服务器 Gind.cn
  1. 服务器 Gind.cn
  3. Exchange 2003 SMTP不从发件人收到RCPT
Intereting Posts
Nginx:从旧的URLredirect到新的,并保持查询string AD网站和服务 – KCC自动生成的连接 用户帐户用作服务帐户 我的networkingconfiguration基于什么防火墙? Ubuntu 14.04 / Apache 2.4在Amazon EC2介质实例上导致内核错误 SETUID权限被拒绝 kickstart和puppet之间的细线 但丁无法绑定到公共IP地址 在Linux中pipe理各种软件应用程序和设置的安装和configuration的方法? 具有单个中继线的2个交换机中的VLAN 在CentOS 6.6上构buildphp v5.6.9以使用Apache 2.4 Hyper-V服务器和SAS HBA 在共享主机服务器上安装FFMPEG ESXi数据存储的限制(如果有)是多less? 新服务器上的权限和组

Exchange 2003 SMTP不从发件人收到RCPT

我主要是要求检查我是否应该进一步调查,或者如果我要告诉发件人,他们应该与自己的IT部门进一步协助。 我不知道这是否是我的目的或他们的。

从一个外部域名,我们没有收到任何电子邮件。 我能看到的唯一跟踪是在SMTP虚拟服务器上logging的初始SMTP会话。 日志显示EHLO,STARTTLS,MAIL,并保存退出。 没有RCPT从他们发送,我可以看到任何地方。 我甚至使用networking监视器来查看数据包中是否有任何东西显示。

我们在同一台Exchange服务器上安装了GFI Mail Essentials,但没有logging任何内容,甚至没有logging该历史logging中的任何地址。 在Exchange事件日志中,使用全部最多的传输日志logging,将使用其IP或地址或域的零日志条目。 基本上,我认为邮件永远不会进入Exchange传输pipe道。

此外,检查,没有列入我们或他们的服务器上的黑名单。 而且,DNS查找全部解决,从我的最后反转PTR。

我们只是一个小商店,几百个用户,而不是一个全职的IT人员,只有一个Exchange服务器的所有电子邮件。 发件人是一个大型的联邦政府组织,有很多入站MXlogging,所有出站邮件都来自单独的SMTP服务器。

当然,我正在等待从我的用户那里收到关于是否收到NDR的消息。 我现在只是困惑,主要是因为,显然,我可以从他们的最后看到任何东西。

这可能是我的目的还在吗? 我不知道还有什么可做的,只是把它们告诉他们,我讨厌这样做。 (因为我讨厌这个时候其他的IT人员没有检查所有的东西)

感谢您的任何意见或build议。

以下是一个SMTP日志示例: 

 2014-06-27 19:07:36 52.0.222.46 outside1.domain.com SMTPSVC1邮件192.168.0.4 0 EHLO  -  + outside1.domain.com 250 0 343 19 0 SMTP  -   -   -   -   - 
 2014-06-27 19:07:36 52.0.222.46 outside1.domain.com SMTPSVC1 MAIL 192.168.0.4 0 STARTTLS  -   -  220 0 0 8 0 SMTP  -   -   -   -   - 
 2014-06-27 19:07:36 52.0.222.46 outside1.domain.com SMTPSVC1 MAIL 192.168.0.4 0 STARTTLS  -   -  220 0 29 8 0 SMTP  -   -   -   -   - 
 2014-06-27 19:07:36 52.0.222.46 outside1.domain.com SMTPSVC1邮件192.168.0.4 0 EHLO  -  + outside1.domain.com 250 0 353 19 0 SMTP  -   -   -   -   - 
 2014-06-27 19:07:36 52.0.222.46 outside1.domain.com SMTPSVC1 MAIL 192.168.0.4 0 MAIL  -  + FROM:250 0 76 41 0 SMTP  -   -   -   -   - 
 2014-06-27 19:07:36 52.0.222.46 outside1.domain.com SMTPSVC1 MAIL 192.168.0.4 0 QUIT  -  outside1.domain.com 240 343 76 41 31 SMTP  -   -   -   -   - 

 2014-06-27 19:14:56 52.3.222.45 outside2.domain.com SMTPSVC1邮件192.168.0.4 0 EHLO  -  + outside2.domain.com 250 0 343 19 0 SMTP  -   -   -   -   - 
 2014-06-27 19:14:56 52.3.222.45 outside2.domain.com SMTPSVC1 MAIL 192.168.0.4 0 STARTTLS  -   -  220 0 0 8 0 SMTP  -   -   -   -   - 
 2014-06-27 19:14:56 52.3.222.45 outside2.domain.com SMTPSVC1 MAIL 192.168.0.4 0 STARTTLS  -   -  220 0 29 8 0 SMTP  -   -   -   -   - 
 2014-06-27 19:14:56 52.3.222.45 outside2.domain.com SMTPSVC1邮件192.168.0.4 0 EHLO  -  + outside2.domain.com 250 0 353 19 0 SMTP  -   -   -   -   - 
 2014-06-27 19:14:56 52.3.222.45 outside2.domain.com SMTPSVC1 MAIL 192.168.0.4 0 MAIL  -  + FROM:250 0 76 41 0 SMTP  -   -   -   -   - 
 2014-06-27 19:14:56 52.3.222.45 outside2.domain.com SMTPSVC1 MAIL 192.168.0.4 0 QUIT  -  outside2.domain.com 240 516 76 41 63 SMTP  -   -   -   -   -

顺便说一下,我注意到networking监视器中的一些SSLstream量,他们要求STARTTLS。 在这里我看到来自双方的ClientHello,总是以关于authentication无效或类似的SSL错误结束。 我有一个预感这不是我的问题,因为它也显示在其他正常的stream量。 我相信服务器只是尝试TLS连接,然后回落到正常的未encryption连接。 因此,第二个EHLO。 (对吗?我只是在猜测,我真的没有得到SSL协议的东西)我真的认为这是在传输缺乏RCPT的东西,没有邮件将路由没有。

我只是不知道还有什么要检查的,是我还是他们? 直到我从他们那里得到NDR的报告,才会知道更多。 谢谢!

