forseti2003
Goto Top

Exchange 2013 - Mails ausgehend funktionieren nicht immer

Hallo,

hab da zur Mittagszeit eine "kleine" Nuss zu knacken. Mein Exchange Server 2013 CU5 will seit ca. 2-3 Tagen nicht mehr ordnungsgemäß Mails versenden.
Intern und eingehend erhalten wir alle Mails ganz normal. Sobald wir aber ausgehend senden, besteht nur eine 50% Chance darauf, das die Mails ankommen.

In einigen Fällen erhalte ich einen Zustellungsbericht der behauptet es würde verzögert zugestellt worden sein, Prüfung ergibt aber, die sind nicht angekommen.
Auch einen Bericht über nicht zugestellte erhalte ich - meist erst 3 Tage später, was dann sehr ärgerlich ist.

Fehlercode anbei:
Diagnostic code = MaximumTimeExpired; Reason code = TransferFailed; Status code = 447
< #4.4.7 smtp;550 4.4.7 QUEUE.Expired; message expired>


Wenn ich MXToolBox teste erhalte ich folgende Hinweise:

Connecting to 21x.xx.xx.x71

220 MailEx01.domain.com Microsoft ESMTP MAIL Service ready at Thu, 31 Jul 2014 11:01:36 +0200 [728 ms]
EHLO MXTB-PWS3.mxtoolbox.com
250-MailEx01.domain.com Hello [21x.xx.xx.x71]
250-SIZE 26214400
250-PIPELINING
250-DSN
250-ENHANCEDSTATUSCODES
250-STARTTLS
250-AUTH NTLM
250-8BITMIME
250-BINARYMIME
250 CHUNKING [742 ms]
MAIL FROM: <supertool@mxtoolbox.com>
250 2.1.0 Sender OK [735 ms]
RCPT TO: <test@example.com>
550 5.7.1 Unable to relay [5737 ms]

MXTB-PWS3v2 10015ms

Angeblich soll das Reverse DNS fehlgeschlagen sein - wobei Banner mit Mailservernamen übereinstimmt.

Hat hierzu jemand eine Idee, was das auslösen kann?

Grüße
Forseti

Content-ID: 245322

Url: https://administrator.de/forum/exchange-2013-mails-ausgehend-funktionieren-nicht-immer-245322.html

Ausgedruckt am: 26.12.2024 um 15:12 Uhr

Zangetsu
Zangetsu 01.08.2014 um 12:15:00 Uhr
Goto Top
Hi Forseti,

Reverse-DNS ist nicht gleich EHLO/HELO + Mailservername. Kannst du deine öffentliche IP auflösen?

Gruß Zangetsu
Chonta
Chonta 01.08.2014 um 12:29:38 Uhr
Goto Top
Hallo,

wieviele Exchangeserver isnd im Einsatz?
Ging es schonmal?
Updates gefahren?
Wenn mehrere Server im Einsatz sind wieviele CAS Postfachserver gibt es?
Wenn Du dich von draußen auf deinen Exchange per SMTP verbindest, und an eine Domäne eine Mailzustellen willst, dann sollte die auch abgewiesen werden.
MAIL FROM: <supertool@mxtoolbox.com>
Dein Absender ok
250 2.1.0 Sender OK [735 ms]
Absender akzeptiert
RCPT TO: <test@example.com>
Wird keine Domäne sein die für die Dein Exchangserver zustädig ist
550 5.7.1 Unable to relay [5737 ms]
Zustellung abgwwiesen, richtig so, sonst open Relay. (Willst Du nicht)

Die Frage ist, wie sachaut das gleiche aus dem Internen Netz aus?
Spätestens wenn der Absender sich autentifiziert hat sollte die Mail zugestellt werden.

Gruß

Chonta
Forseti2003
Forseti2003 01.08.2014 um 12:51:51 Uhr
Goto Top
Zitat von @Zangetsu:

Hi Forseti,

Reverse-DNS ist nicht gleich EHLO/HELO + Mailservername. Kannst du deine öffentliche IP auflösen?

Gruß Zangetsu

Ja, das geht. Wenn ich aus einem externen Netz einfach mal einen Ping starte, erhalte ich als Rückmeldung mailex01.domain.com [21.xx.xxx.xx1].
Der nslookup auf die Adresse läuft auch sauber durch.
Forseti2003
Forseti2003 01.08.2014 um 12:56:29 Uhr
Goto Top
Zitat von @Chonta:

Hallo,

wieviele Exchangeserver isnd im Einsatz?
Aktuell insgesamt 2 - der zweite läuft ohne Probleme (soll aber durch den anderen abgelöst werden)
Ging es schonmal?
Ja, ich würde behaupten bis Anfang diese Woche, erst ab da treten die Probleme auf.
Updates gefahren?

Wenn mehrere Server im Einsatz sind wieviele CAS Postfachserver gibt es?
Da beide Server als "standalone" vorgesehen sind, sind auch 2 CAS aktuell im Einsatz. Sobald ich die Postfächer vom alten auf den neuen migriere, leiden die neuen Postfächer unter dem Problem.

Wenn Du dich von draußen auf deinen Exchange per SMTP verbindest, und an eine Domäne eine Mailzustellen willst, dann
sollte die auch abgewiesen werden.
>MAIL FROM: <supertool@mxtoolbox.com>
Dein Absender ok
>250 2.1.0 Sender OK [735 ms]
>Absender akzeptiert
>RCPT TO: <test@example.com>
Wird keine Domäne sein die für die Dein Exchangserver zustädig ist
>550 5.7.1 Unable to relay [5737 ms]
Zustellung abgwwiesen, richtig so, sonst open Relay. (Willst Du nicht)

Die Frage ist, wie sachaut das gleiche aus dem Internen Netz aus?
Spätestens wenn der Absender sich autentifiziert hat sollte die Mail zugestellt werden.

