17
Exchange NDR Antwort
Guten Morgen zusammen,
mir ist aufgefallen das nacht Extern keine NDR Benachrichtigung mehr gesendet wird. Da wir öfters große Anhänge bekommen, die nicht angenommen werden aufgrund der Größe, wartet der Sender auf eine Antwort da dieser keine Unzustellbarkeits Nachricht bekommt.
Wenn ich intern z. B. an eine falsche Adresse schreibe, bekomme ich eine NDR vom Exchange das die Mail nicht zugestellt werden kann.
Unser Konstrukt ist ein Exchange 2016 on Prem hinter einem Sophos Central Gateway.
Jemand eine Idee wo man ansetzen könnte?
mir ist aufgefallen das nacht Extern keine NDR Benachrichtigung mehr gesendet wird. Da wir öfters große Anhänge bekommen, die nicht angenommen werden aufgrund der Größe, wartet der Sender auf eine Antwort da dieser keine Unzustellbarkeits Nachricht bekommt.
Wenn ich intern z. B. an eine falsche Adresse schreibe, bekomme ich eine NDR vom Exchange das die Mail nicht zugestellt werden kann.
Unser Konstrukt ist ein Exchange 2016 on Prem hinter einem Sophos Central Gateway.
Jemand eine Idee wo man ansetzen könnte?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 92188592045
Url: https://administrator.de/contentid/92188592045
Ausgedruckt am: 22.11.2024 um 05:11 Uhr
17 Kommentare
Neuester Kommentar
Im Normalfall nicht nötig, wenn der sendende Mailserver die Nachricht nicht zustellen kann weil die Übertragung wegen zu großer Nachricht abgebrochen wird benachrichtigt der den User dann schon selbst.
Ansonsten lässt sich das hier festlegen
https://learn.microsoft.com/en-us/powershell/module/exchange/set-remoted ...
Gruß pp.
Ansonsten lässt sich das hier festlegen
Set-RemoteDomain * -NDREnabled $trueGruß pp.
Das ist richtig. Damit wir ein Backscatterer unterbunden. Es sollte reichen, dass die aktuelle Nachrichtenübermittlung einfach abgebrochen wird mit z.B. "550 5.1.1 Recipient address rejected", ohne, dass eine neue Email mit einer Fehlermeldung an den evtl falschen Addressaten im Envelope zurück geschickt wird.
Deswegen sei vorsichtig es einfach wieder einzuschalten.
Zitat von @puderpader:
Im Normalfall nicht nötig, wenn der sendende Mailserver die Nachricht nicht zustellen kann weil die Übertragung wegen zu großer Nachricht abgebrochen wird benachrichtigt der den User dann schon selbst.
Ansonsten lässt sich das hier festlegen
https://learn.microsoft.com/en-us/powershell/module/exchange/set-remoted ...
Gruß pp.
Im Normalfall nicht nötig, wenn der sendende Mailserver die Nachricht nicht zustellen kann weil die Übertragung wegen zu großer Nachricht abgebrochen wird benachrichtigt der den User dann schon selbst.
Ansonsten lässt sich das hier festlegen
Set-RemoteDomain * -NDREnabled $trueGruß pp.
Hi,
das Problem ist, die Sophos nimmt die Mail an (die weiß ja nichts von der größen Beschränkung) der Exchange wiederrum lehnt diese ab, gibt der Sophos aber kein Feedback. Somit gibt es für den Empfänger keine Info darüber.
Oder denke ich hier falsch?
In dem Fall richtig
https://community.sophos.com/sophos-email/f/discussions/126687/ndr-repor ...
Die max Größe der anzunehmenden Mails solltest du aber auf der Sophos unter Max message size setzen können, dann nimmt die diese gar nicht erst an
https://docs.sophos.com/nsg/sophos-utm/utm/9.708/help/en-us/Content/utm/ ....
https://community.sophos.com/sophos-email/f/discussions/126687/ndr-repor ...
Die max Größe der anzunehmenden Mails solltest du aber auf der Sophos unter Max message size setzen können, dann nimmt die diese gar nicht erst an
https://docs.sophos.com/nsg/sophos-utm/utm/9.708/help/en-us/Content/utm/ ....
Moin,
So ist es und dann gibt es auch eine entsprechende Bounce-Mail von der Sophos.
Liebe Grüße
Erik
Zitat von @puderpader:
In dem Fall richtig
https://community.sophos.com/sophos-email/f/discussions/126687/ndr-repor ...
Die max Größe der anzunehmenden Mails solltest du aber auf der Sophos unter Max message size setzen können, dann nimmt die diese gar nicht erst an
In dem Fall richtig
https://community.sophos.com/sophos-email/f/discussions/126687/ndr-repor ...
Die max Größe der anzunehmenden Mails solltest du aber auf der Sophos unter Max message size setzen können, dann nimmt die diese gar nicht erst an
So ist es und dann gibt es auch eine entsprechende Bounce-Mail von der Sophos.
