antenope
Goto Top

Exchange 2016 CU22 blockt sporadisch eingehende Mails

Hallo zusammen,
wir haben hier ein echt lästiges Thema bei dem wir nicht weiter wissen. Und zwar blockt der Exchange bei einem Kunden "sporadisch" Mails. Der Grund mit dem die Mails an den Empfänger zurückgehen, ist immer der Gleiche:
reason: 550 5.7.107 Recipient not on bypass list, your IP has been found on a block list

Auch in den Logs sehen wir diese Meldung.

Der seltsame Teil kommt nun. Manche Mails kommen an, manche nicht, OBWOHL:
  • Gleicher Absender
  • Gleicher Empfänger
  • Gleiche IP des versendenden Servers

Die Blocklist vom Exchange selbst ist leer und hat keine Einträge.
Zudem setzten wir eine ESET-Mail Security ein, aber zu dieser kommen die Mails scheinbar gar nicht erst durch.

Das CU22 wurde Anfang Oktober installiert, die Probleme bestehen seit dem 14.10.

Hatte hier jemand etwas ähnliches oder eine Idee was da los ist?
Vielen Dank im Voraus.

Content-Key: 1433383887

Url: https://administrator.de/contentid/1433383887

Printed on: February 29, 2024 at 08:02 o'clock

Member: em-pie
em-pie Oct 26, 2021 at 13:41:23 (UTC)
Goto Top
Moin,

leigt es wirklick am Exchange?
Wenn Ihr/ euer Kunde lediglich ESET als Schutzmechanismus einsetzt: Prost Mahlzeit.

Bei uns würde ich am Mailgateway (UTM) schauen, ob dort etwas geblockt wird face-wink

Gruß
em-pie
Member: anteNope
anteNope Oct 26, 2021 at 14:03:32 (UTC)
Goto Top
Nein es ist der Exchange selbst. Uns fällt gerade auf, dass bei den Betroffenen der Hostname nicht zum A/PTR passt.
Member: radiogugu
Solution radiogugu Oct 26, 2021 at 14:15:18 (UTC)
Goto Top
Hallo.

Ich hatte bei einem Kunden dasselbe Thema, allerdings ist da ein Proxmox Mail Gateway vorgeschaltet. Dort waren alle Block Lists der Spamhaus.org Truppe der "Übeltäter".

Kaum hatte ich die aus den Optionen des Mail Gateways entfernt, war alles wieder gut.

Wurde denn am Exchange die Antispam Transport Konfiguration durchgeführt?

Gruß
Marc
Member: anteNope
anteNope Oct 26, 2021 at 14:33:14 (UTC)
Goto Top
Wurde denn am Exchange die Antispam Transport Konfiguration durchgeführt?
Ja und daran hatten wir gar nicht mehr gedacht ...

Dort waren alle Block Lists der Spamhaus.org Truppe der "Übeltäter"
Bingo, Volltreffer, versenkt!

C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\Logs\FrontEnd\AgentLog\
mit zig Logs mit folgenden Inhalt:

"RejectCommand,"550 5.7.107 Recipient not on bypass list, your IP has been found on a block list",BlockListProvider,zen.spamhaus.org,,,,Undefined"

Vielen herzlichen Dank Marc 🙂
Member: radiogugu
radiogugu Oct 26, 2021 at 14:55:34 (UTC)
Goto Top
Zitat von @anteNope:
Vielen herzlichen Dank Marc 🙂

Schön, wenn man helfen kann face-smile

Gruß
Marc
Member: anteNope
Solution anteNope Jul 23, 2022 updated at 10:17:19 (UTC)
Goto Top
Knüller, die Rotze ist seit heute wieder am Start:
550 5.7.107 Recipient not on bypass list, your IP has been found on a block list",BlockListProvider,b.barracudacentral.org,,,,Undefined  

Was zum Geier machen die da ...
Folgender Befehl regelt:

"Remove-IPBlockListProvider b.barracudacentral.org"
Member: em-pie
em-pie Jul 23, 2022 at 10:17:51 (UTC)
Goto Top
Moin,

Wie sieht denn euer Mailtransfer aus?
Geht ihr ein- sowie ausgehend über einen Smarthost? Oder versendet ihr direkt?
Falls ihr direkt versendet:
Habt ihr ein oder zwei WAN-Leitungen, über die ihr direkt sendet? Falls zwei: passen die DNS-/ MY-Records (inkl. Reverse)? Wir hatten das Problem vor einigen Monaten, dass unsere DTAG-Strippe ausgefallen ist, wie aber die Deutsche Glasfaser-Anbindung noch noch vollständig definiert hatten. Das sorgte dann dafür, dass bei Microsoft die Mails hängen blieben, weil die DNS-Einträge nicht passten…
Member: anteNope
anteNope Jul 23, 2022 updated at 10:21:30 (UTC)
Goto Top
Zitat von @em-pie:
Moin,
Wie sieht denn euer Mailtransfer aus?
Geht ihr ein- sowie ausgehend über einen Smarthost? Oder versendet ihr direkt?

Hi, nene nicht beim Versand. Es ist wie damals wieder beim Empfang. Unser Server lehnte diesmal einfach alles ab 😉
War nun die nächste Blockliste die abspackt.
Member: em-pie
em-pie Jul 23, 2022 at 10:28:27 (UTC)
Goto Top
Ach stimmt. Die Thematik war das ja ^^

Dann lasse das (mein obiges) mal beim Absender prüfen. Nicht, dass die da per Smarthost senden aber direkt empfangen (und solche Späße).

Oder die sind als Spammer aktiv (unfreiwillig)?