Sporadische EMail Versandprobleme nach DNS Änderung
Das uns betreuende IT-Unternehmen hat im DNS die Rekursion und Weiterleitung deaktivert. Jetzt erhalten wir manchmal beim EMail-Versand die Fehlermeldung #554 5.7.1 Relay access denied # zurück.
Konfiguration:
Windows AD Server (Windows 2008R2)
Exchange 2010 / Zustellung über MX (Windows 2008R2)
Clientanbindung über Outlook 2010
Beide Server sind über je eine öffentliche IP erreichbar und untereinander über ein internes Netzwerk verbunden.
Das betreunende Unternehmen hat aus Sicherheitsgründen auf dem 1. Server im DNS Dienst die Rekursion und Weiterleitung deaktivert. Der DNS Dienst ist außerdem nur für die interne Netzwerkkarte aktiv.
Seit dieser Änderung bekommen wir allerdings bei einigen Mails die Fehlermeldung #554 5.7.1 Relay access denied# zurück.
Wenn man die Mails danach neu sendet werden diese meistens ohne Fehlermeldung zugestellt!?!
Leider ist unser dortiger Ansprechpartner für unbestimmte Zeit 'erkrankt' und die anderen Mitarbeiter fühlen sich für unser Problem nicht zuständig! (Wir suchen schon nach einem zuverlässigeren Partner...)
Andere Ratschläge von Google und Co. konnten das Problem nicht lösen bzw. sind alle Einstellungen im Exchange m.E. richtig gesetzt und wurden auch nicht angefasst.
Ich kann aber auch ehrlich gesagt nicht nachvollziehen wie und ob die DNS Änderung überhaupt mit dem Fehler zusammenhängt.
Jemand eine Idee wo der Fehler liegt?
Viele Grüße
Chris
Konfiguration:
Windows AD Server (Windows 2008R2)
Exchange 2010 / Zustellung über MX (Windows 2008R2)
Clientanbindung über Outlook 2010
Beide Server sind über je eine öffentliche IP erreichbar und untereinander über ein internes Netzwerk verbunden.
Das betreunende Unternehmen hat aus Sicherheitsgründen auf dem 1. Server im DNS Dienst die Rekursion und Weiterleitung deaktivert. Der DNS Dienst ist außerdem nur für die interne Netzwerkkarte aktiv.
Seit dieser Änderung bekommen wir allerdings bei einigen Mails die Fehlermeldung #554 5.7.1 Relay access denied# zurück.
Wenn man die Mails danach neu sendet werden diese meistens ohne Fehlermeldung zugestellt!?!
Leider ist unser dortiger Ansprechpartner für unbestimmte Zeit 'erkrankt' und die anderen Mitarbeiter fühlen sich für unser Problem nicht zuständig! (Wir suchen schon nach einem zuverlässigeren Partner...)
Andere Ratschläge von Google und Co. konnten das Problem nicht lösen bzw. sind alle Einstellungen im Exchange m.E. richtig gesetzt und wurden auch nicht angefasst.
Ich kann aber auch ehrlich gesagt nicht nachvollziehen wie und ob die DNS Änderung überhaupt mit dem Fehler zusammenhängt.
Jemand eine Idee wo der Fehler liegt?
Viele Grüße
Chris
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 188832
Url: https://administrator.de/forum/sporadische-email-versandprobleme-nach-dns-aenderung-188832.html
Ausgedruckt am: 22.12.2024 um 18:12 Uhr
12 Kommentare
Neuester Kommentar
Hallo,
Server1
Wir sind hier Blind und Taub. Wir kennen auch dein Netzwerk nicht. Wir können mit dem Begriff Server viel anstellen, allerdings ob es dann deiner gegebenheit vor Ort entspricht ...
