Ce document décrit les étapes pour résoudre le problème de connectivité Exchange 2013 (ou plus ancien) avec SEG après la mise à niveau vers la version 15.0.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
Après la mise à niveau du SEG vers la version 15.0, la connectivité entre les serveurs Exchange antérieurs à 2013 n'est pas établie. Si vous vérifiez tophosts à partir de CLI, vous pouvez voir que le domaine est marqué comme down (*) :
mail.example.com > tophosts
Sort results by:
1. Active Recipients
2. Connections Out
3. Delivered Recipients
4. Hard Bounced Recipients
5. Soft Bounced Events
[1]> 1
Status as of: Sun Sep 03 11:44:11 2023 -03
Hosts marked with '*' were down as of the last delivery attempt.
Active Conn. Deliv. Soft Hard
# Recipient Host Recip. Out Recip. Bounced Bounced
1* example.com 118 0 0 0 507
2* alt.example.com 94 0 226 0 64
3* prod.example.com 89 0 0 0 546
Dans les journaux de messagerie, vous pouvez voir les échecs de connexion au domaine avec la raison "erreur réseau."
Thu Aug 29 08:16:21 2023 Info: Connection Error: DCID 4664840 domain: example.com IP: 192.0.2.10 port: 25 details: [Errno 0] Error interface: 192.0.2.20 reason: network error
Dans la capture de paquets, vous pouvez voir que le serveur Exchange ferme la connexion avec le paquet FIN, immédiatement après la négociation TLS.
Vérifiez que le serveur Exchange est sur la version 2013 ou antérieure, puis vous pouvez utiliser cette chaîne de chiffrement comme solution de contournement pour permettre au SEG de se connecter à ces serveurs plus anciens. Cela permet de remettre les messages jusqu'à ce qu'Exchange puisse être mis à niveau vers une version actuellement prise en charge.
ECDH+aRSA:ECDH+ECDSA:DHE+DSS+AES:AES128:AES256:!SRP:!AESGCM+DH+aRSA:!AESGCM+RSA:!aNULL:!eNULL:!DES:!3DES:!IDEA:!RC2:-IDEA:-aNULL:-EXPORT:!DHE-RSA-AES256-SHA:!DHE-RSA-AES128-CCM:!DHE-RSA-AES256-CCM:!ECDHE-ECDSA-CAMELLIA128-SHA256:!ECDHE-RSA-CAMELLIA128-SHA256:!ECDHE-ECDSA-CAMELLIA256-SHA384:!ECDHE-RSA-CAMELLIA256-SHA384:!ECDHE-ECDSA-AES128-CCM:!ECDHE-ECDSA-AES256-CCM
Vous pouvez saisir ces informations via l'interface de ligne de commande (CLI) ou l'interface utilisateur graphique Web (GUI).
Dans la CLI :
mail.example.com> sslconfig
Choose the operation you want to perform:
- GUI - Edit GUI HTTPS ssl settings.
- INBOUND - Edit Inbound SMTP ssl settings.
- OUTBOUND - Edit Outbound SMTP ssl settings.
- VERIFY - Verify and show ssl cipher list.
- OTHER_CLIENT_TLSV10 - Edit TLS v1.0 for other client services.
- PEER_CERT_FQDN - Validate peer certificate FQDN compliance for Alert Over TLS, Outbound SMTP, updater and LDAP.
- PEER_CERT_X509 - Validate peer certificate X509 compliance for Alert Over TLS, Outbound SMTP, updater and LDAP.
[]> outbound
Enter the outbound SMTP ssl method you want to use.
1. TLS v1.1
2. TLS v1.2
3. TLS v1.0
[2]>
Enter the outbound SMTP ssl cipher you want to use.
[!aNULL:!eNULL]> ECDH+aRSA:ECDH+ECDSA:DHE+DSS+AES:AES128:AES256:!SRP:!AESGCM+DH+aRSA:!AESGCM+RSA:!aNULL:!eNULL:!DES:!3DES:!IDEA:!RC2:-IDEA:-aNULL:-EXPORT:!DHE-RSA-AES256-SHA:!DHE-RSA-AES128-CCM:!DHE-RSA-AES256-CCM:!ECDHE-ECDSA-CAMELLIA128-SHA256:!ECDHE-RSA-CAMELLIA128-SHA256:!ECDHE-ECDSA-CAMELLIA256-SHA384:!ECDHE-RSA-CAMELLIA256-SHA384:!ECDHE-ECDSA-AES128-CCM:!ECDHE-ECDSA-AES256-CCM
.....
Hit enter until you are back to the default command line.
mail.example.com> commit
Dans la GUI :
Étape 1. Sélectionnez l'onglet Administration système.
Étape 2. Choisissez une configuration SSL.
Étape 3. Sélectionnez le bouton Modifier les paramètres.
Étape 4. Modifiez le ou les chiffrements SSL SMTP sortants pour utiliser la chaîne fournie dans cet article.
Étape 5. Soumettre et valider les modifications
| Révision | Date de publication | Commentaires |
|---|---|---|
2.0 |
01-Jul-2026
|
Recertification |
1.0 |
08-Sep-2023
|
Première publication |