Exchange weist Mails ohne Log Eintrag ab

Guten Morgen,

wir haben seit letzter Woche ein ganz spannendes "Problem" oder sollte ich eher Phänomen sagen? Wir haben eine Tochtergesellschaft die allerdings IT-Technisch komplett von uns abgetrennt ist. Kann man sozusagen als eigene Firma betrachten. Nennen wir sie der Einfachheit halber Firma 1 und unser Unternehmen Firma 2.

Zwei Kollegen der jeweiligen Firmen tauschen regelmäßig E-Mails mit Passwortgeschützen ZIP-Dateien aus. Anscheinend hat das bis vor zwei Wochen auch noch gut geklappt. Jetzt bekommt die Kollegin aus Firma 1 die Rückmeldung:

mail.firma2.de hat Ihre Nachricht an die folgenden E-Mail-Adressen zurückgewiesen.

mail.firma2.de
Remote Server returned '552 Password protected zip file found inside of the email'


In der Regel hätte ich gesagt, klar kein Thema, unser Exchange blockt ab weil irgendwo die Einstellung gesetzt ist. Dem ist aber nicht so. Unser Exchange hat keine Einstellung diesbezüglich. On Top: Unsere Sophos Firewall nimmt alle E-Mails an und prüft diese auf Spam. Jede E-Mail die an uns geschickt wird landet im SMTP Protokoll. Wie kann also unser Exchange eine Ablehnung senden, wenn die E-Mail nicht auf unserer Firewall eingeht? Ich bin sichtlich verwirrt.

Als Kreuztest habe ich einmal von meiner GMAIL Adresse eine Passwortgeschützte ZIP an eine interne Adresse geschickt. Funktioniert ohne Probleme.

P.S.: Seit HAFNIUM sind wird durchgepatcht, mir wäre aber spontan nicht bekannt, dass die Patches irgendetwas an den Exchange Settings ändern.

Danke euch im Voraus und eine angenehme Woche.

vg Pat

Content-Key: 666568

Url: https://administrator.de/contentid/666568

Ausgedruckt am: 17.06.2021 um 19:06 Uhr

Mitglied: SlainteMhath
SlainteMhath am 10.05.2021
Moin,

dein Text/die Fehlermeldung ist nicht vollständig anonymisiert, das nur so am Rande :) face-smile

Die FM kommt sich nicht vom Exchange, sondern von einem vorgelagerten Gateway. Oder die Mail wird schon beim Versand geblockt - geht leider nicht genau auis deiner Beschreibung hervo.e

Leider beschribst du nicht wie euer Mailflow genau aussieht. Acuh Versionen werden nicht genannt.

lg,
Slainte
Mitglied: Doskias
Doskias am 10.05.2021
Moin

Die Lösung steht doch schon in deinem Posting:
Remote Server returned '552 Password protected zip file found inside of the email'

Der remote Server (Das bist nicht du, sondern der Empfänger), hat die E-Mail abgewiesen, weil die Mail eine passwortgeschützte Zip-Datei enthält. Das macht unsere Firewall genau so, weil der Inhalt nicht gescannt werden kann und ist bei uns als Sicherheitsfeature absichtlich konfiguriert und erwünscht. Ich kann jetzt nur vermuten, dass die Gegenseite an dem Schutz etwas umgestellt hat. Mein Tipp: Ruf mal den Kollegen in der Zielfirma an kläre das. Der wird dir das vermutlich bestätgen.

Gruß
Doskias
Mitglied: Mr.Robot
Mr.Robot am 10.05.2021
Danke für die Rückmeldung. Der Remoteserver sind wir. Wir sind der Empfänger in diesem Konstrukt.

Wie oben erwähnt, habe Firewall sowie Exchange bereits auf Einstellungen und Logs geprüft. Die E-Mail taucht nicht mal im SMTP Spool auf.
Mitglied: manuel-r
manuel-r am 10.05.2021
1Love
Ruf mal den Kollegen in der Zielfirma an kläre das.

