Keine Mails mehr von Microsoftservern an privaten Mailserver
- Ersteller RockNLol
- Erstellt am
- Registriert
- Aug. 2008
- BeitrÀge
- 821
OK, wir sind wieder beim ursprĂŒnglichen Problem gelandet, dass nur Mails von Microsoft nicht ankommen. Port 25 ist offen, @azereus hat Magentas Unschuld bewiesen 
. Meine Testmethode war der Fehler, habe Telnet auf Port 25 ĂŒber mein Handy getestet, und mein Mobilfunkbetreiber blockt Port 25 ausgehend...
Beim Versuch Port 25 frei zu bekommen, obwohl er eh frei war habe ich die opnsense firewall wohl durcheinander gebracht. Weiterleitungsregel löschen und wieder hinzufĂŒgen hat gereicht.
Trotzdem kommen Mails von outlook.com und Microsoft 365 accounts nicht bei mir an.
Logge mittlerweile alles in hmail, ohne Erfolg. Die Pakete bleiben schon vorher irgendwo hÀngen.
. Meine Testmethode war der Fehler, habe Telnet auf Port 25 ĂŒber mein Handy getestet, und mein Mobilfunkbetreiber blockt Port 25 ausgehend...Beim Versuch Port 25 frei zu bekommen, obwohl er eh frei war habe ich die opnsense firewall wohl durcheinander gebracht. Weiterleitungsregel löschen und wieder hinzufĂŒgen hat gereicht.
Trotzdem kommen Mails von outlook.com und Microsoft 365 accounts nicht bei mir an.
Logge mittlerweile alles in hmail, ohne Erfolg. Die Pakete bleiben schon vorher irgendwo hÀngen.
burglar225
Lt. Commander
- Registriert
- Juni 2004
- BeitrÀge
- 1.919
Ich fĂŒrchte ohne Diagnosemöglichkeiten auf der Seite des Senders kommen wir hier nicht weiter.
- Registriert
- Aug. 2008
- BeitrÀge
- 821
Mit meiner outlook.com Adresse kann ich hier nicht viel einsehen. Aber auf einen Microsoft 365 account hÀtte Administratorzugriff. Damit hab ich aber keine Erfahrung. Was kann ich da denn noch nachschauen was nicht schon in der Fehlermeldung steht?
burglar225
Lt. Commander
- Registriert
- Juni 2004
- BeitrÀge
- 1.919
Da kenne ich mich auch nicht aus, aber ich glaube auch nicht, dass das ausreicht.
Ich hatte vorhin schonmal die Vermutung geĂ€uĂert, dass es auch ein Problem mit der Route gibt.
Das wĂ€re zwar extrem unwahrscheinlich, aber nicht unmöglich. DafĂŒr wĂŒrde sprechen, dass es vor kurzem noch funktioniert hat. Und es wĂŒrde das Fehlerbild erklĂ€ren.
Aber da kann ich auch nur mutmaĂen.
Ich hatte vorhin schonmal die Vermutung geĂ€uĂert, dass es auch ein Problem mit der Route gibt.
Das wĂ€re zwar extrem unwahrscheinlich, aber nicht unmöglich. DafĂŒr wĂŒrde sprechen, dass es vor kurzem noch funktioniert hat. Und es wĂŒrde das Fehlerbild erklĂ€ren.
Aber da kann ich auch nur mutmaĂen.