Gruß,
Peter
Server1
Exchange 2010 / Zustellung über MX (Windows 2008R2)
Server2Beide Server sind über je eine öffentliche IP erreichbar
Du willst uns sagen das Server1 sowie Server2 jeweils direkt im Internet hängen und somit eine Öffentliche IP haben?und untereinander über ein internes Netzwerk verbunden.
Wie sollen wir uns das jetzt vorstellen? Patchkabel verbindet die Zwei Server auch noch? VPN? Oder was?Der DNS Dienst ist außerdem nur für die interne Netzwerkkarte aktiv.
Sollen wir jetzt daraus ableiten das dein DC1 (Dein Server1) mehr als eine Netzwerkkarte hat? Trifft diese Vermutung dann auf Server2 (Dein Exchange) auch zu?Andere Ratschläge von Google und Co. konnten das Problem nicht lösen
Google ist gross. Sollen wir jetzt alles noch mal durchkauen was du schon gesucht / gefunden / gelesen hast?richtig gesetzt und wurden auch nicht angefasst.
Dann sollte es ja keinen Fehler geben, oder? Ich kann aber auch ehrlich gesagt nicht nachvollziehen wie und ob die DNS Änderung überhaupt mit dem Fehler zusammenhängt.
Erkläre uns doch erstmal wie deine Server zusammenhängen. beides DC? Beides DNS? Nur Server1 DC und DNS? IPconfig /all vom Server2 und vom Server1 würde hier auch helfen sowie evtl. ein Route /Print von beiden. Gibt es noch andere Server / DNS / DC usw.? Wird direkt per DNS oder per Smarthost von euch aus gesendet?Jemand eine Idee wo der Fehler liegt?
DNS? Wir sind hier Blind und Taub. Wir kennen auch dein Netzwerk nicht. Wir können mit dem Begriff Server viel anstellen, allerdings ob es dann deiner gegebenheit vor Ort entspricht ...
Gruß,
Peter
Zitat von @Christian:
Seit dieser Änderung bekommen wir allerdings bei einigen Mails die Fehlermeldung #554 5.7.1 Relay access denied#
zurück.
Seit dieser Änderung bekommen wir allerdings bei einigen Mails die Fehlermeldung #554 5.7.1 Relay access denied#
zurück.
Welcher (Relay-) Server meldet das denn? Unten schreibst du, der Exchange stellt die Mails direkt zu, d.h., es gibt keinen Relay Server. Also unterbindet dein Exchange die Weiterleitung.
Dies kann geschehen, wenn du aus einem "verbotenen" Nummernkreis sendest.
Könnte es sein, dass deine Windows/Outlook Clients mit deinem Exchange ab und an mal über dessen öffentliche IP Adresse kommunizieren?
Mit welchen Einträgen steht der Exchange im DNS? Hat er vielleicht sogar die öffentliche und die private Adresse unter demselben Namen stehen? Oder einen fehlerhaften CNAME (Alias) Eintrag?
Vermutlich, damit er ins Internet kommt, oder?
Aber woraus schliesst du, dass er "direkt" dran hängt?
Ich lese das so:
"Standardgateway . . . . . . . . . : 85.197.XXX.XXX"
Und da vermute ich einen Router und hoffentlich eine Firewall ;-
Auch die direkte Anbindung des Exchange ist mehr als fragwürdig.
Warum?
Wo gehört denn deiner Meinung nach ein MTA hin?
Hallo,
Schau dir mal genau die Headerzeilen an. Du kannst dir aber auch dein SMTP Protokoll deines Exchange mal genauer ansehen.
Und warum haben beide Server 2 Netzwerkkarten? Gibt es da besondere Anforderungen zu?
Gruß,
Peter
Zitat von @Christian:
Die Fehlermeldung wird jeweils von der Gegenseite (also dem Empfänger Server) generiert.
Dir ist dann schon klar das wenn es nicht dein Exchange ist der dir den Relay Denied gibt das die Mail damit schon am anderen Server (ausserhalb deiner Kontrolle) angeklopft hat, oder? Passiert dies auch wenn du per Smarthost versendest?Die Fehlermeldung wird jeweils von der Gegenseite (also dem Empfänger Server) generiert.
