w1k33d
Goto Top

Exchange NDR Antwort

Guten Morgen zusammen,

mir ist aufgefallen das nacht Extern keine NDR Benachrichtigung mehr gesendet wird. Da wir öfters große Anhänge bekommen, die nicht angenommen werden aufgrund der Größe, wartet der Sender auf eine Antwort da dieser keine Unzustellbarkeits Nachricht bekommt.

Wenn ich intern z. B. an eine falsche Adresse schreibe, bekomme ich eine NDR vom Exchange das die Mail nicht zugestellt werden kann.

Unser Konstrukt ist ein Exchange 2016 on Prem hinter einem Sophos Central Gateway.

Jemand eine Idee wo man ansetzen könnte?

Content-ID: 92188592045

Url: https://administrator.de/forum/exchange-ndr-antwort-92188592045.html

Ausgedruckt am: 22.12.2024 um 15:12 Uhr

12168552861
12168552861 20.03.2024 aktualisiert um 08:36:02 Uhr
Goto Top
Im Normalfall nicht nötig, wenn der sendende Mailserver die Nachricht nicht zustellen kann weil die Übertragung wegen zu großer Nachricht abgebrochen wird benachrichtigt der den User dann schon selbst.

Ansonsten lässt sich das hier festlegen
Set-RemoteDomain * -NDREnabled $true
https://learn.microsoft.com/en-us/powershell/module/exchange/set-remoted ...

Gruß pp.
NordicMike
NordicMike 20.03.2024 aktualisiert um 08:32:59 Uhr
Goto Top
Das ist richtig. Damit wir ein Backscatterer unterbunden. Es sollte reichen, dass die aktuelle Nachrichtenübermittlung einfach abgebrochen wird mit z.B. "550 5.1.1 Recipient address rejected", ohne, dass eine neue Email mit einer Fehlermeldung an den evtl falschen Addressaten im Envelope zurück geschickt wird.
NordicMike
NordicMike 20.03.2024 um 08:31:27 Uhr
Goto Top
Deswegen sei vorsichtig es einfach wieder einzuschalten.
w1k33d
w1k33d 20.03.2024 um 08:58:45 Uhr
Goto Top
Zitat von @puderpader:

Im Normalfall nicht nötig, wenn der sendende Mailserver die Nachricht nicht zustellen kann weil die Übertragung wegen zu großer Nachricht abgebrochen wird benachrichtigt der den User dann schon selbst.

Ansonsten lässt sich das hier festlegen
Set-RemoteDomain * -NDREnabled $true
https://learn.microsoft.com/en-us/powershell/module/exchange/set-remoted ...

Gruß pp.

Hi,

das Problem ist, die Sophos nimmt die Mail an (die weiß ja nichts von der größen Beschränkung) der Exchange wiederrum lehnt diese ab, gibt der Sophos aber kein Feedback. Somit gibt es für den Empfänger keine Info darüber.

Oder denke ich hier falsch?
12168552861
12168552861 20.03.2024 aktualisiert um 09:06:22 Uhr
Goto Top
In dem Fall richtig
https://community.sophos.com/sophos-email/f/discussions/126687/ndr-repor ...

Die max Größe der anzunehmenden Mails solltest du aber auf der Sophos unter Max message size setzen können, dann nimmt die diese gar nicht erst an
https://docs.sophos.com/nsg/sophos-utm/utm/9.708/help/en-us/Content/utm/ ....
erikro
erikro 20.03.2024 um 09:09:09 Uhr
Goto Top
Moin,

Zitat von @puderpader:

In dem Fall richtig
https://community.sophos.com/sophos-email/f/discussions/126687/ndr-repor ...

Die max Größe der anzunehmenden Mails solltest du aber auf der Sophos unter Max message size setzen können, dann nimmt die diese gar nicht erst an

So ist es und dann gibt es auch eine entsprechende Bounce-Mail von der Sophos.

