Vorgehensweise wechsel des MX Eintrages bei neuer IP
Guten Morgen Zusammen,
Wir haben zur Zeit noch eine CompanyConnect Leitung mit diversen festen IPs.
IP ist z.B. 123.123.123.123.
Derzeit haben wir einen A-Record bei unserem Domain Hoster von:
mail.unsere-domain.de --> 123.123.123.123.
sowie einen MX Eintrag:
mail IN A 123.123.123.123
@ IN MX 10 mail.unsere-domain.de.
Emails werden von unserer SOPHOS SG230 angenommen und an den ExchangeServer weitergeleitet.
Nun haben wir eine VDSL Leitung hinzubekommen mit einer Festen IP
z.B. 212.212.212.212
Beide Leitungen funktionieren und liegen auf einer SOPHOS SG230 auf.
Wir hatten nun versucht, den A-Record auf die neue IP setzen zu lassen.
Bzw. wir haben darum gebeten beide MX-Einträge nach Priorität zu setzen.
Wenn also die zustellung auf die neue nicht geht, es immer noch über die Alte ip funktioniert.
So könnten wir die Company Connect Leitung testweise einfach mal abklemmen.
Wurden dann Emails an unsere Domain gesendet folgten diese Fehlermeldungen:
"Reporting-MTA: dns;dub0-omc4-s21.dub0.hotmail.com
Received-From-MTA: dns;DUB127-W40
Arrival-Date: Mon, 5 May 2014 06:40:09 -0700
Final-Recipient: rfc822;name.nachname@unsere-domain.de
Action: failed
Status: 5.7.1
Diagnostic-Code: smtp;554 5.7.1 : Relay access denied"
This is an automatically generated Delivery Status Notification.
Delivery to the following recipients failed.
"Relay access denied"
Ich kann nun nicht ganz lokalisieren wo der Fehler genau ist.
Lehnt unsere Sophos das weiterleiten an den Exchange ab?
Werden die Emails vom Hoster bereits abgelehnt?
Wir habne den Eintrag nun erstmal wieder umgesetzt.
Wie wäre die korrekte vorgehensweise?
Hat jemand eine Idee. Ich wäre sehr Dankbar.
Mit freundlichen Grüßen derinderinderin
Wir haben zur Zeit noch eine CompanyConnect Leitung mit diversen festen IPs.
IP ist z.B. 123.123.123.123.
Derzeit haben wir einen A-Record bei unserem Domain Hoster von:
mail.unsere-domain.de --> 123.123.123.123.
sowie einen MX Eintrag:
mail IN A 123.123.123.123
@ IN MX 10 mail.unsere-domain.de.
Emails werden von unserer SOPHOS SG230 angenommen und an den ExchangeServer weitergeleitet.
Nun haben wir eine VDSL Leitung hinzubekommen mit einer Festen IP
z.B. 212.212.212.212
Beide Leitungen funktionieren und liegen auf einer SOPHOS SG230 auf.
Wir hatten nun versucht, den A-Record auf die neue IP setzen zu lassen.
Bzw. wir haben darum gebeten beide MX-Einträge nach Priorität zu setzen.
Wenn also die zustellung auf die neue nicht geht, es immer noch über die Alte ip funktioniert.
So könnten wir die Company Connect Leitung testweise einfach mal abklemmen.
Wurden dann Emails an unsere Domain gesendet folgten diese Fehlermeldungen:
"Reporting-MTA: dns;dub0-omc4-s21.dub0.hotmail.com
Received-From-MTA: dns;DUB127-W40
Arrival-Date: Mon, 5 May 2014 06:40:09 -0700
Final-Recipient: rfc822;name.nachname@unsere-domain.de
Action: failed
Status: 5.7.1
Diagnostic-Code: smtp;554 5.7.1 : Relay access denied"
This is an automatically generated Delivery Status Notification.
Delivery to the following recipients failed.
"Relay access denied"
Ich kann nun nicht ganz lokalisieren wo der Fehler genau ist.
Lehnt unsere Sophos das weiterleiten an den Exchange ab?
Werden die Emails vom Hoster bereits abgelehnt?
Wir habne den Eintrag nun erstmal wieder umgesetzt.
Wie wäre die korrekte vorgehensweise?
Hat jemand eine Idee. Ich wäre sehr Dankbar.
