TLS Fehler?? Einige...
 
Benachrichtigungen
Alles löschen

TLS Fehler?? Einige Mails erreichen uns nicht.

5 Beiträge
3 Benutzer
0 Reactions
160 Ansichten
(@basinski)
Eminent Member
Beigetreten: Vor 3 Jahren
Beiträge: 17
Themenstarter  

Hallo zusammen, ich brauche mal Euer Wissen weil ich gerade etwas überfragt bin bzw. nicht genau weiß wo ich anfangen soll zu suchen. 
Ich habe einen Lieferanten welcher uns keine Emails zukommen lassen kann. 
Leider ist die Kommunikation etwas dürftig, deswegen kann mit dieser auch nicht groß weiterhelfen. 
Ich weiß nur, dass ich denen Emails senden kann und sofern diese darauf antworten kommt hier bei uns nichts an. Die Mails werden von deren Server nicht an unseren übermittelt.

Es kommt irgendwann bei denen eine Outlook Mitteilung, dass die Mail nicht übermittelt werden konnte weil der Remoteserver (also unserer) nicht geantwortet hat.

Wir bekommen aber Emails und können auch senden. Sollte also nicht das Problem sein. 
Als erstes habe ich TLS 1.2 in verdacht, da der Lieferant mir bestätigt hat, dass die Office365 nutzen! Also hab die Vermutung, dass deren Server nicht mit unserem kommunizieren will.

Ich bin mir auch ziemlich sicher, dass ich vor ein paar Monaten die TLS Sachen noch getestet hatte. Also hab ich mal https://www.checktls.com/TestReceiver geprüft.
Ergebnis: TLSCheck1.jpg

Das verwunderte mich jetzt allerdings völlig!! Ich also nochmal einen Test auf einer anderen Seite gemacht: 

Protocols
TLS 1.3 No
TLS 1.2 Yes
TLS 1.1 No
TLS 1.0 No
SSL 3 No
SSL 2 No

Cipher Suites

# TLS 1.2 (suites in server-preferred order)
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030)   ECDH secp384r1 (eq. 7680 bits RSA)   FS 256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f)   ECDH secp256r1 (eq. 3072 bits RSA)   FS 128

 

Dann hab ich mir selbst noch mal eine Email zukommen lassen. Im Header steht dann :

Return-Path: <xxxx>
Authentication-Results: kundenserver.de; dkim=none
Received: from xxxx.com ([80.xxx.XXX.XXX]) by
mx.kundenserver.de (mxeue101 [217.XXX.XXX.XXX]) with ESMTPS (Nemesis) id
1M3nHR-1sLlE232Ch-00GJTo for <Sascha@Basinski.de>; Tue, 25 Jun 2024 11:11:21
+0200
Received: from xxx.de (xx) by
xxx.de (xxx.xxx.xxx.50) with Microsoft SMTP Server
(version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id
15.2.1258.25; Tue, 25 Jun 2024 11:11:21 +0200

 

Sieht für mich erst mal so aus als sollte TLS aktiv sein, oder? 

Warum schlägt dann der erste Test fehl? Hat einer eine Ahnung wie ich das prüfen kann. 

Befürchte, dass wir hier sonst noch mehr Mail nicht bekommen. 

 


   
Zitat
(@dartzen)
Estimable Member
Beigetreten: Vor 3 Jahren
Beiträge: 107
 

Laut Header sieht das so aus, als wenn da korrekt TLS1.2 raus kommt. Du könntest mal mit NMAP prüfen, welche TLS-Versionen und welche Ciphers euer Server anbietet, wenn er von außen angesprochen wird. Und das dann mal mit dem Vergleichen, was die andere Seite anbietet. Den Tipp hatte mir NorbertFe mal gegeben, wo wir ein ähnliches Problem mit abgehenden Mails zu einer bestimmten Empfängerdomäne hatten. Eine Anleitung, wie man das macht habe ich dann hier gefunden: https://support.citrix.com/article/CTX229453/how-to-check-back-end-server-supported-ciphers-using-nmap

Damit sollte sich eigentlich gut rausfinden lassen, ob es da zwischen euch beiden einen Mismatch gibt und wo der liegt. Dann hast du auch auf jeden Fall was in der Hand. Falls ihr mit Split DNS arbeitet solltest du den Test gegen eure Serveradresse mit einem Rechner machen, der von extern (z.Bsp mittels Handy-Hotspot) euren Server anspricht. Sonst ist das eventuell verfälscht.


