Exchange - direkt senden - DNS Problem?

C

catwiesel

Registered User
Hallo Forum,

ich habe hier anscheinend einen Denkfehler:

1 Server, Windows 2012, Exchange 2013 (STANDORT A)
installiert in einer VM auf ESXi
"hängt" hinter einer FW, diese ebenso als VM, Portweiterleitungen usw. passen.

1 Server, Windows 2012, DC, DNS (STANDORT B)
installiert in einer VM auf ESXi
"hängt" hinter HW-Firewall, Portweiterleitungen usw. passen

Server "Exchange":
Mitgliedserver
IP: 192.168.0.100 (intern)
GW: 192.168.0.1 (Softwarefirewall)
DNS: 10.0.0.100, DNS2: 192.168.0.1
VPN Verbindung zum anderen Router/Firewall über die Softwarefirewall, diese funktioniert.
MX und A-Eintrag sind richtig gesetzt beim externen Provider.
Der Exchange hat auch eine fest erreichbare externe IP (AAA.BBB.CCC.DDD)

Server "AD":
IP: 10.0.0.100
GW: 10.0.0.1 (Router)
DNS: 10.0.0.100 DNS2: 10.0.0.1
VPN Verbindung zur anderen Firewall über den Router (GW) funktioniert.

Softwarefirewall auf ESXi (Exchange-Seite):
IP extern: uuu.uuu.uuu.uuu
IP intern: 192.168.0.x

Router/Firewall beim AD-Server:
IP extern: xxx.xxx.xxx.xxx
IP intern: 10.0.0.x

Die Standorte A und B sind mehrere hundert Kilometer auseinander! Kann nicht anders gemacht werden, nur ein Exchange und ein DC.

Nun ist folgendes, wenn ich vom Exchange eine Mail versenden möchte, geht das eigentlich Grundlegend, aber ich bekomme die Mails als "Spam" zugestellt.

Software zur Erkennung von "Spam" auf dem Rechner

webserver.domain.tld

hat die eingegangene E-mail als mögliche "Spam"-Nachricht identifiziert.
Die ursprüngliche Nachricht wurde an diesen Bericht angehängt, so dass Sie sie anschauen können (falls es doch eine legitime E-Mail ist) oder ähnliche unerwünschte Nachrichten in Zukunft markieren können.
Bei Fragen zu diesem Vorgang wenden Sie sich bitte an

the administrator of that system

Vorschau: BlaBla Bla Bla [...]

Inhaltsanalyse im Detail: (7.4 Punkte, 5.0 benötigt)

Pkte Regelname Beschreibung
---- ---------------------- --------------------------------------------------
1.3 RCVD_IN_RP_RNBL RBL: Relay in RNBL,
https://senderscore.org/blacklistlookup/
[xxx.xxx.xxx.xxx listed in bl.score.senderscore.com]
0.0 RCVD_IN_SORBS_DUL RBL: SORBS: Senderechner nur temporär mit Internet
verbunden
[xxx.xxx.xxx.xxx listed in dnsbl.sorbs.net]
0.7 SPF_NEUTRAL SPF: sender does not match SPF record (neutral)
0.6 HTML_IMAGE_RATIO_04 BODY: Verhältnis Bilderfläche zu Text ist klein
0.0 HTML_MESSAGE BODY: Nachricht enthält HTML
3.6 RCVD_IN_PBL RBL: Received via a relay in Spamhaus PBL
[xxx.xxx.xxx.xxx listed in zen.spamhaus.org]
1.3 RDNS_NONE Delivered to internal network by a host with no rDNS
0.0 HELO_NO_DOMAIN Relay reports its domain incorrectly

Die ursprüngliche Nachricht enthielt nicht ausschließlich Klartext (plain text) und kann eventuell eine Gefahr für einige E-Mail-Programme darstellen (falls sie z.B. einen Computervirus enthält).
Möchten Sie die Nachricht dennoch ansehen, ist es wahrscheinlich sicherer, sie zuerst in einer Datei zu speichern und diese Datei danach mit einem Texteditor zu öffnen.
Click to expand...
Die IP xxx.xxx.xxx.xxx ist die externe IP Adresse von dem Internetprovider, bei welchem der Server 2 steht (DC und DNS).

Wieso routet der die Mails über den raus? DNS Problem?
Tracert vom Exchange geht richtig über die Softwarefirewall raus.
Ein Ping, bzw. tracert auf die jeweils andere Seite funktioniert auch, VPN Verbindung!
selbiges vom anderen Server, das funktioniert auch.

Nun kann ich nur derzeit nachvollziehen, das der Exchange (IP 192.168.0.100) Mails über den DC-Server (IP 10.0.0.100), dieser dann über die Internetverbindung (IP xxx.xxx.xxx.xxx) in die weiter Welt raussendet.

Hat evtl. jemand schon mal diese Konstellation gehabt, sollte eigentlich nicht unbedingt abwägig sein, oder kann mir einen Tipp geben, wo derzeit mein Gedankenfehler liegt?

Oder den DNS-Dienst zusätzlich auf dem Exchange? Klingt aber nicht so logisch grad...

PS: wenn ich am Exchange einen Smarthost angebe, dann gehts. Klar ist auch eine Lösung, aber so sollte es in dem Fall nicht sein...
 
