Dépannage de la connectivité Exchange Server antérieure à SEG AsyncOS 15.0 après la mise à niveau

Options de téléchargement

  • PDF     (253.2 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (88.6 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (75.6 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:8 septembre 2023
ID du document:220874

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document décrit les étapes pour résoudre le problème de connectivité Exchange 2013 (ou plus ancien) avec Secure Email Gateway (SEG) après la mise à niveau vers la version 15.0.

    Composants utilisés

    Exchange 2013 ou version ultérieure.

    SEG version 15.0.

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

    Problème

    Après la mise à niveau du SEG vers la version 15.0, la connectivité entre les serveurs Exchange antérieurs à 2013 n'est pas établie. Si vous vérifiez tophosts à partir de CLI, vous pouvez voir que le domaine est marqué comme down (*)

    mx1.cisco.com > tophosts

Sort results by:

1. Active Recipients
2. Connections Out
3. Delivered Recipients
4. Hard Bounced Recipients
5. Soft Bounced Events
[1]> 1

Status as of:                   Sun Sep 03 11:44:11 2023 -03
Hosts marked with '*' were down as of the last delivery attempt.

                         Active  Conn.     Deliv.       Soft       Hard
#   Recipient Host       Recip.    Out     Recip.    Bounced    Bounced
1*  cisco.com        118      0          0          0    507
2*  alt.cisco.com    94      0        226          0     64
3*  prod.cisco.com   89      0          0          0     546

    Dans Mail_logs, vous pouvez voir les échecs de connexion au domaine avec la raison de l'erreur réseau.  

    Thu Aug 29 08:16:21 2023 Info: Connection Error: DCID 4664840 domain: cisco.com IP: 10.0.0.1 port: 25 details: [Errno 0] Error interface: 10.0.0.2 reason: network error

    Dans la capture de paquets, vous pouvez voir que le serveur Exchange ferme la connexion avec le paquet FIN, immédiatement après la négociation TLS.

    Solution

    Vérifiez que le serveur Exchange est sur la version 2013 ou antérieure, puis vous pouvez utiliser cette chaîne de chiffrement comme solution de contournement pour permettre au SEG de se connecter à ces serveurs plus anciens. Cela permet de remettre les messages jusqu'à ce qu'Exchange puisse être mis à niveau vers une version actuellement prise en charge.

    ECDH+aRSA:ECDH+ECDSA:DHE+DSS+AES:AES128:AES256:!SRP:!AESGCM+DH+aRSA:!AESGCM+RSA:!aNULL:!eNULL:!DES:!3DES:!IDEA:!RC2:-IDEA:-aNULL:-EXPORT:!DHE-RSA-AES256-SHA:!DHE-RSA-AES128-CCM:!DHE-RSA-AES256-CCM:!ECDHE-ECDSA-CAMELLIA128-SHA256:!ECDHE-RSA-CAMELLIA128-SHA256:!ECDHE-ECDSA-CAMELLIA256-SHA384:!ECDHE-RSA-CAMELLIA256-SHA384:!ECDHE-ECDSA-AES128-CCM:!ECDHE-ECDSA-AES256-CCM

    Vous pouvez saisir ces informations via l'interface de ligne de commande (CLI) ou l'interface utilisateur graphique Web (GUI).

    Dans la CLI :

    mx1.cisco.com> sslconfig

Choose the operation you want to perform:
- GUI - Edit GUI HTTPS ssl settings.
- INBOUND - Edit Inbound SMTP ssl settings.
- OUTBOUND - Edit Outbound SMTP ssl settings.
- VERIFY - Verify and show ssl cipher list.
- OTHER_CLIENT_TLSV10 - Edit TLS v1.0 for other client services.
- PEER_CERT_FQDN - Validate peer certificate FQDN compliance for Alert Over TLS, Outbound SMTP, updater and LDAP.
- PEER_CERT_X509 - Validate peer certificate X509 compliance for Alert Over TLS, Outbound SMTP, updater and LDAP.
[]> outbound

Enter the outbound SMTP ssl method you want to use.
1. TLS v1.1
2. TLS v1.2
3. TLS v1.0
[2]>

Enter the outbound SMTP ssl cipher you want to use.
[!aNULL:!eNULL]> ECDH+aRSA:ECDH+ECDSA:DHE+DSS+AES:AES128:AES256:!SRP:!AESGCM+DH+aRSA:!AESGCM+RSA:!aNULL:!eNULL:!DES:!3DES:!IDEA:!RC2:-IDEA:-aNULL:-EXPORT:!DHE-RSA-AES256-SHA:!DHE-RSA-AES128-CCM:!DHE-RSA-AES256-CCM:!ECDHE-ECDSA-CAMELLIA128-SHA256:!ECDHE-RSA-CAMELLIA128-SHA256:!ECDHE-ECDSA-CAMELLIA256-SHA384:!ECDHE-RSA-CAMELLIA256-SHA384:!ECDHE-ECDSA-AES128-CCM:!ECDHE-ECDSA-AES256-CCM

.....
Hit enter until you are back to the default command line.


mx1.cisco.com> commit

    Dans la GUI :

    Étape 1. Sélectionnez l'onglet Administration système.
    Étape 2. Sélectionnez sur SSL Configuration.
    Étape 3. Cliquez sur le bouton Edit Settings.
    Étape 4. Modifiez le ou les chiffrements SSL SMTP sortants pour utiliser la chaîne fournie dans cet article.
    Étape 5. Envoyez et validez les modifications.

    Informations connexes

    Guide de l'utilisateur d'AsyncOS 15.0 : Administration système

    Modifier les méthodes et les chiffrements utilisés avec SSL/TLS sur l'ESA

    ID de bogue Cisco CSCwh48138 - Echec de remise du courrier électronique ESA 15.0 sur TLS avec Exchange 2013

    Historique de révision

    Révision Date de publication Commentaires
    1.0
    08-Sep-2023
    Première publication
    TAC Authored

    Contribution d’experts de Cisco

    • Corey Spillis
      TAC Cisco

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Ce document s’applique à ces produits