Bonjour,
j'ai un soucis avec des clients qui utilisent EXCHANGE, entre autre avec le mode SMTP. Plus précisément, envoie d'email au travers d'un ERP (EBP ELITE) qui utilise donc le protocole SMTP . hors depuis 2 semaines, l'envoi d'email tombe en erreur, quelques soit les les adresses emails EXCHANGE qui fonctionnent bien en mode exchange classique via OUTLOOK
le message d'erreur est "Connection was closed by the remote connection end."
Voici Les protocoles utilises jusqu'a ces jours avant ce problème
Serveur : #x3.mail.ovh.net
PORT : 587
l'adresse mail
utilisateur : adresse mail
mot de passe
Methode authentification : AUTOMATIQUE
Sécurité : SSL /TLS (connexion explicite)
j'ai tenté d'autres protoole, sans réussite, toutes les options possibles dans le paramétrage sans resultat.
Les adresses classiques fonctionnent comme orange, free, etc..
Je cherche à comprendre ce qui s'est passe chez OVH pour que le protocole SMTP ne fonctionne plus,
Evidemment, j'ai plusieurs clients, avec des domaines et adresses EXCHANGES différentes, aucune ne fonctionne, c'est donc sans doute une modification OVH. J'ai créé un ticket, depuis 8 jours, sans réponse!
Merci de votre aide sur le sujet
Manuel
Hosted Exchange - EXCHANGE OVH avec protocole SMTPSMTP
Related questions
- DKIM - email Pro et Exchange
42558 
25.10.2017 09:05
- Migration compte emailpro vers exchange
28380 02.03.2017 22:04
- Cohabitation mails OVH et Exchange Office 365
27738 04.03.2019 14:33
- Fin du support Exchange 2016 et 2019 on premise (Zimbra ?)
27021 18.04.2025 09:43
- Suppression compte Exchange
26650 23.06.2020 08:48
- Problème de connnection exchange avec outlook mobile
25921 03.09.2020 15:06
- Compte Exchange bloqué par GMAIL : gmail-smtp-in.l.google.com
25775 03.03.2022 13:27
- Problème connexion Outlook/Exchange
25419 15.06.2020 08:47
- Exchange OVH à Exchange O365
23256 27.03.2017 13:01
- Redirection d'email d'un compte EXCHANGE
21716 07.02.2020 11:37
C'est parfois compliqué de débugguer ces connexion SSL et TLS.
L'initialisation de ces sessions peut échouer à cause de versions TLS où les deux parties ne se mettent pas d'accord, idem pour les protocoles de cryptographie, et enfin désaccord si le certificat n'est pas trusté.
Voici un rapport détaillé des prestations offertes par le serveur ex3.
Vous devriez voir avec le fournisseur de votre ERP s'il y a possibilité de trouver un protocole commun.
~/testssl.sh-3.0.8# ./testssl.sh -t smtp 178.33.168.130:587
###########################################################
testssl.sh 3.0.8 from https://testssl.sh/
(abdd51d 2022-09-28 09:19:37)
This program is free software. Distribution and
modification under GPLv2 permitted.
USAGE w/o ANY WARRANTY. USE IT AT YOUR OWN RISK!
Please file bugs @ https://testssl.sh/bugs/
###########################################################
Using "OpenSSL 1.0.2-bad (1.0.2k-dev)" [~179 ciphers]
on k3:./bin/openssl.Linux.x86_64
(built: "Sep 1 14:03:44 2022", platform: "linux-x86_64")
Start 2022-11-16 15:20:07 -->> 178.33.168.130:587 (178.33.168.130) <<--
rDNS (178.33.168.130): ex3.mail.ovh.net.
