09-11T12:57:12.092Z,EXCHANGE2016\Default Frontend EXCHANGE2016,08D4EF690315F3AD,4,10.10.40.120:25,62.245.x.x:25717,<,STARTTLS,
2017-09-11T12:57:12.093Z,EXCHANGE2016\Default Frontend EXCHANGE2016,08D4EF690315F3AD,5,10.10.40.120:25,62.245.x.x:25717,>,220 2.0.0 SMTP server ready,
2017-09-11T12:57:12.093Z,EXCHANGE2016\Default Frontend EXCHANGE2016,08D4EF690315F3AD,6,10.10.40.120:25,62.245.x.x:25717,*," CN=mx01.DOMAIN.de, OU=XXX, O=xxxx, L=XXXX, S=xxx, C=DE CN=DOMAIN, DC=DOMAIN, DC=local 210000005AxxxA01128C3§DAE18C9C1400020000005A 4BDD0EDD3048F77B7B57258D28E5A51755D3D98C 2017-08-23T09:36:25.000Z 2019-08-23T09:36:25.000Z mx01.DOMAIN.de;exchange2016.DOMAIN.local;AutoDiscover.DOMAIN.local;AutoDiscover.DOMAIN.de;exchange2016;DOMAIN.local;DOMAIN.de",Sending certificate Subject Issuer name Serial number Thumbprint Not before Not after Subject alternate names
2017-09-11T12:57:12.110Z,EXCHANGE2016\Default Frontend EXCHANGE2016,08D4EF690315F3AD,7,10.10.40.120:25,62.245.x.x:25717,*,,TLS negotiation failed with error SocketError
2017-09-11T12:57:12.110Z,EXCHANGE2016\Default Frontend EXCHANGE2016,08D4EF690315F3AD,8,10.10.40.120:25,62.245.x.x:25717,-,,Remote(SocketError)

Liegt das am Kunde.. oder an unserem Exchange?

 

 

Viele Grüße

TC

bearbeitet 12. September 2017 von TheCracked

[Nobbyaushb 1.471]

Ist das das Log vom Kunden oder Eures?

 

;)

[testperson 1.680]

Generell ist es in so einem Fall am einfachsten, die Gegenseite anzurufen und zusammen an dem Problem zu arbeiten.

 

Ansonsten, wenn der Exchange direkt am Netz hängt, IIS Crypto mit Best Practice ausführen und durchbooten. Wenn euer Zertifikat der Gegenseite dann passt, solltet Ihr auf eurer Seite schonmal gut aufgestellt sein.

[TheCracked 13]

Das ist unser Log..

 

Ansonsten, wenn der Exchange direkt am Netz hängt, IIS Crypto mit Best Practice ausführen und durchbooten. 

 

Das habe ich bei der Migration des Exchange schon einmal gemacht..

 

Bin noch die Logs bisschen durchgegangen.

Dabei ist mir noch die gute postbank aufgefallen. Hier steht genau die gleiche Meldung im Log.

bearbeitet 12. September 2017 von TheCracked

[testperson 1.680]

Hängt noch etwas vor eurem Exchange was ggfs. im SMTP Traffic rumpfuschen könnte?

Kann der Virenscanner evtl. durch ein Update im SMTP Traffic rumpfuschen?

[TheCracked 13]

Also davor ist eine Firewall die unter anderem auch Virenscan oder SSL Inspection betreibt..

Liegt es eventuell an dem.. 

Dann frage ich mich nur, warum es unter exchange2010 nie so ein Problem gab.. 

[testperson 1.680]

Es wäre zumindest möglich. Manchmal gibt es halt Updates die zu viel wollen oder nicht richtig wollen ;)

 

Du NATtest an der Firewall Port 25 auf den Exchange obwohl deine Firewall als Mail-Gateway laufen könnte?

[TheCracked 13]

Es wäre zumindest möglich. Manchmal gibt es halt Updates die zu viel wollen oder nicht richtig wollen ;)

 

 

Und was kann man hier tun? :)

 

 

Du NATtest an der Firewall Port 25 auf den Exchange obwohl deine Firewall als Mail-Gateway laufen könnte?

 

 

..muss ich passen..

Ob es so laufen könnte kann ich nicht bestätigen. Da müsste ich nachforschen.

Da bin ich nicht so sehr im Thema um ehrlich zu sein.

 

Nächstes Jahr wird das teil ausgewechselt, da ergibt sich vielleicht eine gute Gelegenheit das anderst zu machen.

[testperson 1.680]

Und was kann man hier tun? :)

 

Den Admin dieses ominösen Gerätes befragen?

Den Hersteller Support kontaktieren?

Die Firmware / Software des Gerätes aktualisieren?

Die "Features" für den Exchange (oder tesetweise global) deaktivieren?

[TheCracked 13]

mir stellt sich gerade noch grundsätzlich die Frage, was das für ein "Problem/Fehler" ist.

Hier kommt einfach die Verbindung nicht zustande oder wie? 

[testperson 1.680]

_Irgendwas_ kommt ja zustande. Sonst würdest du in den Logs vom Exchange nix finden. Verschlüsselte Übertragungen finden ein ggfs. (stümperhaft) stattfindendes Man in the Middle immer schlecht.

 

Am einfachste dürfte es immer noch sein, die Gegenseite einfach anzurufen und mit denen zu sprechen.

Dein Zertifikat  "mx01.DOMAIN.de;exchange2016.DOMAIN.local;AutoDiscover.DOMAIN.local;AutoDiscover.DOMAIN.de;exchange2016;DOMAIN.local;DOMAIN.de" sieht stark nach Self-Signed aus. Evtl. möchte der Absender das nicht akzeptieren oder er hat anderweitige "Probleme" / Anforderungen an Zertifikate.