11
Mails von versch. Domains nicht an Sophos sichtbar
Hallo zusammen,
Ich kämpfe aktuell mit folgendem Problem:
Mails lagen vorher beim Provider online und wurden per IMAP abgeholt.
Daraufhin haben wir einen Exchange 2019 installiert, eine Sophos Firewall implementiert, die Mails online exportiert und auf dem Exchange importiert.
Den MX für die Domain wurde von der Provider IP auf die fixe IP vom Internetanschluß umgebogen und einen rDNS Eintrag wurde erstellt.
Soweit alles okay, Mails können versendet werden und 99% der Mails werden auch an dem Anschluß empfangen. Das restliche 1% kommt aber nicht an. Die Mails werden von außerhalb versendet, kommen aber noch nicht mal an der Sophos an. Nichts zu sehen. Der Absender bekommt aber auch keinen NDR. Dabei geht es um ca fünf Domains die keine Mails an den Exchange/Sophos schicken können. Vor der Umstellung war das kein Problem.
Wenn ich mir den MX von den betreffenden Domains anschaue bei MXtoolbox, ist mir aufgefallen das alle eine IP bei Microsoft haben bzw der Eintrag domainxyz.mail.protection.outlook.com lautet.
Hat jemand eine Idee woran das liegen könnte bzw vielleicht auch schon irgendwo gesehen und auch gelöst? ;)
Vielen Dank an alle für die Hilfe!
Ich kämpfe aktuell mit folgendem Problem:
Mails lagen vorher beim Provider online und wurden per IMAP abgeholt.
Daraufhin haben wir einen Exchange 2019 installiert, eine Sophos Firewall implementiert, die Mails online exportiert und auf dem Exchange importiert.
Den MX für die Domain wurde von der Provider IP auf die fixe IP vom Internetanschluß umgebogen und einen rDNS Eintrag wurde erstellt.
Soweit alles okay, Mails können versendet werden und 99% der Mails werden auch an dem Anschluß empfangen. Das restliche 1% kommt aber nicht an. Die Mails werden von außerhalb versendet, kommen aber noch nicht mal an der Sophos an. Nichts zu sehen. Der Absender bekommt aber auch keinen NDR. Dabei geht es um ca fünf Domains die keine Mails an den Exchange/Sophos schicken können. Vor der Umstellung war das kein Problem.
Wenn ich mir den MX von den betreffenden Domains anschaue bei MXtoolbox, ist mir aufgefallen das alle eine IP bei Microsoft haben bzw der Eintrag domainxyz.mail.protection.outlook.com lautet.
Hat jemand eine Idee woran das liegen könnte bzw vielleicht auch schon irgendwo gesehen und auch gelöst? ;)
Vielen Dank an alle für die Hilfe!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 2054516835
Url: https://administrator.de/contentid/2054516835
Ausgedruckt am: 22.11.2024 um 07:11 Uhr
11 Kommentare
Neuester Kommentar
Moin,
was steht denn im Log des MailProxys der Sophos? Dort tauchen ja Blocks oder sonstige Meldungen auf.
Gruß
Spirit
was steht denn im Log des MailProxys der Sophos? Dort tauchen ja Blocks oder sonstige Meldungen auf.
Gruß
Spirit
Das ist es ja: nix!
Kein Spam, kein Reject, kein Bounced, einfach nix.
Kein Spam, kein Reject, kein Bounced, einfach nix.
Hi,
sonst lass Dir mal exemplarisch eine der vermissten Mails im Original (also nicht reines Weiterleiten) zur Verfügung stellen und guck mal in den Header, was dort für IP-Adressen auftauchen und suche in den Logs dann mal nach den IP-Adressen anstelle der Absende-Mailadressen.
Ich hatte vor kurzer Zeit fast ein identisches Problem und war erst über die IP-Adresse auf ein zuvor nicht erkennbares Block-Event gestoßen, was bei der Suche auf Basis der Absenderadresse erst nicht aufgefallen war…
Vielleicht hilft Dir das ja auch
sonst lass Dir mal exemplarisch eine der vermissten Mails im Original (also nicht reines Weiterleiten) zur Verfügung stellen und guck mal in den Header, was dort für IP-Adressen auftauchen und suche in den Logs dann mal nach den IP-Adressen anstelle der Absende-Mailadressen.
Ich hatte vor kurzer Zeit fast ein identisches Problem und war erst über die IP-Adresse auf ein zuvor nicht erkennbares Block-Event gestoßen, was bei der Suche auf Basis der Absenderadresse erst nicht aufgefallen war…
Vielleicht hilft Dir das ja auch
Genau, dass ist echt ein Nachteil von Sophos. DIe bieten kein übergreifendes Log für alle Services.
