masterphil
Goto Top

Exchange 2016 routet E-Mails in falsches Postfach

Hallo Zusammen,

ein etwas komischer Fehler, der seit einiger Zeit auftaucht und ich mich zum Verzweifeln bringt:

Installiert ist ein Exchange 2016 (CU5) auf Windows Server 2012 R2. Der Exchange empfängt E-Mails über MX (vorgelagerte Securepoint UTM als MailRelay). Teilweise empfängt der Exchange Mails und leitet diese an ein falsches Postfach, obwohl im Header (Delivered-to und X-Original-to) die korrekte Empfängeradresse hinterlegt ist. Von der gleichen Absenderadresse kommen aber wiederum manche Mails im richtigen Postfach an (Postfach unter Delivered-to und X-Original-to). Mails, die in ein falsches Postfach zugestellt werden, wo aber der Header die korrekte Adresse anzeigt habe ich in den Exchange Logs nachgeprüft. In den FrontEnd und MessageTracking Logs steht plötzlich unter RCPT-TO die Adresse des Postfaches, welches die E-Mail fälschlicherweise erhält. Im MessageTracking Log steht z. B. unter recipient-address eine andere Mail wie im Header. Auch wenn ich mir die Mail in Outlook ansehe, unter "AN", ist die korrekte Mail eingetragen, an welche die E-Mail eigentlich gehen sollte. Exchange routet diese aber in ein falsches Postfach.

Was mir an der betreffenden Stelle im Log aufgefallen ist:

2017-04-24T08:11:31.640Z,,,,EXCH2016,No suitable shadow servers,,SMTP,HAREDIRECTFAIL,51071456116742,

Der Exchange ist Standalone, also ohne DAG/Cluster.

Warum wertet mir der Exchange hier den Header bzw. das RCPT-TO Feld falsch aus? Ich habe bereits den MX Eintrag direkt auf den Exchange umgebogen, um die UTM auzuschließen. Es sind auch keine Regeln o. ä. eingerichtet, die E-Mails verschieben. Auch werden die E-Mails nicht über einen verwaisten POP Connector abgerufen. Mich irritiert, dass im Header die richtige Empfängeradresse steht und der Exchange unter RCPT-TO im Log eine falsche Adresse hinterlegt und die E-Mails auch an dieses Postfach zustellt?

Viele Grüße
MasterPhil

Content-Key: 335982

Url: https://administrator.de/contentid/335982

Ausgedruckt am: 19.03.2024 um 04:03 Uhr

Mitglied: Pjordorf
Pjordorf 24.04.2017 um 11:24:48 Uhr
Goto Top
Hallo,

Zitat von @MasterPhil:
Teilweise empfängt der Exchange Mails und leitet diese an ein falsches Postfach
Sicher das er das tut?

obwohl im Header (Delivered-to und X-Original-to)
Delivered-to = Ausgeliefert-an / Versendet-an

die korrekte Empfängeradresse hinterlegt ist
RCPT-TO oder was?

In den FrontEnd und MessageTracking Logs steht plötzlich unter RCPT-TO die Adresse des Postfaches, welches die E-Mail fälschlicherweise erhält.
Dann ist doch alles OK. Mails gehen an RCPT-TO, auch wenn es ein falsches Postfach sein sollte. Dann gibt es doch kein Fehler. Sicher das deine UTM dort nichts ändert?

Im MessageTracking Log steht z. B. unter recipient-address eine andere Mail wie im Header.
Du solltest mal genau sagen von welchen Adressen du redest. Im Mail Header stehen verschiedene....

Auch wenn ich mir die Mail in Outlook ansehe, unter "AN", ist die korrekte Mail eingetragen, an welche die E-Mail eigentlich gehen sollte.
Das sagt dir Outlook auch dann wenn dort was anderes steht. Der Outlook Client ist nicht Exchange, sondern nur am Exchange (bei dir) angebunden. Die entscheidung ain welches Postfach die mail landet trifft dein Exchange und nach deine Aussage landen die die Mails im falschen Postfach wobei die Mails aber eben den RCPT-TO dorthin haben.

