Mails kommen stark verzögert bzw. gar nicht an

Mitglied: krusty-rs

krusty-rs (Level 1) - Jetzt verbinden

07.12.2015 um 11:40 Uhr, 2774 Aufrufe, 10 Kommentare

Hallo an alle.

Ich habe folgendes Problem:

Ein Kunde bekommt einige Mails entweder stark verzögert (2-4 Tage) bzw. gar nicht.
Dies betrifft allerdings (derzeit) nur Absender von einigen (!) ausländischen Domains.

Die Mails, die nicht ankommen werden im Mailmanager der Firewall auch nicht angezeigt
(weder im SMTP LOG noch in der Quarantaine). Sie kommen wirklich einfach nicht an.

Testmails innerhalb von .de gar kein Problem.

Ausgehende Mails kein Problem

Kontrolle der Domaine auf Blacklisting: negativ

Zur Umgebung:
Sophos UTM als Mailgateway
Interner Exchange
ISP alt: Vodafone
ISP neue: Kabel BW
Domain: 1&1

Wichtige Info:
Demnächst wird der Internetprovider umngestellt.
-->Neue Feste IPs
-->Neue MX Einträge auf die Sophos
Das bedeutet, ich habe vorab schon neue MX Einträge in den Zonefiles erstellt,
diese aber von der Priorität niedriger als die alten MX Einträge bewertet.
D.h. ich kann bei der Umstellung demnächst einfach die Gewichtung der Einträge
ändern und könnte im Fehlerfall wieder zurückschwenken.
(Diese Aktion habe ich nur machen müssen, damit ich bei Kabel BW den neuen Pointer für das Reverse-Lookup beantragen konnte)

Ansatz:

Exchange: Spielt glaube ich bei dem Problem keine Rolle, da die Mails ja von der
Sophos direkt weitergegeben werden und gut.

Sophos: Laut den Logs bekommt diese die Mails halt erst zu dem entsprechendem
Zeitpunkt. Für die meisten Domains funktioniert der Traffic soweit ja auch.

MX: Hier sehe ich eine mögliche Fehlerquelle, aber der großteil des Mailverkehrs funktioniert ja.
Außerdem waren die Einträge bzgl. MX schon vor 3-4 Wochen (Die Umstellung hätte schon lange
passiert sein sollen, wurde aber verschoben) und die Probleme bestehen erst seit 3 Tagen.

Hat irgend jemand eine Idee für mich?

Danke im voraus.
Mitglied: Criemo
07.12.2015 um 11:47 Uhr
Hi,
hast du das mal versucht: MxToolBox
könnte auf womögliche Fehlerquellen hinweisen.

auf Wie viel steht die TTL beim MX? Hast du auch einen A-Record angelegt?
Hast du vielleicht, das Greylisting eingeschaltet?

VG
Cream
Bitte warten ..
Mitglied: krusty-rs
07.12.2015 um 12:02 Uhr
Hallo Cream

MxToolBox liefert beide MX Eintrage (sind ja A-Records..) auf die richtigen IP.
Der alte (also noch aktuelle Eintrag) mit Prio 10 und der neue (noch nicht aktive) mit Prio 100.
Also so wie eingestellt.
TTL ist 60 min.

Bzgl Greylisting:
Bis vor wenigen Tagen gab es ja kein Problem mit diesen Absendedomains, von daher, denke ich nicht, dass dort der Fehler liegt,
aber ich komme immer mehr auf den Gedanken die Problematischen Domains erst mal in der Sophos ohne Test durch zu lassen.
Bitte warten ..
Mitglied: Criemo
07.12.2015 um 12:05 Uhr
Hast du bei der MC toolbox mal auf finden Problems geklickt nach der Domain analyse?
Bitte warten ..
Mitglied: krusty-rs
07.12.2015 um 12:22 Uhr
dmarc dom.com Missing or Invalid Record More Info
smtp mx2.dom.com Failed To Connect More Info
dns dom.com SOA Expire Value out of recommended range More Info
smtp mx1.dom.com May be an open relay. More Info
spf dom.com No records found More Info
Bitte warten ..
Mitglied: krusty-rs
07.12.2015 um 12:26 Uhr
So....danke für den Tip.
Bin erst seit kurzem Dienstleister für die Firma und hatte mir noch nie die Zonefiles angesehen.
Der alten Eintrag mx1 zeigt er als open relay und den mx2 kann er gar nicht erreichen.....
Bitte warten ..
Mitglied: Criemo
07.12.2015 um 12:40 Uhr
ich denke du solltest dir nochmal anschauen warum mx2 nicht erreichbar ist.

dmarc und spf und der dns SOA eintrag kannste erstmal ignorieren.

mx1 würde ich auch nochmal prüfen.

ich denke hier gibt es ein Problem mit den MX einträgen. 2 Stück mit Unterschiedlichen IPs zu unterschiedlichen ISPs ist nicht so die Kluge Idee.

