Sonicwall Email Security 3300 vor EX2007

[pay2k3 10]

Servus Community,

 

bin schon laenger anonym hier im Forum unterwegs.. Jetzt ist es an der Zeit, dass auch ich einmal eine Frage habe.

 

Wir haben bei uns seit geraumer Zeit eine Sonicwall ESA3300 im Betrieb.

Soweit so gut, das Ding erledigt seinen Dienst.

Jedoch haben wir Probleme mit den NDRs (DSN).

Wenn ich eine Email an einen nicht existenten Account sende z.B. tester12312313131231@googlemail.com ist die Email Kommunikation ueber unsere Email Security folgende:

 

10:46:13(out 68)starting googlemail.com

10:46:13(out 68)connecting from sonicwall.xxx.xxx (0.0.0.0) to gmail-smtp-in.l.google.com (74.125.43.27)

10:46:13 (out 68)connected from 192.168.1.205:49080

10:46:13 (out 68)>>> 220 mx.google.com ESMTP a6si7733753bka.52

10:46:13 (out 68)<<< EHLO sonicwall.xxx.xxx

10:46:13 (out 68)>>> 250-mx.google.com at your service, [xxx.xxx.xxx.205]

10:46:13 (out 68)>>> 250-SIZE 35882577

10:46:13 (out 68)>>> 250-8BITMIME

10:46:13 (out 68)>>> 250-STARTTLS

10:46:13 (out 68)>>> 250 ENHANCEDSTATUSCODES

10:46:13 (out 68)<<< MAIL FROM:<prvs=1129a6d148=emailsender@domain.xxx>

10:46:13 (out 68)>>> 250 2.1.0 OK a6si7733753bka.52

10:46:13 (out 68)<<< RCPT TO:<tester131313131@googlemail.com>

10:46:16 (out 68)>>> 550-5.1.1 The email account that you tried to reach does not exist. Please try

10:46:16 (out 68)>>> 550-5.1.1 double-checking the recipient's email address for typos or

10:46:16 (out 68)>>> 550-5.1.1 unnecessary spaces. Learn more at

10:46:16 (out 68)>>> 550 5.1.1 'This Gmail user does not exist...' - Gmail Help a6si7733753bka.52

10:46:16 (out 68)<<< QUIT

10:46:16 (out 66)connecting from sonicwall.xxx.xxx (0.0.0.0) to mail.xxx.xxx (xxx.xxx.xxx.205)

10:46:16 (out 66)starting domain.xxx

10:46:16 (out 66)Connection attempt failed, status = ECONNREFUSED

10:46:16 (out 66)done domain.xxx

10:46:16 (out 68)>>> 221 2.0.0 closing connection a6si7733753bka.52

10:46:16 (out 68)closed gmail-smtp-in.l.google.com (74.125.43.27) in=557 out=152

10:46:16 (out 68)done googlemail.com

--------------------------------------------------------------------------------

 

So, also die Zeile

10:46:16 (out 66)starting domain.xxx

10:46:16 (out 66)Connection attempt failed, status = ECONNREFUSED

10:46:16 (out 66)done domain.xxx

 

macht mir Persönlich die meisten Sorgen.

Fuer mich heißt dass, dass unsere Sonicwall ueber die Default Route keine Verbindung auf Port 25 unserer externen IP herstellen kann, oder irre ich da?

 

Wenn ich ein Telnet von extern (z.B. von mir daheim) auf unsere externe IP starte, erhalte ich eine Antwort vom Mailserver (so sollte es auch sein).

Mache ich aber ein Telnet von Intern (Unternehmen) auf die Externe IP (Gebunden an Firewall) erhalte ich:

 

telnet xxx.xxx.xxx.205 25

Verbindungsaufbau zu xxx.xxx.xxx.205... Es konnte keine Verbindung mit dem Host hergestellt werden, auf Port 25: Verbindungsfehler

 

und das sollte meiner Meinung nach nicht sein.

 

mache ich ein Telnet auf die Lokale IP des Gerätes, erhalte ich eine Meldung von der Wall.

 

Hat jemand von euch eine Idee an was es liegen könnte?

DNS -- NAT oder was weiß ich...

 

Gruß,

pay

[RobertWi 81]

Moin,

 

da Du die IP-Adressen und Domänen-Namen rausgenommen hast (was Dein gutes Recht ist), nimmst Du uns leider die Chance, das nachzuprüfen.

 

Zum Beispiel würde ich sehr stark tippen, dass in dieser Zeile die IP-Adresse von Google steht, und nicht Eure interne.

10:46:13 (out 68)>>> 250-mx.google.com at your service, [xxx.xxx.xxx.205]

 

Ich lese aus dem obigen Protokoll, dass ihr eine Mail von einen Google-Account "tester131313131@googlemail.com" geschickt habt, die hat Google abgelehnt, weil es den Account nicht gibt (550-5.1.1 The email account that you tried to reach does not exist. Please try), das ist alles.

 

Von einer Kommunikation Eurer externen IP-Adresse (was soll das sein, habt ihr im Modem, Router noch einen Mailserver?) kann ich oben nichts erkennen. Alles, was ich sehe, ist das ihr eine Mail an Google schicken wollten, an einen Account, de es nicht gibt.

 

Aber wie gesagt: Das Verschleiern der IP-Adresse mach es nicht leichter.

[pay2k3 10]

danke, das Problem lag daran, dass die sonicwall im internen dns einen mx Record brauchte.

[RobertWi 81]

Moin,

 

womit sie dann streng genommen nicht RFC-konform ist - allerdings bin ich von Firewalls leider nichts anderes gewohnt.

 

Aber danke für die Information!

[svengine 10]

Hallo Beisammen,

 

ich wollte nur einen kurzen Beitrag zu diesem Problem schreiben.

 

Wir koennen in den logs sehen dass email urspruenglich von einer oeffentlichen IP addresse die mit "205" endet verschickt wurde:

 

10:46:13 (out 68)>>> 250-mx.google.com at your service, [xxx.xxx.xxx.205]

 

Wenn der NDR dann verchickt wurde hat die Email Security versucht diesen an dieselbe oeffentlichen IP addrese zu senden:

 

10:46:16 (out 66)connecting from sonicwall.xxx.xxx (0.0.0.0) to mail.xxx.xxx (xxx.xxx.xxx.205)

 

Das heisst, die Sonicwall hat einen oeffentlichen DNS server abgefragt, der dann auch eine oeffentlich IP adrese weitergegeben hat. Wenn diese Verbindung dann vom LAN (oder DMZ) and die WAN IP-adresse geht, dann dreht die Firewall diese Verbindung ab.

 

Die Loesung war also zicherzustellen dass die email Security einen DNS server hat der eine private IP adrese fuer mail.domain.xxx angibt. Das kann ein A eintrag und auch ein MX eintrag sein. Kann man uebrigens auch testen aus der Email Security commandline mit dem Dig-command. Dieses Problem tritt sehr haeufig mit Sonicwall email securitys auf, daher schreib ich einfach einmal diesen post.

 

Sorry wegen den fehlenden Umlauten, ich hab leider nur ein englisches Keyboard.

 

 

Mahlzeit.