Я в основном прошу это проверить, следует ли мне продолжить расследование со своей стороны, или я должен сказать отправителю, что ему следует поговорить с его собственным ИТ-отделом для получения дополнительной помощи. Я не уверен, на моей стороне это или на их стороне.
От одного внешнего домена мы не получаем никаких писем. Единственное отслеживание, которое я могу видеть, - это начальный SMTP-диалог, зарегистрированный на моем виртуальном SMTP-сервере. В журнале отображаются EHLO, STARTTLS, затем MAIL и последний QUIT. От них не было отправлено RCPT, и я нигде не могу его увидеть. Я даже использовал Network Monitor, чтобы посмотреть, есть ли что-нибудь в пакетах, ничего не показало.
У нас есть GFI Mail Essentials на том же сервере Exchange, но ничего не регистрируется, даже адреса из этого домена в истории. В журналах событий Exchange при максимальном уровне ведения журнала транспорта нет записей журнала с их IP-адресами, адресами или доменом. В принципе, я думаю, что почта никогда не попадает в транспортный конвейер Exchange.
Также проверено, нет черного списка на наших или их серверах. И все DNS-запросы разрешаются, а также обратный PTR с моей стороны.
Мы всего лишь небольшой магазин, несколько сотен пользователей, а не ИТ-персонал, работающий полный рабочий день, а всего лишь один сервер Exchange для всей электронной почты. Отправителем является крупная федеральная правительственная организация с множеством входящих записей MX, и все исходящие сообщения поступают с отдельных серверов SMTP.
В настоящее время я жду ответа от своих пользователей, чтобы узнать, были ли получены отчеты о недоставке с их стороны. Я просто сбит с толку в этом пункте, в основном потому, что, очевидно, я могу видеть что угодно с их стороны.
Может ли это все еще быть на моей стороне? Я не знаю, что еще делать, кроме как сказать им это на их стороне, что я ненавижу делать. (потому что я ненавижу, когда другие айтишники делают это со мной, не проверяя все)
Спасибо за любые советы или предложения.
Ниже приведен образец журнала SMTP:
2014-06-27 19:07:36 52.0.222.46 outside1.domain.com SMTPSVC1 MAIL 192.168.0.4 0 EHLO - +outside1.domain.com 250 0 343 19 0 SMTP - - - - 2014-06-27 19:07:36 52.0.222.46 outside1.domain.com SMTPSVC1 MAIL 192.168.0.4 0 STARTTLS - - 220 0 0 8 0 SMTP - - - - 2014-06-27 19:07:36 52.0.222.46 outside1.domain.com SMTPSVC1 MAIL 192.168.0.4 0 STARTTLS - - 220 0 29 8 0 SMTP - - - - 2014-06-27 19:07:36 52.0.222.46 outside1.domain.com SMTPSVC1 MAIL 192.168.0.4 0 EHLO - +outside1.domain.com 250 0 353 19 0 SMTP - - - - 2014-06-27 19:07:36 52.0.222.46 outside1.domain.com SMTPSVC1 MAIL 192.168.0.4 0 MAIL - +FROM: 250 0 76 41 0 SMTP - - - - 2014-06-27 19:07:36 52.0.222.46 outside1.domain.com SMTPSVC1 MAIL 192.168.0.4 0 QUIT - outside1.domain.com 240 343 76 41 31 SMTP - - - - 2014-06-27 19:14:56 52.3.222.45 outside2.domain.com SMTPSVC1 MAIL 192.168.0.4 0 EHLO - +outside2.domain.com 250 0 343 19 0 SMTP - - - - 2014-06-27 19:14:56 52.3.222.45 outside2.domain.com SMTPSVC1 MAIL 192.168.0.4 0 STARTTLS - - 220 0 0 8 0 SMTP - - - - 2014-06-27 19:14:56 52.3.222.45 outside2.domain.com SMTPSVC1 MAIL 192.168.0.4 0 STARTTLS - - 220 0 29 8 0 SMTP - - - - 2014-06-27 19:14:56 52.3.222.45 outside2.domain.com SMTPSVC1 MAIL 192.168.0.4 0 EHLO - +outside2.domain.com 250 0 353 19 0 SMTP - - - - 2014-06-27 19:14:56 52.3.222.45 outside2.domain.com SMTPSVC1 MAIL 192.168.0.4 0 MAIL - +FROM: 250 0 76 41 0 SMTP - - - - 2014-06-27 19:14:56 52.3.222.45 outside2.domain.com SMTPSVC1 MAIL 192.168.0.4 0 QUIT - outside2.domain.com 240 516 76 41 63 SMTP - - - -
Кстати, я заметил некоторый трафик SSL в Мониторе сети, где они запрашивают STARTTLS. В этом случае я вижу ClientHello с обеих сторон, что всегда заканчивается ошибкой SSL о недействительной аутентификации или аналогичной. У меня есть подозрение, что это не моя проблема, потому что это также отображается на другом обычном трафике. Я считаю, что серверы просто пытаются установить соединение TLS, а затем возвращаются к обычному незашифрованному соединению. Отсюда и второй EHLO. (верно? Я просто догадываюсь об этом, я действительно не понимаю, что такое протокол SSL на этом уровне.) Я действительно думаю, что это что-то с отсутствием RCPT при передаче, без этого никакая почта не будет маршрутизироваться.
Я просто не знаю, что еще проверить, это я или они? Больше ничего не узнаю, пока я не получу от них отчет о недоставке. Спасибо!
