derinderinderin
Goto Top

Vorgehensweise wechsel des MX Eintrages bei neuer IP

Guten Morgen Zusammen,

Wir haben zur Zeit noch eine CompanyConnect Leitung mit diversen festen IPs.
IP ist z.B. 123.123.123.123.

Derzeit haben wir einen A-Record bei unserem Domain Hoster von:
mail.unsere-domain.de --> 123.123.123.123.

sowie einen MX Eintrag:
mail IN A 123.123.123.123
@ IN MX 10 mail.unsere-domain.de.

Emails werden von unserer SOPHOS SG230 angenommen und an den ExchangeServer weitergeleitet.

Nun haben wir eine VDSL Leitung hinzubekommen mit einer Festen IP
z.B. 212.212.212.212

Beide Leitungen funktionieren und liegen auf einer SOPHOS SG230 auf.

Wir hatten nun versucht, den A-Record auf die neue IP setzen zu lassen.
Bzw. wir haben darum gebeten beide MX-Einträge nach Priorität zu setzen.
Wenn also die zustellung auf die neue nicht geht, es immer noch über die Alte ip funktioniert.
So könnten wir die Company Connect Leitung testweise einfach mal abklemmen.

Wurden dann Emails an unsere Domain gesendet folgten diese Fehlermeldungen:

"Reporting-MTA: dns;dub0-omc4-s21.dub0.hotmail.com
Received-From-MTA: dns;DUB127-W40
Arrival-Date: Mon, 5 May 2014 06:40:09 -0700
Final-Recipient: rfc822;name.nachname@unsere-domain.de
Action: failed
Status: 5.7.1
Diagnostic-Code: smtp;554 5.7.1 : Relay access denied"
This is an automatically generated Delivery Status Notification.
Delivery to the following recipients failed.

"Relay access denied"
Ich kann nun nicht ganz lokalisieren wo der Fehler genau ist.
Lehnt unsere Sophos das weiterleiten an den Exchange ab?
Werden die Emails vom Hoster bereits abgelehnt?

Wir habne den Eintrag nun erstmal wieder umgesetzt.

Wie wäre die korrekte vorgehensweise?
Hat jemand eine Idee. Ich wäre sehr Dankbar.

Mit freundlichen Grüßen derinderinderin

Content-ID: 283028

Url: https://administrator.de/forum/vorgehensweise-wechsel-des-mx-eintrages-bei-neuer-ip-283028.html

Ausgedruckt am: 23.12.2024 um 13:12 Uhr

fognet
fognet 16.09.2015 um 11:50:30 Uhr
Goto Top
Hi

Wurden dann Emails an unsere Domain gesendet folgten diese Fehlermeldungen:
Also Ihr habt euch geschrieben mit einem Externen Anbieter wie Hotmail?
dub0.hotmail.com
Habt ihr von einer Hotmail Adresse Geschrieben?
Kann es sein das sich der Sendende Account nicht Richtig an seinem Server angemeldet hat?


LG PPR
derinderinderin
derinderinderin 16.09.2015 um 12:05:02 Uhr
Goto Top
Hallo,

ja nachdem wir den MX Eintrag gesetzt haben, habe ich von einer privaten externen Adresse (outlook.com) eine Testemail geschickt.
Von dem Account aus sollte alles OK sein, da anschließend Emails auch wieder übermittelt wurden., nachdem wir alles Rückgängig gemacht haben.

gruß
marvin42
marvin42 16.09.2015 um 13:50:50 Uhr
Goto Top
Hallo derinderinderin,

"Reporting-MTA: dns;dub0-omc4-s21.dub0.hotmail.com
Received-From-MTA: dns;DUB127-W40
Arrival-Date: Mon, 5 May 2014 06:40:09 -0700
Final-Recipient: rfc822;name.nachname@unsere-domain.de
Action: failed
Status: 5.7.1
Diagnostic-Code: smtp;554 5.7.1 : Relay access denied"
This is an automatically generated Delivery Status Notification.
Delivery to the following recipients failed.

"Relay access denied"


zuerst einmal würde ich schauen, dass ich die TTL auf einen sehr kleinen Wert setze.
5 Minuten sind für einige Tage bei so einer Umstellung mit dem Zentralen MX evtl. schon ok.

