Síntomas:
Tenemos un servidor de correo, observamos que cuando intentan enviarnos mensajes desde determinados dominios los mensajes no llegan, finalmente el emisor recibe un NDR que contiene la frase:TLS not available: connect failed: error:00000000:lib(0):func(0):reason(0)
Solo ocurre con algunos dominios, esto es con algunos servidores de correo.
Contexto:
Utilizas un servidor Windows Server 2008R2 con Foreftont TMG y el Rol de transporte de Exchange Server 2010.Has configurado recientemente el SSL para que supere los tests Qualys SSL Labs
Para ello has seguido las instrucciones en:
- http://tmgblog.richardhicks.com/2014/09/08/recommended-forefront-tmg-2010-ssl-and-tls-configuration/
- http://tmgblog.richardhicks.com/2014/08/28/enable-tls-forward-secrecy-for-forefront-tmg-2010-published-web-sites/
- http://www.isaserver.org/articles-tutorials/configuration-security/improving-ssl-security-forefront-threat-management-gateway-tmg-2010-published-web-sites.html
Causa:
El servidor que emite los mensajes es probablemente un Linux con qmail y no tiene actualizados los módulos de criptográfia, probablemente esté intentando utilizar SSL v2 o v3 en lugar de TLS. y tu servidor lo rechaza.Solución:
En mi caso bastó con:- Permitir el dialogo inicial SSL2 /SSL3 antes de saltar a TLS.
Clave de registro:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\ AllowInsecureRenegoClients
Valor:1 - Permitir el uso del cifrado RC4 (lo había deshabilitado por debíl).
- Incluir la suites de cifrado TLS_RSA_WITH_RC4_128_SHA en la lista:
Computer Configuration, Administrative Templates, Network, SSL Configuration Settings, Cipher Suite Order
De la política de seguridad local.
No hay comentarios:
Publicar un comentario