mr.robot
Goto Top

Exchange weist Mails ohne Log Eintrag ab

Guten Morgen,

wir haben seit letzter Woche ein ganz spannendes "Problem" oder sollte ich eher Phänomen sagen? Wir haben eine Tochtergesellschaft die allerdings IT-Technisch komplett von uns abgetrennt ist. Kann man sozusagen als eigene Firma betrachten. Nennen wir sie der Einfachheit halber Firma 1 und unser Unternehmen Firma 2.

Zwei Kollegen der jeweiligen Firmen tauschen regelmäßig E-Mails mit Passwortgeschützen ZIP-Dateien aus. Anscheinend hat das bis vor zwei Wochen auch noch gut geklappt. Jetzt bekommt die Kollegin aus Firma 1 die Rückmeldung:

mail.firma2.de hat Ihre Nachricht an die folgenden E-Mail-Adressen zurückgewiesen.

mail.firma2.de
Remote Server returned '552 Password protected zip file found inside of the email'


In der Regel hätte ich gesagt, klar kein Thema, unser Exchange blockt ab weil irgendwo die Einstellung gesetzt ist. Dem ist aber nicht so. Unser Exchange hat keine Einstellung diesbezüglich. On Top: Unsere Sophos Firewall nimmt alle E-Mails an und prüft diese auf Spam. Jede E-Mail die an uns geschickt wird landet im SMTP Protokoll. Wie kann also unser Exchange eine Ablehnung senden, wenn die E-Mail nicht auf unserer Firewall eingeht? Ich bin sichtlich verwirrt.

Als Kreuztest habe ich einmal von meiner GMAIL Adresse eine Passwortgeschützte ZIP an eine interne Adresse geschickt. Funktioniert ohne Probleme.

P.S.: Seit HAFNIUM sind wird durchgepatcht, mir wäre aber spontan nicht bekannt, dass die Patches irgendetwas an den Exchange Settings ändern.

Danke euch im Voraus und eine angenehme Woche.

vg Pat

Content-ID: 666568

Url: https://administrator.de/contentid/666568

Ausgedruckt am: 23.11.2024 um 05:11 Uhr

SlainteMhath
SlainteMhath 10.05.2021 um 08:28:32 Uhr
Goto Top
Moin,

dein Text/die Fehlermeldung ist nicht vollständig anonymisiert, das nur so am Rande face-smile

Die FM kommt sich nicht vom Exchange, sondern von einem vorgelagerten Gateway. Oder die Mail wird schon beim Versand geblockt - geht leider nicht genau auis deiner Beschreibung hervo.e

Leider beschribst du nicht wie euer Mailflow genau aussieht. Acuh Versionen werden nicht genannt.

lg,
Slainte
Doskias
Doskias 10.05.2021 um 08:38:51 Uhr
Goto Top
Moin

Die Lösung steht doch schon in deinem Posting:
Remote Server returned '552 Password protected zip file found inside of the email'

Der remote Server (Das bist nicht du, sondern der Empfänger), hat die E-Mail abgewiesen, weil die Mail eine passwortgeschützte Zip-Datei enthält. Das macht unsere Firewall genau so, weil der Inhalt nicht gescannt werden kann und ist bei uns als Sicherheitsfeature absichtlich konfiguriert und erwünscht. Ich kann jetzt nur vermuten, dass die Gegenseite an dem Schutz etwas umgestellt hat. Mein Tipp: Ruf mal den Kollegen in der Zielfirma an kläre das. Der wird dir das vermutlich bestätgen.

Gruß
Doskias
Mr.Robot
Mr.Robot 10.05.2021 um 08:58:48 Uhr
Goto Top
Danke für die Rückmeldung. Der Remoteserver sind wir. Wir sind der Empfänger in diesem Konstrukt.

Wie oben erwähnt, habe Firewall sowie Exchange bereits auf Einstellungen und Logs geprüft. Die E-Mail taucht nicht mal im SMTP Spool auf.
manuel-r
manuel-r 10.05.2021 um 09:00:03 Uhr
Goto Top
Ruf mal den Kollegen in der Zielfirma an kläre das.

Er ist der Kollege in der Zielfirma.
Mr.Robot
Mr.Robot 10.05.2021 um 09:05:04 Uhr
Goto Top
Zitat von @manuel-r:

Ruf mal den Kollegen in der Zielfirma an kläre das.