Schau dir mal genau die Headerzeilen an. Du kannst dir aber auch dein SMTP Protokoll deines Exchange mal genauer ansehen.
Ja das kommt vor. Wobei allerdings auch Nutzer aus dem gleichem (privat/intern) Netz die Fehlermeldung bekommen.
Wie sind denn eure Clienst eingerichtet? Auch mit 2 Netzwerkkarten? Was haben die als DNS eingetragen?Im DNS steht nur die öffentliche Adresse und auch der CNAME Eintrag ist richtig.
Und auf welchen Namen lösen deine Clients den Exchange auf? Auf die Öffentliche IP oder was? Notfalls mal ein Netzwerksniffer mitlaufen lassen.Und warum haben beide Server 2 Netzwerkkarten? Gibt es da besondere Anforderungen zu?
Gruß,
Peter
Dazwischen ist natürlich der Router und die Firwall des RZ Betreibers.
"Firwall des RZ Betreibers" klingt komisch. Erwartet hätte ich einen Firewall in euren Räumen. Du sprachst davon, dass die Server virtualisiert sind, wahrscheinlich mit XEN. Ich kann mir den Aufbau deines Netzes momentan nicht endgültig vorstellen. Acht Windows 7 Clients am virtuellen Switch? Verstehe ich auch nicht wirklich, es sei denn, sie sind auch virtualisiert. Ansonsten wäre sie an einem physischen Switch.
Die Fehlermeldung wird jeweils von der Gegenseite (also dem Empfänger Server) generiert.
Manche Mails werden nicht angenommen, aber irgendwann später klappt das dann doch. Da sich zwischendurch das DNS nicht ändert, kann es eigentlich auch nicht dafür verantwortlich sein. Vielleicht Greylisting oder DNSBL?
Du schriebst:
Das betreuende Unternehmen hat aus Sicherheitsgründen auf dem 1. Server im DNS Dienst die Rekursion und Weiterleitung deaktivert.
Der DNS Dienst ist außerdem nur für die interne Netzwerkkarte aktiv.
Der DNS Dienst ist außerdem nur für die interne Netzwerkkarte aktiv.
Mit "erste Server" meinst du den Windows Server, ja?
Diese Sicherheitsgründe verstehe ich nicht. Warum sollten Rekursion und vor allem Weiterleitung ein Sicherheitsproblem sein?
Noch dazu, wenn das DNS nur intern läuft, was ebenfalls keinen Sinn macht, wenn dort die öffentliche IP des Exchange hinterlegt ist. Wo sind denn die MX Einträge für deinen Exchange bzw. deine Domäne hinterlegt? Hierüber erfahren andere MTAs, wohin Mails an deine Domäne abgeliefert werden sollen.
Und: War das vor der Umstellung auch so? Ich meine, war der DNS-Server jemails öffentlich erreichbar?
Wenn dein Mail-Server direkt im Netz steht und als MTA fungiert, musst du dafür sorgen, dass das DNS stimmig ist inkl. MX Eintrag:
C:\Users\lexa>nslookup
Standardserver: example-dns.de.lan
Address: 192.168.66.2
$ set type=mx
$ freenet.de
Server: example-dns.de.lan
Address: 192.168.66.2
Nicht autorisierende Antwort:
freenet.de MX preference = 1, mail exchanger = mx.freenet.de
mx.freenet.de internet address = 195.4.92.211
mx.freenet.de internet address = 195.4.92.212
[...]
$ quit
(Beispiel ist gekürzt)
Statt Freenet fragst du natürlich deine Domäne ab.
> Könnte es sein, dass deine Windows/Outlook Clients mit deinem Exchange ab und an mal über dessen öffentliche
IP Adresse kommunizieren?
Ja das kommt vor.
IP Adresse kommunizieren?
Ja das kommt vor.
