none
TLS negotiation failed with error AlgorithmMismatch RRS feed

  • Вопрос

  • Добрый день,

    Почта работает. Но. Есть организация, которая отсылает нам письма и они до нас не доходят. Со стороны отправителя это выглядит как  Socket connection closed by the other side (how rude!).

    С нашей стороны в smtp логах это выглядит как TLS negotiation failed with error AlgorithmMismatch. 

    К ним почта уходит нормально.

    Это проблема на нашей стороне? или на стороне отправителя? 

    14 марта 2019 г. 7:13

Ответы

  • Добрый день,

    Почта работает. Но. Есть организация, которая отсылает нам письма и они до нас не доходят. Со стороны отправителя это выглядит как  Socket connection closed by the other side (how rude!).

    С нашей стороны в smtp логах это выглядит как TLS negotiation failed with error AlgorithmMismatch. 

    К ним почта уходит нормально.

    Это проблема на нашей стороне? или на стороне отправителя? 

    Ошибка означает, что при согласовании TLS не удалось найти общего поддерживаемого алгоритма шифрования. Это может быть, если вы, следуя последним веяниям безопасности (или просто бездумно ставя все обновления), отключили у себя на сервере использование старых "небезопасных" алгоритмов, а на их стороне стоит нечто старое, не знающее новых алгоритмов.

    Если вам шифрование принимаемых от этого отправителя писем по TLS в реальности не нужно, то настройте отдельный Receive Connector специально для данного отправителя, чтобы он не предлагал TLS: создайте Receive Connector типа Internet, в Remote Network Settings укажите, что принимать только с адреса(ов) почтового сервера этого отправителя, а потом в свойствах этого Receive Connector снимите флаг TLS (и кроме того, можете оставить в Permission Groups только Anonymous users).

    Если шифрование таки требуется, то придётся найти для этого алгоритм и включить его использование на обеих сторонах.


    Слава России!

    • Помечено в качестве ответа Dobrohotov Vladimir 15 марта 2019 г. 10:59
    15 марта 2019 г. 7:38

Все ответы

  •     Здравствуйте,

     Проверьте настройки группы проверки подлинности и разрешений (Authentication and Permission group). Более подробно можете прочитать TLS negotiation failed with error AlgorithmMismatch



    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий. Не забывайте помечать сообщения как ответы и полезные, если они Вам помогли.


    15 марта 2019 г. 6:00
    Модератор
  • настройки такие же как у вас на скриншоте
    15 марта 2019 г. 6:21
  • 1. Попробуйте активировать "Externally secured" и попробовать ещё раз.

    2. У вас коммерческий сертификат установлен на Exch?

    15 марта 2019 г. 6:29
  • 1. выдает ошибку

    2. Да у нас коммерческий сертификат. При входе извне пишет, что сертификат впорядке. 

    15 марта 2019 г. 6:47
  • Добрый день,

    Почта работает. Но. Есть организация, которая отсылает нам письма и они до нас не доходят. Со стороны отправителя это выглядит как  Socket connection closed by the other side (how rude!).

    С нашей стороны в smtp логах это выглядит как TLS negotiation failed with error AlgorithmMismatch. 

    К ним почта уходит нормально.

    Это проблема на нашей стороне? или на стороне отправителя? 

    Ошибка означает, что при согласовании TLS не удалось найти общего поддерживаемого алгоритма шифрования. Это может быть, если вы, следуя последним веяниям безопасности (или просто бездумно ставя все обновления), отключили у себя на сервере использование старых "небезопасных" алгоритмов, а на их стороне стоит нечто старое, не знающее новых алгоритмов.

    Если вам шифрование принимаемых от этого отправителя писем по TLS в реальности не нужно, то настройте отдельный Receive Connector специально для данного отправителя, чтобы он не предлагал TLS: создайте Receive Connector типа Internet, в Remote Network Settings укажите, что принимать только с адреса(ов) почтового сервера этого отправителя, а потом в свойствах этого Receive Connector снимите флаг TLS (и кроме того, можете оставить в Permission Groups только Anonymous users).

    Если шифрование таки требуется, то придётся найти для этого алгоритм и включить его использование на обеих сторонах.


    Слава России!

    • Помечено в качестве ответа Dobrohotov Vladimir 15 марта 2019 г. 10:59
    15 марта 2019 г. 7:38
  • у нас на данный момент установлен CU21 на Exchange 2013. Подскажите, где посмотреть какой TLS и алгоритм шифрования у нас поддерживается? 
    19 марта 2019 г. 7:39
  • у нас на данный момент установлен CU21 на Exchange 2013. Подскажите, где посмотреть какой TLS и алгоритм шифрования у нас поддерживается? 
    https://www.ssllabs.com/ssltest/
    19 марта 2019 г. 9:46
  • Версии TLS включаются/отключаются не в Exchange, а не сервере (Schannel security provider). В этой статье, посвященной отключению старых версий TLS, можно увидеть ключи реестра, где это настраивается.

    Шифры тоже включаются/отключаются в настройках Schannel. Настройки эти находятся в реестре под ключом HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers (там создаются разделы по имени алгоритма с парметром Enabled), но чаще всего настраиваются через политики (Computer configuration/Administartive templates/Network/SSL Configuration settings ).

    Существуют также сторонние программы, позволяющие посмотреть и поменять настройки (см. пример здесь: https://medium.com/@cbrt/disabling-3des-and-changing-cipher-suites-order-22396cb05828 )

    Алгоритмы по умолчанию и прочие вопросы настройки SSL доккументирваны здесь: https://docs.microsoft.com/en-us/windows/desktop/secauthn/cipher-suites-in-schannel


    Слава России!

    19 марта 2019 г. 9:49
  • Привет!

    На всякий случай напишу может кому-то пригодится, потратил на это дня 3 ;)

    Столкнулся с такой проблемой при использовании стороннего приложения, которое видимо отправляет почту с использованием .NET.

    Приложение было установлено на  WinServer 2012 R2 проапгрейженный из более ранней версии.

    Несмотря на то, что WinServer 2012 R2 должен использовать TLS1.2 по умолчанию, ключи в реестре для него отсутствовали.

    После добавления ключей на сервер с приложением  по ссылке ниже и перезагрузки сервера, TLS стал работать нормально.

    https://techcommunity.microsoft.com/t5/exchange-team-blog/exchange-server-tls-guidance-part-2-enabling-tls-1-2-and/ba-p/607761

    17 сентября 2020 г. 10:23