Gruß

Chonta

Das ist richtig, Open-Relay wollen wir nicht und das klappt soweit auch, wenn man den Test von MXtoolbox durchsieht.
Intern ist es kurios, die Mails zwischen den Exchange-Servern kommen prompt und sauber an.
Die Anwender sind mit Outlook 2010 am Exchange verbunden, insofern sollte der Absender immer authentifiziert sein. Versuche über OWA bringen das selbe Ergebnis.
Chonta
Chonta 01.08.2014 um 13:08:27 Uhr
Goto Top
Du hast 2 Exchange 2013 im Einsatz und einer davon oll abgestellt werden?

Ich vermute mal die Senteeinstellungen sind irgendwie durcheinander.
Du must mal die Mails verfolgen. Versucht der problem Exchange über den anderen zu versenden und der macht kein Relay? Oder versucht der selber zu versenden aber kann die Mails nicht auflösen?


Gruß

Chonta
SlainteMhath
Lösung SlainteMhath 01.08.2014 aktualisiert um 17:53:58 Uhr
Goto Top
Moin,
Ja, das geht. Wenn ich aus einem externen Netz einfach mal einen Ping starte, erhalte ich als Rückmeldung mailex01.domain.com [21.xx.xxx.xx1].
Der nslookup auf die Adresse läuft auch sauber durch.

Es geht um REVERSE DNS, also ob zu deine IP Adresse zu dem Hostnamen aufgelöst werden kann.

lg,
Slainte
Forseti2003
Forseti2003 01.08.2014 um 13:11:38 Uhr
Goto Top
Zitat von @Chonta:

Du hast 2 Exchange 2013 im Einsatz und einer davon oll abgestellt werden?

Nicht ganz, einer ist 2013 und einer ist 2007 - der 2007er soll abgestellt werden. Hätte ich aktuell das Problem mit den Mails nicht, würden jetzt am WE alle Postfächer migriert werden und der alte EX ausgemustert.

Ich vermute mal die Senteeinstellungen sind irgendwie durcheinander.
Du must mal die Mails verfolgen. Versucht der problem Exchange über den anderen zu versenden und der macht kein Relay? Oder
versucht der selber zu versenden aber kann die Mails nicht auflösen?

Hm, guter Ansatz, prüf ich mal nach.
Chonta
Chonta 01.08.2014 um 14:03:34 Uhr
Goto Top
Hallo,

sag doch gleich das du mitten in einer Migration von 2007 auf 2013 stehst.
Mich würden mal die unzustellbarkeitsberichte interessieren.

Wie versendet ihr die Mails? Selber über Eure feste IP oder über einen Smarthost? (Fehlt evtl dem 2013)
Evtl findest Du hier noch Ansätze.
http://www.frankysweb.de/migration-von-exchange-2010-zu-exchange-2013-b ...

Gruß

Chonta
Forseti2003
Forseti2003 01.08.2014 um 17:53:49 Uhr
Goto Top
Zitat von @Chonta:

Hallo,

sag doch gleich das du mitten in einer Migration von 2007 auf 2013 stehst.

Sorry, war an der Stelle für mich aktuell nebensächlich, da ja der neue Server die letzten 2 Monate im Test ohne Probleme lief.
Erst als wir die Postfächer migrierten, konnten Live-User das Problem feststellen, da es ja nicht permanent auftritt, aber überwiegend bei den selben Mailempfängern. Bin daher nicht davon ausgegangen, das hier die Migration quer schlägt.


Mich würden mal die unzustellbarkeitsberichte interessieren.

Wie versendet ihr die Mails? Selber über Eure feste IP oder über einen Smarthost? (Fehlt evtl dem 2013)
Evtl findest Du hier noch Ansätze.
http://www.frankysweb.de/migration-von-exchange-2010-zu-exchange-2013-b ...

Gruß

Chonta

Aber ich glaub der Fehler ist nun gelöst. Auf Deine Fragen:
Ja, wir senden mittels fester IP-Adresse über unseren eigenen Server. Aber genau hier lag der Hund begraben.

Wir haben unserem Domainhoster die IP-Adresse mitgeteilt, diese wurde auch hinterlegt. Wenn unser Server also nun Mails versendet hat, meldete er sich mit dem normalen Netz an und gab seine Kennung durch. Wenn nun der Mailempfänger seine Prüfung anfragte, landete er zwar im ersten Schritt noch beim Domainhoster und dessen Nameserver, der dann an die feste IP weiterleitete, doch der ISP hatte einen PTR bei sich vergessen und so war im Netz vom ISP nicht bekannt, das er an das Netz durchstellen sollte.

Der ISP hat den PTR nun nachgetragen und seitdem erhalte ich keinen Reverse DNS-Fehler mehr bei der MXtoolbox.

Schätzungsweise kamen damit nämlich einige Server nicht klar und gingen von einem Spambot aus und haben die Mails unbeantwortet gelöscht. Server mit niedriger Sicherheit haben die Mails empfangen.

Fazit: Nicht nur der Domainhoster muss einen PTR setzen, sondern auch der ISP - da wir einen neuen ISP seit diesem Jahr erst einsetzen und mit dem alten das Problemlos geklappt hat, sind wir da erst jetzt richtig drüber gestolpert.

Somit Danke bei allen für die Mithilfe, die uns auf die Spur gebracht hat.

Grüße

Forseti