Mit freundlichen Grüßen derinderinderin
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 283028
Url: https://administrator.de/forum/vorgehensweise-wechsel-des-mx-eintrages-bei-neuer-ip-283028.html
Ausgedruckt am: 23.12.2024 um 13:12 Uhr
7 Kommentare
Neuester Kommentar
Hi
Kann es sein das sich der Sendende Account nicht Richtig an seinem Server angemeldet hat?
LG PPR
Wurden dann Emails an unsere Domain gesendet folgten diese Fehlermeldungen:
Also Ihr habt euch geschrieben mit einem Externen Anbieter wie Hotmail?dub0.hotmail.com
Habt ihr von einer Hotmail Adresse Geschrieben?Kann es sein das sich der Sendende Account nicht Richtig an seinem Server angemeldet hat?
LG PPR
Hallo derinderinderin,
zuerst einmal würde ich schauen, dass ich die TTL auf einen sehr kleinen Wert setze.
5 Minuten sind für einige Tage bei so einer Umstellung mit dem Zentralen MX evtl. schon ok.
Erst wenn Du die TTL runtergedreht hast, würde ich überhaupt mit irgendeiner anderen Einstellung zu testen anfangen. Sonst testest Du mit etwas Spass nämlich in teilen des Internets noch mit Deinen alten Einstellungen und es fällt Dir selber noch nicht mal .
Wenn dass durch ist (je nach alten Einstellungen also locker 1-3 Tage nach der TTL-Veränderung warten), würde ich einen zweiten MX-Record mit der neuen IP und einer niedrigeren / oder höheren Priorität einrichten, je nachdem wie Du halt testen möchtest und was Dir wichtiger ist.
Beschreib bitte auch mal noch viel genauer, wie Euer Aufbau (Sophos / Firewall / Exchange) genau ist. Vermutlich stimmt bei einem und/oder mehreren die Einstellung nicht richtig. Achte darauf, dass für BEIDE IP's externe IP's dass Relaying intern wie extern auf den entsprechenden Geräten erlaubt ist! Was Relaying bedeutet, ist Dir ja soweit klar ?!
Wenn einer der Komponenten auf dem Weg der Meinung ist, dass er nicht autorisiert ist (weil der Name nicht stimmt, die IP nicht stimmt oder die Range einfach nicht zum weiterleiten eingetragen), die Mails weiterzuleiten dann macht er es halt nicht und es kommt zu der Fehlermeldung.
Viele Grüße
marvin42
"Reporting-MTA: dns;dub0-omc4-s21.dub0.hotmail.com
Received-From-MTA: dns;DUB127-W40
Arrival-Date: Mon, 5 May 2014 06:40:09 -0700
Final-Recipient: rfc822;name.nachname@unsere-domain.de
Action: failed
Status: 5.7.1
Diagnostic-Code: smtp;554 5.7.1 : Relay access denied"
This is an automatically generated Delivery Status Notification.
Delivery to the following recipients failed.
"Relay access denied"
Received-From-MTA: dns;DUB127-W40
Arrival-Date: Mon, 5 May 2014 06:40:09 -0700
Final-Recipient: rfc822;name.nachname@unsere-domain.de
Action: failed
Status: 5.7.1
Diagnostic-Code: smtp;554 5.7.1 : Relay access denied"
This is an automatically generated Delivery Status Notification.
Delivery to the following recipients failed.
"Relay access denied"
zuerst einmal würde ich schauen, dass ich die TTL auf einen sehr kleinen Wert setze.
5 Minuten sind für einige Tage bei so einer Umstellung mit dem Zentralen MX evtl. schon ok.
Erst wenn Du die TTL runtergedreht hast, würde ich überhaupt mit irgendeiner anderen Einstellung zu testen anfangen. Sonst testest Du mit etwas Spass nämlich in teilen des Internets noch mit Deinen alten Einstellungen und es fällt Dir selber noch nicht mal .
Wenn dass durch ist (je nach alten Einstellungen also locker 1-3 Tage nach der TTL-Veränderung warten), würde ich einen zweiten MX-Record mit der neuen IP und einer niedrigeren / oder höheren Priorität einrichten, je nachdem wie Du halt testen möchtest und was Dir wichtiger ist.
