Risoluzione dei problemi relativi a SMTP su TLS in EWS/MEG 7.x
Articoli tecnici ID:
KB74886
Ultima modifica: 01/03/2017
Ambiente
Software McAfee Email and Web Security Appliance 5.x McAfee Email Gateway 7.x
Riepilogo
In questo articolo sono fornite informazioni utili per la risoluzione dei problemi relativi a SMTP su TLS in appliance Email and Web Security (EWS) 7.x o McAfee Email Gateway (MEG) 5.x.
Soluzione
Email Gateway Appliance 7.0 e EWS Appliance 5.x
- Aumentare il livello di registrazione nell'appliance:
- Aprire la console di gestione dell'appliance.
- Fare clic su System (Sistema), Logging (Registrazione), Alerting (Avvisi), SNMP.
- In Logging Configuration (Configurazione registrazione), nei menu a discesa relativi a Protocol events (Eventi di protocollo) e Communication events (Eventi di comunicazione) selezionare Tutti gli eventi.
- Fare clic su System Log Settings (Impostazioni registro di sistema), Enable system log events (Attiva eventi registro di sistema).
- Selezionare solo le opzioni Transport events (Eventi di trasporto) e Conversation events (Eventi delle conversazioni).
- Fare clic su Ok e Apply changes (Applica modifiche).
IMPORTANTE: queste funzionalità richiedono un uso intensivo delle risorse. È quindi opportuno attivarle solo per il tempo necessario a risolvere i problemi. - Riprodurre il problema.
- Raccogliere campioni di messaggi respinti con le relative intestazioni e prendere nota dei dettagli seguenti:
- Ora di invio del messaggio NDR
- Indirizzi email del mittente e del destinatario iniziali
- Oggetto dell'email
- Indirizzi IP dei server email di origine e di destinazione
- Identificare il problema. Quando si usa la crittografia TLS, è importante comprendere il ruolo dell'appliance nella transazione TLS quando si verifica il problema:
- Se l'appliance agisce da server (intercettando o ricevendo un'email), vedere la soluzione relativa al caso dell'appliance che agisce da server.
- Se l'appliance agisce da client (inoltrando in modo trasparente o inviando un'email), vedere la soluzione relativa al caso dell'appliance che agisce da client.
- Cercare il problema nei registri dell'appliance:
EWS Appliance 7.0 - Accedere alla console di gestione dell'appliance.
- Passare a Troubleshoot (Risoluzione dei problemi), Reports (Rapporti), Reports and Traces (Rapporti e tracce), Save Log Files (Salva file di registro).
- In System Log Viewer (Visualizzatore registri di sistema) selezionare Mail log (Registro posta) nell'elenco a discesa Log file to view (File di registro dal visualizzare).
- Impostare il valore Number of lines to retrieve (Numero di righe da recuperare) su 100 e fare clic su Get Logs (Ottieni registri).
- Recuperare gli eventi di trasporto in base alle informazioni raccolte in precedenza. In assenza di informazioni correlate, aumentare il numero di righe secondo le esigenze.
EWS Appliance 5.6 - Accedere alla console di gestione dell'appliance.
- Passare a Troubleshoot (Risoluzione dei problemi), Reports (Rapporti), Reports and Traces (Rapporti e tracce), Log Files (File di registro).
- In System Log Viewer (Visualizzatore registri di sistema) selezionare Mail log (Registro posta) nell'elenco a discesa Log file to view (File di registro dal visualizzare).
- Impostare il valore Number of lines to retrieve (Numero di righe da recuperare) su 100 e fare clic su Get Logs (Ottieni registri).
- Recuperare gli eventi di trasporto in base alle informazioni raccolte in precedenza. In assenza di informazioni correlate, aumentare il numero di righe secondo le esigenze.
EWS Appliance 5.5/5.1 Non è possibile vedere tutti i registri di sistema dalla console di gestione dell'appliance. È possibile salvare i registri e usare un server syslog esterno. - Per ulteriore assistenza:
- Raccogliere l'output MER (Minimum Escalation Requirements) (vedere KB60247) e selezionare l'opzione Include TLS certificates and private keys in the configuration backup (Includi certificati TLS e chiavi private nel backup della configurazione).
- Contattare l'assistenza McAfee. Fornire il MER e le informazioni raccolte durante la sessione di risoluzione dei problemi.
Per contattare l'assistenza tecnica, accedere al ServicePortal e andare alla pagina Crea una richiesta di assistenza all'indirizzo https://support.mcafee.com/ServicePortal/faces/serviceRequests/createSR:
- Se è stata effettuata la registrazione, digitare il proprio ID utente e la password, quindi fare clic su Accedi.
- Se non è stata effettuata la registrazione, fare clic su Registrati e compilare i campi obbligatori. La password e le istruzioni di accesso verranno inviate via email.
Soluzione
L'appliance agisce da clientSe l'appliance svolge la funzione di client e non è in grado di trasmettere il messaggio a causa di un problema TLS, dovrebbe ricevere un messaggio e un codice di errore dal server email a valle. Individuare il motivo per cui un messaggio email inviato su TLS ha avuto esito negativo e recuperare il codice e il motivo dell'errore: - Accedere alla console di gestione dell'appliance.
