Решено Socket error 10053

[volodya773]

Всем доброго дня, подскажите советом
Развернут exchange server 2019 cu14 c последними фиксами. 2 mailbox server в dag, 2 edge server.
Round robin dns.
Вылезла проблема, что некоторые отправители из вне организации не могут отправить письма, выходит ошибка socket error 10053 соединение отменено.
Почта уходит приходит с остальных доменов, пока таких отправителей набралось 3-4 штуки.
Ранее все письма шли релеем через postfix и все доходило до exch, сейчас основной в mx стал exchange 2019 и вылезла ошибка
Подскажите куда копать, прикладываю картинку от отправителя с ошибкой(извините за качество)

 

[Goblin]

Socket error 10053
Socket connection closed by the other side (how rude!)

хм беглое гугление говорит что это может быть встроенная проверка на вредонос
Попробуй вот это запилить
& $env:ExchangeInstallPath\Scripts\Disable-AntimalwareScanning.ps1
Set-MalwareFilteringServer mailSRV -BypassFiltering $true

потом транспорт перезапусти
Restart-Service MSExchangeTransport

 

[volodya773]

Этот скрипт судя по всему просто отключает агент "Malware Agent"
У меня он не установлен на транспортных серваках, список агентов ниже

Connection Filtering Agent                         False           1
Address Rewriting Inbound Agent                    True            2
Edge Rule Agent                                    True            3
Content Filter Agent                               True            4
Sender Id Agent                                    True            5
Sender Filter Agent                                True            6
Recipient Filter Agent                             True            7
Protocol Analysis Agent                            True            8
Attachment Filtering Agent                         True            9
Address Rewriting Outbound Agent                   True            10
Exchange DkimSigner                                True            11

Попробовал отключить Connection Filtering Agent, перезапустил транспорт, проблема сохранилась

Этот агент у меня установлен на серверах почтовых ящиков
Но изначально же из вне идет подключение к транспортным серверам и не должно влиять, попробую отключить все же

 

[volodya773]

Отключение агента не помогло

 

[volodya773]

Проблема согласования tls с отправляющей стороной
У отправляющей стороны тоже exch, отправили без шифрования ошибка не вышла, будем разбираться с tls

 

[Surf_rider]

Проблема согласования tls с отправляющей стороной
У отправляющей стороны тоже exch, отправили без шифрования ошибка не вышла, будем разбираться с tls

может версия tls не та или бывали опции в смартхостах - требовать tls такой то версии или предпочтительно TLS.

 

[volodya773]

пока выяснилось только то что отправляющая сторона использует tls 1.2 и 1.3 у нас только 1.2
на время отключил строгий режим повторного согласования tls

 

[volodya773]

может версия tls не та или бывали опции в смартхостах - требовать tls такой то версии или предпочтительно TLS.

Подскажите пожалуйста по поводу значения параметра SuppressXAnonymousTls в Default internal receive connector на edge серверах
В документации microsoft не совсем понятно описано, как я понял этот параметр отвечает за управления соединений из вне и для наибольшей совместимости со сторонними сервисами его значение нужно выставлять в true
Так внешние отправители без поддержки tls не будут отбиваться exchange, а будут проходить без шифрования
Отправители поддерживающие шифрование все равно будут отправлять с шифрованием
Это верно?
И так же нужно в TransportService задать UseDownGradedExchangeServerAuth = $true при SuppressXAnonymousTls = $true
Текущие значение коннектора приема на edge

SuppressXAnonymousTls : False
RequireTLS            : False
AuthMechanism         : Tls, ExchangeServer

Get-TransportService | fl *UseDownGradedExchangeServerAuth*
UseDowngradedExchangeServerAuth : False