E-Mail eines bestimmten Partners kommt nicht an

[Beaker]

Hallo zusammen,

wir haben aktuell ein Problem, dass wir von einem bestimmten Partner keine E-Mails empfangen können. E-Mails von uns an den Partner funktionieren problemlos.

Der Partner erhält folgende Infos in seiner Unzustellbarkeits-Nachricht:
Server (Partner) returned '550 5.4.300 Message expired -> 451 4.4.395 Target host responded with error. -> 421 internal can't stack B channel SSL Filter [1]'
Server (unsere öffentl. IP) returned '451 4.4.395 Target host responded with error. -> 421 internal can't stack B channel SSL Filter [1]'

In der NSP-Nachrichtenverfolgung tauchen die E-Mails, die der Partner sendet nicht auf.

Auf unserer Firewall sieht man aber, dass unser interner NSP Kontakt hat.


Ich würde gerne das Logging einschalten, habe damit aber keine Erfahrung, welche Haken ich bei den Protokollkategorien setzen soll.
Oder hat jemand bei sich ähnliches beobachtet und hat, aufgrund der Infos in der Unzustellbarkeits-Nachricht einen Tipp?

Danke und Grüße,
Christoph

 

[JanJäschke]

Hallo Christoph,

das liest sich für mich etwas wirr, aber da finden wir schon was zu
Zu beginn würde ich sagen schalte einmal das SMTP Logging ein:

Enable-NspSmtpLogging -Path PFAD_ANGEBEN -InboundMails

Damit loggen wir die SMTP Kommunikation.

Die Troubleshooting logs sollten dann folgende Kategorien beinhalten:
- Mail delivery service
- Mailvalidation
- Network connections
- Proxy System

Damit sollte sich eigentlich sagen lassen was los ist =)


Gruß
Jan

 

[Beaker]

Vielen Dank Jan, habe dir eine PN mit den Logs gesendet.

 

[JanJäschke]

Danke, Antwort ist grade raus =)

Problem:

Der Client und der Server können keine Daten austauschen, da sie nicht über einen gemeinsamen Algorithmus verfügen

Denke mal ein Update folgt ^^

 

[869288141]

Der Client und der Server können keine Daten austauschen, da sie nicht über einen gemeinsamen Algorithmus verfügen

Da würde mich in der Tat mal die Cipher Suite Konfiguration interessieren...

 

[Beaker]

Da würde mich in der Tat mal die Cipher Suite Konfiguration interessieren...

Bitteschön....Schannel und Cipher Suite vom NSP + Exchange. Ist es ratsam die "Best Practices" Empfehlung vom IIS Crypto auf beiden Systemen zu setzen?

 

[Beaker]

Ich habe mir die Mail vom Partner auf gmail senden lassen. Dort sehen die Details wie folgt aus

