Send-mailmessage schlägt fehl

erikro
Goto Top
Moin,

wir haben hier ein sehr seltsames Problem:

In 18 Außenstandorten schicken Windows-10-Rechner einmal die Woche automatisch eine Email an eine unserer Adressen über unseren SMTP-Server. In 17 klappt es. Die 18te will partout nicht verschicken. Alle Standorte haben auf allen Rechnern (naheuzu) identische Installationen. Es sind handelsübliche Rechner mit Windows 10 und einer Branchensoftware. Mehr ist auf der Maschine eigentlich nicht drauf außer noch der FF, Acrobat Reader, eine Fernzugriffssoftware und 7zip und ein paar Tools. Die Internetanbindung erfolgt über eine Fritz-Box. Bei allen haben wir den gleichen Provider und das gleiche Produkt. Lediglich die Sprachkanäle variieren. Das zum Hintergrund. Nun das Problem:

Ich verschicke von einem Standort aus eine Mail mit der Powershell:


Es dauert ein bis zwei Sekunden und die Mail ist in meinem Postfach. Ich mache genau das Gleiche inkl. Sende- und Zieladresse von dem Problemstandort aus und es schlägt fehl. Die Sendeadresse gehört zum Problemstandort. Das hat vor ca. einem halben Jahr angefangen. Zunächst dachte ich, dass das an der Umstellung des SMTP-Servers auf TLS-only liegt. Damals war auf der Maschine mit dem Problem noch Win7 installiert. Da hatte ich den Verdacht, dass TLS 1.2 nicht unterstützt wird. Das hat mir letztlich Wireshark - so dachte ich - bestätigt, da ich dort sehen konnte, dass der Handshake nicht klappt. OK. Die Kiste sollte sowieso bald getauscht werden. Also warten wir ab und holen die Datei, die mit der Mail verschickt wird, händisch von der Maschine. (Anmerkung: der Befehl oben ist der Test ohne Anhang.)

Nach der Umstellung auf Windows 10 ging es aber immer noch nicht. Also konnte es eine fehlende TLS-1.2-Unterstützung nicht mehr sein. Damit hatte ich die Fritte im Verdacht, dass die irgendwas blockiert. Der Verdacht wurde bestärkt, als ich mit unserem Firewall-Experten zusammen den Netzverkehr analysiert habe. Ich habe auf den Wireshark geguckt und er hat in den Logs der Firewall (Watchguard, höchster Loglevel) mitgelesen. Beide konnten wir feststellen, dass, wenn es klappt (bei 17 Standorten), die Pakete des Handshakes hin- und her übertragen werden. Bei dem einen Standort aber der Sender nicht mehr auf die Pakete des SMTP-Servers antwortet, weil das Paket beim Sender nicht ankommt. Unser Experte hat dann noch eine Regel erstellt, die es dem sendenden Rechner explizit erlaubte, mit dem SMTP-Server zu kommunizieren, auch wenn das wenig Erfolg versprach. Aber auch das half natürlich nichts.

Aber auch da stand ein Wechsel an, weil der Standort auf VoIP und eine schnellere Anbindung umgestellt wurde. Also wartete ich wieder ab. Ihr ahnt es schon: Die Fritte wurde getauscht. Der schnellere Anschluss wurde geschaltet. Es war damit sogar ein Anbieterwechsel verbunden. Trotzdem geht es immer noch nicht. Wireshark zeigt immer noch, dass der Handshake nicht abgeschlossen wird.

Dann haben wir noch zwei Quertests gemacht. Wir haben die betroffene Maschine in unser Büro geholt und von dort aus gesendet. Klappte sofort. Wir haben mit einem Notebook versucht aus dem betroffenen Netz heraus zu senden. Gleiches Fehlerbild. Wir haben dann das Notebook mit einem Hotspot verbunden und gesendet. Klappt sofort.

Der Fehler muss also auf Seiten des Standortnetzes liegen. Da wir nun aber alle Komponenten außer, wie der Kollege heute richtig bemerkte, die Hausverkabelung getauscht haben, sind mir die Ideen ausgegangen. Wir haben sogar die Maschine mal direkt an die Fritte gehängt, um den Switch auszuschalten. Ich bin also schon auf dem Level der Fehlersuche, auf dem man den größten Unsinn ausprobiert. face-wink Was könnte sowas noch verursachen? Der restliche Internetverkehr läuft problemlos. Auch der Email-Verkehr, der allerdings via ActiveSync läuft, ist ungestört.

