Mailproblem mit einer Domain

    Zunächst mal eine hoffentlich einfache Frage:


    Ich bekomme beim Versuch, eine Mail über einen meiner Mail-Aliase bei mailb0x.org mit Thunderbird an eine bestimmte Domain zu versenden, mehr oder weniger sofort die folgende Nachricht in Thunderbird:

    Zitat

    Senden der Nachricht fehlgeschlagen.

    Fehler beim Senden der Nachricht: Der Mail-Server antwortete:

    <it@kundendomain.de>: Recipient address rejected: Domain not found.

    Bitte überprüfen Sie die E-Mail-Adresse des Empfängers "it@kundendomain.de" und wiederholen Sie den Vorgang.

    Welcher Mail-Server gibt diese Antwort, die mir bisher in der Form noch nie begegnet ist? Ich vermute mal der SMTP-Server der grünen Mailb0x, der ein Problem damit hat, die Domain aufzulösen. Ich wäre mir da aber gern sicher, damit ich nicht weiter in alle möglichen Richtungen grabe, die nichts mit der Ursache zu tun haben.


    Alles Weitere später, abhängig vom Ergebnis der Frage, inklusive einem mit diesem Problem zusammenhängenden Adventsmysterium von netcups Mailservern.

    Zitat von tab

    Welcher Mai-Server gibt diese Antwort, die mir bisher in der Form noch nie begegnet ist?

    Wenn du diese Fehlermeldung als Mail erhältst, müßtest du mehr auch über den Header der Mail erfahren können. Denn im Header kann man sehr schön den Verlauf einsehen.

    Zitat von andreas.

    Wenn du diese Fehlermeldung als Mail erhältst, müßtest du mehr auch über den Header der Mail erfahren können. Denn im Header kann man sehr schön den Verlauf einsehen.

    Leider bekomme ich das nicht als Mail, sondern direkt als Popup von Thunderbird nach dem Absenden. Weil das auch sehr schnell geht, gehe ich davon aus, dass der "Mail-Server" maximal der SMTP sein kann. Alles andere müsste eigentlich länger dauern.


    Fehlermeldung.jpg

    Zitat von Olivetti

    kannst du den empfänger-mx antesten? (dig mx …)

    Ja, wird bei mir(!) korrekt ausgegeben. Bei der SMTP-Logging Geschichte bekomme ich 4 leere Dateien.


    Ok, habe mal zwei andere Dinge zur Aufklärung der Frage gemacht.


    1. Über den selben Alias und mailb0x.org eine Mail an eine nicht existente Mailadresse mit nicht existierender Domain (gecheckt ;) ) geschickt. Und es passiert exakt das selbe.
    2. Von einer Adresse auf meinem Server die selbe Mail an die selbe Mailadresse wie unter Punkt 1 geschickt. Hier bekomme ich dann den erwarteten Non-Delivery Report per Mail.

    Also so:

    Ja, den Mailserver und die Empfängeradresse :D habe ich dringelassen, die sind nicht besonders geheim.


    Benutzt die grüne Mailb0x etwa einen Exchange-Server? =O Muss ich schon wieder wechseln? :/ Beim Googeln der Fehlermeldung habe ich auch nur Ergebnisse aus dem Exchange-Umfeld bekommen.

    Zitat von tab

    Leider bekomme ich das nicht als Mail, sondern direkt als Popup von Thunderbird nach dem Absenden. Weil das auch sehr schnell geht, gehe ich davon aus, dass der "Mail-Server" maximal der SMTP sein kann. Alles andere müsste eigentlich länger dauern.


    Fehlermeldung.jpg

    Solche Meldungen gibt das Mailrelay, dem Dein Thunderbird die Nachricht als Postausgangsserver aufdrücken möchte. Wäre der Fehler beim SMTP-Server der Gegenstelle des Empfängers aufgetreten, gäbe das eine Mail mit 5.5.0 Code oder bei temporären Problemen entprechend 4.5.0. 4.7.0.


    Das Mailrelay kann die Domain des Empfängers nicht auflösen. Das deutet entweder auf lokale DNS-Probleme dort oder auf DNSSEC-Probleme oder eben eine tatsächlich nicht existente Domain hin.

    Vielleicht doch mal was zum Background,mit der Frage wollte ich eigentlich nur endgültig ausschliessen, dass das "domain not found" nicht von einem der beiden MXe der Empfängerdomain kommt. Davon bin ich mittlerweile auch überzeugt. Mails von anderen Mailadressen mit anderem SMTP-Server kommen auch bei der Adresse an. Ein weiteres Detail ist, dass die umgekehrte Richtung von Kundendomainadresse zu meiner Adresse bei mailb0x.org auch nicht funktioniert und die Mail offenbar in einem schwarzen Loch landet, wie ja auch von MS bekannt.