更新6-30-2014最后收到用户的NDR: 

4.4.0 - Other network problem "(336130315, 'error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number')"

经过一些初步的研究,我的第一个想法是明显的修复; 升级服务器,它的老! 但我想知道是否有我的解决方法吗? 就在眼前。

从目前为止我收集的信息来看,Exchange 2003或者Windows 2003并不支持比TLSv1更大的function。 而且,它启用了SSLv2。 从NDR消息上的谷歌search,我看到有关Postfix服务器需要禁用3DES的解决方法,或者他们有SSLv2不允许,我的服务器宣布可用。 我的服务器没有任何标准的2003服务器协议被禁用,所以它应该尝试使用SSLv3吗?

除此之外,我也在阅读有关buggy 2003服务器密码和破解TLS的post,所以不知道我能做些什么。 我不能只在SMTP上禁用SSL / TLS入站?

我会继续谷歌search,但不知道如何解决这个除了离开2003服务器。

再次更新

我敢打赌,这与发送服务器上的Heartbleed OpenSSL升级有关。 它看起来像Exchange 2003一样只能处理64个项目的密码列表长度(尚未validation)。 Exchange 03上使用的密码在发送SMTP的列表中太低,Exchange失败。 我不知道我能否证实这确实是个问题,但肯定有可能。

发现这是有趣的: http : //comments.gmane.org/gmane.mail.mimedefang/17927

2014/07/29更新

显然,SMTP服务只是在SSL数据包的末尾发送一些SSL证书的一部分作为垃圾; ) https://lbr.id.lv/#Windows_SMTP_bug_breaks_3DES_and_AES_CBC

KB957047修复了SMTP, KB938857 – Exchange IMAP和POP3, KB948963增加了AES支持,并且3DES和AES都开始与SMTP服务和Exchange服务器正常工作。 SMTP修补程序后可能需要安装KB976323 。

原帖

它是deffo连接到SSL / TLS。 我有完全相同的问题 – Windows Server 2003 SMTP服务无法通过SSL / TLS接收一些电子邮件 。 与阻止列表/ ips /networking问题/等无关。

顺便说一句,来自serverfault的注册确认已经发送好了 – 

  Protocol: TLS (SSL 3.1) Cipher: RC4 Cipher strength: 128 MAC: SHA Exchange: RSA Exchange strength: 4096 EHLO - +mx-out.stackexchange.com 250 0 235 29 0 SMTP - - - - STARTTLS - - 220 0 0 8 0 SMTP - - - - STARTTLS - - 220 0 29 8 0 SMTP - - - - EHLO - +mx-out.stackexchange.com 250 0 259 29 0 SMTP - - - - MAIL - +FROM:<[email protected]> 250 0 78 50 0 SMTP - RCPT - +TO:<> 250 0 51 23 0 SMTP - - - - DATA - +<> 250 0 167 3706 297 SMTP QUIT - mx-out.stackexchange.com 240 1312 83 4 0 SMTP - - - -

哦,我完全忘了回答。 )

你也可以

1)在w2k3上禁用3DES – 将导致回退到RC4或不安全的连接。 也禁用我的3DES导致了一些其他问题。 例如IIS6和Outlook能够使用它没有任何问题。

2)禁用SMTP服务的TLS – 将导致不安全的连接。

3)请求远程服务器pipe理员执行补丁; )

4)升级w2k3。

5)使用一些其他的SMTP服务器,这不是一个选项,因为Exchange只能使用m $ SMTP,但对我来说是一个选项。

也有可能用特定的密码强制SSL3或TLS1工作。

顺便说一句,我认为你是对的,这一切都开始后的HeartBleed bug偏执狂 – 裸露OpenSSL得到升级,并prly它有3DES作为最低密码或RC4是非常远的名单上。

另外,可悲的是,在你的和我的情况下,非TLS连接没有被重新协商,导致两个服务器都认为find了共同的匹配密码,并且连接build立成功。 第二个EHLO prly是TLS握手,或者在build立TLS连接之后才需要。

这很好,可能是,可能是你的服务器。 检查您的连接筛选,看看你是否有:

  1. 阻止列表提供程序configuration

  2. 全局拒绝列表中的发送服务器的IP地址。

检查是否导致问题的最简单的方法是禁用虚拟SMTP服务器的属性上的连接筛选。 如果您禁用连接筛选,并且这些电子邮件开始通过,那么您知道问题是与您的连接筛选configuration,无论是您使用的阻止列表提供程序,或与您的全局拒绝列表。

此外,请参阅此处以了解Exchange Server 2003中消息stream的详细情况,特别是底部附近详细介绍反垃圾邮件消息stream的部分:

http://technet.microsoft.com/en-us/library/aa995825(v=exchg.65).aspx