Liebe Grüße

Erik
LordGurke
LordGurke 20.03.2024 aktualisiert um 09:37:59 Uhr
Goto Top
und dann gibt es auch eine entsprechende Bounce-Mail von der Sophos

Nein, die schreibt dann einfach die richtige Größe in den "SIZE"-Parameter zu Beginn der SMTP-Transaktion. Da weiß dann der einliefernde Server dass es nicht passt und versucht es überhaupt nicht. Der einliefernde Server muss dann zusehen, wie er den Absender informiert.
NordicMike
NordicMike 20.03.2024 um 09:45:19 Uhr
Goto Top
Sophos muss die Größe prüfen und kann auch im AD nachsehen ob die Email Adresse existiert. Wenn eines der beiden fehl schlägt, wird die aktuelle Nachrichtenübermittlung direkt bereits abgebrochen. Eine neue Email zurück zu senden macht man wegen dem Backscatterer Problem nicht mehr.
w1k33d
w1k33d 20.03.2024 um 09:47:07 Uhr
Goto Top
Das scheint aber nur die UTM zu können und nicht die Sophos Central Cloud ... das kann doch nicht wahr sein
12168552861
Lösung 12168552861 20.03.2024 aktualisiert um 09:56:39 Uhr
Goto Top
Zitat von @w1k33d:

Das scheint aber nur die UTM zu können und nicht die Sophos Central Cloud ... das kann doch nicht wahr sein

Doch die kann das auch -> Sophos Central Admin > My Products > Email Protection > Policies > Create a Data control rule
erikro
erikro 20.03.2024 um 09:58:44 Uhr
Goto Top
Zitat von @LordGurke:

und dann gibt es auch eine entsprechende Bounce-Mail von der Sophos

Nein, die schreibt dann einfach die richtige Größe in den "SIZE"-Parameter zu Beginn der SMTP-Transaktion. Da weiß dann der einliefernde Server dass es nicht passt und versucht es überhaupt nicht. Der einliefernde Server muss dann zusehen, wie er den Absender informiert.

Nagut, dann schreibt halt der einliefernde Server die Message. :P Auf jeden Fall kriegt der Sender eine Benachrichtigung.
w1k33d
w1k33d 20.03.2024 um 11:04:06 Uhr
Goto Top
Zitat von @puderpader:

Zitat von @w1k33d:

Das scheint aber nur die UTM zu können und nicht die Sophos Central Cloud ... das kann doch nicht wahr sein

Doch die kann das auch -> Sophos Central Admin > My Products > Email Protection > Policies > Create a Data control rule

Sieht gut aus. Ich habe jetzt eine Benachrichtigung an den Empfänger aktiviert. Den Punkt Bounce finde ich bei uns nicht:
2024-03-20 11_02_47-sophos central – mozilla firefox
NordicMike
NordicMike 20.03.2024 um 11:11:55 Uhr
Goto Top
Warum lässt du die Verarbeitung fortsetzen? Im Falle einer zu großen Mail oder eines nicht vorhandenen Empfängers sollte die aktuelle SMTP Session mit einem Fehler 550 abgebrochen werden. Auf keinen Fall zu Ende empfangen und nachträglich eine NDR Email zurück schicken.
w1k33d
w1k33d 20.03.2024 um 12:59:49 Uhr
Goto Top
Zitat von @NordicMike:

Warum lässt du die Verarbeitung fortsetzen? Im Falle einer zu großen Mail oder eines nicht vorhandenen Empfängers sollte die aktuelle SMTP Session mit einem Fehler 550 abgebrochen werden. Auf keinen Fall zu Ende empfangen und nachträglich eine NDR Email zurück schicken.

Nene ich hab es auf löschen und benachrichtigen (Empfänger) eingestellt. Ist nur im Screenshot so eingestellt.

Also sollte so passen. Viele Dank an alle.
NordicMike
NordicMike 21.03.2024 aktualisiert um 13:46:44 Uhr
Goto Top
löschen und benachrichtigen
Das schickt doch genau so eine neue Email raus. Das nennt man Backscatter. Du muss den Empfang mit Fehlercode 550 abbrechen.
LordGurke
LordGurke 21.03.2024 aktualisiert um 21:32:23 Uhr
Goto Top
Du muss den Empfang mit Fehlercode 550 abbrechen

Nach RFC 3463 wäre der korrekte Fehlercode 523 oder 534, abhängig davon ob das Limit für das gesamte System oder für einzelne Postfächer gilt face-wink
Ein 550 signalisiert ein nicht existentes Postfach und kann beim Absender (und bei den Leuten die den Fehler dann suchen sollen) Verwirrung stiften.

Aber optimalerweise kann man entweder das Message-Size-Limit in der Sophos direkt vorgeben (damit der SIZE-Parameter beim EHLO schon den korrekten Wert enthält und Systeme dir nicht erst sinnlos Traffic schicken müssen). Oder die Sophos findet das alleine heraus, indem sie das vom Backend erfragt.
NordicMike
NordicMike 22.03.2024 um 07:17:08 Uhr
Goto Top
Korrekt, ich bin auch anfangs (erster Beitrag von mir) von 550 ausgegangen. Die genauere Fehlerbeschreibung kam ja auch erst später :c)