Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Exchange 2016 routet E-Mails in falsches Postfach

Mitglied: MasterPhil

MasterPhil (Level 1) - Jetzt verbinden

24.04.2017, aktualisiert 11:10 Uhr, 2014 Aufrufe, 13 Kommentare

Hallo Zusammen,

ein etwas komischer Fehler, der seit einiger Zeit auftaucht und ich mich zum Verzweifeln bringt:

Installiert ist ein Exchange 2016 (CU5) auf Windows Server 2012 R2. Der Exchange empfängt E-Mails über MX (vorgelagerte Securepoint UTM als MailRelay). Teilweise empfängt der Exchange Mails und leitet diese an ein falsches Postfach, obwohl im Header (Delivered-to und X-Original-to) die korrekte Empfängeradresse hinterlegt ist. Von der gleichen Absenderadresse kommen aber wiederum manche Mails im richtigen Postfach an (Postfach unter Delivered-to und X-Original-to). Mails, die in ein falsches Postfach zugestellt werden, wo aber der Header die korrekte Adresse anzeigt habe ich in den Exchange Logs nachgeprüft. In den FrontEnd und MessageTracking Logs steht plötzlich unter RCPT-TO die Adresse des Postfaches, welches die E-Mail fälschlicherweise erhält. Im MessageTracking Log steht z. B. unter recipient-address eine andere Mail wie im Header. Auch wenn ich mir die Mail in Outlook ansehe, unter "AN", ist die korrekte Mail eingetragen, an welche die E-Mail eigentlich gehen sollte. Exchange routet diese aber in ein falsches Postfach.

Was mir an der betreffenden Stelle im Log aufgefallen ist:

01.
2017-04-24T08:11:31.640Z,,,,EXCH2016,No suitable shadow servers,,SMTP,HAREDIRECTFAIL,51071456116742,
Der Exchange ist Standalone, also ohne DAG/Cluster.

Warum wertet mir der Exchange hier den Header bzw. das RCPT-TO Feld falsch aus? Ich habe bereits den MX Eintrag direkt auf den Exchange umgebogen, um die UTM auzuschließen. Es sind auch keine Regeln o. ä. eingerichtet, die E-Mails verschieben. Auch werden die E-Mails nicht über einen verwaisten POP Connector abgerufen. Mich irritiert, dass im Header die richtige Empfängeradresse steht und der Exchange unter RCPT-TO im Log eine falsche Adresse hinterlegt und die E-Mails auch an dieses Postfach zustellt?

Viele Grüße
MasterPhil
Mitglied: Pjordorf
24.04.2017 um 11:24 Uhr
Hallo,

Zitat von MasterPhil:
Teilweise empfängt der Exchange Mails und leitet diese an ein falsches Postfach
Sicher das er das tut?

obwohl im Header (Delivered-to und X-Original-to)
Delivered-to = Ausgeliefert-an / Versendet-an

die korrekte Empfängeradresse hinterlegt ist
RCPT-TO oder was?

In den FrontEnd und MessageTracking Logs steht plötzlich unter RCPT-TO die Adresse des Postfaches, welches die E-Mail fälschlicherweise erhält.
Dann ist doch alles OK. Mails gehen an RCPT-TO, auch wenn es ein falsches Postfach sein sollte. Dann gibt es doch kein Fehler. Sicher das deine UTM dort nichts ändert?

Im MessageTracking Log steht z. B. unter recipient-address eine andere Mail wie im Header.
Du solltest mal genau sagen von welchen Adressen du redest. Im Mail Header stehen verschiedene....

Auch wenn ich mir die Mail in Outlook ansehe, unter "AN", ist die korrekte Mail eingetragen, an welche die E-Mail eigentlich gehen sollte.
Das sagt dir Outlook auch dann wenn dort was anderes steht. Der Outlook Client ist nicht Exchange, sondern nur am Exchange (bei dir) angebunden. Die entscheidung ain welches Postfach die mail landet trifft dein Exchange und nach deine Aussage landen die die Mails im falschen Postfach wobei die Mails aber eben den RCPT-TO dorthin haben.

