Your Access to this mailsystem has been rejected due violation of RFC 2505 section-1.4

[M4rt1n 0]

 

Hallo,

 

Ich bekomme beim Versenden über Exchange (wurde testweise von SMTP Relay geändert) teilweise (ca. 25-50% der Mails) folgende Fehlermeldung:

 

Die Zustellung an folgende Empfänger oder Gruppen verzögert sich:


Diese Nachricht wurde noch nicht zugestellt. Es wird weiterhin versucht, die Nachricht zuzustellen.

Der Server wird noch 1 Tage, 19 Stunden und 50 Minuten versuchen, die Nachricht zuzustellen. Sie erhalten eine Benachrichtigung, falls die Nachricht bis dahin nicht übermittelt werden konnte.






Diagnoseinformationen für Administratoren:

Generierender Server: xyz-mail.xyz.lan
Empfangender Server: mx01.ihk.de (141.88.192.212)

Empfänger-Email
Server at mx01.ihk.de (141.88.192.212) returned '400 4.4.7 Message delayed'
21.02.2024 12:28:15 - Server at mx01.ihk.de (141.88.192.212) returned '451 4.4.395 Target host responded with error. -> 554 mx01.ihk.de;Your Access to this mailsystem has been rejected due violation of RFC 2505 section-1.4. (Exchange-Public-IP - Unknown)'

 

Ich schätze es liegt daran dass der Generierender Server nicht die Domain der Email Adresse ist, sondern "lokaler Computer Punkt lokale Domäne" Wo müsste ich das korrigieren?

bearbeitet 23. Februar von M4rt1n

[NorbertFe 1.805]

vor 8 Minuten schrieb M4rt1n:

Ich schätze es liegt daran dass der Generierender Server nicht die Domain der Email Adresse ist, sondern "lokaler Computer Punkt lokale Domäne" Wo müsste ich das korrigieren?

Du solltest  nicht "schätzen", sondern RFC 2505 Section 1.4 lesen. Steht ja nicht zufällig im NDR.

Da wir hier im Forum deine Konfiguration nicht kennen, wäre mein erster Gedanke, dass du keinen validen Reverse Entry (Ptr Record) für die sendende IP Adresse hast. 

bearbeitet 23. Februar von NorbertFe

[M4rt1n 0]

Gerade eben schrieb NorbertFe:

Du solltest  nicht "schätzen", sondern RFC 2505 Section 1.4 lesen.

Da wir hier im Forum deine Konfiguration nicht kennen, wäre mein erster Gedanke, dass du keinen validen Reverse Entry (Ptr Record) für die sendende IP Adresse hast. 

Das ist korrekt, bei United-Domains gibt es aber keine PTR Option

[NorbertFe 1.805]

Gerade eben schrieb M4rt1n:

Das ist korrekt, bei United-Domains gibt es aber keine PTR Option

Was vollkommen normal ist, weil United Domains sicher nicht die IP Adresse gehört, sondern deinem Internet Service Provider (Telekom, Vodafone oder sonst wem). Also musst du Reverse Einträge üblicherweise auch dort ändern. (Ausnahme du hast eine Reverse Zone Delegation erhalten).

bearbeitet 23. Februar von NorbertFe

[M4rt1n 0]

OK das wäre dann ein Rechenzentrum, dann frag ich da mal nach. Danke!

[M4rt1n 0]

Hallo, ich dachte schon das Thema wäre erledigt, aber jetzt kommen doch wieder Fehler, diesmal:

...returned '451 4.4.395 Target host responded with error. -> 554 IP=MX-IP - Dialup/transient IP not allowed. Use a mailgateway or contact toda@rx.t-online.de if obsolete. (DIAL)'

 

Ein schneller Blick in https://de.ssl-tools.net zeigt, dass anscheinend das interne Zertifikat verwendet wird

 

Zertifikatskette

    localhostname (Zertifikat ist selbst signiert.)
        1764 Tagen verbleibend 2048 bit sha256WithRSAEncryption 
        Hostname Mismatch Unknown Authority 