Liebe Grüße
Erik
und dann gibt es auch eine entsprechende Bounce-Mail von der Sophos
Nein, die schreibt dann einfach die richtige Größe in den "SIZE"-Parameter zu Beginn der SMTP-Transaktion. Da weiß dann der einliefernde Server dass es nicht passt und versucht es überhaupt nicht. Der einliefernde Server muss dann zusehen, wie er den Absender informiert.
Sophos muss die Größe prüfen und kann auch im AD nachsehen ob die Email Adresse existiert. Wenn eines der beiden fehl schlägt, wird die aktuelle Nachrichtenübermittlung direkt bereits abgebrochen. Eine neue Email zurück zu senden macht man wegen dem Backscatterer Problem nicht mehr.
Das scheint aber nur die UTM zu können und nicht die Sophos Central Cloud ... das kann doch nicht wahr sein
Zitat von @w1k33d:
Das scheint aber nur die UTM zu können und nicht die Sophos Central Cloud ... das kann doch nicht wahr sein
Das scheint aber nur die UTM zu können und nicht die Sophos Central Cloud ... das kann doch nicht wahr sein
Doch die kann das auch -> Sophos Central Admin > My Products > Email Protection > Policies > Create a Data control rule
Zitat von @LordGurke:
Nein, die schreibt dann einfach die richtige Größe in den "SIZE"-Parameter zu Beginn der SMTP-Transaktion. Da weiß dann der einliefernde Server dass es nicht passt und versucht es überhaupt nicht. Der einliefernde Server muss dann zusehen, wie er den Absender informiert.
und dann gibt es auch eine entsprechende Bounce-Mail von der Sophos
Nein, die schreibt dann einfach die richtige Größe in den "SIZE"-Parameter zu Beginn der SMTP-Transaktion. Da weiß dann der einliefernde Server dass es nicht passt und versucht es überhaupt nicht. Der einliefernde Server muss dann zusehen, wie er den Absender informiert.
Nagut, dann schreibt halt der einliefernde Server die Message. :P Auf jeden Fall kriegt der Sender eine Benachrichtigung.
Zitat von @puderpader:
Doch die kann das auch -> Sophos Central Admin > My Products > Email Protection > Policies > Create a Data control rule
Zitat von @w1k33d:
Das scheint aber nur die UTM zu können und nicht die Sophos Central Cloud ... das kann doch nicht wahr sein
Das scheint aber nur die UTM zu können und nicht die Sophos Central Cloud ... das kann doch nicht wahr sein
Doch die kann das auch -> Sophos Central Admin > My Products > Email Protection > Policies > Create a Data control rule
Sieht gut aus. Ich habe jetzt eine Benachrichtigung an den Empfänger aktiviert. Den Punkt Bounce finde ich bei uns nicht:
Warum lässt du die Verarbeitung fortsetzen? Im Falle einer zu großen Mail oder eines nicht vorhandenen Empfängers sollte die aktuelle SMTP Session mit einem Fehler 550 abgebrochen werden. Auf keinen Fall zu Ende empfangen und nachträglich eine NDR Email zurück schicken.
Zitat von @NordicMike:
Warum lässt du die Verarbeitung fortsetzen? Im Falle einer zu großen Mail oder eines nicht vorhandenen Empfängers sollte die aktuelle SMTP Session mit einem Fehler 550 abgebrochen werden. Auf keinen Fall zu Ende empfangen und nachträglich eine NDR Email zurück schicken.
Warum lässt du die Verarbeitung fortsetzen? Im Falle einer zu großen Mail oder eines nicht vorhandenen Empfängers sollte die aktuelle SMTP Session mit einem Fehler 550 abgebrochen werden. Auf keinen Fall zu Ende empfangen und nachträglich eine NDR Email zurück schicken.
Nene ich hab es auf löschen und benachrichtigen (Empfänger) eingestellt. Ist nur im Screenshot so eingestellt.
Also sollte so passen. Viele Dank an alle.
löschen und benachrichtigen
Das schickt doch genau so eine neue Email raus. Das nennt man Backscatter. Du muss den Empfang mit Fehlercode 550 abbrechen.Du muss den Empfang mit Fehlercode 550 abbrechen
Nach RFC 3463 wäre der korrekte Fehlercode 523 oder 534, abhängig davon ob das Limit für das gesamte System oder für einzelne Postfächer gilt
Ein 550 signalisiert ein nicht existentes Postfach und kann beim Absender (und bei den Leuten die den Fehler dann suchen sollen) Verwirrung stiften.
Aber optimalerweise kann man entweder das Message-Size-Limit in der Sophos direkt vorgeben (damit der SIZE-Parameter beim EHLO schon den korrekten Wert enthält und Systeme dir nicht erst sinnlos Traffic schicken müssen). Oder die Sophos findet das alleine heraus, indem sie das vom Backend erfragt.
Korrekt, ich bin auch anfangs (erster Beitrag von mir) von 550 ausgegangen. Die genauere Fehlerbeschreibung kam ja auch erst später :c)