Code: 
Pkte Regelname Beschreibung
---- ---------------------- --------------------------------------------------
[COLOR="Red"]1.3 RCVD_IN_RP_RNBL RBL: Relay in RNBL,
https://senderscore.org/blacklistlookup/[/COLOR]
[COLOR="Red"][xxx.xxx.xxx.xxx listed in bl.score.senderscore.com][/COLOR]
[COLOR="red"]0.0 RCVD_IN_SORBS_DUL RBL: SORBS: Senderechner nur temporär mit Internet verbunden[/COLOR]
[COLOR="red"][xxx.xxx.xxx.xxx listed in dnsbl.sorbs.net][/COLOR]
[COLOR="red"]0.7 SPF_NEUTRAL SPF: sender does not match SPF record (neutral)[/COLOR]
0.6 HTML_IMAGE_RATIO_04 BODY: Verhältnis Bilderfläche zu Text ist klein
0.0 HTML_MESSAGE BODY: Nachricht enthält HTML
[COLOR="red"]3.6 RCVD_IN_PBL RBL: Received via a relay in Spamhaus PBL
[xxx.xxx.xxx.xxx listed in zen.spamhaus.org][/COLOR]
[COLOR="red"]1.3 RDNS_NONE Delivered to internal network by a host with no rDNS
0.0 HELO_NO_DOMAIN Relay reports its domain incorrectly[/COLOR]

Alle rot markierten Spambewertungen haben als Ursache eine offensichtlich geblacklistete DSL Verbindung. Manche Punkte (Blacklist) sind Pech, manche sind prinzipbedingt mit einer DSL IP nicht behebbar (kein rDNS setzbar, kein sinnvoller SPF Record angebbar).

Aus diesem Grund ist ein Smarthost sogar die EINZIG SINNVOLLE Lösung um egal mit welchem Routing dauerhaft zuverlässiges Mailversenden ohne Spambewertung zu ermöglichen.
 
Danke erst mal, ja das mit den Einträgen und der dynamischen IP ist mir ja klar, aber was ich nicht verstehe ist:

Der Exchange am Standort A hat eine feste externe IP (nix DSL und so) über die FW.

Der Server am Standort B hat DSL (dynamische IP)

Der Exchange sendet aber anscheinend über den Server am anderen Standort raus, zumindest laut der IP Adresse welche in der Mail original drin ist....

Das sollte aber doch nicht der Fall sein.

Das mit dem Smarthost ist ja die einfachste und auch sicherlich beste Lösung, aber es hat leider Gründe das es nicht so sein sollte....
Dann müsste der Exchange ja dann direkt im Internet ohne FW hängen, das sollte auch nicht sein...
 
catwiesel said:
Das mit dem Smarthost ist ja die einfachste und auch sicherlich beste Lösung, aber es hat leider Gründe das es nicht so sein sollte....
Dann müsste der Exchange ja dann direkt im Internet ohne FW hängen, das sollte auch nicht sein...
Click to expand...

??? Ein Smarthost ist ein http://de.wikipedia.org/wiki/SMTP-Relay-Server . D.h. im einfachsten Fall ein SMTP Account bei einem Anbieter, der all die genannten Punkte korrekt hat. Der Exchange muss da gar nichts, außer Mails nicht selbst, sondern über diesen SMTP Server versenden.
 
Ich weis was ein Smarthost ist, Danke...

Aber das ist alles keine Lösung, zumindest perfekte, wie es sein sollte.
Mein Problem ist ja eigentlich ein ganz anderes...
 
Klar, Du willst den Exchange Server über die eigene Internetanbindung kommunizieren lassen.

Kann es sein, dass Du beim VPN Verbindungsaufbau auf Exchange Seite folgende Sache aktiv hast: "Standardgateway für das Remotenetzwerk verwenden" (so heißt zumindest die Windowsfunktion bei Eigenschaften der VPN Verbindung - Eigenschaften von TCP/IPv4 - Erweitert... - IP Einstellungen). Dann wird alles über die VPN Verbindung geleitet.

Trotzdem wäre ein Smarthost auch bei korrekt funktionierendem Traffic wohl die bessere Variante hinsichtlich der Probleme mit Spamfiltern.
 
Am besten sollte es so sein.... :confused:

Die VPN Verbindung wird seitens der Softwarefirewall (eigene VM) gehandelt. Auf der anderen Seite macht das der Router.

Die Einstellung welche Du meinst kenne ich, aber die gibts ja in diesem Fall nicht....

Komisch ist nur das jeglicher Internetverkehr über den jeweiligen Router/FW richtig rausgeht. Nur anscheinend sendet Exchange über den anderen Server raus. Eine Logik hab ich dazu derzeit nicht, recht strange das ganze....

Das mit dem Smarthost stimmt ja, mach ich ja eigentlich auch immer so, denn das ganze funktioniert ja dann einwandfrei. Aber in dem Fall soll das so nicht sein...
 

Attachments

  • Ex-Problem (Kopie).jpg
    Ex-Problem (Kopie).jpg
    131.6 KB · Views: 139
Last edited by a moderator:
You must log in or register to reply here.
Back
Top