ОБНОВЛЕНИЕ 6-30-2014 Наконец получил отчет о недоставке от отправляющих пользователей:
4.4.0 - Other network problem "(336130315, 'error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number')"
После некоторого первоначального исследования мои первые мысли - очевидное решение; обновите сервер, он старый! Но мне интересно, есть ли у меня способ обойти это? Просто на время.
Насколько я знаю, Exchange 2003 или, скорее, Windows 2003 не поддерживает больше, чем TLSv1. А также у него включен SSLv2. В Google по этому сообщению о недоставке я вижу сообщения о серверах Postfix, которым необходимо отключить 3DES для обходного пути, или у них запрещен SSLv2, который мой сервер объявляет как доступный. На моем сервере не отключен ни один из стандартных протоколов сервера 2003, так что надо попробовать SSLv3, верно?
Кроме того, я также читаю сообщения о глючных шифрах сервера 2003 и сломанном TLS, поэтому не уверен, что я могу сделать. Могу я просто отключить входящий SSL / TLS на SMTP?
Я буду продолжать гуглить, но не знаю, как это исправить, кроме как отказаться от сервера 2003.
ОБНОВЛЕНИЕ СНОВА
Бьюсь об заклад, это связано с обновлениями Heartbleed OpenSSL на отправляющих серверах. Похоже, что Exchange 2003 может обрабатывать только список шифров, состоящий из 64 элементов (еще не проверено). Шифры, используемые в Exchange 03, находятся слишком низко в списке отправляющим SMTP, и Exchange не работает. Не знаю, смогу ли я убедиться, что это действительно проблема, но вполне вероятно.
Это было интересно: http://comments.gmane.org/gmane.mail.mimedefang/17927
2014/07/29 Обновление
Судя по всему, служба SMTP просто отправляет некоторую часть сертификата SSL как хлам в конце пакета SSL; ) https://lbr.id.lv/#Windows_SMTP_bug_breaks_3DES_and_AES_CBC
Решение
KB957047 исправляет SMTP, KB938857 - Обмен IMAP и POP3, KB948963 добавляет поддержку AES, и как 3DES, так и AES начинают правильно работать со службой SMTP и сервером Exchange. Может понадобиться установить KB976323 после исправления SMTP.
Исходный пост
Imo деффо подключен к SSL / TLS. У меня точно такая же проблема - Служба SMTP Windows Server 2003 не может получать некоторые электронные письма через SSL / TLS. И не имеет ничего общего со списками блокировки / IPS / проблемами сети / и т. Д.
Кстати, подтверждение регистрации от сбоя сервера было доставлено нормально -
Protocol: TLS (SSL 3.1)
Cipher: RC4
Cipher strength: 128
MAC: SHA
Exchange: RSA
Exchange strength: 4096
EHLO - +mx-out.stackexchange.com 250 0 235 29 0 SMTP - - - -
STARTTLS - - 220 0 0 8 0 SMTP - - - -
STARTTLS - - 220 0 29 8 0 SMTP - - - -
EHLO - +mx-out.stackexchange.com 250 0 259 29 0 SMTP - - - -
MAIL - +FROM:<do-not-reply@serverfault.com> 250 0 78 50 0 SMTP -
RCPT - +TO:<> 250 0 51 23 0 SMTP - - - -
DATA - +<> 250 0 167 3706 297 SMTP
QUIT - mx-out.stackexchange.com 240 1312 83 4 0 SMTP - - - -
О, я совсем забыл ответить; )
Вы также можете
1) Отключить 3DES на w2k3 - либо откат к RC4, либо небезопасное соединение. Также отключение 3DES для меня привело к некоторым другим проблемам. Например, IIS6 и Outlook могут использовать его без каких-либо проблем.
2) Отключить TLS на сервисе SMTP - соединение будет небезопасным.
3) Попросите администратора удаленного сервера внедрить патч; )
4) Обновите w2k3.
5) Используйте какой-либо другой SMTP-сервер, который вам не подходит, потому что Exchange работает только с m $ SMTP, но для меня это вариант.
Также есть шанс, что принудительное использование SSL3 или TLS1 с определенным шифром сработает.
Кстати, я думаю, что вы правы, все началось после паранойи ошибок HeartBleed - пр -ли, OpenSSL был обновлен, и, возможно, он имеет либо 3DES как самый младший шифр, либо RC4 очень далеко в списке.
Кроме того, к сожалению, в вашем и моем сценариях соединение без TLS не согласовывается повторно, потому что оба сервера думают, что общий совпадающий шифр был найден и соединение было успешно установлено. Второй вариант EHLO - это подтверждение TLS или требуется сразу после установления соединения TLS.
Это вполне может быть и, скорее всего, будет вашим сервером. Проверьте фильтрацию подключений, чтобы узнать, есть ли у вас:
Настроенный поставщик черного списка
IP-адрес отправляющего сервера в вашем глобальном списке запрещенных.
Самый простой способ проверить, не вызывает ли какой-либо из них проблему, - отключить фильтрацию подключений в свойствах виртуального SMTP-сервера. Если вы отключите фильтрацию подключений и эти электронные письма начнут приходить, вы знаете, что проблема связана с настройкой фильтрации подключений, либо с поставщиком черного списка, который вы используете, либо с вашим глобальным списком запретов.
Также см. Здесь хорошее изложение потока сообщений в Exchange Server 2003, особенно раздел внизу, в котором подробно описывается поток сообщений защиты от спама:
http://technet.microsoft.com/en-us/library/aa995825(v=exchg.65).aspx