Exchange Empfängerprüfung / Bounce

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • Exchange Empfängerprüfung / Bounce

    Hallo zusammen,

    ich bräuchte wieder mal professionellen rat.

    Ich versuche jetzt schon eine geraume zeit meinen Exchange einen "Linux-like Bounce" beizubringen.
    sprich wenn eine Empfänger Adresse nicht existent ist, das diese sofort abgewiesen wird mit 550 Invalid Recipient.
    Aktuell werden ja "alle" Mails angenommen und dann bei unzustellbarkeit der Versender benachrichtigt.

    Ich habe dazu einen neuen (Hub) ReceiveConnector angelegt, den AntiSpam-Agent habe ich auch aktiviert.

    Hier die Einstallungen davon:

    Brainfuck-Quellcode

    1. Name TransportRole Bindings
    2. ---- ------------- --------
    3. Client Proxy EXCSRV02 HubTransport {[::]:465, 0.0.0.0:465}
    4. Outbound Proxy Frontend EXCSRV02 FrontendTransport {[::]:717, 0.0.0.0:717}
    5. Client Frontend EXCSRV02 FrontendTransport {[::]:587, 0.0.0.0:587}
    6. Default EXCSRV02 HubTransport {0.0.0.0:2525}
    7. Default Frontend EXCSRV02 FrontendTransport {0.0.0.0:25}
    8. RCPT_Verify HubTransport {0.0.0.0:3535}
    prnt.sc/iqicvb

    beim Filter wäre der enabled wert auf Ture

    Quellcode

    1. [PS] C:\Windows\system32>get-RecipientFilterConfig
    2. RunspaceId : 7f23cfb5-51d6-4a7d-9080-4b10965645d8
    3. Name : RecipientFilterConfig
    4. BlockedRecipients : {}
    5. RecipientValidationEnabled : True
    6. BlockListEnabled : False
    7. Enabled : True
    8. ExternalMailEnabled : False
    9. InternalMailEnabled : False
    Alles anzeigen

    den entesprechenden agent habe auch mal nach ganz oben gesetzt

    Quellcode

    1. [PS] C:\Windows\system32>Get-TransportAgent
    2. Identity Enabled Priority
    3. -------- ------- --------
    4. Recipient Filter Agent True 1
    5. Transport Rule Agent True 2
    6. Malware Agent True 3
    7. Text Messaging Routing Agent True 4
    8. Text Messaging Delivery Agent True 5
    9. System Probe Drop Smtp Agent True 6
    10. System Probe Drop Routing Agent True 7
    11. Content Filter Agent True 8
    12. Sender Id Agent True 9
    13. Sender Filter Agent True 10
    14. Protocol Analysis Agent True 11
    Alles anzeigen
    Das "adressbuch" ist auch aktiv


    Quellcode

    1. [PS] C:\Windows\system32> Get-AcceptedDomain | fl AddressBookEnabled
    2. AddressBookEnabled : True
    3. AddressBookEnabled : True
    4. AddressBookEnabled : True
    Alles andere funktioniert am Exchange 2013 problemlos.

    Wenn jemand einen Tipp für mich hat wäre ich echt dankbar. :)


    Schöne Grüße,
    Michael
  • MSKB schrieb:

    Although the Recipient Filter agent is available on Mailbox servers, you shouldn't configure it. When recipient filtering on a Mailbox server detects one invalid or blocked recipient in a message that contains other valid recipients, the message is rejected. If you install the anti-spam agents on a Mailbox server, the Recipient Filter agent is enabled by default. However, it isn't configured to block any recipients. For more information, see Enable anti-spam functionality on Mailbox servers.
    Also entweder Edge davorstellen oder mal hier lesen:
    msxfaq.de/exchange/e2013/e2013recipientfilter.htm

    Bye
    Norbert
  • Moin,

    es gibt eine technische Möglichkeit, das alte Verhalten wieder herzustellen, dass ist im groben Ablauf hier beschrieben (muss für Deine Umgebung aber angepasst werden):
    heinlein-support.de/blog/mails…gerpruefung-fuer-postfix/

    Über den Support-Status gibt es geteilte Meinungen: Ich persönliche halte es für unsupportet, weil Microsoft mit dem ET eine supportete Lösung anbieten. Ein Supporter aus CSS hat mir erklärt, dass das Einlieferen von Mails direkt auf einem Hub-Connector erlaubt ist. Allerdings war meine Frage da nicht auf diesen Anwendungsfalls sondern auf einen anderen bezogen.
    Grüße aus Berlin schickt Robert
  • Eine Frage: gibts vor dem Exchange keine Antispam/Antivirus-Lösung (Fortinet, Symantec Messaging Gateway o.ä.)? Die können die gültigen Adressen automatisch prüfen und die Mail im Fehlerfall sofort ablehnen. Zur Not tut´s auch ein Postfix mit einer Virtual User Table.

    Das Bouncen mit einer E-Mail an den Absender kann böse Nebeneffekte haben ("Backscatter-Spam") - im schlimmsten Fall landet man damit schneller auf Blacklists als einem lieb ist.

