10
Mails kommen stark verzögert bzw. gar nicht an
Hallo an alle.
Ich habe folgendes Problem:
Ein Kunde bekommt einige Mails entweder stark verzögert (2-4 Tage) bzw. gar nicht.
Dies betrifft allerdings (derzeit) nur Absender von einigen (!) ausländischen Domains.
Die Mails, die nicht ankommen werden im Mailmanager der Firewall auch nicht angezeigt
(weder im SMTP LOG noch in der Quarantaine). Sie kommen wirklich einfach nicht an.
Testmails innerhalb von .de gar kein Problem.
Ausgehende Mails kein Problem
Kontrolle der Domaine auf Blacklisting: negativ
Zur Umgebung:
Sophos UTM als Mailgateway
Interner Exchange
ISP alt: Vodafone
ISP neue: Kabel BW
Domain: 1&1
Wichtige Info:
Demnächst wird der Internetprovider umngestellt.
-->Neue Feste IPs
-->Neue MX Einträge auf die Sophos
Das bedeutet, ich habe vorab schon neue MX Einträge in den Zonefiles erstellt,
diese aber von der Priorität niedriger als die alten MX Einträge bewertet.
D.h. ich kann bei der Umstellung demnächst einfach die Gewichtung der Einträge
ändern und könnte im Fehlerfall wieder zurückschwenken.
(Diese Aktion habe ich nur machen müssen, damit ich bei Kabel BW den neuen Pointer für das Reverse-Lookup beantragen konnte)
Ansatz:
Exchange: Spielt glaube ich bei dem Problem keine Rolle, da die Mails ja von der
Sophos direkt weitergegeben werden und gut.
Sophos: Laut den Logs bekommt diese die Mails halt erst zu dem entsprechendem
Zeitpunkt. Für die meisten Domains funktioniert der Traffic soweit ja auch.
MX: Hier sehe ich eine mögliche Fehlerquelle, aber der großteil des Mailverkehrs funktioniert ja.
Außerdem waren die Einträge bzgl. MX schon vor 3-4 Wochen (Die Umstellung hätte schon lange
passiert sein sollen, wurde aber verschoben) und die Probleme bestehen erst seit 3 Tagen.
Hat irgend jemand eine Idee für mich?
Danke im voraus.
Ich habe folgendes Problem:
Ein Kunde bekommt einige Mails entweder stark verzögert (2-4 Tage) bzw. gar nicht.
Dies betrifft allerdings (derzeit) nur Absender von einigen (!) ausländischen Domains.
Die Mails, die nicht ankommen werden im Mailmanager der Firewall auch nicht angezeigt
(weder im SMTP LOG noch in der Quarantaine). Sie kommen wirklich einfach nicht an.
Testmails innerhalb von .de gar kein Problem.
Ausgehende Mails kein Problem
Kontrolle der Domaine auf Blacklisting: negativ
Zur Umgebung:
Sophos UTM als Mailgateway
Interner Exchange
ISP alt: Vodafone
ISP neue: Kabel BW
Domain: 1&1
Wichtige Info:
Demnächst wird der Internetprovider umngestellt.
-->Neue Feste IPs
-->Neue MX Einträge auf die Sophos
Das bedeutet, ich habe vorab schon neue MX Einträge in den Zonefiles erstellt,
diese aber von der Priorität niedriger als die alten MX Einträge bewertet.
D.h. ich kann bei der Umstellung demnächst einfach die Gewichtung der Einträge
ändern und könnte im Fehlerfall wieder zurückschwenken.
(Diese Aktion habe ich nur machen müssen, damit ich bei Kabel BW den neuen Pointer für das Reverse-Lookup beantragen konnte)
Ansatz:
Exchange: Spielt glaube ich bei dem Problem keine Rolle, da die Mails ja von der
Sophos direkt weitergegeben werden und gut.
Sophos: Laut den Logs bekommt diese die Mails halt erst zu dem entsprechendem
Zeitpunkt. Für die meisten Domains funktioniert der Traffic soweit ja auch.
MX: Hier sehe ich eine mögliche Fehlerquelle, aber der großteil des Mailverkehrs funktioniert ja.
Außerdem waren die Einträge bzgl. MX schon vor 3-4 Wochen (Die Umstellung hätte schon lange
passiert sein sollen, wurde aber verschoben) und die Probleme bestehen erst seit 3 Tagen.
Hat irgend jemand eine Idee für mich?
Danke im voraus.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 290292
Url: https://administrator.de/contentid/290292
Printed on: April 25, 2024 at 07:04 o'clock
10 Comments
Latest comment
Hi,
hast du das mal versucht: MxToolBox
könnte auf womögliche Fehlerquellen hinweisen.
auf Wie viel steht die TTL beim MX? Hast du auch einen A-Record angelegt?
Hast du vielleicht, das Greylisting eingeschaltet?
VG
Cream
hast du das mal versucht: MxToolBox
könnte auf womögliche Fehlerquellen hinweisen.
auf Wie viel steht die TTL beim MX? Hast du auch einen A-Record angelegt?
Hast du vielleicht, das Greylisting eingeschaltet?
VG
Cream
Hallo Cream
MxToolBox liefert beide MX Eintrage (sind ja A-Records..) auf die richtigen IP.
Der alte (also noch aktuelle Eintrag) mit Prio 10 und der neue (noch nicht aktive) mit Prio 100.
Also so wie eingestellt.
TTL ist 60 min.
