Inleiding
Dit document beschrijft de stappen om het probleem met de connectiviteit van Exchange 2013 (of ouder) te verhelpen met Secure Email Gateway (SEG) na de upgrade naar versie 15.0.
Gebruikte componenten
Exchange 2013 of ouder.
SEG versie 15.0.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Probleem
Na het upgraden van de SEG naar versie 15.0 is de verbinding tussen Exchange-servers ouder dan 2013 niet vastgesteld. Als u tophosts van CLI controleert, kunt u zien dat het domein is gemarkeerd als omlaag (*)
mx1.cisco.com > tophosts
Sort results by:
1. Active Recipients
2. Connections Out
3. Delivered Recipients
4. Hard Bounced Recipients
5. Soft Bounced Events
[1]> 1
Status as of: Sun Sep 03 11:44:11 2023 -03
Hosts marked with '*' were down as of the last delivery attempt.
Active Conn. Deliv. Soft Hard
# Recipient Host Recip. Out Recip. Bounced Bounced
1* cisco.com 118 0 0 0 507
2* alt.cisco.com 94 0 226 0 64
3* prod.cisco.com 89 0 0 0 546
Vanuit de Mail_logs, kunt u verbindingsfouten aan het domein zien met de reden van netwerkfout.
Thu Aug 29 08:16:21 2023 Info: Connection Error: DCID 4664840 domain: cisco.com IP: 10.0.0.1 port: 25 details: [Errno 0] Error interface: 10.0.0.2 reason: network error
In Packet Capture ziet u dat de Exchange-server de verbinding met het FIN-pakket sluit, onmiddellijk na de TLS-onderhandeling.
Oplossing
Bevestig dat de Exchange-server op versie 2013 of ouder is, dan kunt u dit algoritme als een tijdelijke oplossing gebruiken om de SEG in staat te stellen verbinding te maken met die oudere servers. Hierdoor kan e-mail worden geleverd totdat de uitwisseling kan worden geüpgraded naar een momenteel ondersteunde versie.
ECDH+aRSA:ECDH+ECDSA:DHE+DSS+AES:AES128:AES256:!SRP:!AESGCM+DH+aRSA:!AESGCM+RSA:!aNULL:!eNULL:!DES:!3DES:!IDEA:!RC2:-IDEA:-aNULL:-EXPORT:!DHE-RSA-AES256-SHA:!DHE-RSA-AES128-CCM:!DHE-RSA-AES256-CCM:!ECDHE-ECDSA-CAMELLIA128-SHA256:!ECDHE-RSA-CAMELLIA128-SHA256:!ECDHE-ECDSA-CAMELLIA256-SHA384:!ECDHE-RSA-CAMELLIA256-SHA384:!ECDHE-ECDSA-AES128-CCM:!ECDHE-ECDSA-AES256-CCM
U kunt dit invoeren via de Command Line Interface (CLI) of via de Web Graphical User Interface (GUI).
In de CLI:
mx1.cisco.com> sslconfig
Choose the operation you want to perform:
- GUI - Edit GUI HTTPS ssl settings.
- INBOUND - Edit Inbound SMTP ssl settings.
- OUTBOUND - Edit Outbound SMTP ssl settings.
- VERIFY - Verify and show ssl cipher list.
- OTHER_CLIENT_TLSV10 - Edit TLS v1.0 for other client services.
- PEER_CERT_FQDN - Validate peer certificate FQDN compliance for Alert Over TLS, Outbound SMTP, updater and LDAP.
- PEER_CERT_X509 - Validate peer certificate X509 compliance for Alert Over TLS, Outbound SMTP, updater and LDAP.
[]> outbound
Enter the outbound SMTP ssl method you want to use.
1. TLS v1.1
2. TLS v1.2
3. TLS v1.0
[2]>
Enter the outbound SMTP ssl cipher you want to use.
[!aNULL:!eNULL]> ECDH+aRSA:ECDH+ECDSA:DHE+DSS+AES:AES128:AES256:!SRP:!AESGCM+DH+aRSA:!AESGCM+RSA:!aNULL:!eNULL:!DES:!3DES:!IDEA:!RC2:-IDEA:-aNULL:-EXPORT:!DHE-RSA-AES256-SHA:!DHE-RSA-AES128-CCM:!DHE-RSA-AES256-CCM:!ECDHE-ECDSA-CAMELLIA128-SHA256:!ECDHE-RSA-CAMELLIA128-SHA256:!ECDHE-ECDSA-CAMELLIA256-SHA384:!ECDHE-RSA-CAMELLIA256-SHA384:!ECDHE-ECDSA-AES128-CCM:!ECDHE-ECDSA-AES256-CCM
.....
Hit enter until you are back to the default command line.
mx1.cisco.com> commit
In de GUI:
Stap 1. Kies op het tabblad Systeembeheer.
Stap 2. Kies op SSL Configuration.
Stap 3. Selecteer de knop Instellingen bewerken.
Stap 4. Verander het uitgaande SSL-algoritme (s) van SMTP om de tekenreeks in dit artikel te gebruiken.
Stap 5. Verzend en voer de wijzigingen uit.
Gerelateerde informatie
Gebruikershandleiding voor AsyncOS 15.0: Systeembeheer
De methoden en coderingen wijzigen die met SSL/TLS op de ESA worden gebruikt
Cisco bug ID CSCwh48138 - ESA 15.0 e-mailleveringsfout via TLS met Exchange 2013