Beschreib bitte auch mal noch viel genauer, wie Euer Aufbau (Sophos / Firewall / Exchange) genau ist. Vermutlich stimmt bei einem und/oder mehreren die Einstellung nicht richtig. Achte darauf, dass für BEIDE IP's externe IP's dass Relaying intern wie extern auf den entsprechenden Geräten erlaubt ist! Was Relaying bedeutet, ist Dir ja soweit klar ?!
Wenn einer der Komponenten auf dem Weg der Meinung ist, dass er nicht autorisiert ist (weil der Name nicht stimmt, die IP nicht stimmt oder die Range einfach nicht zum weiterleiten eingetragen), die Mails weiterzuleiten dann macht er es halt nicht und es kommt zu der Fehlermeldung.
Viele Grüße
marvin42
Hallo,
die Sache mit der TTL hast Du richtig verstanden. In jedem Fall runter setzen lassen, weil Du sonst beim Testen nicht sicher sein kannst welcher DNS-Eintrag noch bei irgendeinem Server draußen zieht! Wenn der auf 5 Minuten steht, und mit 3 Tagen Vorlauf so gesetzt wurde kannst Du davon ausgehen, dass ein verändern des DNS-Eintrags in 5 Minuten weltweit rum ist (bis auf die Provider, die sich nicht drum kehren was da eingestellt ist ). Deshalb ist Mail testen und MX-Einträge ändern immer eine sehr spannende Sache .
Ich bin mir nicht sicher, ob ich Eure Konfiguration wirklich richtig verstanden habe ... ! Liegt Eurer primärer Mailserver (der extern im Internet sichtbar ist) nur auf der Sophos (die es an den Exchange weiterleitet) oder (auch) bei einem Provider, der es an die Sophos weiterleitet, die es dann zum Exchange weiterleitet? Macht die Sophos dann für die MX-Einträge ein bidirektionales NAT oder sieht der Exchange-Server die echten externen IP-Adressen oder nur die Sophos genatteten? Wenn Du unsicher bist, mach eine kleine Zeichnung, wer wo welche IP's sieht und wie welche Namen auflöst! Und nicht nur zeichnen, sondern real auf den jeweiligen Maschinen mit "ping" und "nslookup" prüfen, dass das was Du gemalt hast auch wirklich stimmt !
Was genau ist Dein primäres Ziel?
1. ) Die Company-Connect Leitung abschalten zu können?
und/oder
2.) Einen dauerhaft einen zweiten Mailserver für Redundanzzwecken zu etablieren?
Ehrlich gesagt würde ich eine Company-Connect als klassische Standleitung unter Ausfallsicherheitsgesichtspunkten lieber behalten als eine VDSL-Leitung. Preismäßig mag dass natürlich anders ausschauen .
Wahrscheinlich musst Du auf der Sophos in den Firewallregeln beide IP's die den MX bekommen eintragen und für dass Relaying von- und zum Exchange freigeben. Der Exchange wiederum sollte auch beide IP's der Sophos (egal ob genattet oder nicht) kennen. Etwas hakelig könnte sein, dass Dein Exchange-Server über DNS ganz andere IP's geliefert bekommt, als Du für die MX'e eingetragen hast (wenn Du den Namensraum nicht klar getrennt hast).
Evtl. ist es sinnvoll, Deinem Exchange nur die "interne" Namenswelt zu geben. z.B. "intern.weltweiter.domainame".
Die Sophos bekommt dann statisch die interne Namenswelt beigebracht und zieht die reale externe Welt ganz normal per DNS.
So ist die Sophos dann die klassische & einzige Brücke zwischen beiden Welten.
Wie gesagt, mach eine Zeichnung. Schreib Dir die IP-Adressen drauf und schau welcher Server was wie per DNS auflöst.
Wenn die Namen überall eindeutig sind und die richtigen IPs haben, dann klappts auch mit dem Relaying bei zwei oder mehr Mailserver.
Habe leider keine Sophos zum teste da .
Evtl. hilft Dir auch dass hier:
https://www.sophos.com/en-us/support/knowledgebase/23463.aspx
Viele Grüße
Marvin42
die Sache mit der TTL hast Du richtig verstanden. In jedem Fall runter setzen lassen, weil Du sonst beim Testen nicht sicher sein kannst welcher DNS-Eintrag noch bei irgendeinem Server draußen zieht! Wenn der auf 5 Minuten steht, und mit 3 Tagen Vorlauf so gesetzt wurde kannst Du davon ausgehen, dass ein verändern des DNS-Eintrags in 5 Minuten weltweit rum ist (bis auf die Provider, die sich nicht drum kehren was da eingestellt ist ). Deshalb ist Mail testen und MX-Einträge ändern immer eine sehr spannende Sache .