Bzgl Greylisting:
Bis vor wenigen Tagen gab es ja kein Problem mit diesen Absendedomains, von daher, denke ich nicht, dass dort der Fehler liegt,
aber ich komme immer mehr auf den Gedanken die Problematischen Domains erst mal in der Sophos ohne Test durch zu lassen.
MxToolBox liefert beide MX Eintrage (sind ja A-Records..) auf die richtigen IP.
Der alte (also noch aktuelle Eintrag) mit Prio 10 und der neue (noch nicht aktive) mit Prio 100.
Also so wie eingestellt.
TTL ist 60 min.
Bzgl Greylisting:
Bis vor wenigen Tagen gab es ja kein Problem mit diesen Absendedomains, von daher, denke ich nicht, dass dort der Fehler liegt,
aber ich komme immer mehr auf den Gedanken die Problematischen Domains erst mal in der Sophos ohne Test durch zu lassen.
Hast du bei der MC toolbox mal auf finden Problems geklickt nach der Domain analyse?
dmarc dom.com Missing or Invalid Record More Info
smtp mx2.dom.com Failed To Connect More Info
dns dom.com SOA Expire Value out of recommended range More Info
smtp mx1.dom.com May be an open relay. More Info
spf dom.com No records found More Info
smtp mx2.dom.com Failed To Connect More Info
dns dom.com SOA Expire Value out of recommended range More Info
smtp mx1.dom.com May be an open relay. More Info
spf dom.com No records found More Info
So....danke für den Tip.
Bin erst seit kurzem Dienstleister für die Firma und hatte mir noch nie die Zonefiles angesehen.
Der alten Eintrag mx1 zeigt er als open relay und den mx2 kann er gar nicht erreichen.....
Bin erst seit kurzem Dienstleister für die Firma und hatte mir noch nie die Zonefiles angesehen.
Der alten Eintrag mx1 zeigt er als open relay und den mx2 kann er gar nicht erreichen.....
ich denke du solltest dir nochmal anschauen warum mx2 nicht erreichbar ist.
dmarc und spf und der dns SOA eintrag kannste erstmal ignorieren.
mx1 würde ich auch nochmal prüfen.
ich denke hier gibt es ein Problem mit den MX einträgen. 2 Stück mit Unterschiedlichen IPs zu unterschiedlichen ISPs ist nicht so die Kluge Idee.
VG
PS.: wenn du Hilfe brauchst, schreibe ruhig weiter. Dann versuche ich dir da raus zu helfen.
dmarc und spf und der dns SOA eintrag kannste erstmal ignorieren.
mx1 würde ich auch nochmal prüfen.
ich denke hier gibt es ein Problem mit den MX einträgen. 2 Stück mit Unterschiedlichen IPs zu unterschiedlichen ISPs ist nicht so die Kluge Idee.
VG
PS.: wenn du Hilfe brauchst, schreibe ruhig weiter. Dann versuche ich dir da raus zu helfen.
hm....
ja das mit den unterschiedlichen MX zu unterschiedlichen ISP ist nicht so gut,
aber ich musste den neuen MX setzten, damit ich bei Kabel BW den Pointer für das Reverse Lookup
setzten / beantragen konnte.
Dass der MX2 nicht erreichbar ist hängt wohl mit der Sophos zusammen.
Ganz genau ist es nämlich so, dass die Firma mehrere Domains hat.
Alter MX1 auf .de domain
Neuer MX2 auf .com domain
Die Sophos präsentiert sich aber im moment halt nur passend für mx1. (Wird ja (eigentlich) über die Gewichtung geregelt)
Ich frag mich nur, warum die letzten Wochen alles lief und jetzt "plötzlich" Probleme auftreten.
Ein Sache ist mir beim Check noch aufgefallen:
Die angegebene IP, für den MX1, die nicht erreicht werden kann, ist nicht direkt in der Sophos eingetragen.
Laut Kunde hat er hier nicht nur die eine Adresse, sondern einen IP Pool, und nur die erste Adresse wird dann in der Sophos angezeigt.
Funktioniert so seit Jahren. ..... such noch ein paar Daten und teste was...
ja das mit den unterschiedlichen MX zu unterschiedlichen ISP ist nicht so gut,
aber ich musste den neuen MX setzten, damit ich bei Kabel BW den Pointer für das Reverse Lookup
setzten / beantragen konnte.
Dass der MX2 nicht erreichbar ist hängt wohl mit der Sophos zusammen.
Ganz genau ist es nämlich so, dass die Firma mehrere Domains hat.
Alter MX1 auf .de domain
Neuer MX2 auf .com domain
Die Sophos präsentiert sich aber im moment halt nur passend für mx1. (Wird ja (eigentlich) über die Gewichtung geregelt)
Ich frag mich nur, warum die letzten Wochen alles lief und jetzt "plötzlich" Probleme auftreten.
Ein Sache ist mir beim Check noch aufgefallen:
Die angegebene IP, für den MX1, die nicht erreicht werden kann, ist nicht direkt in der Sophos eingetragen.
Laut Kunde hat er hier nicht nur die eine Adresse, sondern einen IP Pool, und nur die erste Adresse wird dann in der Sophos angezeigt.
Funktioniert so seit Jahren. ..... such noch ein paar Daten und teste was...
joar ist aber nicht unbedingt best practice...
ich würde die mal als additional eintragen
ich würde die mal als additional eintragen
Hab gerade nachgesehen.
Steht als zusätzliche drin und und snat regel ist gesetzt.
Steht als zusätzliche drin und und snat regel ist gesetzt.
ich bin mir gerade nicht sicher wie ich dir noch helfen kann?
hast du noch spezielle fragen, dazu?
VG
hast du noch spezielle fragen, dazu?
VG
