supertux

Mails kommen nicht am Mailserver an

Hallo,

ich habe insgesamt 3 Domains, der E-Mail-Server ist MDaemon und ist Inhouse auf Windows Server 2022 installiert.
Das Webhosting liegt beim Hetzner, in den Domains wurden die MX-Einträge auf die Feste-IP auf Telekom-IP gesetzt.

Seit ca. 1,5 Wochen werden teilweise Mails abgelehnt, der Kunde erhält folgende Meldung.

This message was created automatically by mail delivery software.

A message that you sent could not be delivered to one or more of its
recipients. This is a permanent error. The following address(es) failed:

  vorname.nachname@meinedomain.de
    host mail.meinedomain.de [xx.xxx.xxx.xxx]
    SMTP error from remote mail server after initial connection:
    530 4.7.0 Connection refused


Reporting-MTA: dns; www1.your-server.de

Action: failed
Final-Recipient: rfc822;vorname.nachname@meinedomain.de
Status: 5.0.0
Remote-MTA: dns; mail.meinedomain.de
Diagnostic-Code: smtp; 530 4.7.0 Connection refused

Ich habe eine Mail von meinem privaten Webbosting (Hetzner) welches auf www1.your-server.de liegt an die
vorname.nachname@meinedomain.de ( www141.your-server.de) gesendet, entweder kommt die Meldung
sofort oder erst nach einigen Stunden. Laut dem Logfiles wird die E-Mail nicht am MDaemon-Server angeliefert.
Bei einer Mail an xxxx@meinedomain.de erhalte ich keine Meldung, dass der User nicht existiert.

Wenn ich eine Mail über eine andere Domain bei Hetzer schreibe, die auf www174.your-server.de liegt, kommt die Mail an.
Auch über GMX und andere Anbieter.

Mit https://mxtoolbox.com/ sieht alles ok, aus.

Das Problem tritt er seit kurzem, auch habe ich gestern eine E-Mail vom 26.06.25 erhalten face-sad face-sad

Der Hetzner-Support schiebt alles auf den Mailserver.
Aber wenn ich keine Logeinträge habe, kam nichts an.

Was könnte ich noch testen?
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilen

Content-ID: 673661

Url: https://administrator.de/forum/mail-server-fehler-smtp-673661.html

Ausgedruckt am: 02.07.2025 um 23:07 Uhr

DivideByZero
DivideByZero 02.07.2025 aktualisiert um 14:51:33 Uhr
Goto Top
Moin,

was ist denn da was?

Reporting-MTA: dns; www1.your-server.de> vorname.nachname@meinedomain.de
host mail.meinedomain.de [xx.xxx.xxx.xxx]
SMTP error from remote mail server after initial connection:
530 4.7.0 Connection refused
Reporting-MTA: dns; www1.your-server.de
vorname.nachname@meinedomain.de ( www141.your-server.de)

Es gibt www1.your-server.de, www.141.your-server.de. Und was davon ist Dein Windows 2022 Server? Ist das mail.meinedomain.de?

Und was sagt das Logfile MDaemon inbound SMTP log? Falls es bis zum MDaemon geht, blockt dieser die Kommunikation, aber das findet sich im Logfile. Ggf. ist die IP des sendenden Mailservers auf der internen blacklist.
MDaemon hat da aber verschiedene Techniken, daher zuerst im richtigen Logfile nachsehen.

Gruß

/0
SPOK71
SPOK71 02.07.2025 um 15:02:00 Uhr
Goto Top
@supertux Moin, der Fehler 530 4.7.0 Connection refused ist hier entscheidend. Das bedeutet, dein Server nimmt die Verbindung an, verweigert aber sofort die weitere Kommunikation. Es kommt also was an, nur wird es direkt abgewiesen. Die Aussage von Hetzner ist technisch korrekt, das Problem liegt auf deinem Server. DivideByZero hat recht, der erste Blick gehört ins Log. Wenn im MDaemon SMTP-(In).log wirklich nichts zu finden ist, ist das seltsam, aber nicht unmöglich. Schau mal gezielt in die Sicherheitsfeatures von MDaemon. Ich wette, die IP von www1.your-server.de ist auf einer deiner internen Listen gelandet. Prüf mal unter Sicherheit -> Screening die Konfiguration von IP Screening, Host Screening und vor allem dem Dynamic Screening. Letzteres sperrt IPs temporär, wenn sie sich verdächtig verhalten. Das würde erklären, warum es mal geht und mal nicht. Ein Blick in die Logs dieser Features hilft sicher weiter. Die Windows Firewall schließe ich fast aus, die würde die Verbindung eher still verwerfen (Timeout beim Sender) statt sie aktiv mit einem Refused zu quittieren.

