Apr 15, 2014, updated at 08:00:41 (UTC)

28583

Mail delivery failed: returning message to sender (Reason: delivery retry timeout exceeded) - Welche Seite ist verantwortlich?

Hallo zusammen,

ich habe hier eine kleine Firma A mit Exchange 2003, die von einem Kunden (scheinbar auch kleine Firma B mit eigenem Mailserver) keine Mails bekommen kann. Firma A kann Mails an Firma B senden und diese empfängt auch alles. Nur Mails, die Firma B schickt, werden mit folgender Fehlermeldung zurückgewiesen:

Betreff: Mail delivery failed: returning message to sender

This message was created automatically by mail delivery software.

A message that you sent could not be delivered to one or more of its recipients. This is a permanent error. The following address failed: ...
Reason:
delivery retry timeout exceeded

Die Gegenseite (Firma B) sagt natürlich, dass der Fehler nicht bei ihnen liegt. Daher meine Fragen:

Kann man sagen, dass solch eine Meldung generell immer von der einen oder der anderen Seite verschuldet wird?
Wenn es tatsächlich an "unserer" Seite (Firma A mit Exchange 2003) liegt - was ist zu tun (dass die Mails an-/durchkommen)?
Wenn nicht sofort gesagt werden kann, auf welcher Seite der Fehler liegt, wie kann man das herausfinden (Logging, White-/Blacklisting etc.)?

Ich bin für jeden (verständlichen) Hinweis sehr dankbar.

Schöne Grüße.

Please also mark the comments that contributed to the solution of the article

Content-Key: 235576

Url: https://administrator.de/contentid/235576

Printed on: April 18, 2024 at 19:04 o'clock

46 Comments

Latest comment

Der, der die Meldung schickt hat das fest gestellt.

Gründe:
Schreibfehler
Nichterreichbarkeit des Servers
Nichtvorhandensein des Empfängers
Ablehnung

Meist kann man mit dem genauen Lesen des Textes und der Headeranalyse der Mail aber weiter kommen.

Gruß
Netman

es kann auch passieren wenn man in Outlook z.B. nur die ersten zwei Buchstaben schreibt und dann den vorschlag nimmt.
Da hilft es wenn man den vorschlag makiert und mit der "entf" Taste den Vorschlag löscht und die Mailadresse komplett neu schreibt.

Hallo MrNetman,

besten Dank für deine Ansätze.

Der, der die Meldung schickt hat das fest gestellt.

Die Meldung kommt vom Server des Senders (also Firma B), siehe unten Zeile 19 und 20.
Damit ist ja aber noch nicht geklärt auf wessen Seite der Fehler liegt, oder?

Die Gründe "Nichterreichbarkeit des Servers" und "Nichtvorhandensein des Empfängers" können ausgeschlossen werden.

Was meinst du bitte mit "Schreibfehler" und "Ablehnung" bzw. wie kann ich das auf Empfängerseite (Firma A mit Exchange 2003) prüfen/testen/beheben?

Meist kann man mit dem genauen Lesen des Textes und der Headeranalyse der Mail aber weiter kommen.

Zunächst schien mir der Header nicht hilfreich, aber bei genauer Betrachtung vielleicht doch... Ich poste ihn unten nochmal...
In Zeile 32 wird der lokale Name des Servers Firma A genannt (abc.FirmaA.local). Wenn dieser dem Server der FirmaB bekannt ist, muss er ja bereits eine Verbindung zum (öffentlichen) Server der Firma A (zB. mail.FirmaA.de) hergestellt haben, welche dann eventuell verworfen wurde.
Bin ich da auf dem richtigen Weg? Bzw. wie kann ich auf dem (Exchange)Server von Firma A jetzt prüfen, ob und wenn ja, wer/wann/was geblockt/abgelehnt wird/wurde?

-----Ursprüngliche Nachricht-----
Von: Mail Delivery System [mailto:mailer-daemon@kundenserver.de] 
Gesendet: Samstag, 12. April 2014 12:04
An: Mitarbeiter FirmaB
Betreff: Mail delivery failed: returning message to sender

This message was created automatically by mail delivery software.

A message that you sent could not be delivered to one or more of its recipients. This is a permanent error. The following address
failed:

<Mitarbeiter@FirmaA.de>

Reason:
delivery retry timeout exceeded

--- The header of the original message is following. ---

Received: from Server.FirmaB.de ()
	by _____.kundenserver.de (node=123456789) with ESMTP (Nemesis)
	id 132456789123456789; Tue, 08 Apr 2014 10:32:23 +0200
Received: from xyz.FirmaB.local () by  xyz.FirmaB.local () with mapi id  123456789; Tue, 8 Apr 2014 10:32:21 +0200
From: 123465789 <Mitarbeiter@FirmaB.de>
To: 
CC: 

Subject:
Thread-Topic:
Thread-Index:
Date: Tue, 8 Apr 2014 08:32:20 +0000
Message-ID: <123456789123456789@xyz.FirmaB.local>
References: <123456798123456789@abc.FirmaA.local>
 <132456798132456798@FirmaB.de>
In-Reply-To: <132456798132456789@FirmaB.de>
Accept-Language: de-DE, en-US
Content-Language: de-DE
X-MS-Has-Attach:
X-MS-TNEF-Correlator:
x-originating-ip: [192.168.1.123]
Content-Type: multipart/alternative;
	boundary="123456789123456789FirmaBloca_"  
MIME-Version: 1.0
X-Provags-ID:

Hallo dreckigersocken und Danke für deine Antwort. Das können wir aber mit Sicherheit ausschließen, weil dafür schon zu viele (Test)mails geschrieben wurden.

