rg2525
Goto Top

Suche in LOG Files nach emails an nicht existierende Email Adressen (dringend)

Hallo,
Wir haben über die Adresse info@firma.de automatisiert wichtige emails an 1000 personen gesendet.
Ich habe versehentlich statt der Adresse info@firma.de eine Mailbox mit der Adresse info@firma.com eingerichtet um die NDRs abzufangen.
Jetzt sind natürlich keine NDRs empfangen worden!
Kann ich irgendwo in den LOGs nachschauen, ob an diese Adresse NDRs gesendet wurden oder man versucht hat eine Antwort an diese Adresse zu senden?
Ich habe ein SBS2011 also Exchange 2010.
Danke
Olaf

Content-ID: 351135

Url: https://administrator.de/contentid/351135

Ausgedruckt am: 22.11.2024 um 08:11 Uhr

beidermachtvongreyscull
beidermachtvongreyscull 09.10.2017 aktualisiert um 10:11:25 Uhr
Goto Top
Schau mal in diesen Ordnern nach:

C:\Program Files\Microsoft\Exchange Server\V14\TransportRoles\Logs\ProtocolLog\SmtpReceive
C:\Programme\Microsoft\Exchange Server\V14\TransportRoles\Logs\AgentLog

Ich nehme mal an, dass Du von Emails schreibst, die auf Deinem Exchangeserver hätten eingehen sollen.

Falls Du Pech hast, läuft eine Logrotation. Dann überschreibt der Server ältere Logs, um nicht vollzulaufen.
Falls Du mehr Pech hast, ist das Logging ausgeschaltet und es sind keine Dateien da.

Das obere Verzeichnis sollte die Logs enthalten, die der SMTP-Dienst bei Empfangsvorgängen erstellt.
Das untere ist von den SPAM-Agenten (falls installiert).
GuentherH
GuentherH 09.10.2017 um 10:30:00 Uhr
Goto Top
eine Mailbox mit der Adresse info@firma.com eingerichtet um die NDRs abzufangen.
Jetzt sind natürlich keine NDRs empfangen worden!

Die sind natürlich an info.firma.com gegangen. Wenn es diese Domäne nicht gibt, dann landen sie im Nirwana. Wenn sie auf ein anderes Unternehmen registriert ist, dann werden sie von diesem Mailserver empfangen, wenn es den Empfänger gibt.

LG Günther
RG2525
RG2525 09.10.2017 um 10:32:19 Uhr
Goto Top
Hallo, Danke für die schnelle Antwort,

Die Datei in SmtpReceive Ordner ist 13K groß!
Die Windows Log Datei Anwendung habe ich exportiert. war 20GB groß. Kann aber jetzt drinen auf schnelle nichts finden.

Als ich die falsche Adresse in Exchange korrigiert hab, habe ich bemerkt, dass ca. 30 Emails in der Warteschlange waren und einige NDRs jetzt eintreffen!
Kann ich davon ausgehen, dass jetzt alles passt? Wie Lange versucht Exchange die Emails noch zu senden, die Aussendung war vor 4 Tagen!

Danke
Olaf
GuentherH
GuentherH 09.10.2017 um 10:34:33 Uhr
Goto Top
Wie Lange versucht Exchange die Emails noch zu senden,

48 Stunden

LG Günther
beidermachtvongreyscull
beidermachtvongreyscull 09.10.2017 um 10:35:08 Uhr
Goto Top
Standard sind -soweit ich weiß- 8 Tage.
Es kommt drauf an, wie lange Emails im Internet zirkulieren. Es muss nicht so lange sein.
RG2525
RG2525 09.10.2017 um 10:45:42 Uhr
Goto Top
Tatsache ist dass ich heute nach 4 Tagen noch NDRs bekomme obwohl die Email Adresse nicht existiert hat.

Ist es eine Einstellung in Exchange?
Ich muss ganz sicher sein, ob ich jetzt alle NDRs habe oder nicht, sonst muss ich die Emails nochmals senden, was ein Bisschen peinlich wäre!

