Exchange 2013 - Hybrid NDRs

[jason 10]

Hallo,

 

wir haben einen Exchange-Server 2013 in Betrieb. Bisher war es so, dass eingehende E-Mails für unbekannte Empfänger auf SMTP-Ebene mit dem Code 550 abgelehnt wurden.

 

Vor einigen Wochen haben wir einige User auf Office365 umgestellt und unseren Exchange-Server in den Hybrid-Modus umgestellt. Die E-Mail kommen nach wie vor auf dem lokalen Exchange-Server an. Seit der Umstellung erfolgt aber die Ablehnung von E-Mails an Unbekannten nicht mehr über das SMTP-Protokoll, sondern der Server versendet NDRs. Damit erzeugen wir jede Menge Backscatter. Der "Fehler" tritt nur bei den Domänen auf, die im Hybrid-Modus laufen. Bei den anderen erfolgt die Behandlung wie bisher (also direkt über SMTP ablehnen).

 

Wie bringen wir unserem Server bei, dass der die Mails für Unbekannte wieder sofort ablehnt.

 

Viele Grüße

 

Johannes

[NorbertFe 2.038]

Da Exchange 2013 das ohne Edge sowieso nicht sinnvoll hinbekommt, entweder vor oder auf dem Exchange einen entsprechenden Filter laufen haben oder gleich auf Forefront Online Protection.

[PadawanDeluXe 75]

Hallo Johannes,

 

kannst du bitte die Windows Logs / Excahnge Logs prüfen und uns über Auffälligkeiten nach der Installation des Hybridmodus berichten? Poste dazu bitte mal eine Ausgabe von 

Get-HybridConfiguration | fl

Aus deinem Post lese ich, dass der Exchange Server direkt die Mails entgegen nimmt ohne eine weitere Überprüfung durch zB ein Mailrelay. Kannst du bitte posten wie der SMTP Adapter konfiguriert wurde?

 

Viele Grüße

Carsten

[jason 10]

Hallo Carsten,

 

Danke für Deine Antwort. Hier ist der Inhalt der Get-HybridConfiguration:

 

RunspaceId                : 2bc54d17-06ce-4681-a5b5-87d2de65690e
ClientAccessServers       : {}
EdgeTransportServers      : {}
ReceivingTransportServers : {XXX-SRV-03}
SendingTransportServers   : {XXX-SRV-03}
OnPremisesSmartHost       : mail.XXX-test01.de
Domains                   : {XXX-test01.de}
Features                  : {FreeBusy, MoveMailbox, Mailtips, MessageTracking, OwaRedirection, OnlineArchive,
                            SecureMail, Photos}
ExternalIPAddresses       : {}
TlsCertificateName        : <I>CN=COMODO RSA Domain Validation Secure Server CA, O=COMODO CA Limited, L=Salford,
                            S=Greater Manchester, C=GB<S>CN=mail.XXX-test01.de, OU=PositiveSSL, OU=Domain Control
                            Validated
ServiceInstance           : 0
AdminDisplayName          :
ExchangeVersion           : 0.20 (15.0.0.0)
Name                      : Hybrid Configuration
DistinguishedName         : CN=Hybrid Configuration,CN=Hybrid Configuration,CN=XXX,CN=Microsoft
                            Exchange,CN=Services,CN=Configuration,DC=XXX,DC=intern
Identity                  : Hybrid Configuration
Guid                      : ba7b945c-5ddf-4f86-b0de-566e8d2f9369
ObjectCategory            : XXX.intern/Configuration/Schema/ms-Exch-Coexistence-Relationship
ObjectClass               : {top, msExchCoexistenceRelationship}
WhenChanged               : 23.07.2015 16:16:03
WhenCreated               : 23.07.2015 16:10:36
WhenChangedUTC            : 23.07.2015 14:16:03
WhenCreatedUTC            : 23.07.2015 14:10:36
OrganizationId            :
Id                        : Hybrid Configuration
OriginatingServer         : XXX-SRV-03.XXX.intern
IsValid                   : True
ObjectState               : Unchanged

 

Der Server hat nach Einrichtung des Hybrid-Modus einen eigenen Empfangs-Connector eingerichtet:

​Name: Default Frontend

​Status: Aktiv

Rolle: FrontendTransport

 

Als Sicherheit ist konfiguriert:

TLS

Standardauthentifizierung

Integrierte Windows-Authentifizeirung

 

Berechtigungsgruppen:

Exchange-Server

Legacy-Exchange-Server

Anonyme Benutzer

 

Dieser Connector nimmt auch die Mails für die Nicht-Hybrid-Domäne an, da funktioniert die Ablehnung richtig.

 

Viele Grüße

Johannes

[PadawanDeluXe 75]

Hi, und welche Fehler hast du im Logs gefunden? Dazu hast du leider nichts gesagt.  ;)

[NorbertFe 2.038]

Dieser Connector nimmt auch die Mails für die Nicht-Hybrid-Domäne an, da funktioniert die Ablehnung richtig.

Würde mich arg wundern, da MS das selbst definitiv anders dokumentiert hat und auch meine Erfahrung mir gezeigt hat, dass das eben nicht "richtig" funktioniert. Also nochmal die Frage, der einzige Exchange 2013 den ihr habt, macht eine Empfängerprüfung mit dem eigenen TransportAgent, oder wer oder was regelt diese Prüfung?

 

Bye

Norbert

[jason 10]

Hallo Norbert,

 

ja, unser einziger Exchange 2013 macht die Empfänger-Prüfung über die Rolle "FrontendTransport"

 

Viele Grüße

Johannes

Hi, und welche Fehler hast du im Logs gefunden? Dazu hast du leider nichts gesagt.  ;)

 

Hallo Carsten,

 

es gibt keine Fehler. Der Ablauf ist aber bei den Hybid-Domänen falsch. E-Mails an unbekannte Empfänger sollten direkt auf SMTP-Ebene abgelehnt werden, damit Back-Scatter vermieden werden. Der Server nimmt die Mails aber an, quittiert das mit 250 und sendet dann später ein NDR. Bei den anderen Domänen stimmt ja alles, die bekommen direkt auf SMTP-Ebene ein 550 zurück.

 

Viele Grüße

Johannes

[NorbertFe 2.038]

Dann macht ihr jetzt schon was, was "kaputt" ist. Ich würde das ändern.