Exchange routet diese aber in ein falsches Postfach.
Aber der RCPT-TO stimmt schon - passend zum falschen Postfach?

Warum wertet mir der Exchange hier den Header bzw. das RCPT-TO Feld falsch aus?
Tut er doch gar nicht laut deiner beschreibung. RCPT-TO und Postfach stimmen überein, das es trotzdem das falsche ist liegt am RCPT-TO.

Mich irritiert, dass im Header die richtige Empfängeradresse steht
Welche meinst du genau?

und der Exchange unter RCPT-TO im Log eine falsche Adresse hinterlegt
Du meinst im RCPT-TO steht Donald.duck@entenhausen.de und im log deines Exchange steht irgendwo Gustav.Gans@entenhausen.de und die Mails landen im Postfach Gustav.Gans@entenhausen.de?

Gruß,
Peter
Mitglied: MasterPhil
MasterPhil 24.04.2017 aktualisiert um 12:21:52 Uhr
Goto Top
Sicher das er das tut?
Ja, ganz sicher.

RCPT-TO oder was?
Ein Externer sendet eine Mail an info@firma.de. Die Mail kommt nun nicht im Postfach info@firma.de raus sondern in einem anderen z. B. mitarbeiter@firma.de. Im Exchange MessageTracking Log steht im Feld RCPT TO nun mitarbeiter@firma.de, die Mail wurde aber an info@firma.de gesendet. Im Header steht bei Delivered-to und X-Original-to info@firma.de. Warum sitzt mir Exchange dann mitarbeiter@firma.de? Das ist willkürlich so, manche Mails vom selben Absender an info@firma.de kommen dann auch im Postfach info@firma.de raus. Und Nein, die Mail wird nicht aus Versehen an mitarbeiter@firma.de adressiert face-wink

Dann ist doch alles OK. Mails gehen an RCPT-TO, auch wenn es ein falsches Postfach sein sollte. Dann gibt es doch kein Fehler. Sicher das deine UTM dort nichts ändert?
Mail wurde aber an info@firma.de gesendet. Angekommen ist sie bei mitarbeiter@firma.de. Die UTM macht hier sicher nichts, ich habe den MX direkt auf den Exchange umgebogen, sodass hier nichts mehr dazwischen hängt.

Aber der RCPT-TO stimmt schon - passend zum falschen Postfach?
RCPT-TO passt eben nicht - der Exchange setzt hier eine Adresse "mitarbeiter@firma.de" rein, obwohl die Mail ursprünglich an info@firma.de geleitet wurde. Im Header steht Delivered-to / X-Original-to info@firma.de.
Ich sehe auch im Exchange Log nirgends die info@firma.de, ich verstehe nicht wo der Exchange die Adresse vergisst, bzw. warum er diese ersetzt.

Aber der RCPT-TO stimmt schon - passend zum falschen Postfach?
Ja, die Mail landet dann, passend zu RCPT TO im falschen Postfach. Exchange scheint hier das Feld RCPT TO zu ersetzten. Ursprünglich ist die Mail an info@firma.de adressiert, Exchange ersetzt diese nun im Feld RCPT TO durch mitarbeiter@firma.de

Warum der Exchange hier mit shadow copys rummacht, verstehe ich auch nicht:
2017-04-24T08:11:31.640Z,,,,EXCH2016,No suitable shadow servers,,SMTP,HAREDIRECTFAIL,51071456116742,
Mitglied: GuentherH
GuentherH 24.04.2017 um 13:36:01 Uhr
Goto Top
Warum der Exchange hier mit shadow copys rummacht, verstehe ich auch nicht:

Weil die Funktion aktiviert ist face-wink Des Exchange sucht nach einem anderen redundanten Exchange Hub.

Kann man mit Set-TransportConfig -ShadowRedundancyEnabled $false deaktivieren.

Mach das einmal und schau dann weiter.

LG Günther
Mitglied: MasterPhil
MasterPhil 24.04.2017 aktualisiert um 17:52:52 Uhr
Goto Top
Kann man mit Set-TransportConfig -ShadowRedundancyEnabled $false deaktivieren.
Ist deaktiviert und der Exchange wurde danach neu gestartet. Das Problem besteht allerdings immer noch - E-Mails werden immer noch falsch geroutet...

