Microsoft Office 365: (Ricoh) Scan-Fehler „Cannot connect to SMTP server“

[English]Aktuell scheint es, dass Nutzer von Multifunktionsdruckern mit Scan-Funktion, die eine Verbindung zu einem Microsoft Office 365 SMTP-Server verwenden, bei bestimmten Geräten in Probleme laufen. Nutzer von Rico Geräten bekommen beim Scannen auf Microsoft Office 365-Konten Verbindungsfehler „Cannot connect to SMTP server“ gemeldet und es kommt zu einer „SSL negotiation failed“-Meldung. Betroffen sind zum Beispiel verschiedene Rico-Modelle, aber auch Xerox Versalink C7030 oder Kyocera- und Sharp-Geräte wurden als betroffen gemeldet. Ursache dürfte eine Änderung bei TLS 1.2 durch Microsoft sein. Aktuell ist unklar, ob Microsoft das bereits behoben hat.

Scan-Problem beim Senden zu MS Office 365-Konto

Ein Blog-Leser hat mich auf Facebook in einer privaten Nachricht auf ein Problem mit Multifunktionsgeräten hingewiesen, wenn diese versuchen, Scans per SMTP an Microsoft Office 365-Konten zu übertragen. Das Problem ist seit dem 2. Februar 2025 bei Microsoft Learn unter office 365 „Cannot connect to SMTP server“ „SSL negotiation failed“ beschrieben und wird dort von Betroffenen diskutiert.

Rico Scan-Fehler „Cannot connect to SMTP server“

Jemand, der für den Hersteller Rico arbeitet, hat den Thread gestartet und schreibt, dass er mehrere Kunden habe, die plötzlich den Fehler „Verbindung zum SMTP-Server kann nicht hergestellt werden“, „SSL-Aushandlung fehlgeschlagen“ (oder „Cannot connect to SMTP server“, „SSL negotiation failed“ in Englisch) angezeigt bekämen.

Soweit ich es interpretiere, trat der Fehler beim Scannen mit Rico-Geräten auf. Betroffen sind die MFP-Modelle MP C307, MP 6055, IM C3000 und MP C3004ex. Es sieht so aus, als ob deren Scan-Funktion die Scan-Ergebnisse nicht an den eingerichteten SMTP-Server übertragen können, sofern die Geräte die älteren Controller 16S oder 17S verwenden.

Fehlerbild eingekreist auf Office 365-Nutzer

Mehre Nutzer bestätigten den Fehler beim Scannen, wobei manche die Fehlermeldung nur beim zweiten oder dritten Scan hatten. Bei der Überprüfung der Nutzerk-Konfigurationen wurde festgestellt, dass alle Betroffenen Microsoft Office365-Konten für die SMTP-Authentifizierung (smtp.office365.com) verwenden. Und diese SMTP-Authentifizierung funktionierte plötzlich nicht mehr.

Ursache: Deaktivierte TLS 1.2 Cipher-Suite

Im Thread, der bereits drei Seiten und viele Meldungen von Betroffenen umfasst, meldete sich frühzeitig ein Betroffener und berichtete, dass es wohl Probleme mit der TLS 1.2-Verschlüsselung gebe. Die SMTP-Verbindung klappt, wenn die zur Kommunikation verwendeten Server noch TLS_RSA unterstützen. Werden nur Elliptic Curves unterstützt, scheitert die Kommunikation.

Später bestätigte ein Nutzer, dass das Problem mit der TLS 1.2 Cipher-Suite zu tun habe. Ein Ricoh-Techniker habe ihm geschrieben: „Es sieht für mich so aus, als ob Microsoft die Cipher Suites ohne elliptische Kurven für TLS1.2 deaktiviert hat. ECDHE ist nur bei neueren Controllern ab 18S möglich.“

Das bedeutet, dass betroffene Geräte mit den älteren Controllern u.U. keine Scans mehr ausführen können, wenn diese das Ergebnis an ein Microsoft Office 365-Konto über smtp.office365.com übertragen.

Betroffene können prüfen, ob die Multifunktionsgeräte ggf. eine andere SMTP-Konfiguration einstellen können. Im Verlauf der Diskussion schreibt jemand, dass er bei seinem Kyocera-Multifunktionsdrucker als Hash SHA2(256/384) aktiviert habe, worauf die Scan-Funktion wieder funktionierte und die Ergebnisse per SMTP an das Microsoft Office 365-Konto übertragen konnte.

Zum 5. Februar 2025 hat sich ein Betroffener allerdings gemeldet und berichtet, dass das Scannen plötzlich (ohne Eingriff) wieder funktioniere. Er vermutet, dass Microsoft die Probleme mit dem TLS 1.2 Cipher intern behoben habe.

Ein anderer Betroffener schrieb, dass sie das Problem nun per Workaround gelöst haben. Sie haben mit hMailServer einen internen Server als SMTP-Relay eingerichtet, und alle Scans von den betroffenen Geräten über diesen Server an Microsoft weiterleiten. War bzw. ist jemand aus der Leserschaft betroffen?