Erst wenn Du die TTL runtergedreht hast, würde ich überhaupt mit irgendeiner anderen Einstellung zu testen anfangen. Sonst testest Du mit etwas Spass nämlich in teilen des Internets noch mit Deinen alten Einstellungen und es fällt Dir selber noch nicht mal face-wink.

Wenn dass durch ist (je nach alten Einstellungen also locker 1-3 Tage nach der TTL-Veränderung warten), würde ich einen zweiten MX-Record mit der neuen IP und einer niedrigeren / oder höheren Priorität einrichten, je nachdem wie Du halt testen möchtest und was Dir wichtiger ist.

Beschreib bitte auch mal noch viel genauer, wie Euer Aufbau (Sophos / Firewall / Exchange) genau ist. Vermutlich stimmt bei einem und/oder mehreren die Einstellung nicht richtig. Achte darauf, dass für BEIDE IP's externe IP's dass Relaying intern wie extern auf den entsprechenden Geräten erlaubt ist! Was Relaying bedeutet, ist Dir ja soweit klar ?!

Wenn einer der Komponenten auf dem Weg der Meinung ist, dass er nicht autorisiert ist (weil der Name nicht stimmt, die IP nicht stimmt oder die Range einfach nicht zum weiterleiten eingetragen), die Mails weiterzuleiten dann macht er es halt nicht und es kommt zu der Fehlermeldung.


Viele Grüße
marvin42
derinderinderin
derinderinderin 18.09.2015 um 12:32:18 Uhr
Goto Top
Hallo marvin42,

Danke für deine Antwort.

Okay ich versuche so genau es geht auf die Fragen einzugehen.

Erstmal vorab. Die TTL kann ich vom Provider also runter setzten lassen, damit ich "schneller" mit Änderungen testen kann. OK

Nur zum Verständnis:
Laut dem Support hatten sie ja einen zweiten MX Eintrag gesetzt. Müsste meine Email, die mit der oben angeführten Fehlermeldung nicht dann
an den alternativen bzw. "alten" MX Eintrag gesendet werden? Ich dachte das ist quasi ein Failover mechanismus?
Daher habe ich nicht verstanden, dass diese garnicht angekommen ist?! Oder ist eben dies ein Indiz dafür, dass die Mail bis zur Sophos durchgegangen ist und dann icht weitergeleitet wurde?

Ok zu den Infos:
Wir haben ein Exchange 2010 auf Windows 2008 Server R2 laufen.
Über die Sophos Firewall werden die Emails per SmartHost versendet.
Als Smarthost ist in der Shopos der Mailserver von unserem Provider eingetragen.
Unter dem Punkt Relaying ist im Bereich Zugelassene Hosts/Netzwerke unser Exchangeserver eingetragen.
Eingehende Emails landen auf der Firewall im SMTP Email Protection und werden dann an den Exchangeserver weitergegeben.

Hier fällt mir nun im Relaying Bereich folgender Punkt auf:
"Upstream-Hosts/-Netzwerke" = Wenn Sie eingehende E-Mails per Weiterleitung von statischen Upstream-Hosts (z. B. dem ISP oder einem externen MX) erhalten, MÜSSEN Sie diese Hosts in die Liste aufnehmen, sonst funkioniert der Spam-Schutz nicht zuverlässig. Wenn Sie eingehende E-Mails ausschließlich von Upstream-Hosts erhalten, sollten Sie das Kontrollkästchen Nur Upstream-/Relay-Hosts zulassen markieren. Dies beschränkt den Zugriff auf SMTP auf Upstream- und Relay-Hosts (einschließlich authentifizierter Relays).

Hier ist aber zur Zeit kein Eintrag vorhanden. Auch nicht die bisherige IP.

Relaying sagt mir in der Form schon was, nur ob alle Einstellung dazu passen und ob auf Seitens des Exchange dafür noch etwas konfiguriert werden muss, kann ich leider nicht beantworten.

Ich hoffe du kannst was damit anfangen face-wink
marvin42
marvin42 21.09.2015, aktualisiert am 29.09.2015 um 14:59:56 Uhr
Goto Top
Hallo,

die Sache mit der TTL hast Du richtig verstanden. In jedem Fall runter setzen lassen, weil Du sonst beim Testen nicht sicher sein kannst welcher DNS-Eintrag noch bei irgendeinem Server draußen zieht! Wenn der auf 5 Minuten steht, und mit 3 Tagen Vorlauf so gesetzt wurde kannst Du davon ausgehen, dass ein verändern des DNS-Eintrags in 5 Minuten weltweit rum ist (bis auf die Provider, die sich nicht drum kehren was da eingestellt ist face-wink). Deshalb ist Mail testen und MX-Einträge ändern immer eine sehr spannende Sache face-wink.