Service set: STARTTLS via SMTP
Testing protocols via sockets
SSLv2 not offered (OK)
SSLv3 not offered (OK)
TLS 1 not offered
TLS 1.1 not offered
TLS 1.2 offered (OK)
TLS 1.3 not offered and downgraded to a weaker protocol
Testing cipher categories
NULL ciphers (no encryption) not offered (OK)
Anonymous NULL Ciphers (no authentication) not offered (OK)
Export ciphers (w/o ADH+NULL) not offered (OK)
LOW: 64 Bit + DES, RC[2,4] (w/o export) not offered (OK)
Triple DES Ciphers / IDEA not offered
Obsolete CBC ciphers (AES, ARIA etc.) offered
Strong encryption (AEAD ciphers) offered (OK)
Testing robust (perfect) forward secrecy, (P)FS -- omitting Null Authentication/Encryption, 3DES, RC4
PFS is offered (OK) ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES256-SHA384 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256
Elliptic curves offered: prime256v1 secp384r1 X25519
Testing server preferences
Has server cipher order? yes (OK)
Negotiated protocol TLSv1.2
Negotiated cipher ECDHE-RSA-AES256-GCM-SHA384, 256 bit ECDH (P-256)
Cipher order
TLSv1.2: ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES256-SHA384 ECDHE-RSA-AES128-SHA256
Testing server defaults (Server Hello)
TLS extensions (standard) "status request/#5" "renegotiation info/#65281" "extended master secret/#23"
Session Ticket RFC 5077 hint no -- no lifetime advertised
SSL Session ID support yes
Session Resumption Tickets no, ID: no
TLS clock skew -3 sec from localtime
Signature Algorithm SHA256 with RSA
Server key size RSA 4096 bits
Server key usage Digital Signature, Key Encipherment
Server extended key usage TLS Web Server Authentication, TLS Web Client Authentication
Serial 272B36A64AF6ED3F8660E2F2FF0538C4 (OK: length 16)
Fingerprints SHA1 25FDBAB0F855D5EDB3C37A95649762A47C5FDEB4
SHA256 8791550AE351A511BD0E911C8D23FDC74CDC86C44230358D286A82914AB2509F
Common Name (CN) ex3.mail.ovh.net
subjectAltName (SAN) ex3.mail.ovh.net www.ex3.mail.ovh.net
Issuer Sectigo RSA Domain Validation Secure Server CA (Sectigo Limited from GB)
Trust (hostname) certificate does not match supplied URI
Chain of trust Ok
EV cert (experimental) no
ETS/"eTLS", visibility info not present
Certificate Validity (UTC) 92 >= 60 days (2022-02-16 00:00 --> 2023-02-16 23:59)
# of certificates provided 2
Certificate Revocation List --
OCSP URI http://ocsp.sectigo.com
OCSP stapling offered, not revoked
OCSP must staple extension --
DNS CAA RR (experimental) not offered
Certificate Transparency yes (certificate extension)
Testing vulnerabilities
Heartbleed (CVE-2014-0160) not vulnerable (OK), no heartbeat extension
CCS (CVE-2014-0224) not vulnerable (OK)
ROBOT Server does not support any cipher suites that use RSA key transport
Secure Renegotiation (RFC 5746) supported (OK)
Secure Client-Initiated Renegotiation not vulnerable (OK)
CRIME, TLS (CVE-2012-4929) not vulnerable (OK) (not using HTTP anyway)
POODLE, SSL (CVE-2014-3566) not vulnerable (OK), no SSLv3 support
TLS_FALLBACK_SCSV (RFC 7507) No fallback possible (OK), no protocol below TLS 1.2 offered
SWEET32 (CVE-2016-2183, CVE-2016-6329) not vulnerable (OK)
FREAK (CVE-2015-0204) not vulnerable (OK)
DROWN (CVE-2016-0800, CVE-2016-0703) not vulnerable on this host and port (OK)
make sure you don't use this certificate elsewhere with SSLv2 enabled services
https://search.censys.io/search?resource=hosts&virtual_hosts=INCLUDE&q=8791550AE351A511BD0E911C8D23FDC74CDC86C44230358D286A82914AB2509F