Zitat von @hannsgmaulwurf:

Hallo MrNetman,

besten Dank für deine Ansätze.

> Der, der die Meldung schickt hat das fest gestellt.
Die Meldung kommt vom Server des Senders (also Firma B), siehe unten Zeile 19 und 20.
Damit ist ja aber noch nicht geklärt auf wessen Seite der Fehler liegt, oder?

Nein

Die Gründe "Nichterreichbarkeit des Servers" und "Nichtvorhandensein des Empfängers"
können ausgeschlossen werden.

Was meinst du bitte mit "Schreibfehler" und "Ablehnung" bzw. wie kann ich das auf Empfängerseite
(Firma A mit Exchange 2003) prüfen/testen/beheben?

> Meist kann man mit dem genauen Lesen des Textes und der Headeranalyse der Mail aber weiter kommen.
Zunächst schien mir der Header nicht hilfreich, aber bei genauer Betrachtung vielleicht doch... Ich poste ihn unten
nochmal...
In Zeile 32 wird der lokale Name des Servers Firma A genannt (abc.FirmaA.local). Wenn dieser dem Server der FirmaB bekannt ist,
muss er ja bereits eine Verbindung zum (öffentlichen) Server der Firma A (zB. mail.FirmaA.de) hergestellt haben, welche dann
eventuell verworfen wurde.
Bin ich da auf dem richtigen Weg? Bzw. wie kann ich auf dem (Exchange)Server von Firma A jetzt prüfen, ob und wenn ja,
wer/wann/was geblockt/abgelehnt wird/wurde?

So wie es aussieht hat ein Mitarbeiter der FirmaB auf eine Mail von FirmaA geantwortet und diese Mail konnte nicht an FirmaA zugestellt werden. Da das Mailrelay (kundenserver.de) wohl 1&1 ist, sollte man davon ausgehen das die Wissen wie Mail funktioniert. Deshalb bitte folgendes prüfen:

- MX Records der FirmaA ermitteln
- Logfiles von FirmaA (Eingangsrelay/MX) auf Verbindungen von kundenserver.de prüfen
- Prüfen ob FirmaA korrekte Absender Adressen setzt bzw. "Mitarbeiter@FirmaA.de" richtig ist

Nachdem was bisher zu sehen ist hat eher FirmaA ein Problem, aber tatsächlich sagen kann dir das nur der Blick ins Logfile, auch wenn das Exchange Logging eher grauselig ist.

Gruß

Andi

Hallo Andi, besten Dank für die Tipps!!!

Ich habe jetzt mal alle Logifles unter c:\WINDOWS\system32\LogFiles\ des Exchange 2003 Servers von Firma A nach kundenserver.de durchsucht und in der Tat einige Einträge gefunden. Nun werde ich nicht recht schlau aus diesen Logs, allerdings fallen zwei Dinge auf:

1. Alle Einträge enden mit einer QUIT Zeile (siehe unten). Ich nehme mal an, dass diese Zeile aussagt, dass das Paket/die Mail verworfen bzw. nicht akzeptiert wurde??
2. Alle Einträge enthalten in der jeweils 2. und 3. Zeile STARTTLS. Kann es sein, dass kundenserver.de die Mailübertragung unbedingt verschlüsselt abwickeln will und der Exchange Server 2003 von Firma A das nicht kann oder will?

Hier mal ein Beispiel aus den Logfiles:

2.3.4 xyz.kundenserver.de SMTPSVC1 Server_Firma_A 192.168.1.10 0 EHLO - +xyz.kundenserver.de 250 0 329 27 0 SMTP - - - -
2.3.4 xyz.kundenserver.de SMTPSVC1 Server_Firma_A 192.168.1.10 0 STARTTLS - - 220 0 0 8 0 SMTP - - - -
2.3.4 xyz.kundenserver.de SMTPSVC1 Server_Firma_A 192.168.1.10 0 STARTTLS - - 220 0 29 8 0 SMTP - - - -
2.3.4 xyz.kundenserver.de SMTPSVC1 Server_Firma_A 192.168.1.10 0 EHLO - +xyz.kundenserver.de 250 0 339 27 0 SMTP - - - -
2.3.4 xyz.kundenserver.de SMTPSVC1 Server_Firma_A 192.168.1.10 0 MAIL - +FROM:<Mitarbeiter@Firma_B.de> 250 0 77 31 0 SMTP - - - -
2.3.4 xyz.kundenserver.de SMTPSVC1 Server_Firma_A 192.168.1.10 0 RCPT - +TO:<Mitarbeiter@Firma_A.de> 550 0 0 27 5422 SMTP - - - -
2.3.4 xyz.kundenserver.de SMTPSVC1 Server_Firma_A 192.168.1.10 0 QUIT - xyz.kundenserver.de 240 5625 0 27 5422 SMTP - - - -

Wie empfangt ihr eure Mails?
Direkt per MX, als SMTP-Weiterleitung oder über einen POPer?

Welches Log hast du durchsucht?