Ich finde die Kardinalsfrage ist: Warum ersetzt der Exchange das Feld RCPT TO durch eine Adresse, an welche die E-Mail nicht gesendet wurde? Anscheinend sendet der Exchange manche Mails immer an EIN bestimmtes Postfach eines Mitarbeiters (z. B. externer Absender sendet an info@firma.de, Mail kommt bei mitarbeiter@firma.de raus oder externer Absender sendet an mitarbeiter2@firma.de, Mail kommt bei mitarbeiter@firma.de raus). Das ist aber wie oben schon angemerkt nicht bei allen Mails so, manche Mails vom gleichen Absender werden korrekt geroutet. Warum das eine Postfach manche fehlgeleiteten Mails bekommt kann ich nicht sagen, im MessageTracking Log scheint alles OK zu sein - der Fehler mit Shadow Copys ist nun weg.
Mitglied: Pjordorf
Pjordorf 24.04.2017 um 21:53:09 Uhr
Goto Top
Hallo,

Zitat von @MasterPhil:
Ich finde die Kardinalsfrage ist: Warum ersetzt der Exchange das Feld RCPT TO durch eine Adresse
Wenn ihr da nichts eingebaut habt - warum soll der Exchange etwas von sich aus ersetzen?

Ist evtl. deine info@ noch woanders in Verwendung oder durch irgendwelche fehlversuche noch zu finden?

an welche die E-Mail nicht gesendet wurde?
Du hast die ankommenden Mails schon per Wireshark oder Networkmonitor verifiziert das dort nicht schon was anderes steht als du erwartest?

Anscheinend sendet der Exchange manche Mails immer an EIN bestimmtes Postfach eines Mitarbeiters
Du solltest die Gemeinsamkeiten finden denn selbst ein Amoklaufender Exchange wird auch dort nach Regeln vorgehen, sonst hiesse das ja das ein Exchange tun kann was er will - oder eben nicht. Dann dürfte auch das sich schon als K.O. Kriterium rumgesprochen haben.

Auch SMTP mit TLS/SSL kann per Wireshark in Klarschrift gebracht werden. Hier ist ja nur das RCPT-TO: bla@bla.de wichtig. Was bekommt dein Exchange also per MX da zugestellt?

Gruß,
Peter
Mitglied: MasterPhil
MasterPhil 25.04.2017 aktualisiert um 17:09:06 Uhr
Goto Top
Ist evtl. deine info@ noch woanders in Verwendung oder durch irgendwelche fehlversuche noch zu finden?
Die Adresse ist nicht anderweit in Verwendung. Die Konfig hat ja auch ewig so funktioniert, plötzlich macht der Exchange die faxen.... Die Mails wird wie oben schon geschrieben an info@firma.de adressiert, landet aber in mitarbeiter@firma.de - ohne Regeln oder irgendwelche Konfig-Änderunge...In den Logs sehe ich allerdings im Feld RCPT TO mitarbeiter@firma.de...klar dass die Mail dann da raus kommt...wer ersetzt das dann aber, wenn der Absender klar an info@firma.de sendet? Vor allem gehen manche Mails vom gleichen Absender durch, eine nachfolgende landet im falschen Postfach...

Du hast die ankommenden Mails schon per Wireshark oder Networkmonitor verifiziert das dort nicht schon was anderes steht als du erwartest?
Mit Wireshark direkt am Exchange sehe ich zwar den ganzen SMTP Verbindungsaufbau, aber ich kann nicht in die Pakete sehen, also z. B. das Feld RCPT TO auslesen..Ich habe alles nach SMTP gefiltert, kann aber nirgends RCPT-TO sehen....