Quellen:
Fehlermeldung 5.0.0 SMTP
https://patents.google.com/patent/US8347088B2/en
SMTP-Error 503
https://patentimages.storage.googleapis.com/86/5a/19/adb92f8ea2fd25/US82 ...
Anfänger Probleme mit Postfix und Bounces
supertux
supertux 02.07.2025 um 16:32:15 Uhr
Goto Top
Zitat von @DivideByZero:

was ist denn da was?

Das ist die Fehlermeldung die auf meiner privaten Domain ankommt, wenn ich Mails an vorname.nachname@meinedomain.de versende.


Reporting-MTA: dns; www1.your-server.de> vorname.nachname@meinedomain.de
host mail.meinedomain.de [xx.xxx.xxx.xxx]
SMTP error from remote mail server after initial connection:
530 4.7.0 Connection refused
Reporting-MTA: dns; www1.your-server.de
vorname.nachname@meinedomain.de ( www141.your-server.de)

Es gibt www1.your-server.de, www.141.your-server.de. Und was davon ist Dein Windows 2022 Server? Ist das mail.meinedomain.de?

Meinedomain.de liegt auf www.141.your-server.de, hier sind folgende MX-Einträge zu MDaemon gesetzt.

$ORIGIN meinedomain.de.
$TTL 7200
; SOA Records
@		IN	SOA	ns1.your-server.de. postmaster.your-server.de. 2025070201 86400 10800 3600000 3600
; NS Records
@		IN	NS	ns.second-ns.com.
@		IN	NS	ns1.your-server.de.
@		IN	NS	ns3.second-ns.de.
; MX Records
@		IN	MX	10 mail
; A Records
@		IN	A	78.46.xxx.xxx
mail		IN	A	xx.xxx.xxx.xxx
www		IN	A	78.46.xxx.xxx
; AAAA Records
@		IN	AAAA	2a01:4f8:xxx:xxxx::2
www		IN	AAAA	2a01:4f8:xxx:xxxx::2
; TXT Records
@		IN	TXT	"v=spf1 mx -all"  
_dmarc		IN	TXT	"v=DMARC1; p=none; rua=mailto:dmarc@meinedomain.de"  
mdaemon._domainkey		IN	TXT	"v=DKIM1; k=rsa; p=schlüsselausmdaemon"  


Wenn ich über Webmail von https://webmail.your-server.de/ von meiner privaten Domain eine E-Mail an
vorname.nachname@meinedomain.de sende erhalte ich diesen Fehler, genauso wie manche unserer Kunden.

Und was sagt das Logfile MDaemon inbound SMTP log? Falls es bis zum MDaemon geht, blockt dieser die Kommunikation, aber das findet sich im Logfile. Ggf. ist die IP des sendenden Mailservers auf der internen blacklist.
MDaemon hat da aber verschiedene Techniken, daher zuerst im richtigen Logfile nachsehen.

Die Logfiles von MDaemon haben dazu keine Einträge, es ist auch keine Verbindungsaufbau vom Hetzner-Server zum MDaemon zu sehen. Zur gleichen Zeit treffen Mails von gmx.de oder anderen Anbieter ein.
Ich habe alle Sicherheits-Einstellungen wie Spam, Filter usw. schon deaktiviert, es macht keinen Unterschied.

Wenn ein Kollegen über sein Hetzner-Account eine E-Mail versendet, kommt diese sofort bei vorname.nachname@meinedomain.de. Es betrifft wohl nicht jedes Hetzner-Webhosting.
Die Kunden wo es auch nicht funktioniert sind bei Strato, All-inkl.com, Netcup.
supertux
supertux 02.07.2025 um 16:37:23 Uhr
Goto Top
Zitat von @SPOK71:

@supertux Moin, der Fehler 530 4.7.0 Connection refused ist hier entscheidend. Das bedeutet, dein Server nimmt die Verbindung an, verweigert aber sofort die weitere Kommunikation. Es kommt also was an, nur wird es direkt abgewiesen. Die Aussage von Hetzner ist technisch korrekt, das Problem liegt auf deinem Server. DivideByZero hat recht, der erste Blick gehört ins Log. Wenn im MDaemon SMTP-(In).log wirklich nichts zu finden ist, ist das seltsam,

