none
Greylisting und E2k10 RRS feed

  • Frage

  • Hallo,

    wir haben ein Mailgateway von Aladdin (mit Spamfilter, Virenscanner,...), dahinter einen E2k10 mit CAS/HUB Rolle und zum Schluss einen E2k10 mit der Mailboxrolle. Nun gibt es einen externen Empfänger (Kommune) die Greylisting auf ihren Servern einsetzen.
    Das Problem das wir jetzt haben ist, das Mails an diese Adresse mit dem folgenden Fehler zurückkommen:

    Returned mail: unreachable recipients:gemeinde@lsdfd.de
    Normalerweise sollte der Mailserver ja dann einen zweiten Versuch unternehmen, was er aber scheinbar nicht macht.

    Auf dem CAS Server ist in der EdgeTransport.exe.config folgendes eingetragen:
    <add key="QueueGlitchRetryInterval" value="00:01:00" />   
    <add key="QueueGlitchRetryCount" value="4" />

    Von daher sollte der CAS einen zweiten Versuch an unser Mailgateway vornehmen. Wenn man sich das Log ansieht, wird aber nur ein Versuch unternommen.
    Meine Vermutung ist, da der CAS eine erfolgreiche Abnahmemeldung des Mailgateways bekommt, ist für ihn der Fall erledigt, auch wenn dann irgendwann der NDR vom Empfängersystem über das Mailgateway an den CAS und dann an den MBX zugestellt wird. Oder die EdgeTransport.exe.config müsste auf dem Mailboxserver aktiviert werden. Ist das sinnvoll?
    Wie läuft das eigentlich technisch ab, ist eine Mail für ein Absendesystem schon dann zugestellt wenn er die Mail an seinen "übergeordneten" Mailserver abgegeben hat oder erhält er erst eine erfolgreiche Sendebestätigung wenn das Zielsystem diese quittiert hat, egal wie viele Mailserver auf der Strecke passiert werden?

    Meiner Meinung nach müsste das Mailgateway einen zweiten Versuch unternehmen und nicht der Exchange, da das Gateway im direkten Kontakt mit dem Empfängerserver steht. Ansonsten durchlaufen solche Mails mehrfach alle drei Server, was unnötig Traffic erzeugt!
    (Noch richtiger wäre, wenn der Admin auf dem Zielserver uns in die Whitelist aufnehmen würde!)

    Bin ich komplett auf dem Holzweg oder ist das technisch richtig ?

    Danke und Gruß

    Dienstag, 11. Dezember 2012 17:28

Antworten

  • Hallo Paulchen Panther,

    Mail ist um 09:18 bei mir eingetroffen.

    Wann hast du diese versandt? Ich habe um 09:21 Uhr geantwortet.

    Das Mailgateway ist immer aktiv - nur im Backup-RZ habe ich die Testumgebung aktiviert, keine Sorge :-)

    Die Logs lasse ich dir auf deine Mailadresse von unserem Test heute Abend zukommen. Dann wirst du sehen, dass das verfahren von der Gemeinde identisch zu unserem ist.

    Deine Einstellungen am Exchange passen und der NDR ist wirklich seltsam, vor allem "unreachable recipient" - das passt nicht zu Greylisting.

    Der Fehler liegt somit nicht in deiner Umgebung. Vielleicht kannst du dir den Admin des Mailservers der Gegenstelle schnappen und mit ihm Troubleshooting machen. Sehr hilfreich wären die Logs in der Gegenstelle, was mit deiner Mail an dessen Gateway wirklich passiert und warum der Server einen NDR zurück gibt.

    Gruß

    Dominik


    Lync-Federation: dominik.hoefling@newcotec.com

    Mittwoch, 12. Dezember 2012 08:29

Alle Antworten

  • Hi,

    der empfangende Mailserver muss, bei Greylisting, einen temporären Fehler beim ersten Zustellungsversuch zurückgeben. Dieser ist meist 4.5.1 - kannst du uns die Fehlermeldung komplett posten? Unreachable recipients hat mit Greylisting nichts zu tun.