Ich bin mir nicht sicher, ob ich Eure Konfiguration wirklich richtig verstanden habe ... ! Liegt Eurer primärer Mailserver (der extern im Internet sichtbar ist) nur auf der Sophos (die es an den Exchange weiterleitet) oder (auch) bei einem Provider, der es an die Sophos weiterleitet, die es dann zum Exchange weiterleitet? Macht die Sophos dann für die MX-Einträge ein bidirektionales NAT oder sieht der Exchange-Server die echten externen IP-Adressen oder nur die Sophos genatteten? Wenn Du unsicher bist, mach eine kleine Zeichnung, wer wo welche IP's sieht und wie welche Namen auflöst! Und nicht nur zeichnen, sondern real auf den jeweiligen Maschinen mit "ping" und "nslookup" prüfen, dass das was Du gemalt hast auch wirklich stimmt face-wink !

Was genau ist Dein primäres Ziel?
1. ) Die Company-Connect Leitung abschalten zu können?
und/oder
2.) Einen dauerhaft einen zweiten Mailserver für Redundanzzwecken zu etablieren?

Ehrlich gesagt würde ich eine Company-Connect als klassische Standleitung unter Ausfallsicherheitsgesichtspunkten lieber behalten als eine VDSL-Leitung. Preismäßig mag dass natürlich anders ausschauen face-wink.

Wahrscheinlich musst Du auf der Sophos in den Firewallregeln beide IP's die den MX bekommen eintragen und für dass Relaying von- und zum Exchange freigeben. Der Exchange wiederum sollte auch beide IP's der Sophos (egal ob genattet oder nicht) kennen. Etwas hakelig könnte sein, dass Dein Exchange-Server über DNS ganz andere IP's geliefert bekommt, als Du für die MX'e eingetragen hast (wenn Du den Namensraum nicht klar getrennt hast).

Evtl. ist es sinnvoll, Deinem Exchange nur die "interne" Namenswelt zu geben. z.B. "intern.weltweiter.domainame".
Die Sophos bekommt dann statisch die interne Namenswelt beigebracht und zieht die reale externe Welt ganz normal per DNS.
So ist die Sophos dann die klassische & einzige Brücke zwischen beiden Welten.

Wie gesagt, mach eine Zeichnung. Schreib Dir die IP-Adressen drauf und schau welcher Server was wie per DNS auflöst.
Wenn die Namen überall eindeutig sind und die richtigen IPs haben, dann klappts auch mit dem Relaying bei zwei oder mehr Mailserver.

Habe leider keine Sophos zum teste da face-wink.
Evtl. hilft Dir auch dass hier:
https://www.sophos.com/en-us/support/knowledgebase/23463.aspx


Viele Grüße
Marvin42
derinderinderin
derinderinderin 29.09.2015 um 15:02:57 Uhr
Goto Top
Hallo Marvin,

Ich hab fälschlicherweise den Beitrag als gelöst markiert :O
Ich bin zur Zeit in einem anderen Projekt eingespannt, werde mich schnellstmöglich zu deinem Beitrag melden.
Vielen Dank schonmal für deine Antwort bzw. Hinweise!

Vorarb: Ziel soll es sein, die Company Connect abzuschalten face-wink

Gruß
derinderinderin
marvin42
marvin42 07.10.2015 um 17:28:02 Uhr
Goto Top
OK, wie ist denn der aktuell Stand? TTL hast Du schon runter gesetzt?

1) Falls ja, kannst Du ja einfach den MX auf den neuen MX ändern, in Sophos & ggf. Exchange mit anpassen und gut.

2) Falls nein, oder Sorge, dann den zweiten MX überall eintragen, in Sophos & ggf. Exchange mit eintragen und schauen ob der zweite auch geht. Geht der zweite MX, dann kannst Du im nächsten Schritt den alten MX löschen.

Tendenziell würde ich 2) vorziehen, auch wenn es etwas aufwendiger zum Einrichten und testen ist.
Wichtig, erst machen, wenn die TTL runter gesetzt ist und sicher überall im Netz bekannt gemacht wurde!