Exchange routet diese aber in ein falsches Postfach.
Aber der RCPT-TO stimmt schon - passend zum falschen Postfach?

Warum wertet mir der Exchange hier den Header bzw. das RCPT-TO Feld falsch aus?
Tut er doch gar nicht laut deiner beschreibung. RCPT-TO und Postfach stimmen überein, das es trotzdem das falsche ist liegt am RCPT-TO.

Mich irritiert, dass im Header die richtige Empfängeradresse steht
Welche meinst du genau?

und der Exchange unter RCPT-TO im Log eine falsche Adresse hinterlegt
Du meinst im RCPT-TO steht Donald.duck@entenhausen.de und im log deines Exchange steht irgendwo Gustav.Gans@entenhausen.de und die Mails landen im Postfach Gustav.Gans@entenhausen.de?

Gruß,
Peter
Bitte warten ..
Mitglied: MasterPhil
24.04.2017, aktualisiert um 12:21 Uhr
Sicher das er das tut?
Ja, ganz sicher.

RCPT-TO oder was?
Ein Externer sendet eine Mail an info@firma.de. Die Mail kommt nun nicht im Postfach info@firma.de raus sondern in einem anderen z. B. mitarbeiter@firma.de. Im Exchange MessageTracking Log steht im Feld RCPT TO nun mitarbeiter@firma.de, die Mail wurde aber an info@firma.de gesendet. Im Header steht bei Delivered-to und X-Original-to info@firma.de. Warum sitzt mir Exchange dann mitarbeiter@firma.de? Das ist willkürlich so, manche Mails vom selben Absender an info@firma.de kommen dann auch im Postfach info@firma.de raus. Und Nein, die Mail wird nicht aus Versehen an mitarbeiter@firma.de adressiert

Dann ist doch alles OK. Mails gehen an RCPT-TO, auch wenn es ein falsches Postfach sein sollte. Dann gibt es doch kein Fehler. Sicher das deine UTM dort nichts ändert?
Mail wurde aber an info@firma.de gesendet. Angekommen ist sie bei mitarbeiter@firma.de. Die UTM macht hier sicher nichts, ich habe den MX direkt auf den Exchange umgebogen, sodass hier nichts mehr dazwischen hängt.

Aber der RCPT-TO stimmt schon - passend zum falschen Postfach?
RCPT-TO passt eben nicht - der Exchange setzt hier eine Adresse "mitarbeiter@firma.de" rein, obwohl die Mail ursprünglich an info@firma.de geleitet wurde. Im Header steht Delivered-to / X-Original-to info@firma.de.
Ich sehe auch im Exchange Log nirgends die info@firma.de, ich verstehe nicht wo der Exchange die Adresse vergisst, bzw. warum er diese ersetzt.

Aber der RCPT-TO stimmt schon - passend zum falschen Postfach?
Ja, die Mail landet dann, passend zu RCPT TO im falschen Postfach. Exchange scheint hier das Feld RCPT TO zu ersetzten. Ursprünglich ist die Mail an info@firma.de adressiert, Exchange ersetzt diese nun im Feld RCPT TO durch mitarbeiter@firma.de

Warum der Exchange hier mit shadow copys rummacht, verstehe ich auch nicht:
01.
2017-04-24T08:11:31.640Z,,,,EXCH2016,No suitable shadow servers,,SMTP,HAREDIRECTFAIL,51071456116742,
Bitte warten ..
Mitglied: GuentherH
24.04.2017 um 13:36 Uhr
Warum der Exchange hier mit shadow copys rummacht, verstehe ich auch nicht:

Weil die Funktion aktiviert ist Des Exchange sucht nach einem anderen redundanten Exchange Hub.

Kann man mit Set-TransportConfig -ShadowRedundancyEnabled $false deaktivieren.

Mach das einmal und schau dann weiter.

