Exchange weist Mails ohne Log Eintrag ab
Guten Morgen,
wir haben seit letzter Woche ein ganz spannendes "Problem" oder sollte ich eher Phänomen sagen? Wir haben eine Tochtergesellschaft die allerdings IT-Technisch komplett von uns abgetrennt ist. Kann man sozusagen als eigene Firma betrachten. Nennen wir sie der Einfachheit halber Firma 1 und unser Unternehmen Firma 2.
Zwei Kollegen der jeweiligen Firmen tauschen regelmäßig E-Mails mit Passwortgeschützen ZIP-Dateien aus. Anscheinend hat das bis vor zwei Wochen auch noch gut geklappt. Jetzt bekommt die Kollegin aus Firma 1 die Rückmeldung:
mail.firma2.de hat Ihre Nachricht an die folgenden E-Mail-Adressen zurückgewiesen.
mail.firma2.de
Remote Server returned '552 Password protected zip file found inside of the email'
In der Regel hätte ich gesagt, klar kein Thema, unser Exchange blockt ab weil irgendwo die Einstellung gesetzt ist. Dem ist aber nicht so. Unser Exchange hat keine Einstellung diesbezüglich. On Top: Unsere Sophos Firewall nimmt alle E-Mails an und prüft diese auf Spam. Jede E-Mail die an uns geschickt wird landet im SMTP Protokoll. Wie kann also unser Exchange eine Ablehnung senden, wenn die E-Mail nicht auf unserer Firewall eingeht? Ich bin sichtlich verwirrt.
Als Kreuztest habe ich einmal von meiner GMAIL Adresse eine Passwortgeschützte ZIP an eine interne Adresse geschickt. Funktioniert ohne Probleme.
P.S.: Seit HAFNIUM sind wird durchgepatcht, mir wäre aber spontan nicht bekannt, dass die Patches irgendetwas an den Exchange Settings ändern.
Danke euch im Voraus und eine angenehme Woche.
vg Pat
wir haben seit letzter Woche ein ganz spannendes "Problem" oder sollte ich eher Phänomen sagen? Wir haben eine Tochtergesellschaft die allerdings IT-Technisch komplett von uns abgetrennt ist. Kann man sozusagen als eigene Firma betrachten. Nennen wir sie der Einfachheit halber Firma 1 und unser Unternehmen Firma 2.
Zwei Kollegen der jeweiligen Firmen tauschen regelmäßig E-Mails mit Passwortgeschützen ZIP-Dateien aus. Anscheinend hat das bis vor zwei Wochen auch noch gut geklappt. Jetzt bekommt die Kollegin aus Firma 1 die Rückmeldung:
mail.firma2.de hat Ihre Nachricht an die folgenden E-Mail-Adressen zurückgewiesen.
mail.firma2.de
Remote Server returned '552 Password protected zip file found inside of the email'
In der Regel hätte ich gesagt, klar kein Thema, unser Exchange blockt ab weil irgendwo die Einstellung gesetzt ist. Dem ist aber nicht so. Unser Exchange hat keine Einstellung diesbezüglich. On Top: Unsere Sophos Firewall nimmt alle E-Mails an und prüft diese auf Spam. Jede E-Mail die an uns geschickt wird landet im SMTP Protokoll. Wie kann also unser Exchange eine Ablehnung senden, wenn die E-Mail nicht auf unserer Firewall eingeht? Ich bin sichtlich verwirrt.
Als Kreuztest habe ich einmal von meiner GMAIL Adresse eine Passwortgeschützte ZIP an eine interne Adresse geschickt. Funktioniert ohne Probleme.
P.S.: Seit HAFNIUM sind wird durchgepatcht, mir wäre aber spontan nicht bekannt, dass die Patches irgendetwas an den Exchange Settings ändern.