    Backscatter: de.wikipedia.org/wiki/Backscatter_(E-Mail)
  • hi,

    ElRolfo schrieb:

    Eine Frage: gibts vor dem Exchange keine Antispam/Antivirus-Lösung (Fortinet, Symantec Messaging Gateway o.ä.)? Die können die gültigen Adressen automatisch prüfen und die Mail im Fehlerfall sofort ablehnen. Zur Not tut´s auch ein Postfix mit einer Virtual User Table.

    Das Bouncen mit einer E-Mail an den Absender kann böse Nebeneffekte haben ("Backscatter-Spam") - im schlimmsten Fall landet man damit schneller auf Blacklists als einem lieb ist.
    Das ist eigentlich mein/unser plan.
    Blos ich scheitere den Exchange ein "550 Invalid Recipient" beizubringen.

    @RobertW - Den heinlein Artikel kannte ich leider auch schon ;) Dennoch danke.

    Unser Setup Sieht so aus (prnt.sc/iqzt9u)

    Wir haben eine BSD Firewall die als SMTP Relay/Proxy Fungiert. Da laufen bereits diverse Checks (inkl. Greylisting, spamassassin, DKIM etc). Wenn diese durchkommen dann gehen sie intern zu unseren Exchange.
    Früher war es so dass wir die akzeptierten Mailadressen aus den AD geholt haben, was wir aber nicht mehr machen aus diversen gründen.
    Aktuell ist es so konfiguriert:
    Beim Eingang wird über SMTP ein Mailserver (Exchange) angefragt ob er die adresse kennt, erst dann wird die Übermittlung angenommen.
    Das Problem was ich habe ist das der Exchange auch unbekannte Adressen mit "250 Recipient ok" quittiert wodurch die Firewall de facto jeden Mist annimmt.
    Dies wird zwar durch die ganze spam prevention oft wieder ausgefiltert, doch so kommen immer noch ca. 15 mails am tag zum Exchange durch die dann dort gebounced werden.

    Die Ganzen SMTP Adressen Manuell zu pflegen möchten wir eigentlich auch nicht.
    Das Dürften Locker 300 Stück sein ;)


    Grüße,
    Michael
  • Moin,

    michael2371 schrieb:

    Unser Setup Sieht so aus (prnt.sc/iqzt9u)
    aber dann hast Du doch genau DAS Szenario, das mein Link von Heinlein beschreibt.

    Deinen Ablauf (mit einem anderen Spam-Provider) mit einem Extra Connector nach Heinlein habe ich hier seit mehreren Monaten erfolgreich im Einsatz.

    Allerdings erfolgt die Empfängerprüfung nicht auf Port 25 sondern bei mir auf Port 26. Die Mail wird dann ganz normal via Port 25 eingeliefert.
    Grüße aus Berlin schickt Robert
  • RobertW schrieb:

    Moin,

    aber dann hast Du doch genau DAS Szenario, das mein Link von Heinlein beschreibt.
    Deinen Ablauf (mit einem anderen Spam-Provider) mit einem Extra Connector nach Heinlein habe ich hier seit mehreren Monaten erfolgreich im Einsatz.

    Allerdings erfolgt die Empfängerprüfung nicht auf Port 25 sondern bei mir auf Port 26. Die Mail wird dann ganz normal via Port 25 eingeliefert.
    Richtig, nur funktioniert es bei mir leider nicht.

    Ich habe es bei mir auch auf einen Extra Connector gesetzt mit den Port 3535. (Wie im heinlein,msfaq und einigen anderen Artikel beschrieben)

    das schaut dann so aus.
    prntscr.com/ir0sd0

    Selbst wenn ich nach DATA nochmal den "Header" Übermittele bekomme ich bei einer nicht existenten Adresse ein "Ok"

    Darf ich fragen welche Exchange Version im Betrieb ist? Nicht das es ein Bug in einer Version vom Exchange ist.
  • Bitte häng die Bilder direkt ans Forum ran! Zum einen will ich keine unbekannten Seiten öffnen, zum anderen sollen die Bilder ja irgendwann später auch noch lesbar sein. Außerdem ist das letzte Bild nur ein unbrauchbarer Auszug

    Ich kann nur sagen, dass die Anleitung funktioniert. Ich setze das hier ein und prüfe damit mehrere 1000 User-Adressen am Tag. Bei mir ist das zwar ein Ex 2016, ich habe die gleiche Konfiguration aber auch schon bei mehreren Ex 2013 gesehen.

    Zum prüfen nun:
    - SMTP Protkolle prüfen, ob Du überhaupt auf dem richtigen Connectior landest (hier kann auch ein angepasster FQDN im Receivconnector helfen und wenigstens zu sehen, ob der richtige im TELNET antwortet)
    - Einstellungen des Connectors, der Firewall und der Anti-Spam-Agents noch mal prüfen
    Grüße aus Berlin schickt Robert