Dann fang an auf deiner Firewall zu loggen. Immer wieder herlich zu sehen wie sich jeder meint ne dedizierte Firewall zuhause hinstellen zu mĂŒssen, eigene Server betreiben will aber kein Troubleshooting betreiben kann kopfschĂŒttel
Sieht du denn den Verbindungsaufbau von MS an der Firewall? Die aktuell gĂŒltigen Endpoints siehst du z.B. hier: https://docs.microsoft.com/de-de/office365/enterprise/urls-and-ip-address-ranges
Wenn Logs nix dazu sagen mach dir nen Account bei MS sofern nicht geschehen zum testen, dann finde heraus, wie du auf deiner Firewall per tcpdump mit sniffen kannst und filtere auf eingehende Verbindungen mit Source die Liste der IPs und Netze von MS und Port 25. Im besten Fall solltest du natĂŒrlich so mitsniffen bevor irgendwelche von dir konfigurierten Regeln greifen um diese auszuschlieĂen. Dann schick dir ne Mail und warte die Zustellversuche ab, dann siehst du ja ob was kommt oder nicht. Je nach Ergebnis weiĂ man dann in welcher Richtung man weiter suchen muss.
Sieht du denn den Verbindungsaufbau von MS an der Firewall? Die aktuell gĂŒltigen Endpoints siehst du z.B. hier: https://docs.microsoft.com/de-de/office365/enterprise/urls-and-ip-address-ranges
Wenn Logs nix dazu sagen mach dir nen Account bei MS sofern nicht geschehen zum testen, dann finde heraus, wie du auf deiner Firewall per tcpdump mit sniffen kannst und filtere auf eingehende Verbindungen mit Source die Liste der IPs und Netze von MS und Port 25. Im besten Fall solltest du natĂŒrlich so mitsniffen bevor irgendwelche von dir konfigurierten Regeln greifen um diese auszuschlieĂen. Dann schick dir ne Mail und warte die Zustellversuche ab, dann siehst du ja ob was kommt oder nicht. Je nach Ergebnis weiĂ man dann in welcher Richtung man weiter suchen muss.
- Registriert
- Dez. 2006
- BeitrÀge
- 4.203
IPv6 lÀuft auch mit hmail, muss man aber erst einrichten. google versucht es erst mit IPv6, wenn es nicht klappt, wird aber auf IPv4 ausgewichen. Wie MS das hÀndelt, keine Ahnung.
BrĂŒhend heiĂ fĂ€llt mir da zu hmail auch ein, dass dem MX Record ein A-Record zugrunde legen muss, also kein CNAME, daher vielleicht auch mal prĂŒfen. Und ja, Port 25 in der Firewall loggen. EasyRuleBlockHosts, GEO-IP und Suricata ebenfalls. đ
ErgÀnzung ()
BrĂŒhend heiĂ fĂ€llt mir da zu hmail auch ein, dass dem MX Record ein A-Record zugrunde legen muss, also kein CNAME, daher vielleicht auch mal prĂŒfen. Und ja, Port 25 in der Firewall loggen. EasyRuleBlockHosts, GEO-IP und Suricata ebenfalls. đ
Zuletzt bearbeitet:
Wenn du gĂŒltige IPv6 MX Records hast aber dein Server darauf nicht reagiert, ist das dein Problem. Das die meisten Anbieter netterweise ein Fallback auf legacy IPV4 fahren ist nett aber afaik kein MUSS oder gar per irgendeinem RFC gefordert. Wer Serverdienste nicht per IPv6 bereit stellen kann oder soll wollte auch tunlichst keine AAAA oder MX Records mit IPv6 Adressen verwenden.
- Registriert
- Aug. 2008
- BeitrÀge
- 821
snaxilian schrieb:
Immer wieder herrlich zu sehen, wie Leute nicht verstehen, was ein Hobby ist
Ich mache das um zu Lernen und zu Verstehen. Deshalb frage ich auch in einem Forum; damit ich von Leuten mit mehr Erfahrung etwas lernen kann.BezĂŒglich greylisting, sorry habe ich vergessen vorhin zu schreiben: Greylisting ist deaktiviert.
Es ist kein AAAA Record eingestellt, IPv6 habe ich bei mir aber auch nicht eingerichtet. In der Fehlermeldung wird aber auch eindeutig meine öffentliche IPv4 auf Port 25 angegeben. Daher denke ich nicht, dass MS es ĂŒber IPv6 versucht.