Er ist der Kollege in der Zielfirma.

Danke....
em-pie
em-pie 10.05.2021 um 09:28:50 Uhr
Goto Top
Moin,

mal eine blöde Frage, aber läuft der Verkehr zwischen euren Firmen wirklich durch die Sophos?

Also sind es tatsächlich zwei getrennte Firmen, wie HP und Dell, haben in eurem Fall nur eine Abhängigkeit wie z.B. Dell und VMware (es bis vor kurzem hatten)?
Oder gibt es eine Vertrauensstellung zwischen den Domains und der Mailfluss läuft an der Sophos vorbei?

Und wenn du dir diese Nachricht (Remote Server returned '552 Password protected zip file found inside of the email') komplett anschaust, wer sendet die? Dazu einmal einen Blick in den Mail-Header werfen face-smile

Gruß
em-pie
it-fraggle
it-fraggle 10.05.2021 um 09:32:39 Uhr
Goto Top
Die Kombination aus:
a) "Remote Server returned '552 Password protected zip file found inside of the email" und
b) Unsere Sophos Firewall nimmt alle E-Mails an und prüft diese auf Spam. Jede E-Mail die an uns geschickt wird landet im SMTP Protokoll. Wie kann also unser Exchange eine Ablehnung senden, wenn die E-Mail nicht auf unserer Firewall eingeht? Ich bin sichtlich verwirrt.

bedeutet in meinen Augen, dass auf dem Weg noch etwas anderes liegen muss, was die Mail verhindert.
ukulele-7
ukulele-7 10.05.2021 um 09:35:10 Uhr
Goto Top
Kleine Frage am Rande, ist der Exchange Server vielleicht einfach voll? Es wird Reservekapazität vorausgesetzt, auch für eine Platte auf der Logs liegen.
Vision2015
Vision2015 10.05.2021 um 09:44:18 Uhr
Goto Top
moin...
Zitat von @ukulele-7:

Kleine Frage am Rande, ist der Exchange Server vielleicht einfach voll? Es wird Reservekapazität vorausgesetzt, auch für eine Platte auf der Logs liegen.
neee... das liegt schon an einem Regelwerk... egal ob sophos oder exchange!
ein blick in den mail-header würde zu 99% die anwort bringen....

Wie oben erwähnt, habe Firewall sowie Exchange bereits auf Einstellungen und Logs geprüft. Die E-Mail taucht nicht mal im SMTP Spool auf.
ist den SMTP log an?
was sagt euer admin dazu... ist auf dem Exchange evtl. noch eine AV Lösung für den Exchange... oder davor?


Frank
Dani
Dani 10.05.2021 um 09:47:24 Uhr
Goto Top
@ukulele-7
Kleine Frage am Rande, ist der Exchange Server vielleicht einfach voll? Es wird Reservekapazität vorausgesetzt, auch für eine Platte auf der Logs liegen.
Dann dürfte die Testnachricht von seine Gmail Account aber auch nicht ankommen.

@Mr.Robot
Schau in den Header der E-Mail, welche die obenstehende Fehlermeldung beinhaltet. Dort steht immer der Servername drin bzw. im Header auf jeden Fall.

Die E-Mail taucht nicht mal im SMTP Spool auf.
Auf der Sophos oder auf dem Exchange Server?

Ansonsten ist es immer hilfreich, wenn du auch schreibst was du schon probiert hast.
Hast du das Logging Level temporär erhöht?
Gibt es auf dem Exchange Server eine Transport Regel dafür?
Innerhalb der jeweiligen Firma können E-Mails mit ZIP Archiven, die mit Passwort geschützt sind, verschickt werden?


Gruß,
Dani
Mr.Robot
Mr.Robot 10.05.2021 um 09:49:20 Uhr
Goto Top
Zitat von @em-pie:

Moin,

mal eine blöde Frage, aber läuft der Verkehr zwischen euren Firmen wirklich durch die Sophos?

Also sind es tatsächlich zwei getrennte Firmen, wie HP und Dell, haben in eurem Fall nur eine Abhängigkeit wie z.B. Dell und VMware (es bis vor kurzem hatten)?
Oder gibt es eine Vertrauensstellung zwischen den Domains und der Mailfluss läuft an der Sophos vorbei?