    Zu deinen anderen Fragen:

    Im HUB-Transport-Server passen immer die Default-Einstellungen (QueueGlitchRetryInterval). Ich kenne ausschließlich Gateways, welche die Mails, welche erst temporär zurückgewiesen werden, in deren Queue aufbewahren und nicht in der HUB-Transport Queue. Wie und ob es bei Aladdin funktioniert bzw. Ausnahmen gibt, weiß ich leider nicht.

    Gruß

    Dominik


    Lync-Federation: dominik.hoefling@newcotec.com


    Dienstag, 11. Dezember 2012 20:45
  • Hallo Dominik,

    danke für die Antwort!

    Anbei die genaue Fehlermeldung, ich denke die weist eindeutig auf Greylisting hin:

    Betreff: Returned mail: unreachable recipients:gemeinde@ljghjn.de
    The original message was received at Tue Dec 11 16:17:15 2012
    Likely reason for failure: 433 4.2.0 <gemeinde@ljghjn.de >: Recipient address rejected: Greylisted, see http://postgrey.schwe

    Leider scheint der NDR Code recht selten zu sein, so das ich keine näheren Einzelheiten finden kann.

    Danke!

    Mittwoch, 12. Dezember 2012 07:24
  • Hallo,

    normalerweise solltest du, wenn dein Mailgateway den zweiten Zustellungsversuch erneut tätigt, keine Fehlermeldung zurück bekommen.

    Steht in den Gateway Logs ein weiterer Zustellversuch? Kannst du die Logs von einem Admin der Gemeinde abrufen?

    Postgrey ist ein Linux-Greylisting unter postfix. Ich habe soeben unser Mailgateway deaktiviert und das von einer Testumgebung aktiv geschalten - ebenfalls postfix mit postgrey. Wenn du möchtest, kannst du es testen:

    dominik.hoefling@newcotec.com --> dein Mailserver sollte hier keine Fehlermeldung zurück bekommen sondern weitere Zustellversuche unternehmen. Defaul-Einstellungen an diesem Test-Gateway sind 180 Sekunden, bis weitere Versuche zugelassen werden.

    Wenn die Mail ankommt, antworte ich kurz darauf. Die Log-Files könnte ich dir heute Abend ebenfalls zur Verfügung stellen.

    Gruß

    Dominik


    Lync-Federation: dominik.hoefling@newcotec.com

    Mittwoch, 12. Dezember 2012 07:40
  • Hallo Dominik,

    danke für die Unterstützung. Ich habe eine Testmail geschickt, bis dato ist kein NDR zurück gekommen.

    Du solltest deinen Mailgateway wieder aktivieren.

    Mittwoch, 12. Dezember 2012 08:07
  • Hallo Paulchen Panther,

    Mail ist um 09:18 bei mir eingetroffen.

    Wann hast du diese versandt? Ich habe um 09:21 Uhr geantwortet.

    Das Mailgateway ist immer aktiv - nur im Backup-RZ habe ich die Testumgebung aktiviert, keine Sorge :-)

    Die Logs lasse ich dir auf deine Mailadresse von unserem Test heute Abend zukommen. Dann wirst du sehen, dass das verfahren von der Gemeinde identisch zu unserem ist.

    Deine Einstellungen am Exchange passen und der NDR ist wirklich seltsam, vor allem "unreachable recipient" - das passt nicht zu Greylisting.

    Der Fehler liegt somit nicht in deiner Umgebung. Vielleicht kannst du dir den Admin des Mailservers der Gegenstelle schnappen und mit ihm Troubleshooting machen. Sehr hilfreich wären die Logs in der Gegenstelle, was mit deiner Mail an dessen Gateway wirklich passiert und warum der Server einen NDR zurück gibt.

    Gruß

    Dominik


    Lync-Federation: dominik.hoefling@newcotec.com

    Mittwoch, 12. Dezember 2012 08:29
  • Hallo Dominik,

    ich habe die Mail um 9:01 Uhr versendet und um 9:29Uhr deine Antwort erhalten.