VG

PS.: wenn du Hilfe brauchst, schreibe ruhig weiter. Dann versuche ich dir da raus zu helfen.
Bitte warten ..
Mitglied: krusty-rs
07.12.2015 um 13:29 Uhr
hm....
ja das mit den unterschiedlichen MX zu unterschiedlichen ISP ist nicht so gut,
aber ich musste den neuen MX setzten, damit ich bei Kabel BW den Pointer für das Reverse Lookup
setzten / beantragen konnte.

Dass der MX2 nicht erreichbar ist hängt wohl mit der Sophos zusammen.
Ganz genau ist es nämlich so, dass die Firma mehrere Domains hat.

Alter MX1 auf .de domain
Neuer MX2 auf .com domain

Die Sophos präsentiert sich aber im moment halt nur passend für mx1. (Wird ja (eigentlich) über die Gewichtung geregelt)

Ich frag mich nur, warum die letzten Wochen alles lief und jetzt "plötzlich" Probleme auftreten.

.....

Ein Sache ist mir beim Check noch aufgefallen:
Die angegebene IP, für den MX1, die nicht erreicht werden kann, ist nicht direkt in der Sophos eingetragen.
Laut Kunde hat er hier nicht nur die eine Adresse, sondern einen IP Pool, und nur die erste Adresse wird dann in der Sophos angezeigt.
Funktioniert so seit Jahren. ..... such noch ein paar Daten und teste was...
Bitte warten ..
Mitglied: Criemo
07.12.2015 um 13:47 Uhr
joar ist aber nicht unbedingt best practice...

ich würde die mal als additional eintragen
Bitte warten ..
Mitglied: krusty-rs
07.12.2015 um 15:12 Uhr
Hab gerade nachgesehen.
Steht als zusätzliche drin und und snat regel ist gesetzt.
Bitte warten ..
Mitglied: Criemo
07.12.2015 um 15:16 Uhr
ich bin mir gerade nicht sicher wie ich dir noch helfen kann?

hast du noch spezielle fragen, dazu?

VG
Bitte warten ..
Heiß diskutierte Inhalte
Off Topic
Realistische Gehaltsvorstellung für eine "IT-Allroundkraft"
gelöst JiggyLeeVor 1 TagFrageOff Topic19 Kommentare

Hallo an alle, ich hege momentan den Wunsch mich von der alten verstaubten Behörden Bürokratie und langweiliger Aufgaben los zu lösen und in einem ...

Windows 10
Windows 10 Geschwindigkeitprobleme trotz viel mehr Gb Ram
Matthes88Vor 1 TagFrageWindows 1045 Kommentare

Hallo ihr lieben aaaalso : Da mein neuer Arbeitsspeicher (32gb) von meiner alten Windows 7 version (max mit 8gb kompatibel) nicht angenommen wurde, habe ...

Humor (lol)
Tipp: Dinge, die man besser nicht klaut
altmetallerVor 1 TagTippHumor (lol)14 Kommentare

Hallo, so wurde meiner Hündin z.B. heute der (eingeschaltete) GPS-Tracker mit Mobilfunkanbindung quasi "direkt vom Halsband weggefunden". Akku hatte noch 60% :-P Und ich ...

Grafikkarten & Monitore
Monitorhalterung mit 80cm Armlänge
ben1300Vor 1 TagFrageGrafikkarten & Monitore7 Kommentare

Guten Abend ! ich bin auf der Suche nach einer Monitorhalterung, im besten Fall ohne Bohrung für einen 28" Monitor (Vesa Halterung). Nun kommt ...

Cloud-Dienste
Cloud PBX bzw. IP Telefon für Ausland
decehakanVor 1 TagFrageCloud-Dienste3 Kommentare

Hallo Zusammen, Ich suche Cloud Telefon ( Cloud PBX, IP-Telefon), sodass ich von Ausland aus über eine deutsche Rufnummer auf mein Handy erreichbar bin. ...

SAN, NAS, DAS
Synology DS213j - Volume nach HDD Austausch vergrößern
gelöst JasperBeardleyVor 1 TagFrageSAN, NAS, DAS4 Kommentare

Moin, ich hab meinem NAS zwei neue 8TB spendiert, da die 3TB Platten jetzt 6 Jahre alt sind. Da die beiden Platten im JBOD ...

Netzwerkmanagement
Sicherheitsrisiken Synology DS admin Konto
RitchtoolsVor 9 StundenFrageNetzwerkmanagement4 Kommentare

Hallo Zusammen, ich habe die Pflege von einem Firmen NAS übernommen (Synology) es sind mehrere Rechner im Netzwerk die auf Daten zugreifen. Leider hat ...

E-Mail
Office 365 mit Wordpress nutzen
gelöst tobitobsnVor 1 TagFrageE-Mail6 Kommentare

Wir nutzen einen Webhoster, wo wir eine Wordpress Webseite betreiben und haben vor einiger Zeit zu Office 365 gewechselt. Unser Webhoster erlaubt innerhalb von ...