Exchange 2010 - NDR ja oder nein

[soulseeker 13]

Hallo zusammen,

 

nachdem unser Mailserver kürzlich auf einer Blacklist gelandet ist, weil er haufenweise NDRs raussendet, habe ich diese kurzerhand erst einmal deaktiviert. Wir werden demnächst noch einen Antispam-Gateway einrichten, damit ein Großteil des Mülls gefiltert wird, bevor es beim Exchange ankommt.

 

Mich würde aber mal interessieren, wie andere Exchange-Admins NDRs handhaben - sind sie bei euch aktiviert oder nicht?

 

Grüße

 

Marcel

[NorbertFe 1.863]

Exchange sendet eigentlich keine nicht notwendigen NDRs, es sei denn du hast ne Fehlkonfiguration und nimmst jede Menge "Spam" an, der dann als NDR Spam zurückgeht. Insofern bleibt der NDR an, was auch RFC konform ist.

 

Bye

Norbert

[GuentherH 61]

Wir Norbert schon schrieb.

 

Ein NDR ist lt. RFC Pflicht und in den RFC steht: "The RFC requires that a mail server accepts system messages and rejecting them during the SMTP session is not allowed. Some mail server check for this and refuse to accept messages from a server that rejects system Messages"

 

Die Probleme, die ihr hattet fallen in den Bereich Backscatter und sollten bereits vor dem Exchange gefiltert werden.

 

LG Günther

[soulseeker 13]

Eine Fehlkonfiguration haben wir derzeit in der Tat - seitdem unsere Firma sich für Office online entschieden hat, musste ich reverse lookup als Antispam-Maßnahme bei unserem Smarthost deaktivieren ... ansonsten werden keine Sharepoint online-Mails angenommen :(. Demnächst werde ich aber eine Watchguard hier einsetzen, die auch als Antispam-Gateway nutzbar sein wird, dann wird das Problem hoffentlich bald gelöst sein.

 

Danke euch!

[RobertWi 81]

Moin,

 

ich kann den anderen nur Recht geben: Wenn man wegen NDR auf einer Blacklist landet (= Backscatter), ist was verkehrt.

 

Denn: Im Normalfall erstellt der empfangende Server sehr wenig bis gar keine NDR. Er verweigert die Annahme einer Mail und der absendende Server erstellt dann den NDR. 

 

Das hat auch nichts mit dem von Dir beschriebenen Revers Lookup zu tun, sondern i.d.R. etwas damit, dass der NDR an der falschen Stelle der Mailserverkette erzeugt wird. Die Annahme einer Mail muss am allerersten Server der Organisation verweigert werden. Wenn man sie da annimmt, kann man sie eigentlich später nicht mehr ablehnen. Alle Mailserver danach müssen sie annehmen. Erfolgt danach eine Ablehnung, ist bei Spam die Wahrscheinlichkeit hoch, dass der NDR an einen falschen Absender geht -> Backscatter.

 

Meist ist die Empfängerprüfung das Problem. Der Anti-Spam-Dienstleister macht nur Anti-Spam und kennt meine Empfänger nicht. Er schickt also *alle* Mails weiter an mich. Ich lehne die ab, die an unbekannte Empfänger gehen. Und schon habe ich den schönsten Backscatter erzeugt.

 

Achte also darauf, dass Dein neues Antispam-Gateway Empfängerfilterung kann. Die guten greifen direkt auf Dein AD zu (via LDAP), die einfacheren verschicken "Testmails" und cachen den Status der Antwort von Exchange. wenn es dann nicht kann, taugt das Ding nichts.

[NorbertFe 1.863]

Eine Fehlkonfiguration haben wir derzeit in der Tat - seitdem unsere Firma sich für Office online entschieden hat, musste ich reverse lookup als Antispam-Maßnahme bei unserem Smarthost deaktivieren ... ansonsten werden keine Sharepoint online-Mails angenommen :(. Demnächst werde ich aber eine Watchguard hier einsetzen, die auch als Antispam-Gateway nutzbar sein wird, dann wird das Problem hoffentlich bald gelöst sein.