    Da wir mit sonst niemanden diese Probleme haben, denke ich schon lange das es am Zielsystem liegt!
    Mal sehen ob man den Kommunalen Admin erreichen kann.

    Danke für deine Unterstützung!

    Mittwoch, 12. Dezember 2012 08:34
  • Gerne doch.

    Wie gesagt - Logs kommen heute Abend zu dir per E-Mail. Diese darfst du gerne als Referenz verwenden!

    Viel Erfolg mit dem kommunalen Admin ;-)

    Gruß

    Dominik


    Lync-Federation: dominik.hoefling@newcotec.com

    Mittwoch, 12. Dezember 2012 08:39
  • Danke für die Logs!

    Dort sieht man deutlich das es beim ersten Mal abgelehnt und beim zweiten Mal angenommen wurde.

    Allerdings sagt die kommunale Verwaltung, das sonst niemand mit ihnen Probleme hätte! Da das eigentlich ein Thema meines Kollegen ist, kann ich zum aktuellen Stand im Moment gar nichts sagen.

    Danke!

    Freitag, 21. Dezember 2012 12:01
  • Hallo Paulchen Panther,

    ich habe eine ähnliche Konfiguration: E2k10, Mailgateway eSafe - gleiche Fehlermeldung beim ersten versenden einer E-Mail (lokale Stadtwerke, benutzen Graylisting) - die E-Mail wird danach nicht automatisch ein 2. mal verschickt.

    Konntest du dein Problem lösen?

    Mich würde mal interessieren wo der Klemmer ist, E2k10 oder Mailgateway?

    Gruß

    Tilo

    Freitag, 1. Februar 2013 11:40
  • Kommt halt drauf an was die "Stadtwerke" für einen Response Code zurückschicken. Normalerweise kommt beim Greylistening irgendwas in der Art:

    450 - The requested command failed because the user's mailbox was unavailable. Try again later.

    oder

    451 - The command has been aborted due to a server error.

    Wenn du diese Errors als Response erhälts versucht dein Gateway erneut zu senden, wenn nicht, dann kommt der NDR.

    Freitag, 1. Februar 2013 12:46
  • Hallo,

    ich habe mit Dominik ja die Tests gemacht, und in den Logs konnte man deutlich sehen, das der eSafe die Mail ein zweites mal verschickt hat! Ich kann dir nicht sagen warum die Kommune mit dem Greylisting bei uns so Probleme hat. Ich frage mal bei meinem Kollegen, der sich an unseren Dienstleister gewendet hatte, ob es was neues gibt.

    Ich gehe aber davon aus, das es nicht am Exchange liegt, denn der hat die Mail ja beim eSafe abgegeben und der ist bei abgelehnten Mails dafür zuständig, das ein erneuter Versuch gestartet wird, was ja auch erfolgt ist!

    Wenn ich genauere Infos habe gebe ich dir Bescheid.

    Gruß

    Freitag, 1. Februar 2013 12:54
  • ... in der Tat hat der eSafe Probleme mit Greylisting, d.h. das System erkennt Greylisting anhand des Server Error Code 453,454. Wenn er diesen Code bekommt versucht er automatisch das ganze nach ca 5min nochmal zu versenden.
    Gibt der Emfangsmailserver einen anderen Error Code zurück, sendet der eSafe an den Sender eine nicht zustellbarkeits Benachrichtigung.
    Leider werden die RFC GreylistPorts nicht von allen Mailserver benutzt (Konfigurationssache), deshalb werden Greylistings vom eSafe als nicht zustellbar an den Sender zurück gesendet.

    Soweit die Aussage unseres Dienstleisters

    Freitag, 1. Februar 2013 13:58
  • Moin,

    Leider werden die RFC GreylistPorts nicht von allen Mailserver benutzt (Konfigurationssache)

    es gibt bisher keine Standard für Graylisting - das ist das froße Problem dabei. Der erste Versuch ist RFC 6647 von Juni 2012!

    Schon alleine in diesem Thtread finde ich SECHS verschiedene Return-Codes (451, 433, 450, 451, 453, 454).

