Hallo zusammen, ich brauche mal Euer Wissen weil ich gerade etwas überfragt bin bzw. nicht genau weiß wo ich anfangen soll zu suchen.
Ich habe einen Lieferanten welcher uns keine Emails zukommen lassen kann.
Leider ist die Kommunikation etwas dürftig, deswegen kann mit dieser auch nicht groß weiterhelfen.
Ich weiß nur, dass ich denen Emails senden kann und sofern diese darauf antworten kommt hier bei uns nichts an. Die Mails werden von deren Server nicht an unseren übermittelt.
Es kommt irgendwann bei denen eine Outlook Mitteilung, dass die Mail nicht übermittelt werden konnte weil der Remoteserver (also unserer) nicht geantwortet hat.
Wir bekommen aber Emails und können auch senden. Sollte also nicht das Problem sein.
Als erstes habe ich TLS 1.2 in verdacht, da der Lieferant mir bestätigt hat, dass die Office365 nutzen! Also hab die Vermutung, dass deren Server nicht mit unserem kommunizieren will.
Ich bin mir auch ziemlich sicher, dass ich vor ein paar Monaten die TLS Sachen noch getestet hatte. Also hab ich mal https://www.checktls.com/TestReceiver geprüft.
Ergebnis: TLSCheck1.jpg
Das verwunderte mich jetzt allerdings völlig!! Ich also nochmal einen Test auf einer anderen Seite gemacht:
| Protocols | |
| TLS 1.3 | No |
| TLS 1.2 | Yes |
| TLS 1.1 | No |
| TLS 1.0 | No |
| SSL 3 | No |
| SSL 2 | No |
| Cipher Suites | ||
# TLS 1.2 (suites in server-preferred order)
|
||
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) ECDH secp384r1 (eq. 7680 bits RSA) FS |
256 | |
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) ECDH secp256r1 (eq. 3072 bits RSA) FS |
128 | |
Dann hab ich mir selbst noch mal eine Email zukommen lassen. Im Header steht dann :
Return-Path: <xxxx>
Authentication-Results: kundenserver.de; dkim=none
Received: from xxxx.com ([80.xxx.XXX.XXX]) by
mx.kundenserver.de (mxeue101 [217.XXX.XXX.XXX]) with ESMTPS (Nemesis) id
1M3nHR-1sLlE232Ch-00GJTo for <Sascha@Basinski.de>; Tue, 25 Jun 2024 11:11:21
+0200
Received: from xxx.de (xx) by
xxx.de (xxx.xxx.xxx.50) with Microsoft SMTP Server
(version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id
15.2.1258.25; Tue, 25 Jun 2024 11:11:21 +0200
Sieht für mich erst mal so aus als sollte TLS aktiv sein, oder?
Warum schlägt dann der erste Test fehl? Hat einer eine Ahnung wie ich das prüfen kann.
Befürchte, dass wir hier sonst noch mehr Mail nicht bekommen.
Laut Header sieht das so aus, als wenn da korrekt TLS1.2 raus kommt. Du könntest mal mit NMAP prüfen, welche TLS-Versionen und welche Ciphers euer Server anbietet, wenn er von außen angesprochen wird. Und das dann mal mit dem Vergleichen, was die andere Seite anbietet. Den Tipp hatte mir NorbertFe mal gegeben, wo wir ein ähnliches Problem mit abgehenden Mails zu einer bestimmten Empfängerdomäne hatten. Eine Anleitung, wie man das macht habe ich dann hier gefunden: https://support.citrix.com/article/CTX229453/how-to-check-back-end-server-supported-ciphers-using-nmap
Damit sollte sich eigentlich gut rausfinden lassen, ob es da zwischen euch beiden einen Mismatch gibt und wo der liegt. Dann hast du auch auf jeden Fall was in der Hand. Falls ihr mit Split DNS arbeitet solltest du den Test gegen eure Serveradresse mit einem Rechner machen, der von extern (z.Bsp mittels Handy-Hotspot) euren Server anspricht. Sonst ist das eventuell verfälscht.
Ich hatte letzte Woche den Fall, dass die Cisco Firewall diverse Dinge rausgefiltert hat und somit kein TLS Handshake zustande kam.
Neu wäre dieses Thema dann nicht: https://www.nobbysweb.de/index.php?thread/12508-smtp-banner-wird-extern-mit-sternchen-angezeigt/&postID=71208
Evtl. hilfts
Norbert
Nmap muss ich mir mal anschauen.
Hab mal den Kunden seine Domain durch die Seite : https://testtls.com/ Gejagt.
bekomme für den Kunden angezeigt:
Ciphers
| Name | Key Exchange | Encryption | Key Length | IANA ID |
|---|---|---|---|---|
| ECDHE-RSA-AES256-GCM-SHA384 | ECDH 521 | AESGCM | 256 | xc030 |
| DHE-RSA-AES256-GCM-SHA384 | DH 2048 | AESGCM | 256 | x9f |
| ECDHE-RSA-AES128-GCM-SHA256 | ECDH 521 | AESGCM | 128 | xc02f |
Unsere Domain:
Ciphers
| Name | Key Exchange | Encryption | Key Length | IANA ID |
|---|---|---|---|---|
| ECDHE-RSA-AES256-GCM-SHA384 | ECDH 384 | AESGCM | 256 | xc030 |
| ECDHE-RSA-AES256-SHA384 | ECDH 384 | AES | 256 | xc028 |
| ECDHE-RSA-AES128-GCM-SHA256 | ECDH 256 | AESGCM | 128 | xc02f |
| ECDHE-RSA-AES128-SHA256 | ECDH 256 | AES | 128 | xc027 |
Was mich beim Kunden allerdings stutzig macht ist TLS1.3!!
Server Preferences
| Category | Finding |
|---|---|
| Cipher Order | server -- TLS 1.3 client determined |
| Protocol Negotiated | Default protocol TLS1.3 |
| Cipher Negotiated | TLS_AES_128_GCM_SHA256, 253 bit ECDH (X25519) |
| Cipher Order TLS v1.2 | ECDHE-RSA-AES128-GCM-SHA256 |
Ich denke TLS1.3 wird vom Exchange 2019 noch nicht unterstützt. Das haben wir bei uns natürlich auch noch nicht im Einsatz!
Oder ist da was an mir vorbei gegangen??
Ich denke TLS1.3 wird vom Exchange 2019 noch nicht unterstützt. Das haben wir bei uns natürlich auch noch nicht im Einsatz!
Oder ist da was an mir vorbei gegangen??
Nein, da ist nichts an dir vorbeigegangen. TLS 1.3 soll der Exchange 2019 erst mit dem CU15 bekommen, dann aber auch nur auf Server 2022 und Server 2025, wenn ich das richtig verstanden habe, da Server 2019 selbst auch kein TLS 1.3 kann. Steht hier so im Exchange Blog: https://techcommunity.microsoft.com/t5/exchange-team-blog/exchange-server-roadmap-update/bc-p/4134706/highlight/true#M39017