LOGJAM (CVE-2015-4000), experimental not vulnerable (OK): no DH EXPORT ciphers, no DH key detected with <= TLS 1.2
BEAST (CVE-2011-3389) not vulnerable (OK), no SSL3 or TLS1
LUCKY13 (CVE-2013-0169), experimental potentially VULNERABLE, uses cipher block chaining (CBC) ciphers with TLS. Check patches
RC4 (CVE-2013-2566, CVE-2015-2808) no RC4 ciphers detected (OK)
Testing 370 ciphers via OpenSSL plus sockets against the server, ordered by encryption strength
Hexcode Cipher Suite Name (OpenSSL) KeyExch. Encryption Bits Cipher Suite Name (IANA/RFC)
-----------------------------------------------------------------------------------------------------------------------------
xc030 ECDHE-RSA-AES256-GCM-SHA384 ECDH 256 AESGCM 256 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
xc028 ECDHE-RSA-AES256-SHA384 ECDH 256 AES 256 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
xc02f ECDHE-RSA-AES128-GCM-SHA256 ECDH 256 AESGCM 128 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
xc027 ECDHE-RSA-AES128-SHA256 ECDH 256 AES 128 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
Running client simulations via sockets
Android 8.1 (native) TLSv1.2 ECDHE-RSA-AES256-GCM-SHA384, 253 bit ECDH (X25519)
Android 9.0 (native) TLSv1.2 ECDHE-RSA-AES256-GCM-SHA384, 253 bit ECDH (X25519)
Android 10.0 (native) TLSv1.2 ECDHE-RSA-AES256-GCM-SHA384, 253 bit ECDH (X25519)
Android 11 (native) TLSv1.2 ECDHE-RSA-AES256-GCM-SHA384, 253 bit ECDH (X25519)
Android 12 (native) TLSv1.2 ECDHE-RSA-AES256-GCM-SHA384, 253 bit ECDH (X25519)
Java 7u25 No connection
Java 8u161 TLSv1.2 ECDHE-RSA-AES256-GCM-SHA384, 256 bit ECDH (P-256)
Java 11.0.2 (OpenJDK) TLSv1.2 ECDHE-RSA-AES256-GCM-SHA384, 256 bit ECDH (P-256)
Java 17.0.3 (OpenJDK) TLSv1.2 ECDHE-RSA-AES256-GCM-SHA384, 253 bit ECDH (X25519)
go 1.17.8 TLSv1.2 ECDHE-RSA-AES256-GCM-SHA384, 253 bit ECDH (X25519)
LibreSSL 2.8.3 (Apple) TLSv1.2 ECDHE-RSA-AES256-GCM-SHA384, 253 bit ECDH (X25519)
OpenSSL 1.0.2e TLSv1.2 ECDHE-RSA-AES256-GCM-SHA384, 256 bit ECDH (P-256)
OpenSSL 1.1.0l (Debian) TLSv1.2 ECDHE-RSA-AES256-GCM-SHA384, 253 bit ECDH (X25519)
OpenSSL 1.1.1d (Debian) TLSv1.2 ECDHE-RSA-AES256-GCM-SHA384, 253 bit ECDH (X25519)
OpenSSL 3.0.3 (git) TLSv1.2 ECDHE-RSA-AES256-GCM-SHA384, 253 bit ECDH (X25519)
Apple Mail (16.0) TLSv1.2 ECDHE-RSA-AES256-GCM-SHA384, 256 bit ECDH (P-256)
Thunderbird (91.9) TLSv1.2 ECDHE-RSA-AES256-GCM-SHA384, 253 bit ECDH (X25519)
Done 2022-11-16 15:21:32 [ 93s] -->> 178.33.168.130:587 (178.33.168.130) <<--
Bonjour,
merci de votre message..
Bonjour,
merci de votre message..
Ce qui me perturbe, c'est que c'est du jour au lendemain, que ce soit idem pour les toute les adresses Exchange OVH, que rien a chnagé chez l'erp , a priori idem sur OVH et que ses adresses classiques comme range par exemple ne posent pas de problème
j'en déduit que quelque chose a changé chez OVH!! par ailleurs, quand on creuse ches OVH , les protocoles possibles sur EXCHANGE sont les suivants,
Protocoles
IMAP, POP, SMTPS, MAPI, ActiveSynca DSync
Donc SMTPS et pas SMTP
Il y aurait un lien?
Inclus
Ce n'est pas une excuse, si vous ne bougez pas, le monde évolue autour de vous.
Une piste possible est votre ERP se limite à TLS 1.1 ou inférieur, ou au contraire impose TLS 1.3.
TLS 1.3 est le plus récent et de mémoire il n'est pas encore supporté comme il faut par Microsoft Exchange.
TLS 1.1 ne devrait plus être utilisé, anisi que ses prédecesseurs.