Empfangsprobleme mit Exchange (I/O Error)

[CoolBlue 10]

Hi,

 

wenn andere Leute unserem Exchange etwas senden wollen, bekomme diese Leute immer folgende nichts aussagene Fehlermeldung:

 

==============================================================

FIRST : Wed, 28 Feb 2007 22:52:39 KST +0900

LAST : Wed, 28 Feb 2007 22:52:39 KST +0900

RETRY COUNT : 1

LOOP COUNT : 0

REMOTE SERVER RESPONSE : 451 4.4.2 Bad connection (io timeout)

==============================================================

 

 

Ich hab jetzt schon so oft zu unterschiedlichen Zeiten nen manuellen Telnet SMTP-Sessio Test gemacht und jedesmal reagierte der Server normal.

 

Ebenso hab ich Traceroutes zur Verbindungskontrolle gemacht in die betroffenen Netze. Geht auch alles sauber.

Ein Telnet SMTP Connect auf den gegenüberliegenden SMTP Server geht ebenfalls wunderbar.

 

Kennt jemand das Problem?

Gruß Jan

[GuentherH 61]

Hi.

 

Das ist aber kein NDR eines Exchange Servers.

 

- Betrifft das jetzt nur eine Firma oder geht generell kein Empfang ?

- beschreibe doch auch einmal dein Mailsystem etwas genauer (SPAM, Mailproxy ect)

 

LG Günther

[CoolBlue 10]

Hi Günther

 

mir kam der NDR auch schon merkwürdig vor.

Wir haben das mit zwei Firmen (wortmann.de und lge.de) ich nenn sie einfach mal hier, ist ja nix unbekanntes.

 

Laut Google ist das ein Fehler wenn die Kommunikation beim übertragen zusammen bricht, von daher wäre es schon mal logisch das nicht unser Exchange das generiert sondern der Mail Server auf der anderen Seite.

 

Laut Auskunft andere Mitarbeiter heißt es, das seit dem Exchange Server move auf einen anderen Host angeblich "weniger" Mails ankommen.

 

Genau spezifizieren konnten sie das nicht, weil es in der regel Newsletter wohl sind wo man (ich ja meist auch nicht) nicht weiß welche das sind die nun fehlen.

 

Wir setzen Exchange 2003 SP2 ein auf einem Single Host. Kein Proxy, kein Anti-Spam Plugin. Nur rein Exchange. Feste-IP, Reverse-NAT Port 25

im Exchange sind die Optionen aktiviert für Tarpitting und die Überprüfung ob es die Empfänger Adresse gibt.

Alles andere ist aus.

 

Exchange Best Practise hab ich mal laufen lassen, der sagt aber bis auf ein paar gelbe Ausrufezeichen (die aber normal sind) das alles ok ist, an.

 

Gruß

Jan

[CoolBlue 10]

ähm ups!

Streich das "immer" aus meinem ersten Post.

 

Bisher ist uns das erst bei zwei Firmen bewusst aufgefallen. Aber es ist definitiv seit dem der Exchange Server umgezogen ist auf dem neuen Server.

 

Windows 2003 R2, Domänen Mitglied, nur Exchange (dediziert)

[GuentherH 61]

Hi.

 

Aktiviere einmal die Protokollierung des virtuellen SMTP, und lasse dir ein Testmail senden. Dann solltest du sehen ob überhaupt eine Verbindung zu deinem Exchange aufgebaut wird.

 

Besorge dir das MS Tool SMTDIAG.exe - Downloaddetails: Exchange Server SMTPDiag und teste damit einml von extern.

Mit Telnet kannst du zwar eine SMTP Session testen, hilft dir aber nicht viel, wenn z.B. beim MX Eintrag etwas schiefgelaufen ist.

 

LG Günther

[CoolBlue 10]

Also SMTPDiag sagt ist alles in Ordnung.

Die DNS Eintrage mit dem MX Record habe ich ebenfalls schon überprüft gehabt. Das läuft auch alles soweit ganz gut.

 

Mit der Testmail muss ich schauen wann Zeit ist und der E-Mail Partner ebenfalls Zeit hat.

[CoolBlue 10]

Hi,

 

sooo nach durchforsten der mitgeschriebenen Logs ist mir aufgefallen das dort des öfteren TIMEOUTS drin stehen. Manchmal auf nur ein EHLO, MAIL, RCPT.. aber kein DATA _und_ kein QUIT.

 

Mails von Domains wo wir wissen, dass dort keine E-Mail reinkommt, stehen bei uns im Log fast immer mit TIMEOUT drin.

 

Wodran kann das denn so urplötzlich liegen?

 

Grüße

Jan Lange

[GuentherH 61]

Hi.

 

Beschreib doch einmal welche Software und Geräte zwischen Internet und Exchange hängen (Spmafilter, Virenscanner, IFM ect.)

