我主要想问这个问题,看看我是否应该进一步调查,或者我是否应该告诉发件人他们应该联系他们自己的 IT 部门寻求进一步帮助。我不确定这是我的问题还是他们的问题。
从一个外部域,我们没有收到任何电子邮件。我能看到的唯一跟踪是记录在我的 SMTP 虚拟服务器上的初始 SMTP 对话。日志显示 EHLO、STARTTLS、然后是 MAIL,最后是 QUIT。我没有在任何地方看到他们发送的 RCPT。我甚至使用网络监视器查看数据包中是否有任何内容,但什么也没显示。
我们确实在同一台 Exchange 服务器上安装了 GFI Mail Essentials,但没有任何记录,甚至历史记录中也没有来自该域的任何地址。在 Exchange 事件日志中,传输日志全部设置为最大值,没有包含其 IP、地址或域的日志条目。基本上,我认为邮件从未进入 Exchange 传输管道。
此外,经检查,我们的服务器和他们的服务器均未列入黑名单。而且,DNS 查找全部解析,从我的角度来看反向 PTR 也是如此。
我们只是一家小商店,只有几百名用户,没有全职 IT 人员,只有一台 Exchange 服务器用于处理所有电子邮件。发件人是一家大型联邦政府组织,拥有许多入站 MX 记录,所有出站记录都来自单独的 SMTP 服务器。
目前我正在等待用户的消息,看看他们那边是否收到了任何 NDR。我现在很困惑,主要是因为很明显,我可以从他们那边看到任何东西。
这还是我的问题吗?我不知道除了告诉他们这件事之外还能做什么,但我不想这么做。(因为我讨厌其他 IT 人员不检查所有内容就对我这样做)
感谢您的任何建议或意见。
以下是 SMTP 日志示例:
2014-06-27 19:07:36 52.0.222.46 outside1.domain.com SMTPSVC1 MAIL 192.168.0.4 0 EHLO - +outside1.domain.com 250 0 343 19 0 SMTP - - - - 2014-06-27 19:07:36 52.0.222.46 outside1.domain.com SMTPSVC1 MAIL 192.168.0.4 0 STARTTLS - - 220 0 0 8 0 SMTP - - - - 2014-06-27 19:07:36 52.0.222.46 outside1.domain.com SMTPSVC1 MAIL 192.168.0.4 0 STARTTLS - - 220 0 29 8 0 SMTP - - - - 2014-06-27 19:07:36 52.0.222.46 outside1.domain.com SMTPSVC1 MAIL 192.168.0.4 0 EHLO - +outside1.domain.com 250 0 353 19 0 SMTP - - - - 2014-06-27 19:07:36 52.0.222.46 outside1.domain.com SMTPSVC1 MAIL 192.168.0.4 0 MAIL - +FROM:250 0 76 41 0 SMTP - - - - 2014-06-27 19:07:36 52.0.222.46 outside1.domain.com SMTPSVC1 MAIL 192.168.0.4 0 QUIT - outside1.domain.com 240 343 76 41 31 SMTP - - - - 2014-06-27 19:14:56 52.3.222.45 outside2.domain.com SMTPSVC1 MAIL 192.168.0.4 0 EHLO - +outside2.domain.com 250 0 343 19 0 SMTP - - - - 2014-06-27 19:14:56 52.3.222.45 outside2.domain.com SMTPSVC1 MAIL 192.168.0.4 0 STARTTLS - - 220 0 0 8 0 SMTP - - - - 2014-06-27 19:14:56 52.3.222.45 outside2.domain.com SMTPSVC1 MAIL 192.168.0.4 0 STARTTLS - - 220 0 29 8 0 SMTP - - - - 2014-06-27 19:14:56 52.3.222.45 outside2.domain.com SMTPSVC1 MAIL 192.168.0.4 0 EHLO - +outside2.domain.com 250 0 353 19 0 SMTP - - - - 2014-06-27 19:14:56 52.3.222.45 outside2.domain.com SMTPSVC1 MAIL 192.168.0.4 0 MAIL - +FROM:250 0 76 41 0 SMTP - - - - 2014-06-27 19:14:56 52.3.222.45 outside2.domain.com SMTPSVC1 MAIL 192.168.0.4 0 QUIT - outside2.domain.com 240 516 76 41 63 SMTP - - - -
顺便说一句,我确实注意到网络监视器中有一些 SSL 流量,它们请求 STARTTLS。在其中我看到来自双方的 ClientHello,总是以 SSL 错误结束,关于身份验证无效或类似情况。我有一种预感,这不是我的问题,因为它也显示在其他正常流量上。我相信服务器只是在尝试 TLS 连接,然后回到正常的未加密连接。因此是第二个 EHLO。(对吗?我只是对此做出猜测,我真的不明白那个级别的 SSL 协议。)我真的认为这是传输中缺少 RCPT 的问题,没有它,邮件就不会路由。
我只是不知道还要检查什么,是我还是他们?除非我收到他们的 NDR 报告,否则不会知道更多信息。谢谢!