TatsÀchlich hat mein MX-Record auf einen CNAME gezeigt, darauf hat mich @azereus aufmerksam gemacht. Das habe ich korrigiert und auf einen A-Record umgestellt. Mal sehen ob das hilft.
Danke fĂŒr die vielen Ideen und Hinweise!
*edit: Ich habe nun um 18:19 eine Mail bekommen, die ich heute Morgen um 8:52 abgesendet habe. Hmail Log ist unaufffÀllig. Keine vorhergehenden fehlgeschlagenen Versuche. Möglicherweise timet das Ganze einfach irgendwo out.
Zuletzt bearbeitet:
- Registriert
- Dez. 2006
- BeitrÀge
- 4.203
Full ACK. Wer nicht helfen will, einfach raushalten, statt seine unmaĂgebliche Meinung stets und stĂ€ndig kund zu tun.RockNLol schrieb:Immer wieder herrlich zu sehen, wie Leute nicht verstehen, was ein Hobby ist
azereus
Rear Admiral
- Registriert
- Okt. 2007
- BeitrÀge
- 5.762
Na sehr schön es tut sich etwas nach den ersten ĂnderungenRockNLol schrieb:
Bin gespannt ob ĂŒbers Wochenende noch etwas passiert. Halte uns auf dem laufenden.
Kann natĂŒrlich ein Problem bei MS nicht ausschliessen - da wie du selbst schreibst und wir getestet haben - viele andere Absenderserver normal funktionieren und lediglich MS als Absenderserver problematisch erscheint.
- Registriert
- Aug. 2008
- BeitrÀge
- 821
Kleines Update:
von 23 Testmails von meiner Outlookadresse sind 6 Mails durchgekommen.
Bei Mails 1 und 6 konnte ich den Betreff eindeutig im Log von hmail identifizieren, daher habe ich eine genaue Ankunftszeit. Bei der ersten Mail hat es also 16h vom senden bis zum Empfangen gedauert. Die sechste "nur" 2h 20...
Wird da jemand schlau daraus? Ich werde morgen mal bei Microsoft fragen, wenn ich wo eine supportnummer finde.
*edit: Neue Facette des Problems: Mein Mailserver kann keinerlei ausgehende Verbindungen ĂŒber Port 25 herstellen. Alle anderen GerĂ€te im selben Netzwerk sehr wohl. Windows Firewall des Server deaktivieren hat nichts gebracht, ist "Richtung raus" sowieso offen. Bisher habe ich den Mailserver von Magenta als Mail Relay ĂŒber Port 465 verwendet.
Ich migriere hmail mal testweise auf eine andere Windows VM, auf der Port 25 auswÀrts funktioniert.
von 23 Testmails von meiner Outlookadresse sind 6 Mails durchgekommen.
| Nr. | Absendedatum | Absendeuhrzeit | Ankunftsdatum | Ankunftsuhrzeit |
| 1 | 29.5. | 8:45 | 30.5. | 00:42 |
| 2 | 29.5. | 8:52 | ? | ? |
| 3 | 29.5. | 9:12 | ? | ? |
| 4 | 29.5. | 9:22 | ? | ? |
| 5 | 29.5. | 11:28 | ? | ? |
| 6 | 31.5. | 23:31 | 1.6. | 1:50 |
Bei Mails 1 und 6 konnte ich den Betreff eindeutig im Log von hmail identifizieren, daher habe ich eine genaue Ankunftszeit. Bei der ersten Mail hat es also 16h vom senden bis zum Empfangen gedauert. Die sechste "nur" 2h 20...
Wird da jemand schlau daraus? Ich werde morgen mal bei Microsoft fragen, wenn ich wo eine supportnummer finde.
*edit: Neue Facette des Problems: Mein Mailserver kann keinerlei ausgehende Verbindungen ĂŒber Port 25 herstellen. Alle anderen GerĂ€te im selben Netzwerk sehr wohl. Windows Firewall des Server deaktivieren hat nichts gebracht, ist "Richtung raus" sowieso offen. Bisher habe ich den Mailserver von Magenta als Mail Relay ĂŒber Port 465 verwendet.