- Selezionare il messaggio respinto:
- Email Gateway 7.x:
Fare clic su Reports (Rapporti), Message Search (Ricerca messaggio) e come stato del messaggio selezionare Bounced (Respinto) nell'elenco a discesa. - EWS Appliance 5.6:
Fare clic su Email, Message Search (Ricerca messaggio) e come stato del messaggio selezionare Bounced (Respinto) nell'elenco a discesa. - EWS Appliance 5.1/5.5:
Non è possibile visualizzare la ragione o il codice dell'errore per i messaggi email respinti. McAfee consiglia di effettuare l'upgrade a una versione più recente. Per gli utenti avanzati, nell'articolo KB73897 viene descritto come utilizzare OpenSSL per risolvere i problemi correlati a TLS. - Fare clic su Search/Refresh (Ricerca/Aggiorna).
- Nella colonna Status/Category (Stato/Categoria) controllare il codice di errore per ogni messaggio respinto.
IMPORTANTE: per i codici di errori noti e le relative soluzioni, vedere l'articolo KB74897.
Soluzione
L'appliance agisce da server
Se l'appliance svolge la funzione di server e la transazione TLS ha esito negativo, il server email di origine riceve un messaggio di errore e un codice di errore 5XX dall'appliance. Dovrebbe respingere un'email all'indirizzo del mittente con il codice e il messaggio di errore. - Accedere alla console di gestione dell'appliance.
- Passare alle impostazioni TLS:
Email Gateway 7.x - Selezionare Email, Encryption, Encryption Settings, TLS (Email, Crittografia, Impostazioni di crittografia, TLS).
- In TLS connections when sending email (gateway is acting as a server) (Connessioni TLS durante l'invio di email - il gateway agisce da server) cercare una voce corrispondente al server email di origine. I criteri di ricerca possibili sono i seguenti:
- Nome di dominio completo
- Nome di dominio
- Indirizzo IP
IMPORTANTE: per impostazione predefinita, l'elenco contiene una voce "*" che corrisponde a qualsiasi server email di origine con Use TLS (Usa TLS) impostato su When available (Quando disponibile) e Authenticate Client (Authenticazione client) impostato su No. Il certificato utilizzato è il certificato autofirmato predefinito generato durante l'installazione. È possibile modificare questa voce oppure crearne una nuova corrispondente al server email di origine e quindi risolvere il problema TLS attivando o disattivando specifiche impostazioni passo dopo passo. EWS 5.x - Selezionare Email, Email Configuration (Configurazione email), Protocol Configuration (Configurazione protocollo), Transport Layer Security (SMTP).
- In TLS connections when sending email (appliance is acting as a server) (Connessioni TLS durante l'invio di email - l'appliance agisce da server) cercare una voce corrispondente al server email di origine. I criteri di ricerca possibili sono i seguenti:
- Nome di dominio completo
- Nome di dominio
- Indirizzo IP
IMPORTANTE: per impostazione predefinita, l'elenco è vuoto e TLS è disattivato. Non è presente alcun certificato autofirmato predefinito ed è necessario importare un certificato principale CA e un certificato intermedio. Per ulteriori informazioni, vedere l'articolo KB74880. È possibile creare una nuova voce corrispondente al server email di origine e quindi risolvere il problema TLS attivando o disattivando specifiche impostazioni passo dopo passo. - Apportare le modifiche necessarie alle impostazioni in base al messaggio NDR proveniente dal mittente e agli eventuali errori nel registro dell'appliance.
Se le impostazioni sono corrette ma il problema è correlato al certificato utilizzato dell'appliance, verificare che il certificato sia appropriato e valido. Per istruzioni sull'importazione di un certificato, vedere l'articolo KB74880. Se il problema persiste, contattare l'amministratore del server email di origine per verificare che utilizzi i certificati CA radice e intermedio corretti utilizzati per generare il certificato dell'appliance nel caso in cui il certificato dell'appliance sia verificato dal server. NOTE: - per i messaggi di errore noti e le relative soluzioni, vedere l'articolo KB74915.
- Per informazioni su come utilizzare OpenSSL per la risoluzione dei problemi relativi a TLS, gli utenti avanzati possono vedere l'articolo KB73897.
- Per ulteriore supporto, contattare l'assistenza tecnica McAfee.
Per contattare l'assistenza tecnica, accedere al ServicePortal e andare alla pagina Crea una richiesta di assistenza all'indirizzo https://support.mcafee.com/ServicePortal/faces/serviceRequests/createSR:
- Se è stata effettuata la registrazione, digitare il proprio ID utente e la password, quindi fare clic su Accedi.
- Se non è stata effettuata la registrazione, fare clic su Registrati e compilare i campi obbligatori. La password e le istruzioni di accesso verranno inviate via email.
Dichiarazione di non responsabilità
Il contenuto di questo articolo è stato scritto in inglese. In caso di differenze tra il contenuto in inglese e la traduzione, fare sempre riferimento al contenuto in iglese. Parte del contenuto è stata tradotta con gli strumenti di traduzione automatica di Microsoft.
|