Klar, die habe ich natürlich schon angeschaut, aber keine Einträge vorhanden.

aber nicht unmöglich. Schau mal gezielt in die Sicherheitsfeatures von MDaemon. Ich wette, die IP von www1.your-server.de ist auf einer deiner internen Listen gelandet. Prüf mal unter Sicherheit -> Screening die Konfiguration von IP Screening, Host Screening und vor allem dem Dynamic Screening. Letzteres sperrt IPs temporär, wenn sie sich

Nein, weil IP-Screening und andere Dinge schon deaktiviert wurden.

verdächtig verhalten. Das würde erklären, warum es mal geht und mal nicht. Ein Blick in die Logs dieser Features hilft sicher weiter. Die Windows Firewall schließe ich fast aus, die würde die Verbindung eher still verwerfen (Timeout beim Sender) statt sie aktiv mit einem Refused zu quittieren.

Es macht einfach keine Sinn, die anderen 400-500 Mail täglich kommen ohne Probleme an.
HansFenner
HansFenner 02.07.2025 um 19:01:15 Uhr
Goto Top
Ich bin auch der Meinung, dass man eigentlich alles immer irgendwo in einem Log findet.

Aber falls das halt hier nicht so ist und aufgrund der Fehlermeldung "530 4.7.0 Connection refused" beim Verbindungsaufbau würde ich erstmal mit Wireshark das Netzwerk sniffen.

Dann weisst du zumindest, ob und wann genau da was eintrifft.
Lochkartenstanzer
Lochkartenstanzer 02.07.2025 um 19:10:28 Uhr
Goto Top
Zitat von @HansFenner:

Ich bin auch der Meinung, dass man eigentlich alles immer irgendwo in einem Log findet.

Aber falls das halt hier nicht so ist und aufgrund der Fehlermeldung "530 4.7.0 Connection refused" beim Verbindungsaufbau würde ich erstmal mit Wireshark das Netzwerk sniffen.

Dann weisst du zumindest, ob und wann genau da was eintrifft.

Oder sich einfach mit telnet öder openssl auf den Zielserver verbinden und die Mailkommandos manuell eintippen. Da kann man wunderbar direkt die Antworten sehen.

lks
HansFenner
HansFenner 02.07.2025 aktualisiert um 19:25:52 Uhr
Goto Top
Oder sich einfach mit telnet öder openssl auf den Zielserver verbinden und die Mailkommandos manuell eintippen. Da kann man wunderbar direkt die Antworten sehen.

Dann müsste er sich aber vom Hetzner-Server mit seinem Mailserver verbinden. Aber ja, auch eine Möglichkeit.

Mich würde jetzt noch interessieren, wie denn die Mails vom Hetzner-Server abgeschickt werden. Z. B. mit einem PHP-Script oder sowas? Und wird dann direkt eine SMTP-Verbindung aufgebaut? Oder läuft das über einen Hetzner-Spooler, ev. mit wechselnden IPs? Sind die IPs auf dem empfangenden Mail-Server in der Whitelist?

Ohne Logs ist halt alles schon etwas Glaskugelraten.
DivideByZero
DivideByZero 02.07.2025 aktualisiert um 19:59:35 Uhr
Goto Top
Zitat von @supertux:
Es macht einfach keine Sinn, die anderen 400-500 Mail täglich kommen ohne Probleme an.
Doch, klar macht das Sinn, denn MDaemon hat durchaus sinnvolle Sicherheitsfeatures, und dazu gehört auch, einzelne IP-Adressen vorübergehend oder dauerhaft zu sperren, wenn er meint, dass von da Müll kommt. Und die anderen kommen halt durch.

Mir ist bei Deinen Schilderngen immer noch unklar, wer denn wo da Mails aufbaut.

Zu Deiner Zone:

Meinedomain.de liegt auf www.141.your-server.de, hier sind folgende MX-Einträge zu MDaemon gesetzt.
Das ist technisch so nicht ganz richtig, da eine Domain verwaltet wird und einen Nameserver hat. Ab da kann alles woanders liegen. Insofern würde die Zone Deiner Domain auf ns1. your-server.de liegen.