Und wenn du dir diese Nachricht (Remote Server returned '552 Password protected zip file found inside of the email') komplett anschaust, wer sendet die? Dazu einmal einen Blick in den Mail-Header werfen face-smile

Gruß
em-pie

Sind tatsächlich zwei getrennte Firmen ohne Vertrauensstellung o.ä.

Hab den Header mal hier eingefügt:

Received: from mailserver02.firma1.intern (192.168.50.90) by
mailserver01.firma1.intern (192.168.50.35) with Microsoft SMTP Server (TLS) id
15.0.1497.2; Fri, 7 May 2021 10:52:45 +0200
Received: from mailserver02.firma1.intern ([fe80::e859:5e0c:57e1:8924]) by
mailserver02.firma1.intern ([fe80::e859:5e0c:57e1:8924%4]) with mapi id
15.01.2176.012; Fri, 7 May 2021 10:52:45 +0200
From: Mitarbeiter Firma 1 <Mitarbeiter1@firma1.de>
To: "mitarbeiter2@firma2.de"
<mitarbeiter2@firma2.de>
Subject: =?iso-8859-1?Q?WG:_L+G_Listen_04/2021_f=FCr_Mitarbeiter2__-Test-?=
Thread-Topic: =?iso-8859-1?Q?L+G_Listen_04/2021_f=Mitarbeiter2__-Test-?=
Thread-Index: AddDHlhWu/tlyXP2S/2ZbihZzWT6Pg==
Date: Fri, 7 May 2021 08:52:44 +0000
Message-ID: <892d0ce202d7473c8db5f1b75fe90ba4@firma1.de>
Accept-Language: de-DE, en-US
Content-Language: de-DE
X-MS-Has-Attach: yes
X-MS-TNEF-Correlator:
x-originating-ip: [192.168.50.135]
Content-Type: multipart/mixed;
boundary="_006_892d0ce202d7473c8db5f1b75fe90ba4firma1de_"
MIME-Version: 1.0
Mr.Robot
Mr.Robot 10.05.2021 um 09:50:31 Uhr
Goto Top
Zitat von @ukulele-7:

Kleine Frage am Rande, ist der Exchange Server vielleicht einfach voll? Es wird Reservekapazität vorausgesetzt, auch für eine Platte auf der Logs liegen.

Das ist nicht der Fall. Wir haben über 100 User die täglich viele Mails senden und ein Servermonitoring, welches die Plattenkapazität loggt.
ukulele-7
ukulele-7 10.05.2021 um 10:03:29 Uhr
Goto Top
Zitat von @Mr.Robot:

Zitat von @ukulele-7:

Kleine Frage am Rande, ist der Exchange Server vielleicht einfach voll? Es wird Reservekapazität vorausgesetzt, auch für eine Platte auf der Logs liegen.

Das ist nicht der Fall. Wir haben über 100 User die täglich viele Mails senden und ein Servermonitoring, welches die Plattenkapazität loggt.
Ok. Ich hatte den Fall tatsächlich vor 2 Wochen - HAFNIUM = Log-Bereinigung ausgesetzt - Und ja, kleine Mails liefen weiter durch, Große wurden zurück gewiesen.
Doskias
Doskias 10.05.2021 aktualisiert um 10:16:39 Uhr
Goto Top
Kurze Verständnisfrage meinerseits:

Unsere Sophos Firewall nimmt alle E-Mails an und prüft diese auf Spam. Jede E-Mail die an uns geschickt wird landet im SMTP Protokoll. Wie kann also unser Exchange eine Ablehnung senden, wenn die E-Mail nicht auf unserer Firewall eingeht? Ich bin sichtlich verwirrt.

Ich hab das grade mal an unser Firewall für dich ausprobiert. Folgende Rückfragen dazu:

Wenn unsere Firewall die Mail ablehnt, wird die Ablehnungsmail durch die Firewall verschickt, nicht durch den Exchange Server. Wenn deine Firewall die Mail also ablehnt, wird die Gegenseite weiterhin die Nachricht bekommen, dass der empfangende Server (also ihr) die Mail abgelehnt habt. Aus deiner Sicht ist es dann aber nicht der Exchange-Server sondern die Sophos. Du schreibst in deinem Eingangsposting ja auch, wie es sein kann, dass der Exchange die Mail ablehnt, ohne das du sie in der Firewall findest. Du musst die erst in der Firewall finden, ansonsten sind die Exchange-Protokolle irrelevant und du suchst an der falschen Stelle.