Danke
Olaf.
beidermachtvongreyscull
beidermachtvongreyscull 09.10.2017 um 11:11:58 Uhr
Goto Top
Nein. Nicht ausschließlich.
Es ist auch eine Frage der sendenden Server.

Die Email knallt bei Fehler unverzüglich zum Sender zurück.
In Abhängigkeit des Fehlers (zum Beispiel "Zielserver nicht erreichbar"), kann eine Wiederholung stattfinden.
RG2525
RG2525 09.10.2017 aktualisiert um 12:05:03 Uhr
Goto Top
Hallo Günther, sorry info hat gefehlt.
Beide Domains gehören uns.
LG
Olaf
GuentherH
GuentherH 09.10.2017 um 12:19:26 Uhr
Goto Top
Geh einfach die Reihenfolge des Mailversandes durch.

- Exchange versende Mail - Empfänger unbekannt
- euer Exchange generiert nach 48 Stunden einen NDR (das ist die Standardeinstellung nach RFC)
- im SMTP Log sollte dieser Eintrag zu finden sein

Jetzt kommt es natürlich darauf an, ob domain.com am Exchange als authorisierte Domäne eingetragen ist.
- wenn nein, dann kann der NDR nicht zugestellt werden, sollte auch im LOG enthalten sein
- wenn ja, dann sollte eigentlich die Absenderadresse eine Fehlermeldung erhalten, dass das Empfängerpostfach nicht exisitiert

LG Günther
maretz
maretz 09.10.2017 um 13:59:31 Uhr
Goto Top
Moin,

dann mal viel Spass... Den wirst du jetzt haben!
Das eine sind die NDR's - ok, die sind dann egal. Die bekommst du ja nur von Adressen die es nicht gibt. Wäre also nix wildes, dann sind halt nen paar Leichen in deinem Verteiler...

ABER: Du wirst auch in div. Spam-Filtern gelandet sein. Alles was nen Reverse-Lookup macht (und das sind heute nicht wenige). Weil jetzt sendest du von info@firma.com und kommst von der IP 123.123.123.123. Mein Mailserver macht nen kurzen Request und stellt fest das firma.com als IP 111.111.111.111 hat. Somit bist du vermutlich nicht von Firma.com und wirst gelöscht - fertig... Ob du jetzt firma.de bist oder nicht interessiert den Mailserver dabei nicht, der prüft ja nicht ob es irgendeinen "erlaubten" Mailserver gibt der eine ähnliche Adresse hat....

Von daher bleibt dir nur eines: Diese "wichtige Mail" noch mal senden mit der Entschuldigung das der Admin (--> DU) grade wegen des Fehlers zum öffentlichen Auspeitschen am örtlichen Marktplatz angekettet wurde.... Denn du wirst nicht rausfinden ob mein Mailserver z.B. deine Mail dadurch gelöscht hat oder nicht. Man will schließlich einem Spam-Versender die Adressen nicht bestätigen und somit wird Spam einfach gelöscht. Blöd für dich wenn deine Mail kein Spam war...
RG2525
RG2525 09.10.2017 aktualisiert um 15:10:02 Uhr
Goto Top
Hi
Danke für die Antwort.
Auf das wäre ich gar nicht gekommen aber eine Frage.

Bei einer Reverse Lookup wird ja nur die Domäne abgefragt oder? Nicht die Email Adresse!
Wenn nur die Domäne abgefragt wird, habe ich kein Problem, weil die Domäne existiert und registriert und empfängt auch die Emails.
Wenn gegen Benutzername abgefragt wird dann habe ich ein riesen Pech.
Hoffe ich mache keinen Denkfehler (noch mehr Fehler kann ich mir gerade nicht mehr leisten)

Danke
olaf
beidermachtvongreyscull
beidermachtvongreyscull 09.10.2017 um 15:36:48 Uhr
Goto Top
Der Reverse-Lookup bezieht sich immer auf den DNS des Providers, der die offizielle IP bereitstellt.
Denn nur dort kann der benötigte PTR-Eintrag eingerichtet werden.
maretz
maretz 09.10.2017 um 17:02:00 Uhr
Goto Top
Moin,

das ist halb richtig... Es wird natürlich nur die Domain abgefragt - mehr weiss der DNS ja auch nicht.
Aber: Die Domain muss nicht nur existieren, die muss auch auf denselben Server verweisen!
GuentherH
GuentherH 09.10.2017 um 17:38:00 Uhr
Goto Top
Wir haben über die Adresse info@firma.de automatisiert wichtige emails an 1000 personen gesendet.

Der TO hat ja laut seiner Aussage über die Standarddomäne firma.de versendet. Somit sollte hier der PTR sowieso stimmen und damit ist keine Gefahr gegeben auf einer SPAM List zu landen.

Die weiteren Info hat der TO ja bisher vorenthalten, z.B.
- mit welchem Programm wurde versendet? Wenn es Outlook ist dann muss ja die Adresse info@firma.de am Exchange existieren, sonst ist kein Versand möglich
- ist die Domäne firma.com am Exchange als authoritive Domäne eingetragen? Wenn ja, dann läuft sowieso alles Exchange intern ab

LG Günther
RG2525
RG2525 09.10.2017 um 17:55:00 Uhr
Goto Top
Ich habe hier die Ganze Kommunikationslogs gefunden:
C:\Program Files\Microsoft\Exchange Server\V14\TransportRoles\Logs\AgentLog
Eine Beispielzeile:
2017-10-07T14:20:09.127Z aaaa@xxxx.com myaddress@dom.de RejectCommand 550 5.1.1 User unknown RecipientDoesNotExist
Zu dieser Zeitpunk hat bei mir die Adresse myaddress@dom.de noch nicht existiert! Trotzdem ein LOG Eintrag.
Es stehen auch die ganzen Acceptmessages d.h. in Excel werde ich genau scahuen wievile die Emails bekommen haben etc...
Also ordentlich analysieren.

Das alles wegen einem vergessenen Häckchen bei der SMTPAdress-Erstellung.
RG2525
RG2525 09.10.2017 aktualisiert um 17:59:11 Uhr
Goto Top
Sorry GuentherH, habe deinen Eintrag erst jetzt gesehen.
Die Emails sind von einem anderen Applikationsserver direkt gesendet worden. Der Exchange server relayt für diesen APP Server.
Auch die COM Domain ist authoritive.
DANKE
Olaf.
beidermachtvongreyscull
beidermachtvongreyscull 09.10.2017 um 18:58:21 Uhr
Goto Top
Du hast also AntiSPAM-Agenten auf der Mühle in Betrieb.
Sehr löblich.

Das sind keine Kommunikationslogs!
Das sind die Logfiles Deiner Spamagenten.

Hier drin steht nur, was angenommen oder abgelehnt wurde und wieso.
RG2525
RG2525 10.10.2017 um 07:17:33 Uhr
Goto Top
Oh. Danke für die Info. Das stimmt.
Da stehen eigentlich genau die Informationen, die ich brauche. (Wer versucht hat zurückzuschreiben etc...)

Nur wenn diese 50 Log Einträge ohne Absenderadresse und messageID nicht gewesen wären.
Weiß im Moment nicht was die sind Kein Absender und MessageID im LOG Eintrag! Empfänger ist meine nicht existierende Email Adresse.

Muss die IP Adressen in der LOG Datei verfolgen.

Danke allen für die Unterstützung...
maretz
maretz 10.10.2017 um 08:02:30 Uhr
Goto Top
Moin,

wenn es wirklich wichtige Infos (und nich nur der übliche Werbekram) sind würde ich erwägen die nochmal zu senden mit der Entschuldigung das der Mailserver ein Problem hatte... Ich denke das ist jetzt nichts sooo ungewöhnliches... Wenn du noch ne Woche suchst braucht man keine wichtigen Infos mehr, das ist dann üblicherweise eh erledigt...

Wenns natürlich nur die übliche Werbung ist klappt das nicht - d.h. es sollte wirklich relevant sein.