 

Danke euch!

Office Online = Office 365?

 

Bye

Norbert

[soulseeker 13]

Office365, genau ... solange reverse lookup aktiv ist, kommen die Benachrichtigungen aus Sharepoint online nicht an. Seitdem hat das Gesamt-Spamvolumen auch massiv zugenommen.

 

Ich hatte vor einer Weile hier schonmal nachgefragt, welche Antispam-Gateways empfehlenswert sind, aber derzeit kann sich unsere GF noch nicht entscheiden, wo der Zug hinfahren soll. Daher ist der Mailfluss hier nach wie vor "Smarthost - Popcon - Exchange (Hybrid)". Könnte auch sein, dass die Organisation demnächst komplett zu Exchange online migriert wird (grusel), dann hätte man zumindest Forefront online protection. Mir wäre es deutlich lieber, einen eigenen Antispam-Gateway zu betreiben und die Postfächer auf dem eigenen Exchange zu verwalten.

[RobertWi 81]

Daher ist der Mailfluss hier nach wie vor "Smarthost - Popcon - Exchange (Hybrid)". 

 

Noch größerer Grusel. :)

 

Kein Wunder, dass ihr auch Blacklisten landet, ein bekanntes Problem bei nicht 100% richtig eingerichteten POP-Connectoren.

[Daniel -MSFT- 129]

Hi soulseeker,

 

Könnte auch sein, dass die Organisation demnächst komplett zu Exchange online migriert wird (grusel), dann hätte man zumindest Forefront online protection.

 

Du hättest dann nicht "zumindestens Forefront Online Protection", sondern "Exchange Online Protection". Kennst Du das Produkt überhaupt? Das ist einer der besten Gateway-Antivirus-Antispam-Produkte am Markt. Zum Beispiel hättest Du dort Backscatter-Support dabei, weil EOP NDRs nur für Nachrichten annimmt, die Du überhaupt selbst verschickt hast.

 

Mir wäre es deutlich lieber, einen eigenen Antispam-Gateway zu betreiben und die Postfächer auf dem eigenen Exchange zu verwalten.

 

Wo ist da der grundlegende Vorteil? Einstellmöglichkeiten hast Du auch bei EOP ohne Ende. Wenn bisher RDNS Dein Feature der Wahl war, dann ist so ziemlich alles besser. Das ist doch kein vernünftiger Antispam-Mechanismus und RFC-konform ist es erst recht nicht. Wie wäre es, wenn Du z.B. SPF mit einbinden würdest als Spamkriterium. Wenn Du nur Nachrichten annimmst für Empfänger, die es in der Org gibt. Wenn Du sich selbst pflegende Whiteisten hättest pro User, wo alle Adressaten automatisch reinkommen, an die von intern gesendet wird. Etc., etc. EOP kannst Du auch separat als Service hinzubuchen.

 

Have fun!
Daniel

[soulseeker 13]

Nein, ich kenne das Produkt noch nicht ... also streich das Wort "zumindest" ;) ... ist darin begründet, dass ich bisher kein großer Fan vom Cloud Exchange bin. Ich habe vor kurzem den Hybrid-Modus konfiguriert, dieser funktioniert auch für den Mailfluss, aber Kalender-Sharing zwischen Cloud und on premise haut irgendwie nicht immer hin. Damit habe ich schon jede Menge Zeit verbringen dürfen. Im Moment hängt das Projekt noch in der Luft, wenn alle Konten zu Exchange online migriert werden, wird es EOP, wenn alles bleibt wie es ist, ein Antispam-Gateway.