Kann ich sonst noch wo nachsehen, was da genau passiert? Interessant wäre tatsächlich die Mail vor Annahme des Exchange zu prüfen...
Mitglied: Pjordorf
Pjordorf 25.04.2017 um 22:07:32 Uhr
Goto Top
Hallo,

Zitat von @MasterPhil:
Mit Wireshark direkt am Exchange sehe ich zwar den ganzen SMTP Verbindungsaufbau, aber ich kann nicht in die Pakete sehen, also z. B. das Feld RCPT TO auslesen..Ich habe alles nach SMTP gefiltert, kann aber nirgends RCPT-TO sehen....
Dir ist aber schon klar das nur noch ganz wenig über Port 25 OHNE TLS / SSL läuft, oder?
https://tinyurl.com/kb72k9q
https://tinyurl.com/lrygrzh

Gruß,
Peter
Mitglied: MasterPhil
MasterPhil 26.04.2017 aktualisiert um 10:08:12 Uhr
Goto Top
Dir ist aber schon klar das nur noch ganz wenig über Port 25 OHNE TLS / SSL läuft, oder?
Bedeutet für mich, dass ich den eingehenden MX Traffic auf Port 25 wie z. B. hier beschrieben entschlüsseln muss, damit ich das Feld RCPT TO lesen kann? Ich möchte ja sehen, wie die eingehende Mail adressiert ist, bevor der Exchange empfängt.
https://blogs.technet.microsoft.com/nettracer/2010/10/01/how-to-decrypt- ...
Mitglied: SlainteMhath
SlainteMhath 26.04.2017 um 12:36:14 Uhr
Goto Top
Moin,

so wie ich das sehe macht der Exchange alles richtig (er stellt die Mail an dem im RCPT TO angegebenen Empfänger zu). Kannst du denn 100%ig ausschliessen, das dein UTM nicht an der Mail(-Envelope) rumfummelt? Evtl. hat die ja auch eine Rewrite-regel o.Ä.? Da hat's sicher auch Logfiles, oder?

lg,
Slainte
Mitglied: Pjordorf
Pjordorf 26.04.2017 um 13:06:38 Uhr
Goto Top
Hallo,

Zitat von @SlainteMhath:
Kannst du denn 100%ig ausschliessen, das dein UTM nicht an der Mail(-Envelope) rumfummelt?
Er hat doch geschrieben
Ich habe bereits den MX Eintrag direkt auf den Exchange umgebogen, um die UTM auzuschließen
sowie
Die UTM macht hier sicher nichts, ich habe den MX direkt auf den Exchange umgebogen, sodass hier nichts mehr dazwischen hängt
Scheint das der TO 2 unterschiedliche Öffentliche IPs hat. Eine für die UTM, eine für den Exchange face-smile

Gruß,
Peter
Mitglied: Pjordorf
Pjordorf 26.04.2017 um 13:08:54 Uhr
Goto Top
Hallo,

Zitat von @MasterPhil:
Bedeutet für mich, dass ich den eingehenden MX Traffic auf Port 25 wie z. B. hier beschrieben entschlüsseln muss
Ja, sonst siehst du nur alles Verschlüsselt. Du musst schauen was du konfiguriert hast und ob es TL oder SSL ist und auch welcher Port dann eventuell genutzt wird.

Gruß,
Peter
Mitglied: SlainteMhath
SlainteMhath 26.04.2017 um 13:13:56 Uhr
Goto Top
> > Er hat doch geschrieben
> Ich habe bereits den MX Eintrag direkt auf den Exchange umgebogen, um die UTM auzuschließen
Sorry, hab ich dann wohl überlesen face-smile
Mitglied: MasterPhil
MasterPhil 26.04.2017 um 14:21:23 Uhr
Goto Top
Ja, sonst siehst du nur alles Verschlüsselt. Du musst schauen was du konfiguriert hast und ob es TL oder SSL ist und auch welcher Port dann eventuell genutzt wird.
Ich habe das Netz übernommen und muss immer prüfen, was schon eingestellt ist. Der Exchange bekommt die E-Mails über Port 25 zugestellt. So wie ich das sehe ist am Default Connector, der bei Installation erstellt wird, nichts verändert. Authentifizierung steht auf TLS (Gegenseitige TLS Auth). Ich versuche mit Wireshark und dem private key aus dem öffentlichen Zertifikat die Verbindung zu entschlüsseln.