toxictype
Goto Top

Exchange 2010 - eMails externe Empfänger (außerhalb AD) gehen nicht raus (DNS query failed)

Guten Morgen allerseits,

wir haben einen Exchange 2010, der die "externe Windows SBS-Domäne" firma1.de unter "Akzeptierte Domäne" als "Interne Relaydomäne" eingetragen hat.
firma1.de ist wird nur teilweise vom Exchange verwaltet, d.h. ein Teil der eMail-Adressen xxx@firma1.de ist im Exchange eingetragen, aber der Großteil liegt auf einem externen Webserver.

Der Exchange versendet interne eMails (vom AD ins AD) und externe eMails (vom AD an ext. Web- bzw. Mailserver). Das Problem ist, dass eMails an Adressen mit derselben Domain (Suffix firma1.de) nicht verschickt werden, wenn diese nicht im AD eingetragen sind. Entsprechende Nachrichten sammeln sich mit dem Fehler "451 4.4.0 DNS query failed" in der Warteschlange.

Das Häkchen "Nachrichten blockieren, die an..." unter "Hub-Transport" -> "Antispam" -> "Empfängerfilterung" ist draussen, also deaktiviert.
Den Tipp, firma1.de als "externe Relaydomäne" zu verwenden schlug fehl, da Exchange dies nicht zulässt.
Die Sendeconnectoren sollten funktionieren, da andere eMails auch raus gehen.
nslookup ergibt Folgendes:

nslookup firma1.de
Server: UnKnown
Address: <IPv6-Adresse>

Nicht autorisierende Antwort:
Name: firma1.de
Address: <korrekte ext. IP des Webservers von firma1.de>


Ich hoffe, ich kann noch mal auf eure Hilfe zählen.

Vielen Dank & Gruß,
tox

Content-ID: 263324

Url: https://administrator.de/forum/exchange-2010-emails-externe-empfaenger-ausserhalb-ad-gehen-nicht-raus-dns-query-failed-263324.html

Ausgedruckt am: 25.12.2024 um 14:12 Uhr

BirdyB
BirdyB 13.02.2015 um 10:22:55 Uhr
Goto Top
Hi,

Hast du einen Sendeconnector mit Bereichsdefinition für "firma1.de" angelegt? Dann könntest du dort mal den zweiten Mailserver als Smarthost eintragen und es erneut probieren!
Kannst du uns bitte auch noch einen nslookup der MX-Records schicken? nslookup -q=mx firma1.de

Beste Grüße!


Berthold
toxictype
toxictype 13.02.2015 um 12:52:07 Uhr
Goto Top
Hallo Berthold,

neben dem vom System erstellten Sendeconnector habe ich einen für "firma1.de" angelegt.
Dieser hat als SMTP-Adressraum *.firma1.de und eMails werden (bzw. sollen) über den Smarthost firma1.de weitergeleitet.
Für den Smarthost habe ich auf dem externen Webserver eigens eine Adresse mit Standardauthentifizierung angelegt, mit der versendet werden soll (pseudosbs@firma1.de).

nslookup der mx-Records für firma1.de sehen so aus:
Server: UnKnown
Address: <IPv6-Adresse>

Nicht autorisierende Antwort:
firma1.de MX preference = 10, mail exchanger = <korrekte ext. IP des Webservers von firma1.de>.firma1.de
firma1.de MX preference = 20, mail exchanger = <korrekte ext. IP des SBS (feste IP vom Provider)>.firma1.de

Ich habe zwei MX eingerichtet, da eMails weiterhin an Empfänger gehen sollen, die nicht auf dem SBS eingetragen sind und diese
weiterhin mit POP3 bzw. IMAP abgerufen werden sollen.

Danke & Gruß,
tox
toxictype
toxictype 13.02.2015 aktualisiert um 13:10:01 Uhr
Goto Top
Kann es sein, dass etwas mit den DNS-Einstellungen des ext. Webservers nicht passt!?
Das Ergebnis der MX-Abfrage mit der IP und im Anschluss die Domain sieht doch komsich aus...
goscho
goscho 13.02.2015 um 13:12:47 Uhr
Goto Top
Hallo tox,

bist du beim Einrichten des gemeinsamen Adressraumes nach dieser Anleitung aus dem MS-Technet vorgegangen?

Dann sollte es eigentlich klapptn.
toxictype
toxictype 13.02.2015 um 13:34:43 Uhr
Goto Top
Hallo Goscho,

die Seite habe ich mir auch schon zu Gemüte geführt.
Ich habe allerdings <lokale Domäne abc>.local als "Autorisierend" gewählt, da die Adressen von firma1.de halt nicht nur auf dem SBS zu finden sind.
firma1.de hat die Eigenschaft "Internes Relay".

Danke & Gruß,
tox

P.S.: Muss bei den Sendeconnectoren auf der Registerkarte "Allgemein" zwingend ein FQDN angegeben werden?
toxictype
toxictype 13.02.2015 aktualisiert um 14:42:56 Uhr
Goto Top
Es scheint, als sei der Fehler gefunden...
Zumindest ist der erste Schwung eMails raus und ich hoffe, dass es auch so bleibt.

Ich habe beim Provider angerufen und nochmals um Prüfung der MX- und A-Records gebeten.
Nach den obligatorischen Antworten, wie "Ist alles ok!", etc. funktionierte es dann nach ca. 30 min.

Mal abwarten...
120615
120615 19.02.2015 um 03:04:16 Uhr
Goto Top
Hallo,

Schalten Sie den EDNS0 Funktion auf Windows-basierten DNS-Servern. Um dies zu tun, nehmen Sie die folgenden Maßnahmen:


              Öffnen Sie die Eingabeaufforderung mit auf Als Administrator ausführen,

     Geben Sie den folgenden Befehl ein, und drücken Sie die Eingabetaste:

dnscmd / config / enableednsprobes 0

              Tat das gleiche auf allen Domänencontrollern.

              Gewählte die Nachricht zu wiederholen oder Neustart Transport feste mein Problem.

_________________________________________________________________
Ursache:
Dieses Problem tritt aufgrund der Erweiterungsmechanismen für DNS (EDNS0) Funktionen, die in Windows Server DNS unterstützt wird.
EDNS0 ermöglicht größere UDP (User Datagram Protocol) Paketgrößen. Jedoch können einige Firewall-Programme nicht erlauben, UDP-Pakete, die größer als 512 Bytes sind. Daher können diese DNS-Pakete von der Firewall blockiert werden ..

Danke Freund