Ich migriere hmail mal testweise auf eine andere Windows VM, auf der Port 25 auswÀrts funktioniert.
Zuletzt bearbeitet:
- Registriert
- Dez. 2006
- BeitrÀge
- 2.698
So langsam kommt der ganze Murks ans Tageslicht.RockNLol schrieb:
UnabhÀngig davon, wo genau die Ursache jetzt liegt; es macht keinen Sinn einen Mail-Server zu betreiben, wenn
- der Server eine IP aus einem bekannterweise dynamisch zugeteilten Bereich verwendet,
- keine sauberen DNS-Records in der Forward-Zone gesetzt sind,
- der dazu passende Eintrag in der Reverse-Zone fehlt.
- Registriert
- Aug. 2008
- BeitrÀge
- 821
Mal sehen, ob das so bleibt, aber möglicherweise habe ich es gelöst ohne das eigentliche Problem zu kennen.
Ich habe wie im edit angekĂŒndigt den hmailserver auf eine neue VM migriert. Diese kann im Gegensatz zur alten VM nun ĂŒber port 25 nach auĂen kommunizieren; keine Ahnung warum das bei der Alten nicht geht, es liegt nicht an der Firewall. Das dĂŒrfte aber nicht das einzige Problem dieser VM sein.
Das Senden ĂŒber das Relay des Providers habe ich nun wieder rausgenommen, es funktioniert auch direkt von meiner IP. Die Ausnahme bei Spamhaus PBL habe ich ja. Den SPF Record muss ich noch anpassen, auch wenn ich (noch) nicht im Spamfilter lande.
*edit: nochmals, das ist nur ein Hobby und ich mache das nur, um zu etwas dabei zu lernen. Es ist eine rein private E-Mail-Adresse unter meiner privaten Domain. Und wenn noch so viele Leute schreiben, dass das so nicht geht, es hat 2 Jahre gut funktionioniert.
Ich habe wie im edit angekĂŒndigt den hmailserver auf eine neue VM migriert. Diese kann im Gegensatz zur alten VM nun ĂŒber port 25 nach auĂen kommunizieren; keine Ahnung warum das bei der Alten nicht geht, es liegt nicht an der Firewall. Das dĂŒrfte aber nicht das einzige Problem dieser VM sein.
Das Senden ĂŒber das Relay des Providers habe ich nun wieder rausgenommen, es funktioniert auch direkt von meiner IP. Die Ausnahme bei Spamhaus PBL habe ich ja. Den SPF Record muss ich noch anpassen, auch wenn ich (noch) nicht im Spamfilter lande.
*edit: nochmals, das ist nur ein Hobby und ich mache das nur, um zu etwas dabei zu lernen. Es ist eine rein private E-Mail-Adresse unter meiner privaten Domain. Und wenn noch so viele Leute schreiben, dass das so nicht geht, es hat 2 Jahre gut funktionioniert.
burglar225
Lt. Commander
- Registriert
- Juni 2004
- BeitrÀge
- 1.919
Keiner sagt, dass du das nicht tun kannst oder sollst. Die Bedingungen sind es, die hier völlig zurecht kritisiert werden. Miete dir fĂŒr 2⏠einen VPS bei einem Hoster, damit wirst du die ganzen Probleme relativ sicher nicht haben. Und der Lernfaktor ist dann vermutlich sogar noch gröĂer. Mache ich auch genauso, und mir geht es auch ausschlieĂlich darum etwas zu lernen.RockNLol schrieb:
Und nur, weil es zwei Jahre funktioniert hat, heiĂt das noch lange gar nichts. Sicherheitsvorkehrungen können verstĂ€rkt werden und dann kann es auch mal aufhören zu funktionieren (wie wir sehen).
Ăhnliche Themen