    Das Ganze ist das Ergebnis einer Notfallmassnahme anlässlich des Ausfalls von webg0 gestern. Die Kundendomain ist bei webg0 im Webhosting des Kunden als externe Domain eingebunden, registriert bei d0.de und ich habe zwei Dinge gemacht


    1. Die Nameserver der Kundendomain von d0.de auf deSEC umgestellt
    2. Einen zweiten MX mit höhererem Prio-Wert auf meinem obigen Mailserver eingerichtet

    Damit wollte ich vorbeugen für den Fall, dass webg0 morgen nicht wieder funktioniert hätte (hatte bis dahin immerhin schon ca 12 Stunden gedauert) und auch für mögliche künftige Ausfälle.


    Die netcup Adventsstory dabei ist, dass eine Mail aus einem meiner Webhostings beim MX mit den höheren Kosten (Prio 50) aufschlägt, während beim Rest (also eigene Server, GMX, outlook.de, ...) die Mails wie geplant beim Haupt-MX (Prio 20) ankommen, was ich mir auch nicht so recht erklären kann. Bei den allermeisten klappt es ja.


    Zitat von eripek

    Solche Meldungen gibt das Mailrelay, dem Dein Thunderbird die Nachricht als Postausgangsserver aufdrücken möchte. Wäre der Fehler beim SMTP-Server der Gegenstelle des Empfängers aufgetreten, gäbe das eine Mail mit 5.5.0 Code oder bei temporären Problemen entprechend 4.5.0. 4.7.0.


    Das Mailrelay kann die Domain des Empfängers nicht auflösen. Das deutet entweder auf lokale DNS-Probleme dort oder auf DNSSEC-Probleme oder eben eine tatsächlich nicht existente Domain hin.

    So sehe ich das auch, wollte mich nur noch mal rückversichern, bevor ich nach Ursachen suche, warum der Empfängerserver die Domain nicht kennt. Ich hoffe, es ist eine vorübergehende Geschichte wegen der DNS-Umstellungen. Dass allerdings die Änderungen von gestern Abend (ca 20 Uhr) fast überall weltweit schon längst durch sind und ausgerechnet bei mailb0x.org nicht, gibt mir jetzt schon etwas zu denken. Leider kenne ich deren verwendete Resolver nicht, sonst könnte ich ja nachschauen was die da so ausliefern im Moment. Der alte MX war schon zuvor vorhanden und es gab da auch nie ein Problem, auch nicht von mailb0x.org aus. Eventuell ist tatsächlich DNSSEC und die neuen Nameserver hier das Problem, wenn die Änderungen bei der grünen Mailb0x noch nicht angekommen sind.


    Immerhin hat der Kunde heute schon einige Mails empfangen und verschickt, außer mit mir kann er wohl bisher auch mit all seinen Kunden Mails austauschen. Naja, ich stelle mich trotzdem mal auf einen potenziell stressigen Montag ein und teste alle paar Stunden mal wieder.

    Zitat von tab

    So sehe ich das auch, wollte mich nur noch mal rückversichern, bevor ich nach Ursachen suche, warum der Empfängerserver die Domain nicht kennt.

    Was mich daran verunsichert ist, dass normalerweise da, wie Du ja schriebst, eine undeliverable Message (D.S.N. )per Mail zurückkommen müsste, Du das aber schon beim Versuch zu senden bekommst. Aber offenbar nur für ausgewählte Empfänger.

    Jetzt frag ich mich, das die Fälle sind, wo das passieren kann: Recipient Mailbox läge am selben Server, SASL hat schon für den _Absender_ nicht hin (Relay, Positivliste, Mapping), oder wird geblockt. Es könnte auch eine falsche Fehlermeldung für ein lokales rDNS-Problem ür deine Absenderadresse bei Dir sein. Ich hatte sowas schon ewig nicht mehr.

    Zitat von eripek

    Was mich daran verunsichert ist, dass normalerweise da, wie Du ja schriebst, eine undeliverable Message (D.S.N. )per Mail zurückkommen müsste, Du das aber schon beim Versuch zu senden bekommst. Aber offenbar nur für ausgewählte Empfänger.