Danke euch im Voraus und eine angenehme Woche.
vg Pat
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 666568
Url: https://administrator.de/contentid/666568
Ausgedruckt am: 23.11.2024 um 05:11 Uhr
16 Kommentare
Neuester Kommentar
Moin,
dein Text/die Fehlermeldung ist nicht vollständig anonymisiert, das nur so am Rande
Die FM kommt sich nicht vom Exchange, sondern von einem vorgelagerten Gateway. Oder die Mail wird schon beim Versand geblockt - geht leider nicht genau auis deiner Beschreibung hervo.e
Leider beschribst du nicht wie euer Mailflow genau aussieht. Acuh Versionen werden nicht genannt.
lg,
Slainte
dein Text/die Fehlermeldung ist nicht vollständig anonymisiert, das nur so am Rande
Die FM kommt sich nicht vom Exchange, sondern von einem vorgelagerten Gateway. Oder die Mail wird schon beim Versand geblockt - geht leider nicht genau auis deiner Beschreibung hervo.e
Leider beschribst du nicht wie euer Mailflow genau aussieht. Acuh Versionen werden nicht genannt.
lg,
Slainte
Moin
Die Lösung steht doch schon in deinem Posting:
Der remote Server (Das bist nicht du, sondern der Empfänger), hat die E-Mail abgewiesen, weil die Mail eine passwortgeschützte Zip-Datei enthält. Das macht unsere Firewall genau so, weil der Inhalt nicht gescannt werden kann und ist bei uns als Sicherheitsfeature absichtlich konfiguriert und erwünscht. Ich kann jetzt nur vermuten, dass die Gegenseite an dem Schutz etwas umgestellt hat. Mein Tipp: Ruf mal den Kollegen in der Zielfirma an kläre das. Der wird dir das vermutlich bestätgen.
Gruß
Doskias
Die Lösung steht doch schon in deinem Posting:
Remote Server returned '552 Password protected zip file found inside of the email'
Der remote Server (Das bist nicht du, sondern der Empfänger), hat die E-Mail abgewiesen, weil die Mail eine passwortgeschützte Zip-Datei enthält. Das macht unsere Firewall genau so, weil der Inhalt nicht gescannt werden kann und ist bei uns als Sicherheitsfeature absichtlich konfiguriert und erwünscht. Ich kann jetzt nur vermuten, dass die Gegenseite an dem Schutz etwas umgestellt hat. Mein Tipp: Ruf mal den Kollegen in der Zielfirma an kläre das. Der wird dir das vermutlich bestätgen.
Gruß
Doskias
Moin,
mal eine blöde Frage, aber läuft der Verkehr zwischen euren Firmen wirklich durch die Sophos?
Also sind es tatsächlich zwei getrennte Firmen, wie HP und Dell, haben in eurem Fall nur eine Abhängigkeit wie z.B. Dell und VMware (es bis vor kurzem hatten)?
Oder gibt es eine Vertrauensstellung zwischen den Domains und der Mailfluss läuft an der Sophos vorbei?
Und wenn du dir diese Nachricht (Remote Server returned '552 Password protected zip file found inside of the email') komplett anschaust, wer sendet die? Dazu einmal einen Blick in den Mail-Header werfen
Gruß
em-pie
mal eine blöde Frage, aber läuft der Verkehr zwischen euren Firmen wirklich durch die Sophos?
Also sind es tatsächlich zwei getrennte Firmen, wie HP und Dell, haben in eurem Fall nur eine Abhängigkeit wie z.B. Dell und VMware (es bis vor kurzem hatten)?
Oder gibt es eine Vertrauensstellung zwischen den Domains und der Mailfluss läuft an der Sophos vorbei?
Und wenn du dir diese Nachricht (Remote Server returned '552 Password protected zip file found inside of the email') komplett anschaust, wer sendet die? Dazu einmal einen Blick in den Mail-Header werfen
Gruß
em-pie
Die Kombination aus:
bedeutet in meinen Augen, dass auf dem Weg noch etwas anderes liegen muss, was die Mail verhindert.
a) "Remote Server returned '552 Password protected zip file found inside of the email" und
b) Unsere Sophos Firewall nimmt alle E-Mails an und prüft diese auf Spam. Jede E-Mail die an uns geschickt wird landet im SMTP Protokoll. Wie kann also unser Exchange eine Ablehnung senden, wenn die E-Mail nicht auf unserer Firewall eingeht? Ich bin sichtlich verwirrt.
b) Unsere Sophos Firewall nimmt alle E-Mails an und prüft diese auf Spam. Jede E-Mail die an uns geschickt wird landet im SMTP Protokoll. Wie kann also unser Exchange eine Ablehnung senden, wenn die E-Mail nicht auf unserer Firewall eingeht? Ich bin sichtlich verwirrt.
bedeutet in meinen Augen, dass auf dem Weg noch etwas anderes liegen muss, was die Mail verhindert.
moin...
ein blick in den mail-header würde zu 99% die anwort bringen....
was sagt euer admin dazu... ist auf dem Exchange evtl. noch eine AV Lösung für den Exchange... oder davor?