    Und ohne Standard sind die Aktionen leider nicht vorhersehbar.

    Wenn eSafe  sich wirklich nur an diesen beiden anufhält und in der Hinsicht nicht konfiguriertbar ist, ist es ein Wunder, dass Du bisher nur das eine Problem hattest. Dann bleibt fast nichts anderes übrigs, als auf eSafe zu verzichten.

    Ich persönlich bin aus diesen Gründen auch kein 100%er Freund von Greylisiting. Leider denke viele Admins, dass das gut funktioniert - bis Sie wie Du eine andere Erfahrung machen.

    BTW: Eigentlich müsste der Admin der Stadtwerke hier was tun. Es wäre für ihn eine Sache von 30 Sekunden, Eure Server einfach auf die Whitelist zu setzen. DU verhälst Dich ja korrekt, die Stadtwerke machen ein RFC-unkonformes Ablehnen. ;)


    Grüße aus Berlin schickt Robert
    MVP Exchange Server
    Samstag, 2. Februar 2013 15:43
  • Probleme haben wir in der Tat nur mit Kommunen, weil sehr wahrscheinlich sonst niemand Greylisting verwendet.
    Ich kann mir auch nicht wirklich vorstellen, das es ein mehr an Sicherheit bringt, denn wo liegt die Schwierigkeit für einen Spammer, eine Mail ein zweites mal automatisiert zu versenden?

    Der eSafe ist sowieso für nächstes/übernächstes Jahr abgekündigt, dann hat sich das Problem hoffentlich erledigt.
    Der Admin auf der Gegenseite ist wenig kooperativ, denn bei anderen Versendern gibt es die Probleme ja auch nicht, so seine Aussage. Deshalb werden keine Ausnahmen gemacht!

    Danke und Gruß

    Montag, 4. Februar 2013 08:15
  • Moin,

    Ich kann mir auch nicht wirklich vorstellen, das es ein mehr an Sicherheit bringt, denn wo liegt die Schwierigkeit für einen Spammer, eine Mail ein zweites mal automatisiert zu versenden?

    das "Problem" ist, dass Greylisting gegen Spam äußerst effektiv wirkt. Spamer senden nicht zweimal. Die haben i.d.R. nicht mal eine Warteschlange und nehmen zu einem nicht unerheblichen Teil "Bot"-Netze um den Spam zu verteilen. In der Zeit, in der ein Spammer eine Mail ein zweites Mal sendet, hat er schon 10.000 andere Mails verschickt.

    Und weil es so effektiv wirkt, schwören gerade kleinere Firmen geradezu darauf und vergessen immer, dass das Ding entweder richtig gut sein muss oder ständige Pflege braucht. Denn sonst wirkt es halt auch gut gegen echte Mails. :)

    Der eSafe ist sowieso für nächstes/übernächstes Jahr abgekündigt, dann hat sich das Problem hoffentlich erledigt.
    Der Admin auf der Gegenseite ist wenig kooperativ, denn bei anderen Versendern gibt es die Probleme ja auch nicht, so seine Aussage. Deshalb werden keine Ausnahmen gemacht!

    Und genau DESWEGEN bin ich ein Gegner von Greylisting.

    Das ist so, als wenn ich eine Tür baue, in der nur Leute mit 1,75 durchpassen. Und wenn jemand zu großes davor steht, sage ich ihm: Schneit Dir die Beine ab, alle anderen passen ja auch durch.

    Aber solchen Admin kann man erzählen was man will, die leben in ihrer beschränkten Welt und wollen auch nichts von Fachleuten lernen. Erlebe ich leider ab und zu mal in meinen Kursen, aber zum Glück selten.

    Sorry, aber dann bleibt wohl nichts anderes, als Briefpost übrig. Und wenn dann die Bearbeiter in der Kommune sich beschweren, dann wird der Admin eventuell was machen.


    Grüße aus Berlin schickt Robert
    MVP Exchange Server
    Montag, 4. Februar 2013 08:53