Er ist der Kollege in der Zielfirma.
Mitglied: Mr.Robot
Mr.Robot am 10.05.2021
Zitat von @manuel-r:

Ruf mal den Kollegen in der Zielfirma an kläre das.

Er ist der Kollege in der Zielfirma.

Danke....
Mitglied: em-pie
em-pie am 10.05.2021
Moin,

mal eine blöde Frage, aber läuft der Verkehr zwischen euren Firmen wirklich durch die Sophos?

Also sind es tatsächlich zwei getrennte Firmen, wie HP und Dell, haben in eurem Fall nur eine Abhängigkeit wie z.B. Dell und VMware (es bis vor kurzem hatten)?
Oder gibt es eine Vertrauensstellung zwischen den Domains und der Mailfluss läuft an der Sophos vorbei?

Und wenn du dir diese Nachricht (Remote Server returned '552 Password protected zip file found inside of the email') komplett anschaust, wer sendet die? Dazu einmal einen Blick in den Mail-Header werfen :-) face-smile

Gruß
em-pie
Mitglied: Mr.Robot
Mr.Robot am 10.05.2021
Zitat von @em-pie:

Moin,

mal eine blöde Frage, aber läuft der Verkehr zwischen euren Firmen wirklich durch die Sophos?

Also sind es tatsächlich zwei getrennte Firmen, wie HP und Dell, haben in eurem Fall nur eine Abhängigkeit wie z.B. Dell und VMware (es bis vor kurzem hatten)?
Oder gibt es eine Vertrauensstellung zwischen den Domains und der Mailfluss läuft an der Sophos vorbei?

Und wenn du dir diese Nachricht (Remote Server returned '552 Password protected zip file found inside of the email') komplett anschaust, wer sendet die? Dazu einmal einen Blick in den Mail-Header werfen :-) face-smile

Gruß
em-pie

Sind tatsächlich zwei getrennte Firmen ohne Vertrauensstellung o.ä.

Hab den Header mal hier eingefügt:

Received: from mailserver02.firma1.intern (192.168.50.90) by
mailserver01.firma1.intern (192.168.50.35) with Microsoft SMTP Server (TLS) id
15.0.1497.2; Fri, 7 May 2021 10:52:45 +0200
Received: from mailserver02.firma1.intern ([fe80::e859:5e0c:57e1:8924]) by
mailserver02.firma1.intern ([fe80::e859:5e0c:57e1:8924%4]) with mapi id
15.01.2176.012; Fri, 7 May 2021 10:52:45 +0200
From: Mitarbeiter Firma 1 <Mitarbeiter1@firma1.de>
To: "mitarbeiter2@firma2.de"
<mitarbeiter2@firma2.de>
Subject: =?iso-8859-1?Q?WG:_L+G_Listen_04/2021_f=FCr_Mitarbeiter2__-Test-?=
Thread-Topic: =?iso-8859-1?Q?L+G_Listen_04/2021_f=Mitarbeiter2__-Test-?=
Thread-Index: AddDHlhWu/tlyXP2S/2ZbihZzWT6Pg==
Date: Fri, 7 May 2021 08:52:44 +0000
Message-ID: <892d0ce202d7473c8db5f1b75fe90ba4@firma1.de>
Accept-Language: de-DE, en-US
Content-Language: de-DE
X-MS-Has-Attach: yes
X-MS-TNEF-Correlator:
x-originating-ip: [192.168.50.135]
Content-Type: multipart/mixed;
boundary="_006_892d0ce202d7473c8db5f1b75fe90ba4firma1de_"
MIME-Version: 1.0

Mitglied: it-fraggle
it-fraggle am 10.05.2021
Die Kombination aus:
a) "Remote Server returned '552 Password protected zip file found inside of the email" und
b) Unsere Sophos Firewall nimmt alle E-Mails an und prüft diese auf Spam. Jede E-Mail die an uns geschickt wird landet im SMTP Protokoll. Wie kann also unser Exchange eine Ablehnung senden, wenn die E-Mail nicht auf unserer Firewall eingeht? Ich bin sichtlich verwirrt.