Hallo goscho,

die Mails werden direkt via MX Eintrag empfangen und durchsucht habe ich alle Logifles unter c:\WINDOWS\system32\LogFiles\, wobei die genannten Einträge in den diversen Logfiles unter c:\WINDOWS\system32\LogFiles\SMTPSVC1\ gefunden wurden, z.B. c:\WINDOWS\system32\LogFiles\SMTPSVC1\ex140408.log.

Danke und Grüße

Hallo ,

Bin ich da auf dem richtigen Weg? Bzw. wie kann ich auf dem (Exchange)Server von Firma A jetzt prüfen, ob und wenn ja, wer/wann/was
geblockt/abgelehnt wird/wurde?

Auf Server A kannst Du nicht sehen ob Server B eine Mail nicht zustellen ( z.B.550) konnte.

Den Fehler wirst Du nicht bei Dir finden,sondern in der Headerdatei der Mail von Firma B !

A message that you sent could not be delivered to one or more of its recipients

Kann auch sein:
Wenn auf dem Mailserver der Firma A ,ankommende Mails von FirmaB, geblockt werden , da der Domainname Firma B nicht via DNS aufgeloest werden konnte.

Gruss

Hallo Alchmiedes,

Den Fehler wirst Du nicht bei Dir finden,sondern in der Headerdatei der Mail von Firma B !

Meinst du die Headerdatei der ursprünglichen Mail oder der Mail-Delivery-Failed-Mail? Und Wenn du erstere meinst, wonach soll ich da ausschau halten - kann mir die Mail ja woanders hin weiterleiten lassen.

> A message that you sent could not be delivered to one or more of its recipients

Kann auch sein:
Wenn auf dem Mailserver der Firma A ,ankommende Mails von FirmaB, geblockt werden , da der Domainname Firma B nicht via DNS
aufgeloest werden konnte.

Und wie kann ich das prüfen und ggf. ändern?

Hallo ,

den Header der Mail die nicht zugestellt werden konnte.

mit host -t mx hostname.de/com/net whatever....

z.B host -t mx telekom.de ergibt :

telekom.de mail is handled by 100 tcmail12.telekom.de.
telekom.de mail is handled by 100 tcmail22.telekom.de.
telekom.de mail is handled by 100 tcmail32.telekom.de.
telekom.de mail is handled by 100 tcmail42.telekom.de.
telekom.de mail is handled by 100 tcmail92.telekom.de.

bedeutet der mx record konnte aufgeloest werden.

Gruss

Na aber wenn der MX Record nicht aufgelöst werden kann, würde doch gar keine Mail ankommen?!?

Zitat von @Alchimedes:

Hallo ,

> Bin ich da auf dem richtigen Weg? Bzw. wie kann ich auf dem (Exchange)Server von Firma A jetzt prüfen, ob und wenn ja,
wer/wann/was
> geblockt/abgelehnt wird/wurde?

Auf Server A kannst Du nicht sehen ob Server B eine Mail nicht zustellen ( z.B.550) konnte.

Huh? Der Fehler ist ein Timeout von B --> A
Da sollte man natürlich prüfen ob auf A überhaupt etwas anklopft.

Den Fehler wirst Du nicht bei Dir finden,sondern in der Headerdatei der Mail von Firma B !

Headerdateien sind nur hilfreich um zu prüfen über welche Stationen die Mail gelaufen ist, nicht um zu prüfen über welche nicht.

Falls das hinter der Adresse der SMTP Reply Code ist haben wir den Schuldigen:

1.2.3.4 xyz.kundenserver.de SMTPSVC1 Server_Firma_A 192.168.1.10 0 RCPT - +TO:<Mitarbeiter@Firma_A.de> 550 0 0 27 5422 SMTP - - - -

Das soll aber ein Windows SMTP Service Kundiger auflösen.

Gruß

Andi

Headerdateien sind nur hilfreich um zu prüfen über welche Stationen die Mail gelaufen ist, nicht um zu prüfen über welche nicht.

Damit weiss ich dann doch sehr genau das Sie eben nicht ueber diese Station gelaufen sind. ;)

Na aber wenn der MX Record nicht aufgelöst werden kann, würde doch gar keine Mail ankommen?!?

Ich denke da kommen keine Mails an ??

Nur Mails, die Firma B schickt, werden mit folgender Fehlermeldung zurückgewiesen

Was denn nun ?

Gruss

Zitat von @Alchimedes:
Ich denke da kommen keine Mails an ??

> Nur Mails, die Firma B schickt, werden mit folgender Fehlermeldung zurückgewiesen

Was denn nun ?

Es kommen ganz normal Mails an - alles schön. Nur Mails von ...@Firma_B.de eben nicht.

Zitat von @AndiEoh:

Falls das hinter der Adresse der SMTP Reply Code ist haben wir den Schuldigen:

1.2.3.4 xyz.kundenserver.de SMTPSVC1 Server_Firma_A 192.168.1.10 0 RCPT - +TO:<Mitarbeiter@Firma_A.de> 550 0 0 27 5422 SMTP
- - - -

Das soll aber ein Windows SMTP Service Kundiger auflösen.

Hier mal die Auflistung zur Bedeutung...

cs-uri-query	sc-status	sc-win32-status	sc-bytes	cs-bytes	time-taken	cs-version	cs-host	cs(User-Agent)	cs(Cookie)	cs(Referer)
TO:<Mitarbeiter@Firma_A.de>	550	0	0	27	5422	SMTP	-	-	-	-

Kann ich nichts mit anfangen - ihr vielleicht?