更新日期:2014-6-30 最终收到发送用户的 NDR:
4.4.0 - Other network problem "(336130315, 'error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number')"
经过一些初步研究后,我的第一个想法是显而易见的解决办法;升级服务器,它太旧了!但我想知道是否有办法解决这个问题?暂时的。
从我目前收集到的信息来看,Exchange 2003 或更确切地说是 Windows 2003 不支持高于 TLSv1 的版本。而且,它启用了 SSLv2。从对该 NDR 消息的 Google 搜索中,我看到有关 Postfix 服务器需要禁用 3DES 以解决问题的帖子,或者它们不允许使用 SSLv2,而我的服务器宣布可以使用 SSLv2。但是我的服务器没有禁用任何标准 2003 服务器协议,因此它应该尝试 SSLv3,对吗?
此外,我还阅读了有关 2003 服务器密码错误和 TLS 损坏的帖子,因此不确定我能做什么。我不能只禁用 SMTP 上的 SSL/TLS 入站吗?
我会继续使用 Google 搜索,但不知道如何解决这个问题,除非离开 2003 服务器。
再次更新
我敢打赌,这与发送服务器上的 Heartbleed OpenSSL 升级有关。看起来 Exchange 2003 只能处理长度为 64 项的密码列表(尚未验证)。Exchange 03 上使用的密码在发送 SMTP 的列表中的位置太低,因此 Exchange 失败。我不知道我是否能够验证这确实是问题所在,但看起来很有可能。
发现这很有趣: http://comments.gmane.org/gmane.mail.mimedefang/17927
答案1
2014/07/29 更新
显然 SMTP 服务只是将 SSL 证书的某些部分作为垃圾邮件发送到 SSL 数据包的末尾;) https://lbr.id.lv/#Windows_SMTP_bug_breaks_3DES_and_AES_CBC
解决方案
KB957047修复 SMTP,KB938857- 交换 IMAP 和 POP3,KB948963添加 AES 支持,3DES 和 AES 都可以与 SMTP 服务和 Exchange 服务器正常配合使用。可能需要安装KB976323SMTP 修复之后。
原始帖子
在我看来,它肯定与 SSL/TLS 连接。我遇到了完全相同的问题 -Windows Server 2003 SMTP 服务无法通过 SSL/TLS 接收某些电子邮件。与阻止列表/IPS/网络问题/等无关。
顺便说一句,serverfault 的注册确认已成功发送 -
Protocol: TLS (SSL 3.1)
Cipher: RC4
Cipher strength: 128
MAC: SHA
Exchange: RSA
Exchange strength: 4096
EHLO - +mx-out.stackexchange.com 250 0 235 29 0 SMTP - - - -
STARTTLS - - 220 0 0 8 0 SMTP - - - -
STARTTLS - - 220 0 29 8 0 SMTP - - - -
EHLO - +mx-out.stackexchange.com 250 0 259 29 0 SMTP - - - -
MAIL - +FROM:<[email protected]> 250 0 78 50 0 SMTP -
RCPT - +TO:<> 250 0 51 23 0 SMTP - - - -
DATA - +<> 250 0 167 3706 297 SMTP
QUIT - mx-out.stackexchange.com 240 1312 83 4 0 SMTP - - - -
哦,我完全忘了回答了;)
您可以
1) 在 w2k3 上禁用 3DES - 将导致回退到 RC4 或不安全的连接。此外,对我来说禁用 3DES 还会导致其他一些问题。例如,IIS6 和 Outlook 可以毫无问题地使用它。
2)在 SMTP 服务上禁用 TLS - 将导致不安全的连接。
3)请求远程服务器管理员实施补丁;)
4)升级w2k3。
5) 使用其他 SMTP 服务器,这对您来说不是一个选择,因为 Exchange 仅适用于 m$ SMTP,但对我来说是一个选择。
另外,强制使用特定密码的 SSL3 或 TLS1 也有可能起作用。
顺便说一句,我认为你是对的,这一切都始于 HeartBleed 漏洞恐慌之后 —— 可能 OpenSSL 已经升级,并且可能它以 3DES 作为最低密码,或者 RC4 在列表中排得很远。
此外,遗憾的是,在您和我的情况中,非 TLS 连接未重新协商,因为两个服务器都认为找到了通用匹配密码并且成功建立了连接。第二个 EHLO prly 是 TLS 握手或仅在建立 TLS 连接后才需要。
答案2
这很可能是您的服务器。检查您的连接过滤,看看是否存在:
配置了阻止列表提供程序
您的全局拒绝列表中的发送服务器的 IP 地址。
检查是否是上述原因导致问题的最简单方法是禁用虚拟 SMTP 服务器属性上的连接筛选。如果您禁用连接筛选并且这些电子邮件开始通过,那么您就知道问题出在您的连接筛选配置上,无论是您使用的阻止列表提供程序还是您的全局拒绝列表。
另外,请参阅此处以详细了解 Exchange Server 2003 中的邮件流,尤其是底部详细介绍反垃圾邮件流的部分:
http://technet.microsoft.com/en-us/library/aa995825(v=exchg.65).aspx