Introdução
Este documento descreve as etapas para corrigir o problema de conectividade do Exchange 2013 (ou mais antigo) com o Secure Email Gateway (SEG) após a atualização para a versão 15.0.
Componentes Utilizados
Exchange 2013 ou anterior.
SEG versão 15.0.
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Problema
Após a atualização do SEG para a versão 15.0, a conectividade entre os servidores Exchange anteriores a 2013 não é estabelecida. Se você verificar tophosts na CLI, poderá ver que o domínio está marcado como inativo (*)
mx1.cisco.com > tophosts
Sort results by:
1. Active Recipients
2. Connections Out
3. Delivered Recipients
4. Hard Bounced Recipients
5. Soft Bounced Events
[1]> 1
Status as of: Sun Sep 03 11:44:11 2023 -03
Hosts marked with '*' were down as of the last delivery attempt.
Active Conn. Deliv. Soft Hard
# Recipient Host Recip. Out Recip. Bounced Bounced
1* cisco.com 118 0 0 0 507
2* alt.cisco.com 94 0 226 0 64
3* prod.cisco.com 89 0 0 0 546
Nos Mail_logs, você pode ver falhas de conexão com o domínio com o motivo do erro de rede.
Thu Aug 29 08:16:21 2023 Info: Connection Error: DCID 4664840 domain: cisco.com IP: 10.0.0.1 port: 25 details: [Errno 0] Error interface: 10.0.0.2 reason: network error
Na captura de pacotes, você pode ver que o servidor Exchange fecha a conexão com o pacote FIN, imediatamente após a negociação TLS.
Solução
Confirme se o servidor Exchange está na versão 2013 ou anterior e, em seguida, você pode usar essa cadeia de caracteres de codificação como uma solução alternativa para permitir que o SEG se conecte a esses servidores mais antigos. Isso permite que o correio seja entregue até que o Exchange possa ser atualizado para uma versão atualmente suportada.
ECDH+aRSA:ECDH+ECDSA:DHE+DSS+AES:AES128:AES256:!SRP:!AESGCM+DH+aRSA:!AESGCM+RSA:!aNULL:!eNULL:!DES:!3DES:!IDEA:!RC2:-IDEA:-aNULL:-EXPORT:!DHE-RSA-AES256-SHA:!DHE-RSA-AES128-CCM:!DHE-RSA-AES256-CCM:!ECDHE-ECDSA-CAMELLIA128-SHA256:!ECDHE-RSA-CAMELLIA128-SHA256:!ECDHE-ECDSA-CAMELLIA256-SHA384:!ECDHE-RSA-CAMELLIA256-SHA384:!ECDHE-ECDSA-AES128-CCM:!ECDHE-ECDSA-AES256-CCM
Você pode inseri-lo por meio da CLI (Command Line Interface, interface de linha de comando) ou da GUI (Graphical User Interface, interface gráfica do usuário) da Web.
Na CLI:
mx1.cisco.com> sslconfig
Choose the operation you want to perform:
- GUI - Edit GUI HTTPS ssl settings.
- INBOUND - Edit Inbound SMTP ssl settings.
- OUTBOUND - Edit Outbound SMTP ssl settings.
- VERIFY - Verify and show ssl cipher list.
- OTHER_CLIENT_TLSV10 - Edit TLS v1.0 for other client services.
- PEER_CERT_FQDN - Validate peer certificate FQDN compliance for Alert Over TLS, Outbound SMTP, updater and LDAP.
- PEER_CERT_X509 - Validate peer certificate X509 compliance for Alert Over TLS, Outbound SMTP, updater and LDAP.
[]> outbound
Enter the outbound SMTP ssl method you want to use.
1. TLS v1.1
2. TLS v1.2
3. TLS v1.0
[2]>
Enter the outbound SMTP ssl cipher you want to use.
[!aNULL:!eNULL]> ECDH+aRSA:ECDH+ECDSA:DHE+DSS+AES:AES128:AES256:!SRP:!AESGCM+DH+aRSA:!AESGCM+RSA:!aNULL:!eNULL:!DES:!3DES:!IDEA:!RC2:-IDEA:-aNULL:-EXPORT:!DHE-RSA-AES256-SHA:!DHE-RSA-AES128-CCM:!DHE-RSA-AES256-CCM:!ECDHE-ECDSA-CAMELLIA128-SHA256:!ECDHE-RSA-CAMELLIA128-SHA256:!ECDHE-ECDSA-CAMELLIA256-SHA384:!ECDHE-RSA-CAMELLIA256-SHA384:!ECDHE-ECDSA-AES128-CCM:!ECDHE-ECDSA-AES256-CCM
.....
Hit enter until you are back to the default command line.
mx1.cisco.com> commit
Na GUI:
Etapa 1. Escolha na guia System Administration.
Etapa 2. Escolha em Configuração SSL.
Etapa 3. Selecione o botão Edit Settings.
Etapa 4. Altere a(s) Criptografia(s) SSL SMTP de Saída para usar a cadeia de caracteres fornecida neste artigo.
Etapa 5. Envie e confirme as alterações.
Informações Relacionadas
Manual do usuário do AsyncOS 15.0: administração do sistema
Alterar os métodos e as cifras usados com SSL/TLS no ESA
ID de bug da Cisco CSCwh48138 - Falha na entrega de e-mail ESA 15.0 sobre TLS com Exchange 2013