Wenn ich die MS-Hinweise richtig deute heißt das SMTP Status Code 550, das bedeutet der Server Firma A mag den Empfänger <Mitarbeiter@Firma_A.de> nicht...

Zitat von @AndiEoh:

Wenn ich die MS-Hinweise richtig deute heißt das SMTP Status Code 550, das bedeutet der Server Firma A mag den
Empfänger <Mitarbeiter@Firma_A.de> nicht...

Das kann es nicht sein, denn a) ist mit dem Empfänger bzw. der Adresse definitiv alles in Ordnung und b) treten ja die gleichen Probleme auch bei anderen Zieladressen auf.
Ich denke eher, dass der Server noch sagt "OK, hab hier ne Mail von Firma_B - aber Weiterleiten an eines meiner Postfächer mach ich nicht mit".

Kann ich denn irgendwie prüfen, ob es was mit der Verschlüsselung zu tun hat? Denn wie schon gesagt weisen alle Einträge im Log den Wert STARTTLS auf:

1.2.3.4 xyz.kundenserver.de SMTPSVC1 Server_Firma_A 192.168.1.10 0 STARTTLS - - 220 0 0 8 0 SMTP - - - - 
1.2.3.4 xyz.kundenserver.de SMTPSVC1 Server_Firma_A 192.168.1.10 0 STARTTLS - - 220 0 29 8 0 SMTP - - - - 

Also dass der Server quasi sagt "OK, hab hier ne Mail von Firma_B, leite sie aber nicht an eines meiner Postfächer weiter, weil ich sie nicht entschlüsseln kann"...
Habe in der Zwischenzeit auch noch gelesen, dass andere leute ähnliche Probleme haben mit Mails, die von gmx an Exchange 2003 gesendet werden, da gmx vor kurzem scheinbar seine Kommunikation ausschließlich auf TLS umgestellt hat und Exchange damit eventuell nicht klar kommt.

Hallo ,

Fehler 550 sagt doch klar aus das die Mail nicht zugestellt werden konnte.

Das kann es nicht sein, denn a) ist mit dem Empfänger bzw. der Adresse definitiv alles in Ordnung und b) treten ja die gleichen Probleme auch bei anderen > Zieladressen auf.

Dein Problem ist B kann nicht an A senden ?
Aber A und B bekommen von anderen Mailserver Mails zugestellt ?
A kann an B senden.

Also die Logfiles , error.log, auth.log, mail.log e.t.c von B durchsuchen und mal klar festellen welche Ursache das hat.

Versuch Dich mal via telnet mit dem Server zu verbinden und schick ne mail...

Dann bekommst Du am Prompt die Fehlermeldung.

z.B:
telnet <ip-addresse> 25

siehe wiki:

http://de.wikipedia.org/wiki/Simple_Mail_Transfer_Protocol

die blau markierten sind Deine , angepassten,Angaben.

Gruss

Dein Problem ist B kann nicht an A senden ?
Aber A und B bekommen von anderen Mailserver Mails zugestellt ?
A kann an B senden.

Richtig.

Also die Logfiles , error.log, auth.log, mail.log e.t.c von B durchsuchen und mal klar festellen welche Ursache das hat.

Das geht leider nicht, weil ich für B nicht zuständig bin und wie schon in meiner Frage oben geschrieben sagen die Leute bei B, dass es nicht an ihnen liegt.

Versuch Dich mal via telnet mit dem Server zu verbinden und schick ne mail...

An telnet hatte ich ganz zu Anfang auch gedacht - klar - aber kann ich leider nicht testen da ich wie gesagt nichts mit B zu tun habe. Kann höchstens mal bei Firma_B nachfragen, ob sie das machen würden. Habe aber wenig Hoffnung

Nur mal nebenbei: Mir ist auch aufgefallen, dass die Zeit in den SMTPSVC1-Logfiles um zwei Stunden versetzt ist. Also eine um 8:30 gesendete Mail wird dort mit 6:30 protokolliert. Die Zeit des Servers ist aber korrekt. Lässt sich das irgendwie korrigieren?

Zitat von @AndiEoh:

Wenn ich die MS-Hinweise richtig deute heißt das SMTP Status Code 550, das bedeutet der Server Firma A mag den
Empfänger <Mitarbeiter@Firma_A.de> nicht...

Ich sehe gerade, dass ich dummerweise genau den Log Eintrag kopiert habe, indem die Empfängeradresse tatsächlich falsch eingetippt wurde, sodass der Fehlercode 550 doch genau das bedeutet, dass der Empfänger falsch ist. Mein Fehler. Die anderen Einträge, bei denen die Mail nicht ankommt, enthalten keine 550:

2.3.4 ___.kundenserver.de SMTPSVC1 Server_Firma_A 192.168.1.10 0 EHLO - +___.kundenserver.de 250 0 331 27 0 SMTP - - - -
2.3.4 ___.kundenserver.de SMTPSVC1 Server_Firma_A 192.168.1.10 0 STARTTLS - - 220 0 0 8 0 SMTP - - - -
2.3.4 ___.kundenserver.de SMTPSVC1 Server_Firma_A 192.168.1.10 0 STARTTLS - - 220 0 29 8 0 SMTP - - - -
2.3.4 ___.kundenserver.de SMTPSVC1 Server_Firma_A 192.168.1.10 0 EHLO - +___.kundenserver.de 250 0 341 27 0 SMTP - - - -
2.3.4 ___.kundenserver.de SMTPSVC1 Server_Firma_A 192.168.1.10 0 MAIL - +FROM:<Mitarbeiter@Firma_B.de> 250 0 81 35 0 SMTP - - - -
2.3.4 ___.kundenserver.de SMTPSVC1 Server_Firma_A 192.168.1.10 0 RCPT - +TO:<Mitarbeiter@Firma_A.de> 250 0 0 26 235 SMTP - - - -
2.3.4 ___.kundenserver.de SMTPSVC1 Server_Firma_A 192.168.1.10 0 QUIT - ___.kundenserver.de 240 469 79 4 31 SMTP - - - -

