lordimac
Goto Top

Exchange, IONOS, Internal Relay Loop

Hallo Miteinander,
wir haben folgende Ausgangssituation.

IONOS Webhosting mit ca. 60 IMAP/POP3 Postfächern (3 Domains)
Exchange 2016 on premise mit ca. 35 Postfächern (feste IP wäre vorhanden)
IGetMail als POP Grabber für die Exchange Postfächer
Exchange Send Connector über IONOS Smarthost Benutzer

Nun ist es so das ja IONOS die Smarthost Funktionalität teilweise abschaltet bzw. diese auf die sendende Domain beschränkt. Bei 3 Domains also kontraproduktiv, da wir den Smarthost damit nicht verwenden könnten.

Jetzt haben wir folgende Einrichtung vollzogen.

MX Einträge einer Testdomain (nachfolgend example.tld) auf den Reverse-DNS unserer festen IP festgelegt mit Prio 10.
Standard IONOS MX Einträge (mx01/mx02) auf Prio 11 und 12.
SFP Eintrag mit IONOS sowie unserem Server als erlaubt.
Exchange Allowed Domain für example.tld eingerichtet als Internal Relay.
Exchange Send Connector festgelegt auf smtp.ionos.de mit einem Login der example.tld als Adresse enthält.
Ein Test-Konto als POP3/IMAP bei IONOS angelegt sowie ein anderes Test-Konto im Exchange.


Für das "native" Exchange Konto funktioniert alles. Empfang, Senden, alles ohne Probleme.
Für das IMAP/POP3 Testkonto, welches nur bei IONOS existiert, können jedoch keinerlei Mails empfangen werden. An die Adresse gesendete Mails landen in einem Loop und werden am Ende dadurch abgelehnt, was ja prinzipiell in Ordnung ist.

Doch warum kommt es zu diesem Loop ist die Frage. Ist es möglich das der IONOS SMTP Server die MX Einträge abgleicht und die Mail wieder zurück zum Exchange bounced obwohl der SMTP Server von IONOS derjenige sein sollte, der die Mail annehmen sollte?

Wie würde in diesem Fall die Problemlösung aussehen? Ich hoffe ich konnte alles einigermaßen verständlich darstellen.

Content-ID: 3704138866

Url: https://administrator.de/contentid/3704138866

Ausgedruckt am: 18.11.2024 um 23:11 Uhr

Snuffchen
Snuffchen 19.12.2023 um 14:58:23 Uhr
Goto Top
Was hat das Testkonto denn für eien Domain, auch example.tld?

Im Exchange musst du die Domain auf External setzten, damit er Adressen die er lokal nicht findet auch per SMTP rausschickt
lordimac
lordimac 19.12.2023 um 16:08:36 Uhr
Goto Top
Hallo und danke für die Antwort. Ja, beide Testkonten (Exchange sowie IMAP/POP3) haben die example.tld als Domain. Im Exchange ist die Domain als internal Relay angelegt, siehe Screenshot (Name sowie Akzeptierte Domäne sind jeweils example.tld).
firefox_2023-12-19_16-07-00
Dani
Dani 19.12.2023 um 23:49:44 Uhr
Goto Top
Moin,
Doch warum kommt es zu diesem Loop ist die Frage. Ist es möglich das der IONOS SMTP Server die MX Einträge abgleicht und die Mail wieder zurück zum Exchange bounced obwohl der SMTP Server von IONOS derjenige sein sollte, der die Mail annehmen sollte?
schau dir doch mal den Header einer dieser E-Mails an. Dann solltest sehen, welche Wege die E-Mail nimmt.

MX Einträge einer Testdomain (nachfolgend example.tld) auf den Reverse-DNS unserer festen IP festgelegt mit Prio 10. Standard IONOS MX Einträge (mx01/mx02) auf Prio 11 und 12.
Wenn die exmaple.tld drei MX Einträge mit der genannten Prio hat, ist das deine Schleife.