Ich hab das grade wie oben beschrieben mal bei uns getestet und eine Mail geschickt, die abgelehnt wurde. Unser Firewall (Watchguard) hat den Maileingang protokolliert und abgelehnt, der Exchange weiß davon überhaupt nichts. Soweit zu erwarten und so gut. Im Exchange-SMTP-Log ist nichts zu sehen, im Firewall-SMTP-LOG allerdings schon. Aber: hier wird das ganze jetzt kompliziert. Die Firewall hat die Mail direkt abgelehnt auf Grund des gepackten Archives. Das die Ablehnung erfolgt ist, finde ich nicht wenn ich nach dem Sender oder Empfänger suche. Ich finde den Eintrag über das Ablehnen nur dann, wenn ich nach der Message-ID suche. Betrachte ich nur die Eingangs-Protokolle bei der Suche nach Empfänger/Sender sehe ich keine Ablehnung, was auf den ersten Blick dann so aussieht als sei die Mail zwischen Firewall und Exchange-Server verloren gegangen.

Vielleicht hilft dir der Hinweis mit der Message-ID weiter um der Sache auf die Spur zu kommen.

Gruß
Doskias
Mr.Robot
Mr.Robot 10.05.2021 um 11:40:39 Uhr
Goto Top
Zitat von @Doskias:

Kurze Verständnisfrage meinerseits:

Unsere Sophos Firewall nimmt alle E-Mails an und prüft diese auf Spam. Jede E-Mail die an uns geschickt wird landet im SMTP Protokoll. Wie kann also unser Exchange eine Ablehnung senden, wenn die E-Mail nicht auf unserer Firewall eingeht? Ich bin sichtlich verwirrt.

Ich hab das grade mal an unser Firewall für dich ausprobiert. Folgende Rückfragen dazu:

Wenn unsere Firewall die Mail ablehnt, wird die Ablehnungsmail durch die Firewall verschickt, nicht durch den Exchange Server. Wenn deine Firewall die Mail also ablehnt, wird die Gegenseite weiterhin die Nachricht bekommen, dass der empfangende Server (also ihr) die Mail abgelehnt habt. Aus deiner Sicht ist es dann aber nicht der Exchange-Server sondern die Sophos. Du schreibst in deinem Eingangsposting ja auch, wie es sein kann, dass der Exchange die Mail ablehnt, ohne das du sie in der Firewall findest. Du musst die erst in der Firewall finden, ansonsten sind die Exchange-Protokolle irrelevant und du suchst an der falschen Stelle.

Ich hab das grade wie oben beschrieben mal bei uns getestet und eine Mail geschickt, die abgelehnt wurde. Unser Firewall (Watchguard) hat den Maileingang protokolliert und abgelehnt, der Exchange weiß davon überhaupt nichts. Soweit zu erwarten und so gut. Im Exchange-SMTP-Log ist nichts zu sehen, im Firewall-SMTP-LOG allerdings schon. Aber: hier wird das ganze jetzt kompliziert. Die Firewall hat die Mail direkt abgelehnt auf Grund des gepackten Archives. Das die Ablehnung erfolgt ist, finde ich nicht wenn ich nach dem Sender oder Empfänger suche. Ich finde den Eintrag über das Ablehnen nur dann, wenn ich nach der Message-ID suche. Betrachte ich nur die Eingangs-Protokolle bei der Suche nach Empfänger/Sender sehe ich keine Ablehnung, was auf den ersten Blick dann so aussieht als sei die Mail zwischen Firewall und Exchange-Server verloren gegangen.

Vielleicht hilft dir der Hinweis mit der Message-ID weiter um der Sache auf die Spur zu kommen.

Gruß
Doskias

Danke für den Tipp, aber in der Sophos wird ausnahmslos alles im SMTP-Log mitgeloggt. Habe die Protokolle schon durchforstet und dort kommt nichts an.
Doskias
Doskias 10.05.2021 um 11:50:44 Uhr
Goto Top
Dann wäre mein nächster Schritt die externe Anwenderin anzurufen. Sie kennt das Problem ja. Sie soll die Mail direkt schicken, während du am Telefon bist und du schaust im Live-Log der Sophos nach was die damit macht. Vielleicht wird der entsprechende Eintrag aus irgendwelchen Gründen (oft Konfiguration face-wink ) nicht mitgeloggt. Im Live-Protokoll solltest du das aber sehen können.