المقدمة
يصف هذا المستند الخطوات اللازمة لإصلاح مشكلة اتصال Exchange 2013 (أو الأحدث) باستخدام عبارة البريد الإلكتروني الآمنة (SEG) بعد الترقية إلى الإصدار 15.0.
المكونات المستخدمة
Exchange 2013 أو إصدار أحدث.
SEG، الإصدار 15.0.
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
المشكلة
بعد ترقية SEG إلى الإصدار 15.0، لم يتم إنشاء الاتصال بين خوادم Exchange الأقدم من 2013. إذا قمت بالتحقق من الأجهزة المضيفة الرئيسية من واجهة سطر الأوامر، يمكنك أن ترى أن المجال تم وضع علامة عليه كأسفل (*)
mx1.cisco.com > tophosts
Sort results by:
1. Active Recipients
2. Connections Out
3. Delivered Recipients
4. Hard Bounced Recipients
5. Soft Bounced Events
[1]> 1
Status as of: Sun Sep 03 11:44:11 2023 -03
Hosts marked with '*' were down as of the last delivery attempt.
Active Conn. Deliv. Soft Hard
# Recipient Host Recip. Out Recip. Bounced Bounced
1* cisco.com 118 0 0 0 507
2* alt.cisco.com 94 0 226 0 64
3* prod.cisco.com 89 0 0 0 546
من Mail_log، يمكنك رؤية حالات فشل الاتصال بالمجال بسبب خطأ الشبكة.
Thu Aug 29 08:16:21 2023 Info: Connection Error: DCID 4664840 domain: cisco.com IP: 10.0.0.1 port: 25 details: [Errno 0] Error interface: 10.0.0.2 reason: network error
في التقاط الحزمة، يمكنك أن ترى خادم Exchange يغلق الاتصال بحزمة FIN، مباشرة بعد تفاوض TLS.
الحل
تأكد من أن خادم Exchange يعمل بالإصدار 2013 أو الأقدم، ثم يمكنك إستخدام سلسلة التشفير هذه كحل بديل للسماح ل SEG بالاتصال بتلك الخوادم الأقدم. وهذا يسمح بتسليم البريد حتى يمكن ترقية Exchange إلى إصدار مدعوم حاليا.
ECDH+aRSA:ECDH+ECDSA:DHE+DSS+AES:AES128:AES256:!SRP:!AESGCM+DH+aRSA:!AESGCM+RSA:!aNULL:!eNULL:!DES:!3DES:!IDEA:!RC2:-IDEA:-aNULL:-EXPORT:!DHE-RSA-AES256-SHA:!DHE-RSA-AES128-CCM:!DHE-RSA-AES256-CCM:!ECDHE-ECDSA-CAMELLIA128-SHA256:!ECDHE-RSA-CAMELLIA128-SHA256:!ECDHE-ECDSA-CAMELLIA256-SHA384:!ECDHE-RSA-CAMELLIA256-SHA384:!ECDHE-ECDSA-AES128-CCM:!ECDHE-ECDSA-AES256-CCM
أنت يستطيع دخلت هذا إما من خلال الأمر خط قارن (CLI) أو الويب graphical مستعمل قارن (gui).
في واجهة سطر الأوامر:
mx1.cisco.com> sslconfig
Choose the operation you want to perform:
- GUI - Edit GUI HTTPS ssl settings.
- INBOUND - Edit Inbound SMTP ssl settings.
- OUTBOUND - Edit Outbound SMTP ssl settings.
- VERIFY - Verify and show ssl cipher list.
- OTHER_CLIENT_TLSV10 - Edit TLS v1.0 for other client services.
- PEER_CERT_FQDN - Validate peer certificate FQDN compliance for Alert Over TLS, Outbound SMTP, updater and LDAP.
- PEER_CERT_X509 - Validate peer certificate X509 compliance for Alert Over TLS, Outbound SMTP, updater and LDAP.
[]> outbound
Enter the outbound SMTP ssl method you want to use.
1. TLS v1.1
2. TLS v1.2
3. TLS v1.0
[2]>
Enter the outbound SMTP ssl cipher you want to use.
[!aNULL:!eNULL]> ECDH+aRSA:ECDH+ECDSA:DHE+DSS+AES:AES128:AES256:!SRP:!AESGCM+DH+aRSA:!AESGCM+RSA:!aNULL:!eNULL:!DES:!3DES:!IDEA:!RC2:-IDEA:-aNULL:-EXPORT:!DHE-RSA-AES256-SHA:!DHE-RSA-AES128-CCM:!DHE-RSA-AES256-CCM:!ECDHE-ECDSA-CAMELLIA128-SHA256:!ECDHE-RSA-CAMELLIA128-SHA256:!ECDHE-ECDSA-CAMELLIA256-SHA384:!ECDHE-RSA-CAMELLIA256-SHA384:!ECDHE-ECDSA-AES128-CCM:!ECDHE-ECDSA-AES256-CCM
.....
Hit enter until you are back to the default command line.
mx1.cisco.com> commit
في واجهة المستخدم الرسومية:
الخطوة 1. أختر من علامة التبويب إدارة النظام.
الخطوة 2. أختر على تكوين SSL.
الخطوة 3. حدد الزر تحرير الإعدادات.
الخطوة 4. قم بتغيير تشفير SMTP SSL الصادر لاستخدام السلسلة المتوفرة في هذه المقالة.
الخطوة 5. إرسال التغييرات وتنفيذها.
معلومات ذات صلة
دليل المستخدم ل AsyncOS 15.0: إدارة النظام
تبديل الطرق والشفرات المستخدمة مع SSL/TLS على ESA
معرف تصحيح الأخطاء من Cisco CSCwh48138 - فشل تسليم البريد الإلكتروني ESA 15.0 عبر TLS مع Exchange 2013
التعليقات