Blog durchsuchen

Montag, 29. August 2016

Kein Mailflow zu Office365 möglich (Event 2015)

Ein Kunde mit einer Hybridumgebung bat mich um Hilfe dass seit 2 Tagen (inkl. Wochenende) keine Mails mehr an die Mailboxen in Office365 zugestellt wurden. Lokale Mails (zwischen OnPrem-Mailboxen) und Mails ins Internet funktionierten einwandfrei.

Ein Blick in das Eventlog brachte folgenden Fehler (2015) zutage:



Send connector Outbound to Office 365 couldn't connect to remote domain Kunde.mail.onmicrosoft.com. The send connector requires Transport Layer Security (TLS) authentication, but is unable to establish TLS with the receiving server for the remote domain. Check this connector's authentication setting and the EHLO response from the remote server HE1EUR02FT049.mail.protection.outlook.com.

Der SendConnector für Office 365 brachte keine Auffälligkeiten. Auch das Zertifikat war für SMTP zugewiesen und nicht abgelaufen.
Der einzige Unterschied des "O365 Send Connectors" zum normalen Internet-Connector war, dass ins Internet ein Smart-Host verwendet wurde - zu O365 war normales DNS eingestellt.

Daraufhin wurde gleich mal getestet ob die "Basis-Funktionalität" SMTP zum erwarteten Ziel funktionierte. Ein Telnet Kunde.mail.onmicrosoft.com 25 brachte gleich mal nicht die erwartete Ansicht:
Lediglich 220 und jede Menge Sternchen (Asterisks) wurden gebracht. Eingabe von EHLO führte lediglich zu 550 5.3.3 Unrecognized command.

Auch andere (Exchange-Mailserver) gaben die selbe Antwort auf meinen Telnet-Anruf. Es konnte also kein reines Microsoft-Problem sein.

Die weitere Analyse ergab, dass - warum auch immer - auf der Cisco ASA Firewall, das sogenannte Mailguard bzw. (E)SMTP Filtering feature aufgedreht wurde. Blöderweise blockt diese eigentlich als Sicherheits-Feature gedachte Funktion, nahezu jeden TLS-Traffic zwischen Exchange-Servern.
So auch zu Office365.

Das Feature wurde abgedreht und der Mailverkehr zu O365 funktionierte wieder.

Fazit: Mailguard, SMTP Fixup, (E)SMTP Filtering sind KEINE Option wenn Exchange eingesetzt wird. Sollte dieses Feature unbedingt erforderlich sein, muß mit einem SmartHost gearbeitet werden zu welchem keine Einschränkungen passieren.


Es gibt übrigens auch von Microsoft einen KB Artikel welcher  sich mit dem Thema befasst.

Keine Kommentare:

Kommentar veröffentlichen