Delivered-To: xyz@gmail.com
Received: by 2002:a05:7010:db02:b0:458:84e0:670a with SMTP id oc2csp2619128mdb;
Wed, 28 May 2025 00:37:30 -0700 (PDT)
X-Forwarded-Encrypted: i=2; AJvYcCWSZ7k9EySk5SP5eRA2tEek2NJAtsIXzY01te5sWL9CVWOQxpD58zLuextdqEyxijjBeSsZUfPzyxldSb+a3A==@gmail.com
X-Google-Smtp-Source: AGHT+IGGffAWF4RJuiBIDgJVdP6FiydHw6HJQ7UMHyW4dtx9qXYwGadf+AobJkbbsvYubP1NcnF0
X-Received: by 2002:a05:6000:26ce:b0:3a3:6c58:ef3a with SMTP id ffacd0b85a97d-3a4e957beefmr882803f8f.43.1748417849890;
Wed, 28 May 2025 00:37:29 -0700 (PDT)
ARC-Seal: i=1; a=rsa-sha256; t=1748417849; cv=none;
d=google.com; s=arc-20240605;
b=KfozOtlOXgM/PPmFUm4n6ODhGhCYfDtWwXs5PEKN/lxT8f+e+pM8ftyo1nEZm9B91H
48ruxIiE7/OMvisX+xaj9hZRnO2CbO+9ZION8mD7AMp8+5Ev1Clgtu7+DiRZRW9KLClq
dqQvxS2nQlWwmu081xKx1wYhW0JT6z2qrjcCKvkuAspHGWYgjrZ4aTCAAQ/RFE8BC47x
YDa623iNGboK9bR8RB8EEAe82htYoFGeh/5A9WeStZnnT54jQ3Wy6zFxalCr6k/x9q7i
sDnXdvt5axoO+/BiqiKaKwMIS26WNCLFUChZS0fpnKckDtelINPNCmAPiOsahAR94UVp
LoOQ==
ARC-Message-Signature: i=1; a=rsa-sha256; c=relaxed/relaxed; d=google.com; s=arc-20240605;
h=mime-version:content-language:in-reply-to:references:message-id
:date:subject:to:from;
bh=i7yEvKimedXmnx7YYIJl8bfR/d6f9U6xsEIiqrpdDWg=;
fh=WrQj7luAquvVeCC6c0bsLg9JOyvtQACVfYSxKr+JhLs=;
b=agqZKs46jo0HnoF5O3j1Ra30mXlxHhcOLS8+Vy8dsKE8r5JYacyMozERVSZg/IP67f
UE91sgOrIVpzfAWpXjcfeDtaG7gCcfcLszBteBJ6hIUgFVCCiT9MkHKPXF0J1apCquNj
kq51LzGzQhleRQHL6KQDZPWeFlE7TJsh245lGmt9Lkof9yx8Q/iFHck5B/jtqXz1823g
kT90sMH8N8urZe95xyxblZT16/VkuaqGcI3HWiT8qrBn9JJuwCeP2vBwVCJTMOQZ6f/y
w8sKYtvlc6eqaYiNM53CoIiKSzxTldlO2rZIR1+OTlEJHopvVRUv9OF3836anbGPbxdb
wO0Q==;
dara=google.com
ARC-Authentication-Results: i=1; mx.google.com;
spf=pass (google.com: domain of xyz@partner.de designates xxx.xx.xx.150 as permitted sender) smtp.mailfrom=xyz@partner.de;
dmarc=pass (p=NONE sp=NONE dis=NONE) header.from=partner.de
Return-Path: <xyz@partner.de>
Received: from mx.xyz@partner.de (mx.xyz@partner.de. [xxx.xx.xx.150])
by mx.google.com with ESMTPS id ffacd0b85a97d-3a4eac6fa4csi435941f8f.17.2025.05.28.00.37.29
for <xyz@gmail.com>
(version=TLS1_3 cipher=TLS_AES_256_GCM_SHA384 bits=256/256);
Wed, 28 May 2025 00:37:29 -0700 (PDT)
Received-SPF: pass (google.com: domain of xyz@partner.de designates xxx.xx.xx.150 as permitted sender) client-ip=xxx.xx.xx.150;
Authentication-Results: mx.google.com;
spf=pass (google.com: domain of xyz@partner.de designates xxx.xx.xx.150 as permitted sender) smtp.mailfrom=xyz@partner.de;
dmarc=pass (p=NONE sp=NONE dis=NONE) header.from=partner.de
Received: from xxx-xxx-xxx.partner.local (xxx.xxx.xx.20) by xxx-xxx-xxx.partner.local (xxx.xxx.xx.20) with Microsoft SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384) id 15.1.2507.43; Wed, 28 May 2025 09:37:28 +0200
Received: from xxx-xxx-xxx.partner.local ([::1]) by xxx-xxx-xxx.partner.local ([::1]) with mapi id 15.01.2507.043; Wed, 28 May 2025 09:37:28 +0200
From: "Partner" <xyz@partner.de>
To: "'xyz@gmail.com'" <xyz@gmail.com>
Subject: AW: Test-E-Mail
Date: Wed, 28 May 2025 07:37:28 +0000
Message-ID: <51e6ca9e892b4f1c9307783b2e11b0ab@partner.de>
References: <27aecc7eaf6e47c7a651daeca726acfa@empfaenger.de>
In-Reply-To: <27aecc7eaf6e47c7a651daeca726acfa@empfaenger.de>
Content-Language: de-DE
Content-Type: multipart/alternative; boundary="_000_51e6ca9e892b4f1c9307783b2e11b0abrupfatgde_"
MIME-Version: 1.0

--_000_51e6ca9e892b4f1c9307783b2e11b0abrupfatgde_
Content-Type: text/plain; charset="utf-8"
Content-Transfer-Encoding: base64
X-WatchGuard-AntiVirus: part scanned. clean action=allow

 

[869288141]

st es ratsam die "Best Practices" Empfehlung vom IIS Crypto auf beiden Systemen zu setzen?

Grundsätzlich ist es Ratsam nur die TLS Protokolle und Chipher Suites zu aktivieren, die man braucht. Aber das mit Aufwand, Wissen und Tests verbunden. Denn ein Exchange-Server hat in der Regel einige oder sogar viele Umsysteme, welche dann ebenfalls die notwendigen TLS Protokolle und Cipher Suites unterstützen muss. Es ist meiner Erfahrung nach, keine Umstellung für die Zeit zwischen Frühstück und Mittagspause und bedingt eine ordentliche, sorgfältige Vorbereitung und Prüfung.

(version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384)

Die Kombination ist doch bei dir aktiv (linker Screenshot, 2. Zeile)... damit sollte doch eine Kommunikation möglich sein...

 

[JanJäschke]

Update:

Ich konnte mal einen Blick in zwei Wireshark Dumps werfen:
der externe Server meldet sich als Client mit TLS1.0.
Das sollte laut Informationen zwar an sein, der Server macht dennoch direkt die Verbindung zu.

 

[869288141]

Hallo Jan,

der externe Server meldet sich als Client mit TLS1.0.

das ist nur die halbe Miete. Welcher Cipher Suites wird versucht zu nutzen?