STARTTLS zeigt an, dass der Server ab da gerne verschlüsselt reden möchte. Die großen deutschen Provider haben außerdem zum 1. April damit begonnen, Mails nur noch verschlüsselt anzunehmen. Kann dein Server das? Wenn nicht, wäre es an der Zeit, unabhängig vom aktuellen Problem.

In den Logs sehe ich aber keine Auffälligkeiten, die Logs der Gegenseite wären bei deinem Problem wohl auch interessanter.
Da in deinem Beispiel auf eine Mail geantwortet wird, könnte die Reply-to-Adresse in dieser das Problem sein. Umlaute im Namen zum Beispiel oder auch eine falsche Domäne. Diese Details zeigst du uns ja nicht.

Jens

Hallo,

du benutzt Exchange 2003.
Dann könnte dein Problem hiermit LINK zusammen hängen.

Hallo Jens, besten Dank für deine Antwort

Die großen deutschen Provider haben außerdem zum 1. April damit begonnen, Mails nur noch verschlüsselt anzunehmen. Kann dein Server das?

"Nur noch verschlüsselt anzunehmen" - Mails, die an Firma B gesendet werden, kommen ja an - nur von Firma B zu Firma A eben nicht. Oder meinst du, das ist für beide Richtungen relevant?

Kann dein Server das?

Wie lässt sich das denn feststellen?

Da in deinem Beispiel auf eine Mail geantwortet wird, könnte die Reply-to-Adresse in dieser das Problem sein. Umlaute im Namen zum Beispiel oder auch eine falsche Domäne. Diese Details zeigst du uns ja nicht.

Wie oben schon geschrieben ist mit den Adressen alles in Ordnung. Zudem tritt das Problem ja nicht nur bei Antwort-Mails auf, sondern bei jeder Mail an einen beliebigen Empfänger von @firmaa.de.

Schöne Grüße

Hallo SirHenry, auch dir besten Dank für deine Antwort!!

Zitat von @SirHenry:
du benutzt Exchange 2003.
Dann könnte dein Problem hiermit LINK zusammen hängen.

Das klingt sehr interessant, allerdings lese ich aus diesem Bericht, dass dort das Senden von (Exchange?) 2003 an gewisse Empfänger, z.B. GMX oder vielleicht auch wie in meinem Fall 1und1 gemeint/betroffen ist. Das Senden funktioniert aber problemlos - der Empfang klappt nicht.
Der Umstieg auf eine aktuelle Server-Version, wie im Beitrag beschrieben, ist in Planung, allerdings geht das ja nicht von heute auf morgen, so dass das Problem temporär gelöst werden muss. Testhalber könnte ich dem Hinweis im Beitrag

In der Zwischenzeit können Sie übergangsweise die Verbindungssicherheit deaktivieren. Bearbeiten Sie hierzu in der Gateway Rolle im Punkt E-Mail Routing unter Ausgehende Zustellung den Sendekonnektor. Unter dem Reiter Zustellung wählen Sie bitte Verbindungssicherheit abschalten.

ja nachgehen, weiß aber nicht wie ich da hin komme... Im Exchange System Manager habe ich solche Optionen leider nicht gefunden - kannst du mich vielleicht dort hin navigieren?

Besten Dank und schöne Grüße

Hallo,

in dem Bericht geht es um Windows Server 2003 und eine Mail Software namens NoSpamProxy. Die Exchange Version spielt da wohl eher eine untergeordnete Rolle.

Ich hatte bis Anfang April noch einen Windows Server 2003 zum versenden von E-mails verwendet und bekam auch bei diversen Empfängern Meldungen mit

delivery retry timeout exceeded

Auszug aus dem Link:

"Die Probleme konnten darauf zurückgeführt werden, dass die annehmenden Mailserver zur Transportverschlüsselung (TLS) Cipher-Suites einsetzen wollen, die von Windows 2003 nicht mehr unterstützt werden."

Das sieht für mich ganz danach aus das Firma B noch einen Server 2003 zum Versenden benutzt.
Wenn dem so ist, liegt der "Fehler" meiner Meinung nach bei Firma B. Möglicherweise könnte es helfen das Firma B TLS auf ihrem Mail-Server ausschaltet.

Der Absatz

bezieht sich nur auf die Software NoSpamProxy.

Hallo SirHenry,

Das verstehe ich nicht. Wie kann denn der(en) Mailserver "zur Transportverschlüsselung (TLS) Cipher-Suites einsetzen wollen", wenn er selbst die gar nicht unterstützt??
Und gibt es denn keine Möglichkeiten auf der Seite des Servers von Firma A? Denn laut Protokoll (siehe oben) kommen die Mails ja beim Server an, nur eben nicht beim Benutzer...

