Troubleshooting
Problem
/var/log/maillog ファイルにある"timed out while receiving the initial server greeting" というエラー・メッセージが原因で、E メール通知の送信に失敗することがあります。
Cause
IBM QRadar は、ポート587 でのみ STARTTLS による暗号化されたE メールを送信できます。このポートが無効になっていると、最初のサーバー・グリーティングの受信中にタイムアウト・エラーが発生する可能性があります。
Diagnosing The Problem
E メール通知が機能しない場合は、次のコマンドを使用して"initial server greeting" を含むエラーをログで検索します。:
grep -i "initial server greeting" /var/log/maillog | less
この出力が得られた場合は、 Resolving The Problem の手順に従ってください。:
<HOSTNAME> postfix/error[25535]: 2351D1800D56: to=<EMAIL_ADDRESS>, relay=none, delay=2999, delays=2999/0/0/0.01, dsn=4.4.2, status=deferred (delivery temporarily suspended: conversation with <MAIL_SERVER>[<IP>] timed out while receiving the initial server greeting)
<HOSTNAME> postfix/error[25499]: 55B2718001D3: to=<EMAIL_ADDRESS>, relay=none, delay=0.05, delays=0.04/0/0/0.01, dsn=4.4.2, status=deferred (delivery temporarily suspended: conversation with <MAIL_SERVER>[<IP>] timed out while receiving the initial server greeting)
Resolving The Problem
- QRadar コンソールに SSH 接続します。
- ポート25 をtelnet を使用して確認します。
正しいグリーティングは次のようになります。telnet MAIL_SERVER_IP 25220 MAIL_SERVER ESMTP MAIL Service ready at ... - グリーディング・メッセージがない場合、E メール・サーバーはSMTPS (465) とSTARTTLS (587) の両方の接続を双方向でサポートするように構成する必要があります。 管理者は、メール・サーバー チームに連絡して、メール・サーバーでポート465 と587 が開いているかどうかを確認する必要があります。
- 管理者は、ネットワークまたはファイアウォール チームにも確認して、QRadar サーバーと E メール・サーバーの間でポート465 と587 が開いていることを確認する必要があります。
結果
ポートが開かれた後、管理者はスケジュールされたE メール通知が配信されるのを待つことができます。
それでも問題が解決しない場合は、サポートにお問い合わせください。
Related Information
Document Location
Worldwide
[{"Type":"MASTER","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwtmAAA","label":"Reports"}],"ARM Case Number":"","Platform":[{"code":"PF016","label":"Linux"}],"Version":"All Versions"}]
Was this topic helpful?
Document Information
Modified date:
27 December 2022
UID
ibm16847839