Subjekt

Common Name (CN)

        localhostname

Alternative Namen

        localhostname
        localhostname.localdomain.lan

 

obwohl über OWA das Let's encrypt Zertifikat angezeigt wird und das "Healthcheck" Tool von Mircosoft alles grün anzeigt:

 

Exchange IIS Information
------------------------

        Name               State    HSTS Enabled  Protocol - Bindings - Certificate
        ----               -----    ------------  ---------------------------------
        Default Web Site   Started  False         http  - *:80:                               - NULL
                                                  http  - 127.0.0.1:80:                       - NULL
                                                  https - *:443:autodiscover.domain1.de      - 8059BACD751FDEBFE24AC4C6849923654421B17F
                                                  https - *:443:autodiscover.domain2.de   - 8059BACD751FDEBFE24AC4C6849923654421B17F
                                                  https - *:443:autodiscover.mail.domain1.de - 8059BACD751FDEBFE24AC4C6849923654421B17F
                                                  https - *:443:mail.domain1.de              - 8059BACD751FDEBFE24AC4C6849923654421B17F
                                                  https - *:443:mail.domain2.de           - 8059BACD751FDEBFE24AC4C6849923654421B17F
                                                  https - *:443:                              - 8059BACD751FDEBFE24AC4C6849923654421B17F
                                                  https - 127.0.0.1:443:                      - 8059BACD751FDEBFE24AC4C6849923654421B17F
        Exchange Back End  Started  False         http  - *:81:  - NULL
                                                  https - *:444: - 8059BACD751FDEBFE24AC4C6849923654421B17F

 

Ich habe im IIS nochmal alle Bindungen von "Default Website", "Exchange Back End" und "FQDN" von Port 443/444 auf das Letsencrypt zertifikat gestellt (Die bei Exchange Back End stand noch auf "Exchange Server"), ohne dass sich was geändert hat.

 

Habt ihr ne Idee woran es liegen könnte?

bearbeitet 29. Februar von M4rt1n

[NorbertFe 1.805]

Liest du die Fehlermeldungen auch?

 

Target host responded with error. -> 554 IP=MX-IP - Dialup/transient IP not allowed. Use a mailgateway or contact toda@rx.t-online.de if obsolete. (DIAL)'

 

Wie deutlich solls dir denn der T-Online Postmaster noch mitteilen? ;)

[M4rt1n 0]

Ja, aber ich konnte nicht wirklich was mit anfangen. Hab jetzt noch ein bisschen mehr gegooglet und habe ne mail an t-online geschickt inkl. URL des Impressums mit der Bitte das freizuschalten.

bearbeitet 29. Februar von M4rt1n

[zahni 521]

vor 23 Stunden schrieb M4rt1n:

aber ich konnte nicht wirklich was mit anfangen.

Man hat Dir geschrieben, dass Du von deinem DSL-Anschluss mit dynamischer IP-Adresse (also bei jeder Einwahl eine andere IP-Adresse), keine Mails direkt senden darfst. 

Maßnahme: Mindestens ein Business-DSL-Vertrag mit fester IP als buchbare Option.

[M4rt1n 0]

Nein das kanns nicht sein, der Server steht in einem Rechenzentrum und hat eine feste IP.

 

die Telekom hat auch schon geantwortet:

 

Wir werden veranlassen, dass die Reputation dieser IP-Adresse in unseren
Systemen resettet wird. (Berücksichtigen Sie bitte, dass es je nach
Systemlast bis zu 24 Stunden dauern kann bis die Änderung wirksam wird,
erfahrungsgemäß dürfte dies allerdings in ein bis zwei Stunden erledigt
sein.)

 

[NorbertFe 1.805]

Steht doch auch in der Meldung. If obsolete. Die Telekom führt komplette Netzblöcke in der Blacklist und da kann so ein ehemals dynamisch genutzter Block auch mal umgewidmet werden.

[zahni 521]

Ah ja, stimmt. Als wir von unserem neuen DL eine neue feste IP bekommen haben, hatte T-Online die auch auf der schwarzen Liste. Die Sinnhaftigkeit von RBL's...

bearbeitet 1. März von zahni