Besten Dank ;)

Hallo,

Du verstehst das falsch.
Wenn es so ist wie von mir beschrieben, möchte Firma A (Windows Server Version?) zum Entschlüsseln von TLS eben jene Cipher-Suites benutzen, die der Sender-Server (Firma B) nicht kennt.

Oder es ist andersrum, so das Mails von Firma B mit Cipher-Suites arbeiten und dein Server das nicht entschlüsseln kann.

Die einzige Möglichkeit die ich bei Firma A sehe ist, das du im Exchange einstellst das Mails von Firma B nur unverschlüsselt angenommen werden.

Aber ob und wie du das bei Exchange 2003 einstellen kannst... da kann ich dir leider nicht weiterhelfen.

Wenn es so ist wie von mir beschrieben, möchte Firma A (Windows Server Version?) zum Entschlüsseln von TLS eben jene
Cipher-Suites benutzen, die der Sender-Server (Firma B) nicht kennt.

Oder es ist andersrum, so das Mails von Firma B mit Cipher-Suites arbeiten und dein Server das nicht entschlüsseln kann.

Bei Firma A läuft wie schon erwähnt Exchange 2003. Die Konfiguration bei Firma B ist mir nicht bekannt.

Die einzige Möglichkeit die ich bei Firma A sehe ist, das du im Exchange einstellst das Mails von Firma B nur
unverschlüsselt angenommen werden.
Aber ob und wie du das bei Exchange 2003 einstellen kannst... da kann ich dir leider nicht weiterhelfen.

OK, aber danke für den Tip. Mal vom wie und wo abgesehen - ist das theoretisch denn möglich, wenn Firma B die Mails wie gehabt versendet oder muss Firma B dazu die Verschlüsselung deaktivieren?
Hintergrund: Firma B lässt nicht mit sich reden und ist fest davon überzeugt, der Fehler liege nicht bei ihnen bzw. lässt sich auch auf keine Änderungen/Tests ein. Das einzige, was getestet werden kann, sind Änderungen beim Server Firma A mit der Bitte an einen Mitarbeiter von Firma B, eine Testmail zu senden.

Hallo,

Exchange 2003 ist schon klar. Aber auf welchem Server Betriebssystem? Windows Server 2000, 2003, 2003 R2, (2008)? Small Business Server möglicherweise?

Wenn du es bei Firma A so einstellst das Mails nur unverschlüsselt angenommen werden, kann Firma B ihre Mails, sofern TLS optional eingestellt ist, weiter schicken wie bisher.

Dann passiert folgendes (ganz grob gesagt):

Firma B schickt Mail.
Firma B fragt Firma A nach TLS
Firma A sagt "Hier nix TLS"
Firma B sagt OK, hier Mail ohne TLS
Firma A sagt Danke für die Mail, wird weitergeleitet an Benutzer

(Man möge mich korrigieren wenn ich falsch liege).

Wenn das aber auch nicht zum Erfolg führt, bin ich mit meinem Latein auch am ende.

Hallo SirHenry,

vielen Dank für deine überaus verständlichen Antworten bis hierher!!! ;) Wirklich klasse, so versteht man's sofort :D

Aber auf welchem Server Betriebssystem? Windows Server 2000, 2003, 2003 R2, (2008)? Small Business Server möglicherweise?

Der Exchange 2003 läuft auf einen SBS 2003. Wie gesagt, neuer Server (Server 2008 R2) mit Exchange 2010 ist in Planung.

Wenn du es bei Firma A so einstellst das Mails nur unverschlüsselt angenommen werden, kann Firma B ihre Mails, sofern TLS optional eingestellt ist, weiter schicken wie bisher.

Der Sache werde ich mal nachgehen, nochmals danke bis hierher!!

Hallo, da bin ich wieder - mit neuen Erkenntnissen:

> Wenn du es bei Firma A so einstellst das Mails nur unverschlüsselt angenommen werden, kann Firma B ihre Mails, sofern
TLS optional eingestellt ist, weiter schicken wie bisher.
Der Sache werde ich mal nachgehen, nochmals danke bis hierher!!

Der Exchange Server von Firma A nimmt auch unverschlüsselte Mails an...

Ich habe Testmails von einer privaten 1und1 Mailadresse geschickt und beide SMTP-Log-Einträge (Mails an Firma_A von Firma_B und von privater 1und1 Mail) verglichen. Hier der Screenshot:

Folgendes fällt auf:
- Bei den Testmails wird zunächst eine verschlüsselte Verbindung hergestelt.
- Diese wird dann mit Fehler 503 (Bad sequence of commands) und Methode QUIT abgebrochen (Zeilen 15 und 16)
- Dann wird eine unverschlüsselte Verbindung hergestellt und die Mail wird problemlos gesendet und empfangen (ab zeile 17)

Ich schätze mal, dass der Exchange Server von Firma_A mit der verwendeten Verschlüsselungsmethode bzw. der Chiffrierung vom 1und1 Server nichts anfangen kann, und daher diesen Fehler 503 ausgibt. Und genau diese Unterbrechung der verschlüsselten Verbindung und Erstellung einer unverschlüsselten Verbindung fehlt, wenn Firma_B eine Mail sendet.
Es wird nichts unterbrochen, was ja auf eine problemlose Verbindung hindeutet. Es werden allerdings auch keine Daten übertragen (cs-method DATA wie in Zeile 20 fehlt).
Wird daraus jemand schlau? Hat es vielleicht etwas damit zu tun, dass es einerseits eine private Domain ist und andererseits ein SMTP Smarthost, der von Firma_B verwendet wird? Allerdings ist es doch der gleiche Server moutng.kundenserver.de?!?
Ich werde mit diesen Infos mal bei 1und1 anrufen und dann hier berichten, wie die Antwort war - auch wenn ich es mir fast schon denken kann...

