TLS not available: connect failed: error:00000000:lib(0):func(0):reason(0)

Síntomas:

Tenemos un servidor de correo, observamos que cuando intentan enviarnos mensajes desde determinados dominios los mensajes no llegan, finalmente el emisor recibe un NDR que contiene la frase:

TLS not available: connect failed: error:00000000:lib(0):func(0):reason(0) 

Solo ocurre con algunos dominios, esto es con algunos servidores de correo.

Contexto:

Utilizas un servidor Windows Server 2008R2 con Foreftont TMG y el Rol de transporte de Exchange Server 2010.
Has configurado recientemente el SSL para que supere los tests Qualys SSL Labs
Para ello has seguido las instrucciones en:

• http://tmgblog.richardhicks.com/2014/09/08/recommended-forefront-tmg-2010-ssl-and-tls-configuration/
• http://tmgblog.richardhicks.com/2014/08/28/enable-tls-forward-secrecy-for-forefront-tmg-2010-published-web-sites/
• http://www.isaserver.org/articles-tutorials/configuration-security/improving-ssl-security-forefront-threat-management-gateway-tmg-2010-published-web-sites.html

Causa:

El servidor que emite los mensajes es probablemente un Linux con qmail y no tiene actualizados los módulos de criptográfia, probablemente esté intentando utilizar SSL v2 o v3 en lugar de TLS. y tu servidor lo rechaza.

Solución:

En mi caso bastó con:

1. Permitir el dialogo inicial SSL2 /SSL3 antes de saltar a TLS.
   Clave de registro:
   HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\ AllowInsecureRenegoClients
   Valor:1
2. Permitir el uso del cifrado RC4 (lo había deshabilitado por debíl).
3. Incluir la suites de cifrado TLS_RSA_WITH_RC4_128_SHA en la lista:
   Computer Configuration, Administrative Templates, Network, SSL Configuration Settings, Cipher Suite Order
   De la política  de seguridad local.

Todo esto se entenderá mejor si se han seguido las instrucciones más arriba para alcanzar el grado A en Qualys SSL Lab (y para evitarse problemas posteriores, que desde PODDLE nos estamos poniendo serios).