Frank
Zitat von @ukulele-7:
Kleine Frage am Rande, ist der Exchange Server vielleicht einfach voll? Es wird Reservekapazität vorausgesetzt, auch für eine Platte auf der Logs liegen.
neee... das liegt schon an einem Regelwerk... egal ob sophos oder exchange!Kleine Frage am Rande, ist der Exchange Server vielleicht einfach voll? Es wird Reservekapazität vorausgesetzt, auch für eine Platte auf der Logs liegen.
ein blick in den mail-header würde zu 99% die anwort bringen....
Wie oben erwähnt, habe Firewall sowie Exchange bereits auf Einstellungen und Logs geprüft. Die E-Mail taucht nicht mal im SMTP Spool auf.
ist den SMTP log an?was sagt euer admin dazu... ist auf dem Exchange evtl. noch eine AV Lösung für den Exchange... oder davor?
Frank
@ukulele-7
@Mr.Robot
Schau in den Header der E-Mail, welche die obenstehende Fehlermeldung beinhaltet. Dort steht immer der Servername drin bzw. im Header auf jeden Fall.
Ansonsten ist es immer hilfreich, wenn du auch schreibst was du schon probiert hast.
Hast du das Logging Level temporär erhöht?
Gibt es auf dem Exchange Server eine Transport Regel dafür?
Innerhalb der jeweiligen Firma können E-Mails mit ZIP Archiven, die mit Passwort geschützt sind, verschickt werden?
Gruß,
Dani
Kleine Frage am Rande, ist der Exchange Server vielleicht einfach voll? Es wird Reservekapazität vorausgesetzt, auch für eine Platte auf der Logs liegen.
Dann dürfte die Testnachricht von seine Gmail Account aber auch nicht ankommen.@Mr.Robot
Schau in den Header der E-Mail, welche die obenstehende Fehlermeldung beinhaltet. Dort steht immer der Servername drin bzw. im Header auf jeden Fall.
Die E-Mail taucht nicht mal im SMTP Spool auf.
Auf der Sophos oder auf dem Exchange Server?Ansonsten ist es immer hilfreich, wenn du auch schreibst was du schon probiert hast.
Hast du das Logging Level temporär erhöht?
Gibt es auf dem Exchange Server eine Transport Regel dafür?
Innerhalb der jeweiligen Firma können E-Mails mit ZIP Archiven, die mit Passwort geschützt sind, verschickt werden?
Gruß,
Dani
Zitat von @Mr.Robot:
Das ist nicht der Fall. Wir haben über 100 User die täglich viele Mails senden und ein Servermonitoring, welches die Plattenkapazität loggt.
Ok. Ich hatte den Fall tatsächlich vor 2 Wochen - HAFNIUM = Log-Bereinigung ausgesetzt - Und ja, kleine Mails liefen weiter durch, Große wurden zurück gewiesen.Zitat von @ukulele-7:
Kleine Frage am Rande, ist der Exchange Server vielleicht einfach voll? Es wird Reservekapazität vorausgesetzt, auch für eine Platte auf der Logs liegen.
Kleine Frage am Rande, ist der Exchange Server vielleicht einfach voll? Es wird Reservekapazität vorausgesetzt, auch für eine Platte auf der Logs liegen.
Das ist nicht der Fall. Wir haben über 100 User die täglich viele Mails senden und ein Servermonitoring, welches die Plattenkapazität loggt.
Kurze Verständnisfrage meinerseits:
Ich hab das grade mal an unser Firewall für dich ausprobiert. Folgende Rückfragen dazu:
Wenn unsere Firewall die Mail ablehnt, wird die Ablehnungsmail durch die Firewall verschickt, nicht durch den Exchange Server. Wenn deine Firewall die Mail also ablehnt, wird die Gegenseite weiterhin die Nachricht bekommen, dass der empfangende Server (also ihr) die Mail abgelehnt habt. Aus deiner Sicht ist es dann aber nicht der Exchange-Server sondern die Sophos. Du schreibst in deinem Eingangsposting ja auch, wie es sein kann, dass der Exchange die Mail ablehnt, ohne das du sie in der Firewall findest. Du musst die erst in der Firewall finden, ansonsten sind die Exchange-Protokolle irrelevant und du suchst an der falschen Stelle.