Aktualisieren Sie Ihren Exchange Server....

Hallo,

Der Exchange Server von Firma A nimmt auch unverschlüsselte Mails an...

Natürlich nimmt er auch unverschlüsselte Mails an.
Aber... falls es so ist wie von mir beschrieben, will Firma B verschlüsseln, dabei funktioniert irgendwas nicht richtig und es wird nicht korrekt vom Server erkannt. Bei deinem Versuch mit privater Mail wird's wohl richtig vom Server erkannt das TLS nicht funktioniert.

Deswegen mein Vorschlag, komplett die Verschlüsselung abzustellen. (Zumindest kurzfristig zum Testen mit Firma B, um das Problem einzugrenzen.)

Was mich an dem Screenshot wundert ist Zeile 9.
Von Firma B an Firma B über Firma A. Schreibfehler?

Ansonsten müsste das nach meinem Verständnis doch intern bei Firma B passieren und dürfte bei Firma A im Log nicht auftauchen.
Oder er müsste Fehler 550 anzeigen. (Requested action not taken: mailbox unavailable. oder Unable to Relay)

Hallo,

Deswegen mein Vorschlag, komplett die Verschlüsselung abzustellen. (Zumindest kurzfristig zum Testen mit Firma B, um das
Problem einzugrenzen.)

Wie schon geschrieben: Firma B behauptet felsenfest, dass es nicht bei ihnen liegt. Und auf die Frage/Bitte, doch mal die Verschlüsselung temporär für Testzwecke zu deaktivieren kam als Antwort ungefähr das: "Wir schicken unsere Mails zum 1und1 Smarthost, der seit April nur noch verschlüsselte Verbindungen annimmt. An der Verbindung zwischen 1und1 und Ihrem Mailserver haben wir keinen Einfluss."

Was mich an dem Screenshot wundert ist Zeile 9.
Von Firma B an Firma B über Firma A. Schreibfehler?

Ja, Schreibfehler, sorry.

Ansonsten müsste das nach meinem Verständnis doch intern bei Firma B passieren

So ist auch mein Verständnis - aber dort hat man ja definitiv keinen Einfluss darauf...
Ich habe es ja mit der privaten Mailadresse und Thunderbird nachgestellt:
Egal, ob beim Postausgangsserver (smtp.1und1.de) bei Verbindungssicherheit "Keine", "SSL/TLS" oder "STARTTLS" eingestellt wird - alle Mails kommen bei Firma A an.

Hallo,

'Tschuldigung, war wohl etwas unverständlich.
Ich meinte du sollst bei Firma A einstellen das ausschließlich unverschlüsselte Mails angenommen werden. So das 1und1 gezwungen ist Firma A die Mail von Firma B unverschlüsselt zuzustellen.

Das es so funktioniert (1&1 stellt unverschlüsselt zu) habe ich eben selbst mit privater 1und1-Adresse(über Webmailer) und abgeschalteter Verschlüsselung auf meinem Server probiert.

Wenn ich die Verschlüsselung auf meinem Server wieder anschalte, stellt mir 1&1 die Mail auch wieder verschlüsselt zu.

Abgesehen von dem ganzen Kram mit Verschlüsselung...
Wie sieht es aus mit Anti Spam? Welche Software setzt Firma A dafür ein?
Steht Firma B womöglich auf einer RBL Blacklist? Blacklist check

Wäre mir zwar unerklärlich wie es dann zum Fehler "delivery retry timeout exceeded" kommt, aber man weiß ja nie...

Hallo SirHenry,

Ich meinte du sollst bei Firma A einstellen das ausschließlich unverschlüsselte Mails angenommen werden.

Wo kann man das denn bei Excahnge 2003 konfigurieren?

Wie sieht es aus mit Anti Spam? Welche Software setzt Firma A dafür ein?

Da ist TrendMicro im Einsatz, blockt aber nichts, das hatte ich schon geprüft, als der Fehler bekannt wurde.

Steht Firma B womöglich auf einer RBL Blacklist? Blacklist check

Auch das hatte ich schon geprüft.

Vielen Dank für's Mitgrübeln!! ;)

Hallo,

Wo kann man das denn bei Excahnge 2003 konfigurieren?

Ich meine in den Einstellungen vom "Virtuellen Standardserver für SMTP".
Aber sicher bin ich mir da nicht.

Wie sieht es aus mit Anti Spam? Welche Software setzt Firma A dafür ein?
Da ist TrendMicro im Einsatz, blockt aber nichts, das hatte ich schon geprüft, als der Fehler bekannt wurde.

Steht Firma B womöglich auf einer RBL Blacklist? Blacklist check
Auch das hatte ich schon geprüft.

War eh Unsinn fällt mir grade auf, da Firma B die Mails ja über 1&1 weiterschickt.
Wäre nur Interessant gewesen bei Direkt-Zustellung.

Hallo,

War eh Unsinn fällt mir grade auf, da Firma B die Mails ja über 1&1 weiterschickt.