Ich bin mir nicht sicher, ob ich Eure Konfiguration wirklich richtig verstanden habe ... ! Liegt Eurer primärer Mailserver (der extern im Internet sichtbar ist) nur auf der Sophos (die es an den Exchange weiterleitet) oder (auch) bei einem Provider, der es an die Sophos weiterleitet, die es dann zum Exchange weiterleitet? Macht die Sophos dann für die MX-Einträge ein bidirektionales NAT oder sieht der Exchange-Server die echten externen IP-Adressen oder nur die Sophos genatteten? Wenn Du unsicher bist, mach eine kleine Zeichnung, wer wo welche IP's sieht und wie welche Namen auflöst! Und nicht nur zeichnen, sondern real auf den jeweiligen Maschinen mit "ping" und "nslookup" prüfen, dass das was Du gemalt hast auch wirklich stimmt !
Was genau ist Dein primäres Ziel?
1. ) Die Company-Connect Leitung abschalten zu können?
und/oder
2.) Einen dauerhaft einen zweiten Mailserver für Redundanzzwecken zu etablieren?
Ehrlich gesagt würde ich eine Company-Connect als klassische Standleitung unter Ausfallsicherheitsgesichtspunkten lieber behalten als eine VDSL-Leitung. Preismäßig mag dass natürlich anders ausschauen .
Wahrscheinlich musst Du auf der Sophos in den Firewallregeln beide IP's die den MX bekommen eintragen und für dass Relaying von- und zum Exchange freigeben. Der Exchange wiederum sollte auch beide IP's der Sophos (egal ob genattet oder nicht) kennen. Etwas hakelig könnte sein, dass Dein Exchange-Server über DNS ganz andere IP's geliefert bekommt, als Du für die MX'e eingetragen hast (wenn Du den Namensraum nicht klar getrennt hast).
Evtl. ist es sinnvoll, Deinem Exchange nur die "interne" Namenswelt zu geben. z.B. "intern.weltweiter.domainame".
Die Sophos bekommt dann statisch die interne Namenswelt beigebracht und zieht die reale externe Welt ganz normal per DNS.
So ist die Sophos dann die klassische & einzige Brücke zwischen beiden Welten.
Wie gesagt, mach eine Zeichnung. Schreib Dir die IP-Adressen drauf und schau welcher Server was wie per DNS auflöst.
Wenn die Namen überall eindeutig sind und die richtigen IPs haben, dann klappts auch mit dem Relaying bei zwei oder mehr Mailserver.
Habe leider keine Sophos zum teste da .
Evtl. hilft Dir auch dass hier:
https://www.sophos.com/en-us/support/knowledgebase/23463.aspx
Viele Grüße
Marvin42
OK, wie ist denn der aktuell Stand? TTL hast Du schon runter gesetzt?
1) Falls ja, kannst Du ja einfach den MX auf den neuen MX ändern, in Sophos & ggf. Exchange mit anpassen und gut.
2) Falls nein, oder Sorge, dann den zweiten MX überall eintragen, in Sophos & ggf. Exchange mit eintragen und schauen ob der zweite auch geht. Geht der zweite MX, dann kannst Du im nächsten Schritt den alten MX löschen.
Tendenziell würde ich 2) vorziehen, auch wenn es etwas aufwendiger zum Einrichten und testen ist.
Wichtig, erst machen, wenn die TTL runter gesetzt ist und sicher überall im Netz bekannt gemacht wurde!
1) Falls ja, kannst Du ja einfach den MX auf den neuen MX ändern, in Sophos & ggf. Exchange mit anpassen und gut.
2) Falls nein, oder Sorge, dann den zweiten MX überall eintragen, in Sophos & ggf. Exchange mit eintragen und schauen ob der zweite auch geht. Geht der zweite MX, dann kannst Du im nächsten Schritt den alten MX löschen.
Tendenziell würde ich 2) vorziehen, auch wenn es etwas aufwendiger zum Einrichten und testen ist.
Wichtig, erst machen, wenn die TTL runter gesetzt ist und sicher überall im Netz bekannt gemacht wurde!