    Jetzt frag ich mich, das die Fälle sind, wo das passieren kann: Recipient Mailbox läge am selben Server, SASL hat schon für den _Absender_ nicht hin (Relay, Positivliste, Mapping), oder wird geblockt. Es könnte auch eine falsche Fehlermeldung für ein lokales rDNS-Problem ür deine Absenderadresse bei Dir sein. Ich hatte sowas schon ewig nicht mehr.

    Das wären Möglichkeiten, die allerdings nicht zutreffen. Möglicherweise kommt jetzt Licht in die Geschichten. Im Moment fehlen mir da noch ein paar Teile des Puzzles. Soeben ist eine Mail von heute Nacht eingetroffen, von einem Konto der Kundendomain und bei mailbox.org aufgeschlagen. Eine Testmail des Kunden. mailb0x.org nimmt also zumindest mal wieder Mail von der Kundendomain an. Also wohl doch DNS. Aber, ABER, in der Gegenrichtung klappt es jetzt grundsätzlich auch, aber auch mailb0x.org schickt an den zweiten MX mit Prio 50. Sollte ja eigentlich nicht sein, aber ich habe da so eine Idee. Die Kundendomain ist ja jetzt mit DNSSEC gesichert. Aber der FQDN des MX von webg0 ist ja damit nicht abgesichert, weil die ihre Serverdomain eben nicht mit DNSSEC absichern.


    Wenn jetzt ein Server Mail abladen will und sich die MXe anschaut, berücksichtigt er (bzw sein Resolver) dann bei seiner Auswahl außer der Prio eventuell die zusätzliche Sicherheit durch DNSSEC? Sowohl netcup als auch mailb0x.org werden wohl DNSSEC auswerten...


    Edit:Auch schon wieder Makulatur. Es trudeln jetzt immer mehr Testmails ein und gerade habe ich von mailb0x.org nochmal ein Mail losgeschickt zu meiner Kundenadresse. Und es ist bei webg0 gelandet. Hmm, also wie jetzt? ^^^^;(;)

    Zitat von tab

    Wenn jetzt ein Server Mail abladen will und sich die MXe anschaut, berücksichtigt er (bzw sein Resolver) dann bei seiner Auswahl außer der Prio eventuell die zusätzliche Sicherheit durch DNSSEC? Sowohl netcup als auch mailb0x.org werden wohl DNSSEC auswerten...

    sollte das nicht eher eine Geschichte der DNS-Resolver sein?

    sprich, hat der SMTP-Server dem dein TB die Mail geben will, einen DNS-Resolver konfiguriert, welcher DNS 'streng' ist,

    dann bekommt der SMTP-Server von seinem strengen DNS-Resolver gar keine IP vom MX geliefert, und daher die Meldung direkt im TB;

    bei Mailb0x verweigern die SMTP-Server korrekterweise die Annahme, wenn die Empfängerdomain nicht passt;


    in der realen Welt wäre das Szenario etwa so: Du wirfst den Brief in den Postkasten, die Ente im Postkasten erkennt die Empfängeradresse als ungültig und haut Dir den Brief mit Riesengequake entgegen :D


    Lange Rede kurzer Sinn: DNSSEC is im Eimer 8o

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

    Einmal editiert, zuletzt von mainziman ()

    Gefällt mir 1

    DNSSEC ist nicht im Eimer, sondern dank deSEC absolut in Ordnung laut Tests. Dass der webg0 MX eben nicht aus einer Domain mit DNSSEC kommt, kann ich ja nicht beeinflussen und auch sonst niemand außer webg0. Und das mit einem MX wie z.B. mail@kundendomain.de zu ersetzen würde mir dann vermutlich an anderer Stelle um die Ohren gehauen, weil sich der webg0 MX nicht mit dem Namen melden wird. Ich werde denen mal eine nette Anfrage stellen wegen DNSSEC, ahne aber schon die Antwort. Ihre eigenen authoritativen Nameserver bieten glaube ich kein DNSSEC an. Selbst DKIM konnte man nicht selbst aktivieren, als ich das letzte Mal reingeschaut habe.


    Dass dem mailb0x.org SMTP keine IP zurückgeliefert wird kann eigentlich auch nicht sein. Er hat schon einige Mails bei webg0 abgeliefert in der Zwischenzeit. Würde er die IP nicht bekommen, würde er das wohl nicht tun.


    Naja, ich warte jetzt mal ab, solange ich kein Kundenmail auf meinem Server empfange bleibt es erst mal so. Sowie irgendwas bei mir ankommt was ich da nicht haben will, fliegt der neue MX wohl erst mal wieder raus. Dann dauert es halt im Notfall etwas, bis auf den zweiten Server umgestellt ist. Aber da müssen dann ja auch erst die Clients oder zumindest einer umgestellt werden (per Fernwartung, das bekommen die sonst nicht hin).