Moin,
Und euer Exchange braucht auch ein passendes Zertifikat der (Mail)Domäne, ist das vorhanden und eingebunden?
Gruß
cykes
Wenn ich mir den MX von den betreffenden Domains anschaue bei MXtoolbox, ist mir aufgefallen das alle eine IP bei Microsoft haben bzw der Eintrag domainxyz.mail.protection.outlook.com lautet.
Das lässt darauf schließen, dass die Absender bei MS 365/Exchange Online ihre Domain haben. 365 ist u.a. sehr zickig, was SPF-Records betrifft. Sind diese nach eurem Wechsel ebenfalls angepasst worden oder existieren bisher keine?Und euer Exchange braucht auch ein passendes Zertifikat der (Mail)Domäne, ist das vorhanden und eingebunden?
Gruß
cykes
Moin,
Die Info von @cykes sollte berücksichtigt werden.
Microsoft macht es eigentlich richtig:
Prüfe SPF-Records und am besten auch in dem Zuge sich mal mit DMARC beschäftigen.
Ansonsten war meine erste Vermutung, dass MS euren geänderten MX-Record noch nicht verinnerlicht hat.
Wenn du einen Bekannten (Admin) in der MS Welt hast, vielleicht kann er dir ne Mail senden und erhält eine Rückmeldung, mit der man etwas anfangen kann. Du wirst nämlich vermutlich nichts auswerten können, weil die Mails erst gar nicht bis zu eurem WAN ankommen…
Die Info von @cykes sollte berücksichtigt werden.
Microsoft macht es eigentlich richtig:
Prüfe SPF-Records und am besten auch in dem Zuge sich mal mit DMARC beschäftigen.
Ansonsten war meine erste Vermutung, dass MS euren geänderten MX-Record noch nicht verinnerlicht hat.
Wenn du einen Bekannten (Admin) in der MS Welt hast, vielleicht kann er dir ne Mail senden und erhält eine Rückmeldung, mit der man etwas anfangen kann. Du wirst nämlich vermutlich nichts auswerten können, weil die Mails erst gar nicht bis zu eurem WAN ankommen…
Moin,
das was @cykes erklärt betrifft nur DAS VERSENDEN von Mails. Der eigene SPF, das TLS Cert des MTAs und der MX das Absender hat nichts, null, nada mit dem empfangen von Mails zu tun. Diese Einstellungen prüft DER EMFPÄNGER wenn er mails von "fremden" bekommt.
Vielleicht kam einfach deine MX Änderungen bei MS noch nicht an. Was für einen TTL hast du denn beim MX-Record eingstellt?
Ggfs. kannst du dir auch einen Message Trace von einer "verschwundenen" Mail geben lassen.
lg,
Slainte
das was @cykes erklärt betrifft nur DAS VERSENDEN von Mails. Der eigene SPF, das TLS Cert des MTAs und der MX das Absender hat nichts, null, nada mit dem empfangen von Mails zu tun. Diese Einstellungen prüft DER EMFPÄNGER wenn er mails von "fremden" bekommt.
Vielleicht kam einfach deine MX Änderungen bei MS noch nicht an. Was für einen TTL hast du denn beim MX-Record eingstellt?
Ggfs. kannst du dir auch einen Message Trace von einer "verschwundenen" Mail geben lassen.
lg,
Slainte
Guten Morgen zusammen,
vielen Dank für eure Antworten.
Seit gestern Mittag existiert ein TXT Eintrag im DNS mit dem Inhalt v=spf1 ip4:IP-Kreis.0/24 ~all
Die MX-Änderung wurde schon letzte Woche gemacht. Wenn es nicht unbedingt am nächsten Tag nach der Änderung funktioniert, hätte ich es noch verstanden. Aber nach einer Woche sollte doch auch ein geänderter MX/DNS-Eintrag bei Microsoft angekommen sein, oder?
Der Exchange hat ein offizielles Zertifikat und das ist auch eingebunden.
Das komische ist ja auch, wenn jmd. aus der "Microsoft Cloud" eine Email schickt die bisher noch nicht in Kontakt mit dieser Domain waren, kommen diese an.
vielen Dank für eure Antworten.
Seit gestern Mittag existiert ein TXT Eintrag im DNS mit dem Inhalt v=spf1 ip4:IP-Kreis.0/24 ~all
Die MX-Änderung wurde schon letzte Woche gemacht. Wenn es nicht unbedingt am nächsten Tag nach der Änderung funktioniert, hätte ich es noch verstanden. Aber nach einer Woche sollte doch auch ein geänderter MX/DNS-Eintrag bei Microsoft angekommen sein, oder?