LG Günther
Bitte warten ..
Mitglied: MasterPhil
24.04.2017, aktualisiert um 17:52 Uhr
Kann man mit Set-TransportConfig -ShadowRedundancyEnabled $false deaktivieren.
Ist deaktiviert und der Exchange wurde danach neu gestartet. Das Problem besteht allerdings immer noch - E-Mails werden immer noch falsch geroutet...

Ich finde die Kardinalsfrage ist: Warum ersetzt der Exchange das Feld RCPT TO durch eine Adresse, an welche die E-Mail nicht gesendet wurde? Anscheinend sendet der Exchange manche Mails immer an EIN bestimmtes Postfach eines Mitarbeiters (z. B. externer Absender sendet an info@firma.de, Mail kommt bei mitarbeiter@firma.de raus oder externer Absender sendet an mitarbeiter2@firma.de, Mail kommt bei mitarbeiter@firma.de raus). Das ist aber wie oben schon angemerkt nicht bei allen Mails so, manche Mails vom gleichen Absender werden korrekt geroutet. Warum das eine Postfach manche fehlgeleiteten Mails bekommt kann ich nicht sagen, im MessageTracking Log scheint alles OK zu sein - der Fehler mit Shadow Copys ist nun weg.
Bitte warten ..
Mitglied: Pjordorf
24.04.2017 um 21:53 Uhr
Hallo,

Zitat von MasterPhil:
Ich finde die Kardinalsfrage ist: Warum ersetzt der Exchange das Feld RCPT TO durch eine Adresse
Wenn ihr da nichts eingebaut habt - warum soll der Exchange etwas von sich aus ersetzen?

Ist evtl. deine info@ noch woanders in Verwendung oder durch irgendwelche fehlversuche noch zu finden?

an welche die E-Mail nicht gesendet wurde?
Du hast die ankommenden Mails schon per Wireshark oder Networkmonitor verifiziert das dort nicht schon was anderes steht als du erwartest?

Anscheinend sendet der Exchange manche Mails immer an EIN bestimmtes Postfach eines Mitarbeiters
Du solltest die Gemeinsamkeiten finden denn selbst ein Amoklaufender Exchange wird auch dort nach Regeln vorgehen, sonst hiesse das ja das ein Exchange tun kann was er will - oder eben nicht. Dann dürfte auch das sich schon als K.O. Kriterium rumgesprochen haben.

Auch SMTP mit TLS/SSL kann per Wireshark in Klarschrift gebracht werden. Hier ist ja nur das RCPT-TO: bla@bla.de wichtig. Was bekommt dein Exchange also per MX da zugestellt?

Gruß,
Peter
Bitte warten ..
Mitglied: MasterPhil
25.04.2017, aktualisiert um 17:09 Uhr
Ist evtl. deine info@ noch woanders in Verwendung oder durch irgendwelche fehlversuche noch zu finden?
Die Adresse ist nicht anderweit in Verwendung. Die Konfig hat ja auch ewig so funktioniert, plötzlich macht der Exchange die faxen.... Die Mails wird wie oben schon geschrieben an info@firma.de adressiert, landet aber in mitarbeiter@firma.de - ohne Regeln oder irgendwelche Konfig-Änderunge...In den Logs sehe ich allerdings im Feld RCPT TO mitarbeiter@firma.de...klar dass die Mail dann da raus kommt...wer ersetzt das dann aber, wenn der Absender klar an info@firma.de sendet? Vor allem gehen manche Mails vom gleichen Absender durch, eine nachfolgende landet im falschen Postfach...

Du hast die ankommenden Mails schon per Wireshark oder Networkmonitor verifiziert das dort nicht schon was anderes steht als du erwartest?
Mit Wireshark direkt am Exchange sehe ich zwar den ganzen SMTP Verbindungsaufbau, aber ich kann nicht in die Pakete sehen, also z. B. das Feld RCPT TO auslesen..Ich habe alles nach SMTP gefiltert, kann aber nirgends RCPT-TO sehen....