    Zitat von tab

    mailb0x.org

    Warum den Namen nicht einfach ausschreiben? GMX, WEB.DE, Outlook und Gmail werden hier bei vollen Namen genannt aber MBO nicht? Ist das gleiche, kostet halt nur... Und ein Netcup Konkurrent ist es auch nicht :)

    VPS Secret • VPS 200 G8 • 4x VPS piko G11s • 2x RS 1000 G9.5 SE NUE • RS Cyber Quack • VPS 1000 ARM G11 VIE

    mail@compi653.net

    Zitat von RAD750

    Warum den Namen nicht einfach ausschreiben? GMX, WEB.DE, Outlook und Gmail werden hier bei vollen Namen genannt aber MBO nicht? Ist das gleiche, kostet halt nur... Und ein Netcup Konkurrent ist es auch nicht :)

    Zu Sogo sind die schon eine Konkurrenz, also zumindest die mailbox.

    Ja, sollte mal ersetzt werden oder man lässt es halt ganz bleiben. Rein preislich ist es ja durchaus konkurrenzfähig, aber bei den Features und beim Interface ist es wohl nicht mehr ganz zeitgemäß. Vom zuverlässigen Mailversand reden wir erst gar nicht ;) .

    Hast du rDNS, DMARC, SPF und DKIM diese ganze Kram richtig in Deinem DNS-records gegeben?


    Bei Thunderbird hatte ich auch einige Probleme, die Version 115 ist jetzt in Ordnung, etwa 2 Monaten her hat diese noch Problemen gegeben.


    Dazu kann auch in Windows die Unterstützung für TLS und SSL nicht aktiviert sein:

    Das Tools „inetcpl.cpl“ aufrufen und im Fenster „Eigenschaften von Internet“ auf den Reiter

    Erweitert


    da kann man auf dem PC die Protokolle aktievieren die gebraucht werden.


    Wenn das nicht hilft gibt es noch ein Patch von MS für Win 10.


    Viel Erfolg,

    Jan

    "Domain not found" deutet auf DNS Problem des outbound-Mailservers mit der empfangenden Domain hin (wo auch immer die liegen)


    Das ein Anbieter oder jemand die eigenen outbound-Mailserver auf dane only konfiguriert wäre dann doch etwas "masochistisch" ^^ :D

    Ist natürlich alles (außer DANE) richtig eingestellt. Die Probleme meines Accounts bei der Mailbox ais Berlin sind mittlerweile weg. Ich muss aber doch feststellen, dass schon einige Mails heute beim zweiten MX mit Prio 50 angekommen sind. Und das waren keine Spammer, die sowas gern mal absichtlich machen (Gerade schreib ich es, schon passierts, gerade ist eine Spam-Mail auf dem zweiten MX aufgeschlagen). Deswegen vermute ich jetzt doch, dass es mit dem fehlenden DNSSEC beim ersten MX zu tun hat, während mein Mailserver als zweiter MX in meiner Serverdomain mit DNSSEC liegt. Darauf habe ich freilich gar keinen Einfluss, die Serverdomain von webg0 ist (noch :evil: ) nicht unter meiner Kontrolle.


    Also werde ich den zweiten MX nachher löschen, der ist bei einem erneuten Notfall dann schnell wieder gesetzt und deSEC propagiert Änderungen in den Zonen auch wirklich sehr zügig. Bis morgen früh sollte der von allen relevanten Resolvern (außer vielleicht dem von der Telekom :) ) vergessen sein (TTL 1 Stunde) und zumindest keine seriösen Mails mehr bekommen.


    Irgendwie habe ich auch den Verdacht, dass manche Mailserver sich da nicht (nur) auf ihre Nameserver verlassen. Gestern Abend Mail geschickt vom Webmail der Mailbox, kam auf MX 2. Dann nochmal selber Absender, selbe Mail, aber zusätzlich ein weiterer Empfänger der selben Domain, für den ich gar keine Mailbox eingerichtet hatte auf MX 2, weil da eh nie Mail kommt. Und siehe da, beide Mails wurden über MX 1 ausgeliefert, der für beide Adressen Mailboxen hat. Gerade mal zwei Minuten nach der ersten Mail und die zweite Mail kam bei beiden Empfängern praktisch gleichzeitig an. Naja, der Herr Heinlein wird sich bei seiner Versandstrategie schon was gedacht haben ;) .