Beheben von Problemen bei SMTP über TLS in EWS/MEG 7.x
Technische Artikel ID:
KB74886
Zuletzt geändert am: 01.03.2017
Umgebung
McAfee Email and Web Security Appliance-Software 5.x McAfee Email Gateway 7.x
Zusammenfassung
Dieser Artikel hilft Ihnen bei der Behebung von Problemen bei SMTP über TLS auf einer Email and Web Security (EWS) 7.x- oder McAfee Email Gateway (MEG) 5.x-Appliance.
Lösung
Email Gateway Appliance 7.0 und EWS Appliance 5.x
- Erhöhen Sie die Genauigkeit der Protokollierung auf der Appliance:
- Öffnen Sie die Verwaltungskonsole der Appliance.
- Klicken Sie auf System, Protokollierung, Warnungen und dann auf SNMP.
- Wählen Sie unter Protokollierungskonfiguration in den Dropdown-Menüs für Protokollereignisse und Kommunikationsereignisse die Option Alle Ereignisse aus.
- Klicken Sie auf Systemprotokolleinstellungen und dann auf Systemprotokollereignisse aktivieren.
- Wählen Sie nur die Optionen Transportereignisse und Konversationsereignisse aus.
- Klicken Sie auf OK und dann auf Änderungen übernehmen.
WICHTIG: Diese Funktionen sind ressourcenintensiv. Sie sollten sie daher nur während der Fehlerbehebung aktivieren. - Reproduzieren Sie das Problem.
- Sammeln Sie Beispiele unzustellbarer Nachrichten mit den E-Mail-Headern, und notieren Sie die folgenden Details:
- Zeitpunkt, zu dem die NDR-Nachricht gesendet wurde
- E-Mail-Adressen des ursprünglichen Absenders und Empfängers
- Betreff der E-Mail
- IP-Adressen des Quell- und Ziel-E-Mail-Servers
- Ermitteln Sie das Problem. Wenn Sie TLS-Verschlüsselung verwenden, ist es wichtig, die Rolle der Appliance in der TLS-Transaktion beim Auftreten des Problems zu verstehen:
- Wenn die Appliance als Server fungiert (Abfangen oder Empfangen einer E-Mail), siehe die Lösung für das Fungieren als Server.
- Wenn die Appliance als Client fungiert (transparente Weiterleitung oder Senden einer E-Mail), siehe die Lösung für das Fungieren als Client.
- Suchen Sie in den Appliance-Protokollen nach dem Problem:
EWS Appliance 7.0 - Melden Sie sich bei der Verwaltungskonsole der Appliance an.
- Navigieren Sie zu Fehlerbehebung, Berichte, Berichte und Tracing und dann zu Protokolldateien speichern.
- Wählen Sie unter Systemprotokoll-Viewer im Dropdown-Feld für Anzuzeigende Protokolldatei die Option E-Mail-Protokoll aus.
- Ändern Sie den Wert für Anzahl der abzurufenden Zeilen in 100, und klicken Sie auf Protokolle abrufen.
- Rufen Sie die Transportereignisse basierend auf den zuvor gesammelten Informationen ab. Wenn keine zugehörigen Informationen angezeigt werden, erhöhen Sie die Anzahl der Zeilen nach Bedarf.
EWS Appliance 5.6 - Melden Sie sich bei der Verwaltungskonsole der Appliance an.
- Navigieren Sie zu Fehlerbehebung, Berichte zur Fehlerbehebung, Berichte und Tracing und dann zu Protokolldateien.
- Wählen Sie unter Systemprotokoll-Viewer im Dropdown-Feld für Anzuzeigende Protokolldatei die Option E-Mail-Protokoll aus.
- Ändern Sie den Wert für Anzahl der abzurufenden Zeilen in 100, und klicken Sie auf Protokolle abrufen.
- Rufen Sie die Transportereignisse basierend auf den zuvor gesammelten Informationen ab. Wenn keine zugehörigen Informationen angezeigt werden, erhöhen Sie die Anzahl der Zeilen nach Bedarf.