Der Exchange hat ein offizielles Zertifikat und das ist auch eingebunden.
Das komische ist ja auch, wenn jmd. aus der "Microsoft Cloud" eine Email schickt die bisher noch nicht in Kontakt mit dieser Domain waren, kommen diese an.
Zitat von @SlainteMhath:
das was @cykes erklärt betrifft nur DAS VERSENDEN von Mails. Der eigene SPF, das TLS Cert des MTAs und der MX das Absender hat nichts, null, nada mit dem empfangen von Mails zu tun. Diese Einstellungen prüft DER EMFPÄNGER wenn er mails von "fremden" bekommt.
Trotzdem gehört das zu einer korrekten Konfiguration dazu, wie man hieran sieht:das was @cykes erklärt betrifft nur DAS VERSENDEN von Mails. Der eigene SPF, das TLS Cert des MTAs und der MX das Absender hat nichts, null, nada mit dem empfangen von Mails zu tun. Diese Einstellungen prüft DER EMFPÄNGER wenn er mails von "fremden" bekommt.
Zitat von @diematrix125:
Seit gestern Mittag existiert ein TXT Eintrag im DNS mit dem Inhalt v=spf1 ip4:IP-Kreis.0/24 ~all
Wow, ihr habt ein eigenes /24er Netz an Public IPs? Oder ist "IP-Kreis" der interne (private)? Dann wäre der spf falsch konfiguriert. Dann wäre noch entscheidend, in welchem DNS Du das angelegt hast, es muss der zuständige (authoritative) DNS für euer Domäne sein also bspw. firma.de.Seit gestern Mittag existiert ein TXT Eintrag im DNS mit dem Inhalt v=spf1 ip4:IP-Kreis.0/24 ~all
Das komische ist ja auch, wenn jmd. aus der "Microsoft Cloud" eine Email schickt die bisher noch nicht in Kontakt mit dieser Domain waren, kommen diese an.
Du kannst Dir zum Testen auch mal eine Mailadresse bei Outlook.com anlegen und versuchen darüber Testmails zu versenden.Teilweise kommen NDRs vom MS 365 auch stark verzögert an.
Kannst Du denn an die Kontakte, deren Mails nicht ankommen, eine Mail schreiben und kommt diese an?
Gruß
cykes
der absender bekommt der einen fehlercode zugestellt, also normalerweise
unzustellbar oder so mit ner nummer drin.
Oder im Outlook kann der absender einstellen:
immer nen status zurückgemeldet zu bekommen, dann kann man sehen was der absender server sagt
SMTP Protokoll technisch. heisst in Optionen, Email, unten bei Verlauf >> "übermittlungsbestätigung......"
das aktivieren dann bekommt man das bei jeder email die man verschickt.
und andhand des fehler codes kriegst du eventuell mehr raus was das problem ist....
unzustellbar oder so mit ner nummer drin.
Oder im Outlook kann der absender einstellen:
immer nen status zurückgemeldet zu bekommen, dann kann man sehen was der absender server sagt
SMTP Protokoll technisch. heisst in Optionen, Email, unten bei Verlauf >> "übermittlungsbestätigung......"
das aktivieren dann bekommt man das bei jeder email die man verschickt.
und andhand des fehler codes kriegst du eventuell mehr raus was das problem ist....
Zitat von @Spirit-of-Eli:
Genau, dass ist echt ein Nachteil von Sophos. DIe bieten kein übergreifendes Log für alle Services.
Genau, dass ist echt ein Nachteil von Sophos. DIe bieten kein übergreifendes Log für alle Services.
Das stimmt so nicht, du hast teil logs für alle dienste und wenn die mail geblockt wird oder sonst was taucht die auf alle fälle im GUI auf, in der Email Admin Verwaltungskonsole da.
Und übergrifendes log, sollte man sowieso per syslog speichern, und dann landet alles in dem syslog server file, welches man dann seperieren kann, also alles was von sophos kommt speichert man in dem sophos log.
Aber wie gesagt das problem hatte ich noch nie das emails nicht ankommen.
muss am empfangs DNS liegt, oder in der sophos muss man ja auch die domains einstellen die empfangen werden sollen, ist das gemacht worden?
Also wenn man 10 eigene Domains hat muss man die da einbauen.
Ansonsten wenn man die Blacklisten verwendet, könnten die was blocken, aber das würde im log sichtbar sein.
country blocking aktiviert?
SMTP Ausnahme machen für USA, Irland, weiss der geier.... usw... wegen MS Cloud rotz