; MX Records
@ IN MX 10 mail
; A Records
mail IN A xx.xxx.xxx.xxx
xx.xxx.xxx.xxx ist dann Deine feste IPv4 bei der Telekom?
Und auch mail.meinedomain.de, und das ist der remote Mailserver, der zurückgibt:
SMTP error from remote mail server after initial connection

Dann bedeutet das rein technisch eben sehr wohl, dass der MDaemon abweist, und das findest Du bei MDaemon immer in den Logs. Ggf. Detailstufe höher schrauben: Server-Einstellungen > Protokollierung.

Da zunächst Betriebsart des Protokolls = Verbindungen zur Übermittlung von Nachrichten im Detail protokollieren. Und dann in Protokollierung/Einstellungen mal alles auswählen bis auf die "aber nur, falls..."-Einträge, die nicht. Dann hast Du maximale Protokollierung und solltest sehen, was das Problem ist.

Wie gesagt, es ist vollkommen normal, dass einzelne Hosts abgewiesen werden und der überwiegende Teil durchgeht.
supertux
supertux 02.07.2025 um 20:00:57 Uhr
Goto Top
Zitat von @HansFenner:

Oder sich einfach mit telnet öder openssl auf den Zielserver verbinden und die Mailkommandos manuell eintippen. Da kann man wunderbar direkt die Antworten sehen.

Das ist alles schon und gut, ich kann den MDaemon-Server über Telnet erreichen.
Die Verbindung zu MDaemon besteht, das ist nicht mein Problem.

Mich würde jetzt noch interessieren, wie denn die Mails vom Hetzner-Server abgeschickt werden. Z. B. mit einem PHP-Script oder sowas? Und wird dann direkt eine SMTP-Verbindung aufgebaut? Oder läuft das über einen Hetzner-Spooler, ev. mit wechselnden IPs? Sind die IPs auf dem empfangenden Mail-Server in der Whitelist?

Es ist egal ob ich die Mail über Thunderbird oder über Hetzner-Webmail von meiner E-Mail-Adresse/Domain
an den Empfänger vorname.nachname@meinedomain.de sende, die E-Mail kommt ständig zurück mit der oben beschriebenen Fehlermeldung. Und genau dieses Fehlermeldung erhalten manche unsere Kunden auch.

Sende ich über meine gmx.de oder Icloud-Adresse, kommt die Mail an.

Ohne Logs ist halt alles schon etwas Glaskugelraten.

Das System funktioniert, der MDaemon ist erreichbar auch über Webmail.
Ich sehe das Problem nicht am MDaemon.
HansFenner
HansFenner 02.07.2025 um 20:24:29 Uhr
Goto Top
Ich glaub, ich hab ein Verständnisproblem.

vorname.nachname@meinedomain.de ist eine normale öffentliche E-Mail Adresse, an die jedermann schreiben kann? Und ihr hostet euren Mail-Server selber inhouse?

Warum sollte denn dann das Problem bei Hetzner und dem Web-Server liegen?

Wenn man euch eine Mail schickt und euer Server lehnt die Verbindung ab, liegt es doch an eurem System, oder nicht?
supertux
supertux 02.07.2025 aktualisiert um 21:19:14 Uhr
Goto Top
Zitat von @HansFenner:

Ich glaub, ich hab ein Verständnisproblem.

Vielleicht auch zuviel Infos auf einmal geschrieben.

vorname.nachname@meinedomain.de ist eine normale öffentliche E-Mail Adresse, an die jedermann schreiben kann? Und ihr hostet euren Mail-Server selber inhouse?

Genau, an vorname.nachname@meinedomain.de kann jeder anschreiben, diese existiert nur auf dem MDaemon.
Das Mailsystem vom Hetzner ist auf den Domains deaktiviert, weil Domain-DNS der MX auf MDameon zeigt.
Das ist eine IP der Telekom.

Und, der Mail-Server steht inhouse seit 2006.

Warum sollte denn dann das Problem bei Hetzner und dem Web-Server liegen?

- weil der MDaemon, sofort ablehnen würde und nicht erst 5-10 später eine Fehlermeldung versendet.
- eine Nachricht an unbekannt@meinedomain.de würde er sofort mit User unbekannt zurück senden.
Die habe ich bisher nie zurück erhalten, also wo ist die Mail?

Wenn man euch eine Mail schickt und euer Server lehnt die Verbindung ab, liegt es doch an eurem System, oder nicht?

Naja, das Problem ist 90% der Mails kommen an, und der Rest landet im Nirvana und kommt nie an.
Ich sehe nichts im Logfile, kann aber über andere Anbieter gmx.de, icloud ohne Problem an E-Mail-Adresse senden.