bedeutet in meinen Augen, dass auf dem Weg noch etwas anderes liegen muss, was die Mail verhindert.
Mitglied: ukulele-7
ukulele-7 am 10.05.2021
Kleine Frage am Rande, ist der Exchange Server vielleicht einfach voll? Es wird Reservekapazität vorausgesetzt, auch für eine Platte auf der Logs liegen.
Mitglied: Vision2015
Vision2015 am 10.05.2021
moin...
Zitat von @ukulele-7:

Kleine Frage am Rande, ist der Exchange Server vielleicht einfach voll? Es wird Reservekapazität vorausgesetzt, auch für eine Platte auf der Logs liegen.
neee... das liegt schon an einem Regelwerk... egal ob sophos oder exchange!
ein blick in den mail-header würde zu 99% die anwort bringen....

Wie oben erwähnt, habe Firewall sowie Exchange bereits auf Einstellungen und Logs geprüft. Die E-Mail taucht nicht mal im SMTP Spool auf.
ist den SMTP log an?
was sagt euer admin dazu... ist auf dem Exchange evtl. noch eine AV Lösung für den Exchange... oder davor?


Frank
Mitglied: Dani
Dani am 10.05.2021
@ukulele-7
Kleine Frage am Rande, ist der Exchange Server vielleicht einfach voll? Es wird Reservekapazität vorausgesetzt, auch für eine Platte auf der Logs liegen.
Dann dürfte die Testnachricht von seine Gmail Account aber auch nicht ankommen.

@Mr.Robot
Schau in den Header der E-Mail, welche die obenstehende Fehlermeldung beinhaltet. Dort steht immer der Servername drin bzw. im Header auf jeden Fall.

Die E-Mail taucht nicht mal im SMTP Spool auf.
Auf der Sophos oder auf dem Exchange Server?

Ansonsten ist es immer hilfreich, wenn du auch schreibst was du schon probiert hast.
Hast du das Logging Level temporär erhöht?
Gibt es auf dem Exchange Server eine Transport Regel dafür?
Innerhalb der jeweiligen Firma können E-Mails mit ZIP Archiven, die mit Passwort geschützt sind, verschickt werden?


Gruß,
Dani
Mitglied: Mr.Robot
Mr.Robot am 10.05.2021
Zitat von @ukulele-7:

Kleine Frage am Rande, ist der Exchange Server vielleicht einfach voll? Es wird Reservekapazität vorausgesetzt, auch für eine Platte auf der Logs liegen.

Das ist nicht der Fall. Wir haben über 100 User die täglich viele Mails senden und ein Servermonitoring, welches die Plattenkapazität loggt.
Mitglied: ukulele-7
ukulele-7 am 10.05.2021
Zitat von @Mr.Robot:

Zitat von @ukulele-7:

Kleine Frage am Rande, ist der Exchange Server vielleicht einfach voll? Es wird Reservekapazität vorausgesetzt, auch für eine Platte auf der Logs liegen.

Das ist nicht der Fall. Wir haben über 100 User die täglich viele Mails senden und ein Servermonitoring, welches die Plattenkapazität loggt.
Ok. Ich hatte den Fall tatsächlich vor 2 Wochen - HAFNIUM = Log-Bereinigung ausgesetzt - Und ja, kleine Mails liefen weiter durch, Große wurden zurück gewiesen.
Mitglied: Doskias
Doskias aktualisiert am 10.05.2021
Kurze Verständnisfrage meinerseits:

Unsere Sophos Firewall nimmt alle E-Mails an und prüft diese auf Spam. Jede E-Mail die an uns geschickt wird landet im SMTP Protokoll. Wie kann also unser Exchange eine Ablehnung senden, wenn die E-Mail nicht auf unserer Firewall eingeht? Ich bin sichtlich verwirrt.