EWS Appliance 5.5/5.1 Die Syslogs können nicht über die Verwaltungskonsole der Appliance angezeigt werden. Sie können die Protokolle speichern oder einen Off-Box-Syslog-Server verwenden. - Wenn Sie zusätzliche Hilfe benötigen:
- Erfassen Sie die MER-Ausgabe (Minimum Escalation Requirements) (siehe KB60247), und wählen Sie die Option TLS-Zertifikate und private Schlüssel in die Konfigurationssicherung mit einbeziehen aus.
- Wenden Sie sich an den McAfee-Support. Stellen Sie die MER-Ausgabe und die während der Fehlerbehebungssitzung gesammelten Daten bereit.
Zur Kontaktierung des technischen Supports melden Sie sich beim ServicePortal an und rufen dort die Seite "Service-Anfrage erstellen" unter https://support.mcafee.com/ServicePortal/faces/serviceRequests/createSR auf:
- Wenn Sie sich bereits registriert haben, geben Sie Ihre Benutzer-ID und Ihr Kennwort ein, und klicken Sie dann auf Anmelden.
- Wenn Sie sich noch nicht registriert haben, klicken Sie auf Registrieren, und füllen Sie die erforderlichen Felder aus. Ihr Kennwort und die Anleitung zur Anmeldung erhalten Sie per E-Mail.
Lösung
Appliance fungiert als ClientWenn die Appliance als Client fungiert und die Nachricht aufgrund eines TLS-Problems nicht übertragen kann, gibt der E-Mail-Weiterleitungs-Server in der Regel eine Fehlermeldung und einen Fehlercode zurück. Ermitteln Sie, warum es bei einer über TLS gesendeten E-Mail zu einem Fehler gekommen ist, und rufen Sie den Fehlercode und die Ursache ab: - Melden Sie sich bei der Verwaltungskonsole der Appliance an.
- Wählen Sie die unzustellbare Nachricht aus:
- Email Gateway 7.x:
Klicken Sie auf Berichte und dann auf Nachrichtensuche, und wählen Sie in der Dropdown-Liste den Nachrichtenstatus Gebounct aus. - EWS Appliance 5.6:
Klicken Sie auf E-Mail und dann auf Nachrichtensuche, und wählen Sie in der Dropdown-Liste den Nachrichtenstatus Gebounct aus. - EWS Appliance 5.1/5.5:
Es ist nicht möglich, die Ursache oder den Fehlercode für abgewiesene E-Mails anzuzeigen. Es wird empfohlen, ein Upgrade auf eine neuere Version durchführen. Für erfahrene Benutzer wird in KB73897 erklärt, wie TLS-bezogene Fehler mit OpenSSL behoben werden können. - Klicken Sie auf Suchen/Aktualisieren.
- Suchen Sie für jede unzustellbare Nachricht den Fehlercode in der Spalte Status/Kategorie.
WICHTIG: Bekannte Fehlercodes und die zugehörigen Lösungen finden Sie in KB74897.
Lösung
Appliance fungiert als Server
Wenn die Appliance als Server fungiert und bei der TLS-Transaktion ein Fehler auftritt, erhält der Quell-E-Mail-Server eine Fehlermeldung und einen 5XX-Fehlercode von der Appliance. Sie sollte eine Unzustellbarkeits-E-Mail-Benachrichtigung mit dem Fehlercode und der Fehlermeldung an die Absenderadresse senden. - Melden Sie sich bei der Verwaltungskonsole der Appliance an.
- Navigieren Sie zu den TLS-Einstellungen:
Email Gateway 7.x - Wählen Sie E-Mail, Verschlüsselung, Verschlüsselungseinstellungen und dann TLS aus.