Wenn ich meinen MDaemon herunterfahre und eine E-Mail an vorname.nachname@meinedomain.de sende, wieso
erhalte ich die gleiche Fehlermeldung? Somit, ist klar, die Fehlermeldung wird nicht von MDaemon versendet.
supertux
supertux 02.07.2025 um 21:41:32 Uhr
Goto Top
Zitat von @DivideByZero:

Zitat von @supertux:
Es macht einfach keine Sinn, die anderen 400-500 Mail täglich kommen ohne Probleme an.
Doch, klar macht das Sinn, denn MDaemon hat durchaus sinnvolle Sicherheitsfeatures, und dazu gehört auch, einzelne IP-Adressen vorübergehend oder dauerhaft zu sperren, wenn er meint, dass von da Müll kommt. Und die anderen kommen halt durch.

Schon, wenn ich diese kurzfristig deaktiviere, sind diese nicht aktiv.

Meinedomain.de liegt auf www.141.your-server.de, hier sind folgende MX-Einträge zu MDaemon gesetzt.
Das ist technisch so nicht ganz richtig, da eine Domain verwaltet wird und einen Nameserver hat. Ab da kann alles woanders liegen. Insofern würde die Zone Deiner Domain auf ns1. your-server.de liegen.

Ja, siehe erste Mail mit der DNS-Übersicht meinedomain.de


; MX Records
@ IN MX 10 mail
; A Records
mail IN A xx.xxx.xxx.xxx
xx.xxx.xxx.xxx ist dann Deine feste IPv4 bei der Telekom?

Richtig

Und auch mail.meinedomain.de, und das ist der remote Mailserver, der zurückgibt:

Ja, so steht es in der Fehlermeldung.

Dann bedeutet das rein technisch eben sehr wohl, dass der MDaemon abweist, und das findest Du bei MDaemon immer in den Logs. Ggf. Detailstufe höher schrauben: Server-Einstellungen > Protokollierung.
Da zunächst Betriebsart des Protokolls = Verbindungen zur Übermittlung von Nachrichten im Detail protokollieren. Und dann in Protokollierung/Einstellungen mal alles auswählen bis auf die "aber nur, falls..."-Einträge, die nicht. Dann hast Du maximale Protokollierung und solltest sehen, was das Problem ist.

Ich kenne MDaemon seit 2006 und ich hab alles aktiviert für die Protokolle.

Und was wäre dafür die Erklärung?
Wenn ich meinen MDaemon herunterfahre und eine E-Mail an vorname.nachname@meinedomain.de sende, wieso
erhalte ich die gleiche Fehlermeldung? Somit, ist klar, die Fehlermeldung wird nicht von MDaemon versendet.
HansFenner
HansFenner 02.07.2025 aktualisiert um 21:55:46 Uhr
Goto Top
Als ich von 'eurem System' geschrieben habe, meinte ich nicht explizit den MDaemon, sondern schon das Gesamtsystem. Also angefangen von eurem Router/Firewall bis zum Server mit allen seinen Diensten.

So wie du es beschreibst, kommt die Mail tatsächlich nicht beim MDaemon an und deshalb hast du dort keine Log-Einträge.

Ich vermute, die Mail wird vorher durch etwas geblockt. Und diese Blockierung sorgt auch dafür, dass der Sender sofort eine Fehlermeldung erhält. Genauer: Der MTA merkt, dass er die Mail definitv nicht zustellen kann und erzeugt eine Fehlermeldung.

SMTP error from remote mail server after initial connection: 530 4.7.0 Connection refused

Sinngemäss heisst das ja, dass schon beim Verbindungsaufbau ein Fehler passiert, also noch vor dem Handshake.

Deshalb würde ich nach wie vor mit Wireshark schauen, was denn da so im Netz bei euch abgeht.

Ein Tipp wäre: Firewall (entweder Hardware-Firewall oder Betriebsystem-Firewall) oder andere Filter-Dienste, sowas wie Fail2Ban bei Linux.
Avoton
Avoton 02.07.2025 um 23:21:16 Uhr
Goto Top
Moin,

Somit, ist klar, die Fehlermeldung wird nicht von MDaemon versendet.

Natürlich nicht, die kommt vom MTA bei Hetzner.
Steht ja auch in der Meldung: SMTP Error from remote Server.

Der Hetzner MTA schickt dir also eine Mail und teilt dir mit, was er von deinem MDaemon als Antwort bekommen hat und das ist Connection refused.

Gruß,
Avoton