Kann ich sonst noch wo nachsehen, was da genau passiert? Interessant wäre tatsächlich die Mail vor Annahme des Exchange zu prüfen...
Bitte warten ..
Mitglied: Pjordorf
25.04.2017 um 22:07 Uhr
Hallo,

Zitat von MasterPhil:
Mit Wireshark direkt am Exchange sehe ich zwar den ganzen SMTP Verbindungsaufbau, aber ich kann nicht in die Pakete sehen, also z. B. das Feld RCPT TO auslesen..Ich habe alles nach SMTP gefiltert, kann aber nirgends RCPT-TO sehen....
Dir ist aber schon klar das nur noch ganz wenig über Port 25 OHNE TLS / SSL läuft, oder?
https://tinyurl.com/kb72k9q
https://tinyurl.com/lrygrzh

Gruß,
Peter
Bitte warten ..
Mitglied: MasterPhil
26.04.2017, aktualisiert um 10:08 Uhr
Dir ist aber schon klar das nur noch ganz wenig über Port 25 OHNE TLS / SSL läuft, oder?
Bedeutet für mich, dass ich den eingehenden MX Traffic auf Port 25 wie z. B. hier beschrieben entschlüsseln muss, damit ich das Feld RCPT TO lesen kann? Ich möchte ja sehen, wie die eingehende Mail adressiert ist, bevor der Exchange empfängt.
https://blogs.technet.microsoft.com/nettracer/2010/10/01/how-to-decrypt- ...
Bitte warten ..
Mitglied: SlainteMhath
26.04.2017 um 12:36 Uhr
Moin,

so wie ich das sehe macht der Exchange alles richtig (er stellt die Mail an dem im RCPT TO angegebenen Empfänger zu). Kannst du denn 100%ig ausschliessen, das dein UTM nicht an der Mail(-Envelope) rumfummelt? Evtl. hat die ja auch eine Rewrite-regel o.Ä.? Da hat's sicher auch Logfiles, oder?

lg,
Slainte
Bitte warten ..
Mitglied: Pjordorf
26.04.2017 um 13:06 Uhr
Hallo,

Zitat von SlainteMhath:
Kannst du denn 100%ig ausschliessen, das dein UTM nicht an der Mail(-Envelope) rumfummelt?
Er hat doch geschrieben
Ich habe bereits den MX Eintrag direkt auf den Exchange umgebogen, um die UTM auzuschließen
sowie
Die UTM macht hier sicher nichts, ich habe den MX direkt auf den Exchange umgebogen, sodass hier nichts mehr dazwischen hängt
Scheint das der TO 2 unterschiedliche Öffentliche IPs hat. Eine für die UTM, eine für den Exchange

Gruß,
Peter
Bitte warten ..
Mitglied: Pjordorf
26.04.2017 um 13:08 Uhr
Hallo,

Zitat von MasterPhil:
Bedeutet für mich, dass ich den eingehenden MX Traffic auf Port 25 wie z. B. hier beschrieben entschlüsseln muss
Ja, sonst siehst du nur alles Verschlüsselt. Du musst schauen was du konfiguriert hast und ob es TL oder SSL ist und auch welcher Port dann eventuell genutzt wird.

Gruß,
Peter
Bitte warten ..
Mitglied: SlainteMhath
26.04.2017 um 13:13 Uhr
> > Er hat doch geschrieben
> Ich habe bereits den MX Eintrag direkt auf den Exchange umgebogen, um die UTM auzuschließen
Sorry, hab ich dann wohl überlesen
Bitte warten ..
Mitglied: MasterPhil
26.04.2017 um 14:21 Uhr
Ja, sonst siehst du nur alles Verschlüsselt. Du musst schauen was du konfiguriert hast und ob es TL oder SSL ist und auch welcher Port dann eventuell genutzt wird.
Ich habe das Netz übernommen und muss immer prüfen, was schon eingestellt ist. Der Exchange bekommt die E-Mails über Port 25 zugestellt. So wie ich das sehe ist am Default Connector, der bei Installation erstellt wird, nichts verändert. Authentifizierung steht auf TLS (Gegenseitige TLS Auth). Ich versuche mit Wireshark und dem private key aus dem öffentlichen Zertifikat die Verbindung zu entschlüsseln.
Bitte warten ..
Ähnliche Inhalte
Exchange Server
Exchange 2016 E-Mail Connector
Frage von butch12Exchange Server6 Kommentare