   
AntwortZitat

NorbertFe
(@norbertfe)
Noble Member
Beigetreten: Vor 4 Jahren
Beiträge: 1502
 

Ich hatte letzte Woche den Fall, dass die Cisco Firewall diverse Dinge rausgefiltert hat und somit kein TLS Handshake zustande kam.

https://www.cisco.com/c/de_de/support/docs/security/asa-5500-x-series-next-generation-firewalls/113423-asa-esmtp-smtp-inspection.html

Neu wäre dieses Thema dann nicht: https://www.nobbysweb.de/index.php?thread/12508-smtp-banner-wird-extern-mit-sternchen-angezeigt/&postID=71208

 

Evtl. hilfts

Norbert


   
AntwortZitat
(@basinski)
Eminent Member
Beigetreten: Vor 3 Jahren
Beiträge: 17
Themenstarter  

Nmap muss ich mir mal anschauen. 

Hab mal den Kunden seine Domain durch die Seite : https://testtls.com/   Gejagt. 
bekomme für den Kunden angezeigt: 

Ciphers 

Name Key Exchange Encryption Key Length IANA ID
ECDHE-RSA-AES256-GCM-SHA384 ECDH 521 AESGCM 256 xc030
DHE-RSA-AES256-GCM-SHA384 DH 2048 AESGCM 256 x9f
ECDHE-RSA-AES128-GCM-SHA256 ECDH 521 AESGCM 128 xc02f

 

Unsere Domain: 

Ciphers 

Name Key Exchange Encryption Key Length IANA ID
ECDHE-RSA-AES256-GCM-SHA384 ECDH 384 AESGCM 256 xc030
ECDHE-RSA-AES256-SHA384 ECDH 384 AES 256 xc028
ECDHE-RSA-AES128-GCM-SHA256 ECDH 256 AESGCM 128 xc02f
ECDHE-RSA-AES128-SHA256 ECDH 256 AES 128 xc027

 

Was mich beim Kunden allerdings stutzig macht ist TLS1.3!! 

Server Preferences 

Category Finding
Cipher Order server -- TLS 1.3 client determined
Protocol Negotiated Default protocol TLS1.3
Cipher Negotiated TLS_AES_128_GCM_SHA256, 253 bit ECDH (X25519)
Cipher Order TLS v1.2 ECDHE-RSA-AES128-GCM-SHA256

 

Ich denke TLS1.3 wird vom Exchange 2019 noch nicht unterstützt. Das haben wir bei uns natürlich auch noch nicht im Einsatz! 

Oder ist da was an mir vorbei gegangen??

 


   
AntwortZitat

(@dartzen)
Estimable Member
Beigetreten: Vor 3 Jahren
Beiträge: 107
 

Veröffentlicht von: @basinski

Ich denke TLS1.3 wird vom Exchange 2019 noch nicht unterstützt. Das haben wir bei uns natürlich auch noch nicht im Einsatz! 

Oder ist da was an mir vorbei gegangen??

Nein, da ist nichts an dir vorbeigegangen. TLS 1.3 soll der Exchange 2019 erst mit dem CU15 bekommen, dann aber auch nur auf Server 2022 und Server 2025, wenn ich das richtig verstanden habe, da Server 2019 selbst auch kein TLS 1.3 kann. Steht hier so im Exchange Blog: https://techcommunity.microsoft.com/t5/exchange-team-blog/exchange-server-roadmap-update/bc-p/4134706/highlight/true#M39017


   
AntwortZitat
Teilen: