19
Suche in LOG Files nach emails an nicht existierende Email Adressen (dringend)
Hallo,
Wir haben über die Adresse info@firma.de automatisiert wichtige emails an 1000 personen gesendet.
Ich habe versehentlich statt der Adresse info@firma.de eine Mailbox mit der Adresse info@firma.com eingerichtet um die NDRs abzufangen.
Jetzt sind natürlich keine NDRs empfangen worden!
Kann ich irgendwo in den LOGs nachschauen, ob an diese Adresse NDRs gesendet wurden oder man versucht hat eine Antwort an diese Adresse zu senden?
Ich habe ein SBS2011 also Exchange 2010.
Danke
Olaf
Wir haben über die Adresse info@firma.de automatisiert wichtige emails an 1000 personen gesendet.
Ich habe versehentlich statt der Adresse info@firma.de eine Mailbox mit der Adresse info@firma.com eingerichtet um die NDRs abzufangen.
Jetzt sind natürlich keine NDRs empfangen worden!
Kann ich irgendwo in den LOGs nachschauen, ob an diese Adresse NDRs gesendet wurden oder man versucht hat eine Antwort an diese Adresse zu senden?
Ich habe ein SBS2011 also Exchange 2010.
Danke
Olaf
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 351135
Url: https://administrator.de/contentid/351135
Ausgedruckt am: 04.11.2024 um 22:11 Uhr
19 Kommentare
Neuester Kommentar
Schau mal in diesen Ordnern nach:
C:\Program Files\Microsoft\Exchange Server\V14\TransportRoles\Logs\ProtocolLog\SmtpReceive
C:\Programme\Microsoft\Exchange Server\V14\TransportRoles\Logs\AgentLog
Ich nehme mal an, dass Du von Emails schreibst, die auf Deinem Exchangeserver hätten eingehen sollen.
Falls Du Pech hast, läuft eine Logrotation. Dann überschreibt der Server ältere Logs, um nicht vollzulaufen.
Falls Du mehr Pech hast, ist das Logging ausgeschaltet und es sind keine Dateien da.
Das obere Verzeichnis sollte die Logs enthalten, die der SMTP-Dienst bei Empfangsvorgängen erstellt.
Das untere ist von den SPAM-Agenten (falls installiert).
C:\Program Files\Microsoft\Exchange Server\V14\TransportRoles\Logs\ProtocolLog\SmtpReceive
C:\Programme\Microsoft\Exchange Server\V14\TransportRoles\Logs\AgentLog
Ich nehme mal an, dass Du von Emails schreibst, die auf Deinem Exchangeserver hätten eingehen sollen.
Falls Du Pech hast, läuft eine Logrotation. Dann überschreibt der Server ältere Logs, um nicht vollzulaufen.
Falls Du mehr Pech hast, ist das Logging ausgeschaltet und es sind keine Dateien da.
Das obere Verzeichnis sollte die Logs enthalten, die der SMTP-Dienst bei Empfangsvorgängen erstellt.
Das untere ist von den SPAM-Agenten (falls installiert).
eine Mailbox mit der Adresse info@firma.com eingerichtet um die NDRs abzufangen.
Jetzt sind natürlich keine NDRs empfangen worden!
Jetzt sind natürlich keine NDRs empfangen worden!
Die sind natürlich an info.firma.com gegangen. Wenn es diese Domäne nicht gibt, dann landen sie im Nirwana. Wenn sie auf ein anderes Unternehmen registriert ist, dann werden sie von diesem Mailserver empfangen, wenn es den Empfänger gibt.
LG Günther
Hallo, Danke für die schnelle Antwort,
Die Datei in SmtpReceive Ordner ist 13K groß!
Die Windows Log Datei Anwendung habe ich exportiert. war 20GB groß. Kann aber jetzt drinen auf schnelle nichts finden.
Als ich die falsche Adresse in Exchange korrigiert hab, habe ich bemerkt, dass ca. 30 Emails in der Warteschlange waren und einige NDRs jetzt eintreffen!
Kann ich davon ausgehen, dass jetzt alles passt? Wie Lange versucht Exchange die Emails noch zu senden, die Aussendung war vor 4 Tagen!
Danke
Olaf
Die Datei in SmtpReceive Ordner ist 13K groß!
Die Windows Log Datei Anwendung habe ich exportiert. war 20GB groß. Kann aber jetzt drinen auf schnelle nichts finden.
Als ich die falsche Adresse in Exchange korrigiert hab, habe ich bemerkt, dass ca. 30 Emails in der Warteschlange waren und einige NDRs jetzt eintreffen!
Kann ich davon ausgehen, dass jetzt alles passt? Wie Lange versucht Exchange die Emails noch zu senden, die Aussendung war vor 4 Tagen!
Danke
Olaf
Wie Lange versucht Exchange die Emails noch zu senden,
48 Stunden
LG Günther
Standard sind -soweit ich weiß- 8 Tage.
Es kommt drauf an, wie lange Emails im Internet zirkulieren. Es muss nicht so lange sein.
Es kommt drauf an, wie lange Emails im Internet zirkulieren. Es muss nicht so lange sein.
Tatsache ist dass ich heute nach 4 Tagen noch NDRs bekomme obwohl die Email Adresse nicht existiert hat.
Ist es eine Einstellung in Exchange?
Ich muss ganz sicher sein, ob ich jetzt alle NDRs habe oder nicht, sonst muss ich die Emails nochmals senden, was ein Bisschen peinlich wäre!
Danke
Olaf.
Ist es eine Einstellung in Exchange?
Ich muss ganz sicher sein, ob ich jetzt alle NDRs habe oder nicht, sonst muss ich die Emails nochmals senden, was ein Bisschen peinlich wäre!
Danke
Olaf.
Nein. Nicht ausschließlich.
Es ist auch eine Frage der sendenden Server.
Die Email knallt bei Fehler unverzüglich zum Sender zurück.
In Abhängigkeit des Fehlers (zum Beispiel "Zielserver nicht erreichbar"), kann eine Wiederholung stattfinden.
Es ist auch eine Frage der sendenden Server.
Die Email knallt bei Fehler unverzüglich zum Sender zurück.
In Abhängigkeit des Fehlers (zum Beispiel "Zielserver nicht erreichbar"), kann eine Wiederholung stattfinden.
Hallo Günther, sorry info hat gefehlt.
Beide Domains gehören uns.
LG
Olaf
Beide Domains gehören uns.
LG
Olaf
Geh einfach die Reihenfolge des Mailversandes durch.
- Exchange versende Mail - Empfänger unbekannt
- euer Exchange generiert nach 48 Stunden einen NDR (das ist die Standardeinstellung nach RFC)
- im SMTP Log sollte dieser Eintrag zu finden sein
Jetzt kommt es natürlich darauf an, ob domain.com am Exchange als authorisierte Domäne eingetragen ist.
- wenn nein, dann kann der NDR nicht zugestellt werden, sollte auch im LOG enthalten sein
- wenn ja, dann sollte eigentlich die Absenderadresse eine Fehlermeldung erhalten, dass das Empfängerpostfach nicht exisitiert
LG Günther
- Exchange versende Mail - Empfänger unbekannt
- euer Exchange generiert nach 48 Stunden einen NDR (das ist die Standardeinstellung nach RFC)
- im SMTP Log sollte dieser Eintrag zu finden sein
Jetzt kommt es natürlich darauf an, ob domain.com am Exchange als authorisierte Domäne eingetragen ist.
- wenn nein, dann kann der NDR nicht zugestellt werden, sollte auch im LOG enthalten sein
- wenn ja, dann sollte eigentlich die Absenderadresse eine Fehlermeldung erhalten, dass das Empfängerpostfach nicht exisitiert
LG Günther
Moin,
dann mal viel Spass... Den wirst du jetzt haben!
Das eine sind die NDR's - ok, die sind dann egal. Die bekommst du ja nur von Adressen die es nicht gibt. Wäre also nix wildes, dann sind halt nen paar Leichen in deinem Verteiler...
ABER: Du wirst auch in div. Spam-Filtern gelandet sein. Alles was nen Reverse-Lookup macht (und das sind heute nicht wenige). Weil jetzt sendest du von info@firma.com und kommst von der IP 123.123.123.123. Mein Mailserver macht nen kurzen Request und stellt fest das firma.com als IP 111.111.111.111 hat. Somit bist du vermutlich nicht von Firma.com und wirst gelöscht - fertig... Ob du jetzt firma.de bist oder nicht interessiert den Mailserver dabei nicht, der prüft ja nicht ob es irgendeinen "erlaubten" Mailserver gibt der eine ähnliche Adresse hat....
Von daher bleibt dir nur eines: Diese "wichtige Mail" noch mal senden mit der Entschuldigung das der Admin (--> DU) grade wegen des Fehlers zum öffentlichen Auspeitschen am örtlichen Marktplatz angekettet wurde.... Denn du wirst nicht rausfinden ob mein Mailserver z.B. deine Mail dadurch gelöscht hat oder nicht. Man will schließlich einem Spam-Versender die Adressen nicht bestätigen und somit wird Spam einfach gelöscht. Blöd für dich wenn deine Mail kein Spam war...
dann mal viel Spass... Den wirst du jetzt haben!
Das eine sind die NDR's - ok, die sind dann egal. Die bekommst du ja nur von Adressen die es nicht gibt. Wäre also nix wildes, dann sind halt nen paar Leichen in deinem Verteiler...
ABER: Du wirst auch in div. Spam-Filtern gelandet sein. Alles was nen Reverse-Lookup macht (und das sind heute nicht wenige). Weil jetzt sendest du von info@firma.com und kommst von der IP 123.123.123.123. Mein Mailserver macht nen kurzen Request und stellt fest das firma.com als IP 111.111.111.111 hat. Somit bist du vermutlich nicht von Firma.com und wirst gelöscht - fertig... Ob du jetzt firma.de bist oder nicht interessiert den Mailserver dabei nicht, der prüft ja nicht ob es irgendeinen "erlaubten" Mailserver gibt der eine ähnliche Adresse hat....
Von daher bleibt dir nur eines: Diese "wichtige Mail" noch mal senden mit der Entschuldigung das der Admin (--> DU) grade wegen des Fehlers zum öffentlichen Auspeitschen am örtlichen Marktplatz angekettet wurde.... Denn du wirst nicht rausfinden ob mein Mailserver z.B. deine Mail dadurch gelöscht hat oder nicht. Man will schließlich einem Spam-Versender die Adressen nicht bestätigen und somit wird Spam einfach gelöscht. Blöd für dich wenn deine Mail kein Spam war...
Hi
Danke für die Antwort.
Auf das wäre ich gar nicht gekommen aber eine Frage.
Bei einer Reverse Lookup wird ja nur die Domäne abgefragt oder? Nicht die Email Adresse!
Wenn nur die Domäne abgefragt wird, habe ich kein Problem, weil die Domäne existiert und registriert und empfängt auch die Emails.
Wenn gegen Benutzername abgefragt wird dann habe ich ein riesen Pech.
Hoffe ich mache keinen Denkfehler (noch mehr Fehler kann ich mir gerade nicht mehr leisten)
Danke
olaf
Danke für die Antwort.
Auf das wäre ich gar nicht gekommen aber eine Frage.
Bei einer Reverse Lookup wird ja nur die Domäne abgefragt oder? Nicht die Email Adresse!
Wenn nur die Domäne abgefragt wird, habe ich kein Problem, weil die Domäne existiert und registriert und empfängt auch die Emails.
Wenn gegen Benutzername abgefragt wird dann habe ich ein riesen Pech.
Hoffe ich mache keinen Denkfehler (noch mehr Fehler kann ich mir gerade nicht mehr leisten)
Danke
olaf
Der Reverse-Lookup bezieht sich immer auf den DNS des Providers, der die offizielle IP bereitstellt.
Denn nur dort kann der benötigte PTR-Eintrag eingerichtet werden.
Denn nur dort kann der benötigte PTR-Eintrag eingerichtet werden.
Moin,
das ist halb richtig... Es wird natürlich nur die Domain abgefragt - mehr weiss der DNS ja auch nicht.
Aber: Die Domain muss nicht nur existieren, die muss auch auf denselben Server verweisen!
das ist halb richtig... Es wird natürlich nur die Domain abgefragt - mehr weiss der DNS ja auch nicht.
Aber: Die Domain muss nicht nur existieren, die muss auch auf denselben Server verweisen!
Wir haben über die Adresse info@firma.de automatisiert wichtige emails an 1000 personen gesendet.
Der TO hat ja laut seiner Aussage über die Standarddomäne firma.de versendet. Somit sollte hier der PTR sowieso stimmen und damit ist keine Gefahr gegeben auf einer SPAM List zu landen.
Die weiteren Info hat der TO ja bisher vorenthalten, z.B.
- mit welchem Programm wurde versendet? Wenn es Outlook ist dann muss ja die Adresse info@firma.de am Exchange existieren, sonst ist kein Versand möglich
- ist die Domäne firma.com am Exchange als authoritive Domäne eingetragen? Wenn ja, dann läuft sowieso alles Exchange intern ab
LG Günther
Ich habe hier die Ganze Kommunikationslogs gefunden:
C:\Program Files\Microsoft\Exchange Server\V14\TransportRoles\Logs\AgentLog
Eine Beispielzeile:
2017-10-07T14:20:09.127Z aaaa@xxxx.com myaddress@dom.de RejectCommand 550 5.1.1 User unknown RecipientDoesNotExist
Zu dieser Zeitpunk hat bei mir die Adresse myaddress@dom.de noch nicht existiert! Trotzdem ein LOG Eintrag.
Es stehen auch die ganzen Acceptmessages d.h. in Excel werde ich genau scahuen wievile die Emails bekommen haben etc...
Also ordentlich analysieren.
Das alles wegen einem vergessenen Häckchen bei der SMTPAdress-Erstellung.
C:\Program Files\Microsoft\Exchange Server\V14\TransportRoles\Logs\AgentLog
Eine Beispielzeile:
2017-10-07T14:20:09.127Z aaaa@xxxx.com myaddress@dom.de RejectCommand 550 5.1.1 User unknown RecipientDoesNotExist
Zu dieser Zeitpunk hat bei mir die Adresse myaddress@dom.de noch nicht existiert! Trotzdem ein LOG Eintrag.
Es stehen auch die ganzen Acceptmessages d.h. in Excel werde ich genau scahuen wievile die Emails bekommen haben etc...
Also ordentlich analysieren.
Das alles wegen einem vergessenen Häckchen bei der SMTPAdress-Erstellung.
Sorry GuentherH, habe deinen Eintrag erst jetzt gesehen.
Die Emails sind von einem anderen Applikationsserver direkt gesendet worden. Der Exchange server relayt für diesen APP Server.
Auch die COM Domain ist authoritive.
DANKE
Olaf.
Die Emails sind von einem anderen Applikationsserver direkt gesendet worden. Der Exchange server relayt für diesen APP Server.
Auch die COM Domain ist authoritive.
DANKE
Olaf.
Du hast also AntiSPAM-Agenten auf der Mühle in Betrieb.
Sehr löblich.
Das sind keine Kommunikationslogs!
Das sind die Logfiles Deiner Spamagenten.
Hier drin steht nur, was angenommen oder abgelehnt wurde und wieso.
Sehr löblich.
Das sind keine Kommunikationslogs!
Das sind die Logfiles Deiner Spamagenten.
Hier drin steht nur, was angenommen oder abgelehnt wurde und wieso.
Oh. Danke für die Info. Das stimmt.
Da stehen eigentlich genau die Informationen, die ich brauche. (Wer versucht hat zurückzuschreiben etc...)
Nur wenn diese 50 Log Einträge ohne Absenderadresse und messageID nicht gewesen wären.
Weiß im Moment nicht was die sind Kein Absender und MessageID im LOG Eintrag! Empfänger ist meine nicht existierende Email Adresse.
Muss die IP Adressen in der LOG Datei verfolgen.
Danke allen für die Unterstützung...
Da stehen eigentlich genau die Informationen, die ich brauche. (Wer versucht hat zurückzuschreiben etc...)
Nur wenn diese 50 Log Einträge ohne Absenderadresse und messageID nicht gewesen wären.
Weiß im Moment nicht was die sind Kein Absender und MessageID im LOG Eintrag! Empfänger ist meine nicht existierende Email Adresse.
Muss die IP Adressen in der LOG Datei verfolgen.
Danke allen für die Unterstützung...
Moin,
wenn es wirklich wichtige Infos (und nich nur der übliche Werbekram) sind würde ich erwägen die nochmal zu senden mit der Entschuldigung das der Mailserver ein Problem hatte... Ich denke das ist jetzt nichts sooo ungewöhnliches... Wenn du noch ne Woche suchst braucht man keine wichtigen Infos mehr, das ist dann üblicherweise eh erledigt...
Wenns natürlich nur die übliche Werbung ist klappt das nicht - d.h. es sollte wirklich relevant sein.
wenn es wirklich wichtige Infos (und nich nur der übliche Werbekram) sind würde ich erwägen die nochmal zu senden mit der Entschuldigung das der Mailserver ein Problem hatte... Ich denke das ist jetzt nichts sooo ungewöhnliches... Wenn du noch ne Woche suchst braucht man keine wichtigen Infos mehr, das ist dann üblicherweise eh erledigt...
Wenns natürlich nur die übliche Werbung ist klappt das nicht - d.h. es sollte wirklich relevant sein.