- Suchen Sie unter TLS-Verbindungen beim Empfang von E-Mail (Gateway agiert als Server) nach einem Eintrag, der dem Quell-E-Mail-Server entspricht. Sie können folgende Suchkriterien verwenden:
- Vollständig qualifizierter Domänenname (FQDN)
- Domänenname
- IP-Adresse
WICHTIG: Standardmäßig enthält die Liste den Eintrag "*", der mit jedem Quell-E-Mail-Server übereinstimmt, bei dem TLS verwenden auf Wenn verfügbar und Client authentifizieren auf Nein gesetzt ist. Das verwendete Zertifikat ist das standardmäßige selbstsignierte Zertifikat, das während der Installation generiert wurde. Sie können diesen Eintrag bearbeiten oder einen neuen Eintrag erstellen, der mit dem Quell-E-Mail-Server übereinstimmt, und anschließend das TLS-Problem durch schrittweises Aktivieren oder Deaktivieren bestimmter Einstellungen beheben. EWS 5.x - Wählen Sie E-Mail, E-Mail-Konfiguration, Protokollkonfiguration und dann Transport Layer Security (SMTP) aus.
- Suchen Sie unter TLS-Verbindungen beim E-Mail-Empfang (Anwendung übernimmt Serverfunktion) nach einem Eintrag, der dem Quell-E-Mail-Server entspricht. Sie können folgende Suchkriterien verwenden:
- Vollqualifizierter Domänenname (FQDN)
- Domänenname
- IP-Adresse
WICHTIG: Standardmäßig ist die Liste leer, und TLS ist deaktiviert. Es ist kein standardmäßiges selbstsigniertes Zertifikat vorhanden, und Sie müssen ein Zertifikat sowie dessen CA-Stamm- und Zwischenzertifikat importieren. Weitere Informationen hierzu finden Sie in KB74880. Sie können einen neuen Eintrag erstellen, der mit dem Quell-E-Mail-Server übereinstimmt, und anschließend das TLS-Problem durch schrittweises Aktivieren oder Deaktivieren bestimmter Einstellungen beheben. - Nehmen Sie anhand der vom Absender erfassten NDR-Nachricht und der im Appliance-Protokoll ggf. erfassten Fehler die nötigen Änderungen an den Einstellungen vor.
Wenn die Einstellungen korrekt sind, das Problem jedoch mit dem von der Appliance verwendeten Zertifikat zusammenhängt, vergewissern Sie sich, dass das Zertifikat geeignet und gültig ist. Anweisungen zum Importieren eines Zertifikats finden Sie in KB74880. Wenn das Problem weiterhin besteht, fragen Sie beim Administrator des Quell-E-Mail-Servers nach, ob die korrekten Stamm- und Zwischen-CA-Zertifikate verwendet werden, die zum Generieren des Zertifikats der Appliance verwendet wurden, sofern der Server das Zertifikat der Appliance verifiziert hat. HINWEISE: - Bekannte Fehlercodes und die zugehörigen Lösungen finden Sie in KB74915.
- Für erfahrene Benutzer wird in KB73897 erläutert, wie TLS-bezogene Fehler mit OpenSSL behoben werden können.
- Wenn Sie weitere Hilfe benötigen, wenden Sie sich an den technischen Support von McAfee.
Zur Kontaktierung des technischen Supports melden Sie sich beim ServicePortal an und rufen dort die Seite "Service-Anfrage erstellen" unter https://support.mcafee.com/ServicePortal/faces/serviceRequests/createSR auf:
- Wenn Sie sich bereits registriert haben, geben Sie Ihre Benutzer-ID und Ihr Kennwort ein, und klicken Sie dann auf Anmelden.
- Wenn Sie sich noch nicht registriert haben, klicken Sie auf Registrieren, und füllen Sie die erforderlichen Felder aus. Ihr Kennwort und die Anleitung zur Anmeldung erhalten Sie per E-Mail.
Haftungsausschluss
Der Inhalt dieses Artikels stammt aus dem Englischen. Bei Unterschieden zwischen dem englischen Text und seiner Übersetzung gilt der englische Text. Einige Inhalte wurden mit maschineller Übersetzung erstellt, die von Microsoft durchgeführt wurde.
|