Hallo, Ich habe mir gerade zum Testen einen Exchange 2016 aufgesetzt und wollte mal probieren E-Mails von meiner Domain ...

Exchange Server
Exchange 2016 - E-Mail Versand
Frage von hugoooExchange Server

Hallo zusammen, ich habe aktuell folgendes Problem: Exchange Server 2016 mit verschiedenen PC-Systemen mit Outlook und einer Branchensoftware, die ...

Exchange Server
E-mail Postfach für mehrere User
gelöst Frage von j1m3e84Exchange Server7 Kommentare

Hallo Community! Wir wollen für eine Abteilung (11 user 1 Abteilungsleiter) ein Postfach mit zugriffsrechten einrichten. Die User dürfen ...

Outlook & Mail

Globales E-Mail Postfach einfach verwalten

Frage von aPeukiOutlook & Mail3 Kommentare

Hallo, ich stehe hier vor einem Problem, bei dem ich nicht weiter komme. Wir haben in der Firma ein ...

Neue Wissensbeiträge
Erkennung und -Abwehr
TrendMicro WFBS V10 SP1 in dt. verfügbar
Tipp von Looser27 vor 45 MinutenErkennung und -Abwehr1 Kommentar

Liebe Kollegen, das SP1 (inkl mUnterstützung für Windows 10 1903) für o.g. Software ist verfügbar. Gruß Looser

Erkennung und -Abwehr

TrendMicro Worry-Free Business Security 10.0 SP1 WFBS - Deutsch (mit Windows 10 1903-Support -May-Update) ist verfügbar!

Tipp von VGem-e vor 6 StundenErkennung und -Abwehr

Moin, endlich ist es seitens des Anbieters so weit: Danke natürlich auch an TrinXx, der schon vor 2 Tagen ...

Sicherheits-Tools

TrendMicro Worry-Free Business Security 10.0 SP1 - Jetzt in Deutsch verfügbar! (Windows 10 1903 Support)

Tipp von TrinXx vor 2 TagenSicherheits-Tools2 Kommentare

Moin! Nach wochenlangem Warten wird Trend Micro das SP1 für WFBS 10 voraussichtlich am 26.08.19 veröffentlichen. Ich habe das ...

Heiß diskutierte Inhalte
Server
Ein Server ins Haus stellen. Was brauche ich dafür?
Frage von JoschiTomServer15 Kommentare

Hallo Community, ich spiele mit dem Gedanken eine Server mir zu holen. Was brauche ich dafür? Und wie sind ...

LAN, WAN, Wireless
Mikrotik Gast-Wlan keine Verbindung zum Internet?
Frage von dirkschwarzLAN, WAN, Wireless13 Kommentare

Guten Morgen, habe ein wahrscheinlich einfaches Problem, bei dem ich aber nicht wirklich weiter komme Ich möchte ein Gast-Wlan ...

Windows Server
GPOs nur auf Terminalserver User und nicht andere Computer ausführen
Frage von roeggiWindows Server8 Kommentare

Ich habe einen Windows Server 2019 als Terminal Server. da es momentan nicht so einfach ist im Startmenü Programme ...

Windows Server
Auf Dell t310 windows Server 2016 installieren
Frage von jensgebkenWindows Server8 Kommentare

Hallo Gemeinschaft, habe einen gebrauchten T310 gekauft mit Raid System und möchte dort Windows Server 2016 Standard installieren wenn ...