Ich hab das grade mal an unser Firewall für dich ausprobiert. Folgende Rückfragen dazu:

Wenn unsere Firewall die Mail ablehnt, wird die Ablehnungsmail durch die Firewall verschickt, nicht durch den Exchange Server. Wenn deine Firewall die Mail also ablehnt, wird die Gegenseite weiterhin die Nachricht bekommen, dass der empfangende Server (also ihr) die Mail abgelehnt habt. Aus deiner Sicht ist es dann aber nicht der Exchange-Server sondern die Sophos. Du schreibst in deinem Eingangsposting ja auch, wie es sein kann, dass der Exchange die Mail ablehnt, ohne das du sie in der Firewall findest. Du musst die erst in der Firewall finden, ansonsten sind die Exchange-Protokolle irrelevant und du suchst an der falschen Stelle.

Ich hab das grade wie oben beschrieben mal bei uns getestet und eine Mail geschickt, die abgelehnt wurde. Unser Firewall (Watchguard) hat den Maileingang protokolliert und abgelehnt, der Exchange weiß davon überhaupt nichts. Soweit zu erwarten und so gut. Im Exchange-SMTP-Log ist nichts zu sehen, im Firewall-SMTP-LOG allerdings schon. Aber: hier wird das ganze jetzt kompliziert. Die Firewall hat die Mail direkt abgelehnt auf Grund des gepackten Archives. Das die Ablehnung erfolgt ist, finde ich nicht wenn ich nach dem Sender oder Empfänger suche. Ich finde den Eintrag über das Ablehnen nur dann, wenn ich nach der Message-ID suche. Betrachte ich nur die Eingangs-Protokolle bei der Suche nach Empfänger/Sender sehe ich keine Ablehnung, was auf den ersten Blick dann so aussieht als sei die Mail zwischen Firewall und Exchange-Server verloren gegangen.

Vielleicht hilft dir der Hinweis mit der Message-ID weiter um der Sache auf die Spur zu kommen.

Gruß
Doskias
Mitglied: Mr.Robot
Mr.Robot am 10.05.2021
Zitat von @Doskias:

Kurze Verständnisfrage meinerseits:

Unsere Sophos Firewall nimmt alle E-Mails an und prüft diese auf Spam. Jede E-Mail die an uns geschickt wird landet im SMTP Protokoll. Wie kann also unser Exchange eine Ablehnung senden, wenn die E-Mail nicht auf unserer Firewall eingeht? Ich bin sichtlich verwirrt.

Ich hab das grade mal an unser Firewall für dich ausprobiert. Folgende Rückfragen dazu:

Wenn unsere Firewall die Mail ablehnt, wird die Ablehnungsmail durch die Firewall verschickt, nicht durch den Exchange Server. Wenn deine Firewall die Mail also ablehnt, wird die Gegenseite weiterhin die Nachricht bekommen, dass der empfangende Server (also ihr) die Mail abgelehnt habt. Aus deiner Sicht ist es dann aber nicht der Exchange-Server sondern die Sophos. Du schreibst in deinem Eingangsposting ja auch, wie es sein kann, dass der Exchange die Mail ablehnt, ohne das du sie in der Firewall findest. Du musst die erst in der Firewall finden, ansonsten sind die Exchange-Protokolle irrelevant und du suchst an der falschen Stelle.

Ich hab das grade wie oben beschrieben mal bei uns getestet und eine Mail geschickt, die abgelehnt wurde. Unser Firewall (Watchguard) hat den Maileingang protokolliert und abgelehnt, der Exchange weiß davon überhaupt nichts. Soweit zu erwarten und so gut. Im Exchange-SMTP-Log ist nichts zu sehen, im Firewall-SMTP-LOG allerdings schon. Aber: hier wird das ganze jetzt kompliziert. Die Firewall hat die Mail direkt abgelehnt auf Grund des gepackten Archives. Das die Ablehnung erfolgt ist, finde ich nicht wenn ich nach dem Sender oder Empfänger suche. Ich finde den Eintrag über das Ablehnen nur dann, wenn ich nach der Message-ID suche. Betrachte ich nur die Eingangs-Protokolle bei der Suche nach Empfänger/Sender sehe ich keine Ablehnung, was auf den ersten Blick dann so aussieht als sei die Mail zwischen Firewall und Exchange-Server verloren gegangen.