 

LG Günther

[CoolBlue 10]

Nachtrag:

Wenn ich mit Wireshark mitverfolge bekomme ich hinundwieder auf SMTP Ebene die Meldung

"Response: 451 Timeout waiting for client input"

 

Ich vermute mal das das gleich kommt mit dem SMTP Exchange Log und der Meldung "TIMEOUT"

[CoolBlue 10]

DSL 16.000 (Helinet, Fest IP) > DLINK DSL MODEM > GateProtect Firewall (100mbit 3Com Karte)

 

GateProtect Firewall (Gigabit Dual INTEL Nic) > HP Gigabit Switch 1400 > C2D Server mit GB Nic (Windows 2003 Server) > VMware Server 1.0.1 > Windows 2003 Server (Guest) > Exchange 2003 Standard Server

 

Firewall macht nen SNAT auf die IP des Exchange für Port 25.

Ich kann in der Firewall einen Proxy einschalten für SMTP. Habe mit Proxy und mit SNAT probiert, verhält sich beides gleich, nur das die Verbindung dann eben von der Firewall kommt (IP) statt ausm Internet.

 

Auf dem VMWare Server läuft ebenfalls noch nen Fileserver, nen AD Server mit DNS usw. Jede VM ist einzeln gefirewalled über Subnetze.

 

Grüße

Jan

[CoolBlue 10]

Ups vergessen:

 

per SNAT sind keine Anti-Spam oder Anti-Viren Dienste in der Kette.

per Proxy ist nen SpamAssassin und nen Kaspersky aktiv auf der Firewall.

 

Im Exchange hab ich Tarpitting an und den IMF Filter mit der Rule das er E-Mails ab dem Punktelevel 7 ablehnen soll.

 

Im Wireshark Log sieht man auch, dass Exchange Mails mit ner Fehlermeldung ablehnt wenn diese auf IMF zutrifft.

[GuentherH 61]

HI.

 

Dachte ich mir fast. Du das Problem, dass ein Filter dem anderen in die Quere kommt. Meine Erfahrung hat gezeigt, dass Filter auf mehreren Maschinen immer wieder Probleme machen.

 

Versuche einmal nur mit SpamAssain und Kaspersky zu arbeiten, und dreh am Exchange den IMF ab. Mit ziemlicher Sicherheit hast du dann das Problem weg. zumal ja SpamAssain bereits den gesamten Müll abfangen soll, und auch das Tarpitting bereits am Filter vor dem Exchange gemacht werden sollte.

 

LG Günther

[CoolBlue 10]

Hi, danke für deine Antwort.

 

Aber nur noch mal als Info. Ich habe extra darauf geachtet das nur eins der beiden System Filter an hat.

 

Früher hatte wird Exchange "nackt" (nur AD-User prüfung aktiviert) und die Firewall mit anti-spam.

 

Leider ist das Anti-Spam Modul in der Firewall für die Katz. Also habe ich alle "Sachen" in der Firewall deaktiviert und ebenso auch den Proxy, damit die original Source-IP am Exchange landet und eben dort mal IMF aktiviert.

 

IMF hab ich aber noch nich so lange aktiv auf dem neuen Server und die Empfangsprobleme waren schon vorher da. Direkt nachdem der Exchange auf den neuen Server gemoved wurde.

 

Einzige was ich mir vorstellen kann ist das Tarpitting, das von Anfang an aktiv war. Das könnte ich mal deaktivieren.

[GuentherH 61]

Hi.

 

Es ist jetzt schwer für mich dir einen Rat zu geben, da ich die von dir eingesetzten Produkte (außer Exchange :D) nicht kenne. Aus der eigenen, leidvollen Erfahrung weiß ich aber, dass bei Einsatz mehrere SPAM Filter, Virenscanner auf verschiedenen Maschinen derartige Effekte auftreten können.

 

Es bleibt dir wahrscheinlich nichts anderes übrig, als eine Funktion nach der anderen zu daktiveren und zu testen.

 

LG Günther

[CoolBlue 10]

Tarpitting abschalten hat schonmal nix gebracht.

 

Exchange meldet laut Wireshark des öfteren:

 

Response: 451 Timeout waiting for client input

 

Und die gegenseite macht dann natürlich diesen obligatorischen I/O Error.

 

Was mir auffiel ist das ich des öfteren Rote Einträge bekomme mit

"TCP previous segment lost"

"Dup ACK"

"TCP Retransmission"

"TCP Window Update"

"TCP Fast Retransmission"

 

Weißn icht ob ich das als Hinweiß oder als Normal werten soll.

Denn laut TCP Richtlinien (google) heißt es, das es ein normales Verhalten ist, wenn Pakete z.b. durch QoS oder andere Situationen gedropped werden. Dafür wurde ja die Technik für Fast Retrasmission und Dup ACK eingeführt um das fix zu kompensieren.

 

Aber selbst wenn es ein "Hinweiß" darstellt. Macht es auhc keinen Sinn, weil es sich hierbei ja um TCP handelt und Pakete so oft wiederholt werden, bis sie vollständig angekommen sind. Was mach ja auch an den Retransmissions erkennt.

 

Bis auf die Möglichkeit mal den IMF abzuschalten, fällt mir sonst echt nix mehr dazu ein :-(

 

Grüße

Jan