Gruß,
Dani
lordimac
lordimac 20.12.2023 um 08:06:57 Uhr
Goto Top
Guten Morgen,
im Header ist der Loop erkennbar, von unserem Exchange zu IONOS und von IONOS wieder zurück zu uns.

Ich habe mal gelernt das die Priorität der MX-Einträge lediglich die Priorität festlegen, aber nicht beide angesteuert werden, sondern die Priorisierung bei Nicht-Erreichbarkeit festlegt. Je niedriger, desto priorisierter ist der Eintrag. Ich mag mich irren, aber nichts desto trotz, nach entfernen der MX Einträge für IONOS gibt es immer noch einen Loop (TTL abgewartet und per MXToolbox geprüft).
Dani
Dani 23.12.2023 um 11:54:16 Uhr
Goto Top
Moin,
Ich habe mal gelernt das die Priorität der MX-Einträge lediglich die Priorität festlegen, aber nicht beide angesteuert werden, sondern die Priorisierung bei Nicht-Erreichbarkeit festlegt.
Grundsätzlich ist dem so. Aber es kann durch aus sein, dass die Priorität missachtet werden. Gerade Spammer machen das gerne, weil der Backup MX oftmals nicht den gleichen Schutzmaßnahmen haben.

aber nichts desto trotz, nach entfernen der MX Einträge für IONOS gibt es immer noch einen Loop (TTL abgewartet und per MXToolbox geprüft).
Es könnte natürlich sein, dass die E-Mail Plattform von IONOS beim Empfang die MX Einträge der Domain prüft, erkennt deinen MX Eintrag auf deinen E-Mail-Server und leitet diese direkt weiter.

Das kannst du prüfen in dem du in der DNS Zone, deinen MX entfernst und die IONOS Server wieder hinzufügst. Schicke von einer externen E-Mail-Adresse (z.B. mailbox.org) an ein Exchange-Postfach. Danach lese aus der E-Mail den Header aus und vergleiche die Stationen mit denen in der E-Mail welche im Loop ging.


Gruß,
Dani
lordimac
lordimac 27.12.2023 um 08:56:52 Uhr
Goto Top
Es könnte natürlich sein, dass die E-Mail Plattform von IONOS beim Empfang die MX Einträge der Domain prüft, erkennt deinen MX Eintrag auf deinen E-Mail-Server und leitet diese direkt weiter.

Die Vermutung habe ich ja bereits seit Anfang an, aber bestätigt wurde es mir bisher nicht. Und das Ticket bei IONOS ist seit über 2 Wochen offen und unbeantwortet. Daher ja mein Hilferuf auch in die Community.

Das kannst du prüfen in dem du in der DNS Zone, deinen MX entfernst und die IONOS Server wieder hinzufügst. Schicke von einer externen E-Mail-Adresse (z.B. mailbox.org) an ein Exchange-Postfach. Danach lese aus der E-Mail den Header aus und vergleiche die Stationen mit denen in der E-Mail welche im Loop ging.

Sorry, Denkfehler? Wenn ich die MX Einträge zu IONOS setze, dann ist mein Exchange nicht erreichbar weil die Mails ja bei IONOS landen.
Dani
Dani 27.12.2023 um 11:18:44 Uhr
Goto Top
Moin,
Sorry, Denkfehler? Wenn ich die MX Einträge zu IONOS setze, dann ist mein Exchange nicht erreichbar weil die Mails ja bei IONOS landen.
Nein. So könntest du die E-Mail Header von eine regulären E-Mail von einem Mail Hoster zu IONOS mit dem E-Mail Header der Loop Mail vergleichen. Das sollte dir Aufschluss über den Mailflow geben. Sprich die ersten HOPS in beiden Headern sollte identisch sein. Das wäre nochmals eine Bestätigung bezüglich dem Umgang mit dem MX Einträgen.


Gruß,
Dani