Ich hab das grade wie oben beschrieben mal bei uns getestet und eine Mail geschickt, die abgelehnt wurde. Unser Firewall (Watchguard) hat den Maileingang protokolliert und abgelehnt, der Exchange weiß davon überhaupt nichts. Soweit zu erwarten und so gut. Im Exchange-SMTP-Log ist nichts zu sehen, im Firewall-SMTP-LOG allerdings schon. Aber: hier wird das ganze jetzt kompliziert. Die Firewall hat die Mail direkt abgelehnt auf Grund des gepackten Archives. Das die Ablehnung erfolgt ist, finde ich nicht wenn ich nach dem Sender oder Empfänger suche. Ich finde den Eintrag über das Ablehnen nur dann, wenn ich nach der Message-ID suche. Betrachte ich nur die Eingangs-Protokolle bei der Suche nach Empfänger/Sender sehe ich keine Ablehnung, was auf den ersten Blick dann so aussieht als sei die Mail zwischen Firewall und Exchange-Server verloren gegangen.
Vielleicht hilft dir der Hinweis mit der Message-ID weiter um der Sache auf die Spur zu kommen.
Gruß
Doskias
Unsere Sophos Firewall nimmt alle E-Mails an und prüft diese auf Spam. Jede E-Mail die an uns geschickt wird landet im SMTP Protokoll. Wie kann also unser Exchange eine Ablehnung senden, wenn die E-Mail nicht auf unserer Firewall eingeht? Ich bin sichtlich verwirrt.
Ich hab das grade mal an unser Firewall für dich ausprobiert. Folgende Rückfragen dazu:
Wenn unsere Firewall die Mail ablehnt, wird die Ablehnungsmail durch die Firewall verschickt, nicht durch den Exchange Server. Wenn deine Firewall die Mail also ablehnt, wird die Gegenseite weiterhin die Nachricht bekommen, dass der empfangende Server (also ihr) die Mail abgelehnt habt. Aus deiner Sicht ist es dann aber nicht der Exchange-Server sondern die Sophos. Du schreibst in deinem Eingangsposting ja auch, wie es sein kann, dass der Exchange die Mail ablehnt, ohne das du sie in der Firewall findest. Du musst die erst in der Firewall finden, ansonsten sind die Exchange-Protokolle irrelevant und du suchst an der falschen Stelle.
Ich hab das grade wie oben beschrieben mal bei uns getestet und eine Mail geschickt, die abgelehnt wurde. Unser Firewall (Watchguard) hat den Maileingang protokolliert und abgelehnt, der Exchange weiß davon überhaupt nichts. Soweit zu erwarten und so gut. Im Exchange-SMTP-Log ist nichts zu sehen, im Firewall-SMTP-LOG allerdings schon. Aber: hier wird das ganze jetzt kompliziert. Die Firewall hat die Mail direkt abgelehnt auf Grund des gepackten Archives. Das die Ablehnung erfolgt ist, finde ich nicht wenn ich nach dem Sender oder Empfänger suche. Ich finde den Eintrag über das Ablehnen nur dann, wenn ich nach der Message-ID suche. Betrachte ich nur die Eingangs-Protokolle bei der Suche nach Empfänger/Sender sehe ich keine Ablehnung, was auf den ersten Blick dann so aussieht als sei die Mail zwischen Firewall und Exchange-Server verloren gegangen.
Vielleicht hilft dir der Hinweis mit der Message-ID weiter um der Sache auf die Spur zu kommen.
Gruß
Doskias
Dann wäre mein nächster Schritt die externe Anwenderin anzurufen. Sie kennt das Problem ja. Sie soll die Mail direkt schicken, während du am Telefon bist und du schaust im Live-Log der Sophos nach was die damit macht. Vielleicht wird der entsprechende Eintrag aus irgendwelchen Gründen (oft Konfiguration ) nicht mitgeloggt. Im Live-Protokoll solltest du das aber sehen können.