 

Aber kurz zum Thema "nicht korrekt konfigurierter pop3-Konnektor" - ich habe hier Popcon im Einsatz und bei "User unknown" die Möglichkeit, die Mail entweder umzuleiten (geht dann an postmaster) oder direkt zu löschen. Aber auch wenn löschen gewählt ist, "fragt" popcon vorher beim Exchange nach indem er die Mail erst weiterleitet, bekommt dann "User unknown" und löscht schließlich die Mail (oder leitet sie an postmaster). Aber ein NDR würde dann ja trotzdem rausgeschickt werden. Wenn ich das richtig sehe, kann ich so doch gar nicht verhindern, das Exchange in diesem Fall einen NDR sendet.

bearbeitet 17. Januar 2014 von soulseeker

[NorbertFe 1.863]

Das ist einer der besten Gateway-Antivirus-Antispam-Produkte am Markt.

So gut, dass man es lieber nur noch online an seine Kunden vermietet? ;) SCNR.

Zum Beispiel hättest Du dort Backscatter-Support dabei, weil EOP NDRs nur für Nachrichten annimmt, die Du überhaupt selbst verschickt hast.

Ja, nur b***d dass dann Lesebestätigungen nicht mehr funktionieren (oder waren es Abwesenheitsnachrichten?).

War doch das hier: http://technet.microsoft.com/en-us/library/dd639361.aspx

 

 

Bye

Norbert

 

PS: Ja ich finds doof, dass MS keinen on-premise Filter mehr für on-premise Exchange anbietet. ;)

 

Aber kurz zum Thema "nicht korrekt konfigurierter pop3-Konnektor" - ich habe hier Popcon im Einsatz und bei "User unknown" die Möglichkeit, die Mail entweder umzuleiten (geht dann an postmaster) oder direkt zu löschen. Aber auch wenn löschen gewählt ist, "fragt" popcon vorher beim Exchange nach indem er die Mail erst weiterleitet, bekommt dann "User unknown" und löscht schließlich die Mail (oder leitet sie an postmaster). Aber ein NDR würde dann ja trotzdem rausgeschickt werden. Wenn ich das richtig sehe, kann ich so doch gar nicht verhindern, das Exchange in diesem Fall einen NDR sendet.

Egal wie, solange du nen POPConnector (egal welcher) in so einer Konstellation drin hast, gibt's _immer_ irgendwelche Probleme. Und ein Antispamgateway würde bei POPConnector-Verwendung auch nur bedingt wenn überhaupt helfen.

 

Bye

Norbert

[soulseeker 13]

Und ein Antispamgateway würde bei POPConnector-Verwendung auch nur bedingt wenn überhaupt helfen.

 

Den würde ich dann natürlich deaktivieren ...

[Daniel -MSFT- 129]

Hi soulseeker,

 

Dein Problem ist schon mal der Popcon. Antispam-Filter sollten arbeiten, bevor der Eingangsmailserver die Mail angenommen hat. Du hast vermutlich ein Catchall-Postfach, dass Du dann abholst und Verteiler. Dann ist es zu spät.

 

Sinnvollerweise stellst Du auf SMTP-Zustellung um und nimmst nur an, wofür Du auch Empfänger hast. Während der Annahme filterst Du und verweigerst die Annahme von Spam. Dann brauchst Du gar keinen NDR ausstellen. Problem gelöst.

 

@Norbert: Die Dinosaurier haben sich auch lange über die Verbreitung von Säugetieren beschwert

[NorbertFe 1.863]

Wie funktioniert denn bei Eop der backscatter Filter? Etwa anders als bei forefront Protection? Da funktionierte es mittels batv, wenn ich mich recht erinnere.

 

Bye

Norbert

 

Ps: bzgl. Der Dinosaurier sprechen wir nochmal wenn der totalausfall der Cloud eintritt.

bearbeitet 18. Januar 2014 von NorbertFe

[Daniel -MSFT- 129]

Bei Batv sind DSNs ein Problem, da sie vom NUL-Absender kommen und für Batv wie NDRs aussehen. Ich weiß nicht genau, wie EOP das macht, aber DSMs funktionieren bei uns ganz normal. Wir nutzen EOP ja selbst für Microsoft.com.