升级后,排除与SEG AsyncOS 15.0的旧Exchange Server连接故障

下载选项

  • PDF     (328.1 KB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (81.7 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (66.9 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2023 年 9 月 8 日
文档 ID:220874

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

    简介

    本文档介绍在升级到版本15.0后修复安全邮件网关(SEG)的Exchange 2013(或更旧)连接问题的步骤。

    使用的组件

    Exchange 2013或更早版本。

    SEG版本15.0。

    本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。

    问题

    将SEG升级到版本15.0后,未在2013年以前的Exchange服务器之间建立连接。如果从CLI检查tophosts,可以看到域被标记为down(*)

    mx1.cisco.com > tophosts

Sort results by:

1. Active Recipients
2. Connections Out
3. Delivered Recipients
4. Hard Bounced Recipients
5. Soft Bounced Events
[1]> 1

Status as of:                   Sun Sep 03 11:44:11 2023 -03
Hosts marked with '*' were down as of the last delivery attempt.

                         Active  Conn.     Deliv.       Soft       Hard
#   Recipient Host       Recip.    Out     Recip.    Bounced    Bounced
1*  cisco.com        118      0          0          0    507
2*  alt.cisco.com    94      0        226          0     64
3*  prod.cisco.com   89      0          0          0     546

    从Mail_logs中,您可以看到由于网络错误而导致连接到域的故障。  

    Thu Aug 29 08:16:21 2023 Info: Connection Error: DCID 4664840 domain: cisco.com IP: 10.0.0.1 port: 25 details: [Errno 0] Error interface: 10.0.0.2 reason: network error

    在数据包捕获中,您可以看到Exchange服务器在TLS协商后立即关闭与FIN数据包的连接。

    解决方案

    确认Exchange服务器是否在2013版或更早版本上,然后可以使用此密码字符串作为解决方法,以允许SEG连接到那些较旧的服务器。这样,在exchange升级到当前支持的版本之前,邮件可以传递。

    ECDH+aRSA:ECDH+ECDSA:DHE+DSS+AES:AES128:AES256:!SRP:!AESGCM+DH+aRSA:!AESGCM+RSA:!aNULL:!eNULL:!DES:!3DES:!IDEA:!RC2:-IDEA:-aNULL:-EXPORT:!DHE-RSA-AES256-SHA:!DHE-RSA-AES128-CCM:!DHE-RSA-AES256-CCM:!ECDHE-ECDSA-CAMELLIA128-SHA256:!ECDHE-RSA-CAMELLIA128-SHA256:!ECDHE-ECDSA-CAMELLIA256-SHA384:!ECDHE-RSA-CAMELLIA256-SHA384:!ECDHE-ECDSA-AES128-CCM:!ECDHE-ECDSA-AES256-CCM

    您可以通过命令行界面(CLI)或Web图形用户界面(GUI)输入此信息。

    在CLI中:

    mx1.cisco.com> sslconfig

Choose the operation you want to perform:
- GUI - Edit GUI HTTPS ssl settings.
- INBOUND - Edit Inbound SMTP ssl settings.
- OUTBOUND - Edit Outbound SMTP ssl settings.
- VERIFY - Verify and show ssl cipher list.
- OTHER_CLIENT_TLSV10 - Edit TLS v1.0 for other client services.
- PEER_CERT_FQDN - Validate peer certificate FQDN compliance for Alert Over TLS, Outbound SMTP, updater and LDAP.
- PEER_CERT_X509 - Validate peer certificate X509 compliance for Alert Over TLS, Outbound SMTP, updater and LDAP.
[]> outbound

Enter the outbound SMTP ssl method you want to use.
1. TLS v1.1
2. TLS v1.2
3. TLS v1.0
[2]>

Enter the outbound SMTP ssl cipher you want to use.
[!aNULL:!eNULL]> ECDH+aRSA:ECDH+ECDSA:DHE+DSS+AES:AES128:AES256:!SRP:!AESGCM+DH+aRSA:!AESGCM+RSA:!aNULL:!eNULL:!DES:!3DES:!IDEA:!RC2:-IDEA:-aNULL:-EXPORT:!DHE-RSA-AES256-SHA:!DHE-RSA-AES128-CCM:!DHE-RSA-AES256-CCM:!ECDHE-ECDSA-CAMELLIA128-SHA256:!ECDHE-RSA-CAMELLIA128-SHA256:!ECDHE-ECDSA-CAMELLIA256-SHA384:!ECDHE-RSA-CAMELLIA256-SHA384:!ECDHE-ECDSA-AES128-CCM:!ECDHE-ECDSA-AES256-CCM

.....
Hit enter until you are back to the default command line.


mx1.cisco.com> commit

    在GUI中:

    步骤1:选择System Administration选项卡。
    第二步:选择SSL Configuration。
    第三步:选择Edit Settings按钮。
    第四步:将Outbound SMTP SSL Cipher(s)更改为使用本文中提供的字符串。
    第五步: 提交交更改。

    相关信息

    AsyncOS 15.0用户指南:系统管理

    更改ESA上与SSL/TLS配合使用的方法和密码

    思科漏洞ID CSCwh48138 - ESA 15.0通过Exchange 2013的TLS进行电子邮件传送失败

    修订历史记录

    版本 发布日期 备注
    1.0
    08-Sep-2023
    初始版本
    TAC Authored

    由思科工程师提供

    • Corey Spillis
      思科TAC

    此文档是否有帮助?

    Feedback反馈

    联系我们

    本文档适用于以下产品