Ist das gewollt? Wie kommen sie überhaupt dorthin? Vertreter-Laptops?
Im DNS steht nur die öffentliche Adresse und auch der CNAME Eintrag ist richtig.
Wozu? Wie sollen ihn die Outlook Clients dann erreichen?
Die sollten ihn eigentlich über die interne 10.x.y.z ansprechen.
Ich mach hier mal 'nen break. Mir fehlen ein paar Meter Film bzw. Topologie. Zu meinem Verständnis:
1. Windows Server mit zwei IPs, eine private (10.0.9.136), eine öffentlich 85.197.x.x mit Default-GW, mit DNS Rolle aber nur auf der privaten IP Adresse aktiv
2. Windows/Exchange Server mit zwei IPs, eine private (10.0.9.135), eine öffentlich 85.197.x.y mit Default-GW, als DNS fungiert [1.]
3. Default-GW (Router) mit zwei IPs, eine private (10.0.9.254), eine öffentlich 85.197.x.z
4. Windows Client mit Outlook, eine private IP Adresse (10.0.9.100), als DNS fungiert der unter [1.] genannte
Stimmt das bis hier hin?
Dann weiter:
Ein E-Mail geht vom Client 10.0.9.100 an Exchange, dessen Name über den DNS Server aufgelöst wird. Der Client erfährt auf diesem Weg aber nur die öffentliche IP 85.197.x.y.
An dieser Stelle wäre Schluss, da der Server nicht erreichbar ist. Es sei denn, der Client hat einen Internet Zugang (Default-GW) und erreicht den Exchange über seine öffentliche IP Adresse. Dann liefert er seine Mail über die öffentliche IP des Exchange ein...?
Das erfährst du (hoffentlich) im Mail-Header der angelehnten Mails. Vielleicht hat er dort mal seine Class-C Adresse verwendet?
Die Anfrage wird sicher von deinen Clients erzeugt (Windows Update?). Für tiefere Analyse könnte man das DNS Logging entsprechend aktivieren.
Die IP gehört zu Akamei und die wiederum arbeiten mit Microsoft bzw. umgekehrt zusammen - MS nutzt Dienste von Akamei.
5001 muss nicht zwingend ein Fehler sein. Der DNS Server erhält eine Antwort, die auf mind. 2 Pakete verteilt ist. Erwartet hat er ein einziges Paket. Die Show geht aber trotzdem weiter.
Wenn du experimentierfreudig bist, kannst du folgenden RegHack anwenden:
http://dominik.strassernet.at/fehlercode-5501-dns
$ dnscmd /config /EnableEDNSProbes 0
Dann DNS Server restarten.
Die Änderung lässt sich mittels regedit einfach rückgängig machen, so dass es in deinem kleinen Netz keine irreparablen Nebeneffekte geben dürfte. Es könnten aber statt dessen 5004-Fehler kommen
Im Zweifelsfall mach ein neues Thema auf, das gehört hier nicht mehr hin.
Die IP gehört zu Akamei und die wiederum arbeiten mit Microsoft bzw. umgekehrt zusammen - MS nutzt Dienste von Akamei.
5001 muss nicht zwingend ein Fehler sein. Der DNS Server erhält eine Antwort, die auf mind. 2 Pakete verteilt ist. Erwartet hat er ein einziges Paket. Die Show geht aber trotzdem weiter.
Wenn du experimentierfreudig bist, kannst du folgenden RegHack anwenden:
http://dominik.strassernet.at/fehlercode-5501-dns
$ dnscmd /config /EnableEDNSProbes 0
Dann DNS Server restarten.
Die Änderung lässt sich mittels regedit einfach rückgängig machen, so dass es in deinem kleinen Netz keine irreparablen Nebeneffekte geben dürfte. Es könnten aber statt dessen 5004-Fehler kommen
Im Zweifelsfall mach ein neues Thema auf, das gehört hier nicht mehr hin.