Achja, die Windows-Firewall habe ich natürlich auch mal ausgeschaltet. Das ist eigentlich nach der Prüfung der Kabel das Erste, was ich mache, wenn auf einem Client was nicht geht, das bei allen anderen geht. face-wink

Liebe Grüße

Erik

Content-Key: 663189

Url: https://administrator.de/contentid/663189

Ausgedruckt am: 18.08.2022 um 21:08 Uhr

Mitglied: em-pie
em-pie 15.03.2021 um 19:34:24 Uhr
Goto Top
Moin,

Die Credentials sind oben auch richtig?
Nicht, dass die mit dem falschen User erstellt wurden. Also USer A hat die erstellt, User B will das Script nun ausführen.

Am Mailserver (ist es ein Exchange?) einen passenden Empfangskonnektor erstellt?

Hat die Kiste ne feste oder dynamische IP


Mehr fällt mir momentan nicht ein...

Gruß
em-pie
Mitglied: erikro
erikro 15.03.2021 um 19:58:32 Uhr
Goto Top
Moin,

Zitat von @em-pie:
Die Credentials sind oben auch richtig?

Ja, sonst würde es ja an den anderen Standorten und per HotSpot auch nicht gehen. face-wink Beim Testen gebe ich die Creds händisch ein.

Am Mailserver (ist es ein Exchange?) einen passenden Empfangskonnektor erstellt?

Nein, kein Exchange, sondern der SMTP der SLES. Das ist ein Überbleibsel aus dem alten Mailsystem, weil es einfach zu mühsam war, alle Geräte, die so Mails schicken, auf das neue umzustellen. Es funktioniert wunderbar. Nur von dem einen Standort aus nicht. Und die Logs haben ergeben, dass der Server alles richtig macht. Es kommt nur nicht an und rennt deshalb in den Timeout.

Hat die Kiste ne feste oder dynamische IP

Feste interne und feste öffentliche IP.

Mehr fällt mir momentan nicht ein...

Mein Problem ist: Mir fällt dazu gar nichts mehr ein. face-wink

Liebe Grüße

Erik
Mitglied: Inf1d3l
Inf1d3l 15.03.2021 um 20:43:29 Uhr
Goto Top
TLS Inspection für SMTP auf der Watchguard testweise deaktivieren.
Mitglied: Henere
Henere 15.03.2021 um 22:57:17 Uhr
Goto Top
Servus.
Schau mal auf der Fritte. Da kannst Du SMTP blocken. Weis aber gerade nicht ob das nur Port25 betrifft.

Grüße Henere
Mitglied: mbehrens
mbehrens 16.03.2021 um 00:01:06 Uhr
Goto Top
Zitat von @erikro:

Moin,

Zitat von @em-pie:
Die Credentials sind oben auch richtig?

Ja, sonst würde es ja an den anderen Standorten und per HotSpot auch nicht gehen. face-wink Beim Testen gebe ich die Creds händisch ein.

Am Mailserver (ist es ein Exchange?) einen passenden Empfangskonnektor erstellt?

Nein, kein Exchange, sondern der SMTP der SLES. Das ist ein Überbleibsel aus dem alten Mailsystem, weil es einfach zu mühsam war, alle Geräte, die so Mails schicken, auf das neue umzustellen. Es funktioniert wunderbar. Nur von dem einen Standort aus nicht. Und die Logs haben ergeben, dass der Server alles richtig macht. Es kommt nur nicht an und rennt deshalb in den Timeout.

Dann ist es ja kein Problem, in die Logbücher dieses Systems zu schauen.
Mitglied: erikro
erikro 16.03.2021 um 09:05:30 Uhr
Goto Top
Moin,

Zitat von @Henere:

Servus.
Schau mal auf der Fritte. Da kannst Du SMTP blocken. Weis aber gerade nicht ob das nur Port25 betrifft.

Danke für den Hinweis. Ist alles aus.

Liebe Grüße

Erik
Mitglied: erikro
erikro 16.03.2021 um 09:12:43 Uhr
Goto Top
Moin,

Zitat von @Inf1d3l:

TLS Inspection für SMTP auf der Watchguard testweise deaktivieren.

Auch aus.

Liebe Grüße

Erik
Mitglied: erikro
erikro 16.03.2021 um 09:16:18 Uhr
Goto Top
Moin,

Zitat von @mbehrens:
Dann ist es ja kein Problem, in die Logbücher dieses Systems zu schauen.

Ja, wie gesagt, da steht drin, dass der Handshake ins Timeout rennt. Mehr nicht. Es kommt vom Sender keine Antwort mehr. Mehr steht da nicht.

Liebe Grüße

Erik