Vielleicht hilft dir der Hinweis mit der Message-ID weiter um der Sache auf die Spur zu kommen.

Gruß
Doskias

Danke für den Tipp, aber in der Sophos wird ausnahmslos alles im SMTP-Log mitgeloggt. Habe die Protokolle schon durchforstet und dort kommt nichts an.
Mitglied: Doskias
Doskias am 10.05.2021
Dann wäre mein nächster Schritt die externe Anwenderin anzurufen. Sie kennt das Problem ja. Sie soll die Mail direkt schicken, während du am Telefon bist und du schaust im Live-Log der Sophos nach was die damit macht. Vielleicht wird der entsprechende Eintrag aus irgendwelchen Gründen (oft Konfiguration ;-) face-wink ) nicht mitgeloggt. Im Live-Protokoll solltest du das aber sehen können.
Heiß diskutierte Beiträge
Administrator.de Feedback
Neue Administrator Version
FrankVor 1 TagInformationAdministrator.de Feedback58 Kommentare

Hallo User, heute Nacht haben wir Release 5.9 unserer Seite veröffentlicht. Diese bringt ein paar grundlegende Neuerungen für unsere User mit sich: Die Suche nach ...

Backup
Backupstrategie
Xaero1982Vor 1 TagFrageBackup38 Kommentare

Nabend Zusammen, wir bekommen es ja leider alle immer wieder mal mit, dass es auch große Firmen gibt, die von irgendwelchen Verschlüsselungstrojanern verseucht werden. Aktuell ...

Windows 10
Windows 11 Vorabversion aufgetaucht
NixVerstehenVor 1 TagTippWindows 1021 Kommentare

Auf Deskmodder.de ist ein Bericht über eine im Netz aufgetauchte Vorabversion von Windows 11 aufgetaucht. Der Bericht: Deskmodder.de - Windows 11 Vorabversion Bericht Download der ...

Internet Domänen
Domaine Join via VPN
SpryceeVor 1 TagFrageInternet Domänen4 Kommentare

Hallo, ich bin gerade dabei die namen einiger rechner umzubenennen dabei verwende ich ein Powershell script welches auf dem rechner ausgeführt wird. Jetzt gibt es ...

Windows Server
Durchgeschliffener Drucker funktioniert auf dem Server nicht
Disse1987Vor 1 TagFrageWindows Server12 Kommentare

Hallo zusammen, wieder einmal muss ich mich an euch wenden da wir mit unserem Latein am Ende sind. Seid ein paar Tagen hat eine Kundin ...

Hardware
PC und Monitor über Entfernung verbinden
gelöst ben1300Vor 12 StundenFrageHardware14 Kommentare

Guten Morgen :) folgende IST Situation: Ich habe einen Gaming PC, welchen meine Freundin gerne nutzt, z.B. für das "legendäre" Spiel Sims 4 ;) Normalerweise ...

Windows Server
Auf Active Directory Benutzer und Computer von Windows 10 zugreifen
RealThoreVor 1 TagFrageWindows Server9 Kommentare

Hallo zusammen, da wir in der Abteilung (10 Leute) uns regelmäßig um die RDP Sessions auf unseren DCs (2012 R2) prügeln, wolle ich mal nachfragen, ...

Sicherheit
Windows Server und Callback Server
gelöst samreinVor 1 TagFrageSicherheit4 Kommentare

Moin zusammen, heute Nacht wurde unser öffentlicher IP Addressbereich angegriffen. Auf einem Windows 2016 Gateway Server der ausschliesslich über Port 443 erreichbar ist sprang sogar ...