Naja, die Blacklistvermutung vielleicht. Aber SPAM keineswegs.. Habe schon oft erlebt, dass Mails als SPAM deklariert und in Quarantäne verschoben wurden, weil der Contentfilter zu sensibel eingestellt war... Da kommst du anfangs nicht mehr aus dem Grübeln raus und dann ist der SPAM Filter der erste, den du bei Mailproblemen im Verdacht hast :D

Aber egal, ich schweife ab...

Ich meine in den Einstellungen vom "Virtuellen Standardserver für SMTP".

Da habe ich schon beim ersten mal geschaut, als du das angedeutet hast, konnte aber keine Einstellung entdecken, die entweder explizit sagt "nur unverschlüsselte Mails annehmen" oder aber Verschlüsselung zwingend erforderlich macht. Hier mal die aktuellen Einstellungen (habe bisher nichts geändert):

Hab ich was vergessen oder übersehen oder doch an der falschen Stelle geschaut?

Hi,

vielleicht hilft dir ja das hier weiter:

Link
Speziell Beitrag Nr. 27 und Nr. 77

Hallo SirHenry,

diese Forendiskussion kenne ich und habe sie schon intensiv studiert. Das Zertifikat kann ich nicht entfernen, da der Server auch ein Exchange Proxy ist und die Leute, die sich daran anmelden, dieses Zertifikat auf ihren Clients hinterlegt haben. Also wenn ich es entferne, können alle, die den Exchange Proxy nutzen, keine Mails mehr verschicken.

Und das ebenfalls in diesen Forenbeitrag erwähnte Update (http://support.microsoft.com/kb/948963) zu installieren schien mir a) riskant, da es lt. Einträgen in dieser Diskussion zu Fehlern führte und b) nutzlos, da niemand in dieser Diskussion davon berichtete, dass das Problem damit behoben sei.

Also wenn ich es entferne, können alle, die den Exchange Proxy nutzen, keine Mails mehr verschicken.

Oder liege ich da völlig falsch?

Hallo,

> Also wenn ich es entferne, können alle, die den Exchange Proxy nutzen, keine Mails mehr verschicken.
Oder liege ich da völlig falsch?

Das kann ich dir so nicht beantworten.

Zum Testen würde ich das Zertifikat rausnehmen, SMTP neu starten, Firma B sagen "Schickt mal ne Mail", prüfen ob die Mail ankommt.
Wenn die Mail von Firma B ankommt, prüfen ob die Clients noch Versenden können.
Wenn die Clients noch Senden können, ist alles gut.
Wenn nicht, Zertifikat wieder hinzufügen und SMTP neu starten.

Dann können die Clients wieder Senden aber Firma B keine Mails an Firma A schicken bis zum geplanten Austausch des Servers.

Du löschst ja nicht das Zertifikat ansich, sondern nimmst es dem SMTP für den Testzeitraum weg, wie in Beitrag Nr. 55 beschrieben.

Zitat von @SirHenry:
Wenn nicht, Zertifikat wieder hinzufügen und SMTP neu starten.

Genau diesem Schritt stand ich bisher skeptisch gegenüber. Wenn (warum auch immer) irgend etwas schief, das Zertifikat sich bspw. nicht mehr hinzufügen lässt, stehe ich vor einem viel größeren Problem als jetzt... Na mal sehen, vielleicht belese ich mich dazu nochmal und riskiere ich es morgen einfach...

Diese Entscheidung kann ich dir nicht abnehmen. Wenn ich vor dem Problem stehen würde, hätte ich auch Magenschmerzen dabei.

Aber bevor du dich jetzt noch ins Unglück stürzt, komme ich mal auf deine ursprüngliche Frage zurück...

Welche Seite ist verantwortlich?

Nachdem ich auf den Beitrag im anderen Forum gestoßen bin, behaupte ich mal das Problem liegt bei Firma A.
Da du ja schon gesagt hast das ein Upgrade geplant ist, steht halt jetzt noch die Frage im Raum welche Priorität ihr den Mails von Firma B einräumt.

Guten Morgen,

Da du ja schon gesagt hast das ein Upgrade geplant ist, steht halt jetzt noch die Frage im Raum welche Priorität ihr den
Mails von Firma B einräumt.

Priorität?? Aussagen wie "Ich muss diese Mails bekommen, sonst kann die Firma morgen zu machen." oder "Wenn mein Desktophintergrund nicht blau ist und mein Hund nicht als Bildschirmschoner eingerichtet ist kann die Firma gleich dicht machen, dann kauft bei uns keiner mehr was!!" (Achtung Ironie

) erübrigen die Frage nach der Priorität ;)
Aber wie du so schön geschrieben hast: Bevor ich mich am Freitag noch ins Unglück stürze, werde ich lieber den Servertausch (versuchen zu) beschleunigen und in der Zwischenzeit Weiterleitungsadressen auf einer anderen Domain anlegen... Ist zwar nicht die feine englische Art - aber das Entfernen des Zertifikats ist ja irgendwie auch nicht Sinn und Zweck der Sache

Also SirHenry - und allen anderen natürlich auch - besten Dank für deine Unterstützung!!! Wenn sich hier noch was ergibt und/oder etwas interessantes zu berichten ist, poste ich es natürlich.

Besten Grüße und schönes Wochenende!!

German Question Exchange Server Microsoft

Hotly discussed

How to set up and configure a Linux GRE tunnelAlexWisha - 3 Comments

End of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 Comment

WIREGUARD VPN ON UDM PRO BEHIND FRITZBOX - HANDSHAKE DID NOT COMPLETEjstricker