4.4.4 Delivery failed

[Chriss]

Hallo zusammen,

wir haben seit mehreren Jahren NoSpamProxy im Einsatz. Aktuell die Version 15.4.0 mit zwei Gatewayrollen.

Wenn wir an die Domain checkpoint.com Mails versenden, erhalten wir immer 4.4.4 Delivery failed. Die Mails werden nie zugestellt.

Folgendes habe ich schon versucht ->

DNSSEC, deaktivieren:


TLS-Zertifikat mit DANE prüfen, deaktivieren


Wenn ich es im Debug Log richtig deute, muss "Erlaube Transportsicherheit" drin bleiben, da unser Ausgehender Sendekonnektor auf "Verlange STARTTLS" steht ->


Im Debug Log sehe ich folgendes -->

Request to '192.168.x.x' failed. Trying next DNS server.


Message:
DNS request failed
Error type:
System.Exception

Error code: 2148734208
Program location:
   at ARSoft.Tools.Net.Dns.DnsSecValidator`1.<ValidateOptOut>d__5.MoveNext()
--- End of stack trace from previous location where exception was thrown ---
   at System.Runtime.ExceptionServices.ExceptionDispatchInfo.Throw()
   at System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task)
   at ARSoft.Tools.Net.Dns.DnsSecValidator`1.<ValidateAsync>d__3`1.MoveNext()
--- End of stack trace from previous location where exception was thrown ---
   at System.Runtime.ExceptionServices.ExceptionDispatchInfo.Throw()
   at System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task)
   at ARSoft.Tools.Net.Dns.SelfValidatingInternalDnsSecStubResolver.<ResolveSecureInternalAsync>d__10`1.MoveNext()
--- End of stack trace from previous location where exception was thrown ---
   at System.Runtime.ExceptionServices.ExceptionDispatchInfo.Throw()
   at Netatwork.NoSpamProxy.Net.MultiServerDnsClient.<QueryAllDnsClients>d__10`1.MoveNext()

Alle unsere DNS-Server können problemlos die DNS Auflösung vornehmen, auch für DNSsec -->

PS C:\> Resolve-DnsName -Name dnssec-failed.org -Server 192.168.x.x -DnsOnly -DnssecOk

Name                                           Type   TTL   Section    IPAddress
----                                           ----   ---   -------    ---------
dnssec-failed.org                              A      299   Answer     96.99.227.255

Name      : .
QueryType : OPT
TTL       : 32768
Section   : Additional
Data      : {}



PS C:\> Resolve-DnsName -Name checkpoint.com -Server 192.168.x.x -DnsOnly -DnssecOk

Name                                           Type   TTL   Section    IPAddress
----                                           ----   ---   -------    ---------
checkpoint.com                                 A      35    Answer     18.66.147.96
checkpoint.com                                 A      35    Answer     18.66.147.95
checkpoint.com                                 A      35    Answer     18.66.147.106
checkpoint.com                                 A      35    Answer     18.66.147.63

Name      : .
QueryType : OPT
TTL       : 32768
Section   : Additional
Data      : {}



PS C:\> Resolve-DnsName -Name checkpoint-com.mail.protection.outlook.com -Server 192.168.x.x -DnsOnly -DnssecOk

Name                                           Type   TTL   Section    IPAddress
----                                           ----   ---   -------    ---------
checkpoint-com.mail.protection.outlook.com     AAAA   10    Answer     2a01:111:f403:ca09::4
checkpoint-com.mail.protection.outlook.com     AAAA   10    Answer     2a01:111:f403:ca04::6
checkpoint-com.mail.protection.outlook.com     AAAA   10    Answer     2a01:111:f403:ca09::6
checkpoint-com.mail.protection.outlook.com     AAAA   10    Answer     2a01:111:f403:ca09::5
checkpoint-com.mail.protection.outlook.com     A      9     Answer     52.101.68.16
checkpoint-com.mail.protection.outlook.com     A      9     Answer     52.101.73.6
checkpoint-com.mail.protection.outlook.com     A      9     Answer     52.101.68.39
checkpoint-com.mail.protection.outlook.com     A      9     Answer     52.101.73.8

Name      : .
QueryType : OPT
TTL       : 32768
Section   : Additional
Data      : {}



PS C:\>

Wenn ich das weiter richtig deute und unseren Firewall Log prüfe, wird auch keine ausgehende SMTP Verbindung zu einen der MX Server aufgebaut.

Grüße,
Christian

 

[Sören]

Wenn ich das weiter richtig deute und unseren Firewall Log prüfe, wird auch keine ausgehende SMTP Verbindung zu einen der MX Server aufgebaut.

ja, das ist auch das richtige Verhalten da es schon am DNS scheitert

was mich stutzig macht, dass du DNSSEC deaktiviert hast und dann das im Log steht:



Daher habe ich auch gar keine Idee und würde dich an den Support verweisen müssen

 

[Chriss]

ja, das ist auch das richtige Verhalten da es schon am DNS scheitert

was mich stutzig macht, dass du DNSSEC deaktiviert hast und dann das im Log steht:

Anhang anzeigen 1586

Daher habe ich auch gar keine Idee und würde dich an den Support verweisen müssen

Kann ich irgendwie überprüfen, ob die Partner Domain etwas falsch macht? Wir haben leider keinen Support dazugekauft, wir haben nur die Lizenzen.

 

[Sören]

Wir haben leider keinen Support dazugekauft, wir haben nur die Lizenzen.

okay, verstehe

Kann ich irgendwie überprüfen, ob die Partner Domain etwas falsch macht?

also ich habe es gerade getestet... bei mir ging die mail sauber raus:



Du könntest mal 2 Sachen machen:

1. die GW Rollen neu starten, mich macht das noch immer stutzig das versucht wird dnssec zu machen obwohl du es deaktiviert hast
2. ipconfig /flushdns

wenn das nichts bringt:

Kannst du mal Testweise google dns im NSP hinterlegen?

 

[Sören]

Update ich hab mal bei mir ins Log geschaut:



Bei mir steht das wie erwartet auf false... allerdings habe ich auch die GW Rollen neu gestartet damit ein neues Log generiert wird.

 

[Chriss]

Update ich hab mal bei mir ins Log geschaut:

Anhang anzeigen 1588

Bei mir steht das wie erwartet auf false... allerdings habe ich auch die GW Rollen neu gestartet damit ein neues Log generiert wird.

Ich habe alle Konstellationen schon versucht beim Test ... Der Fehler mit "ARSoft.Tools.Net.Dns.DnsSecValidator" ist mir nur ins Auge gesprungen, beim durchtesten der Kombinationen. Bei jeder Änderung habe ich natürlich alles neugestartet.

Wenn alles wie im ersten Beitrag geschrieben, passiert folgendes -->

Looking up mx -->


Resolving


und dann stehe ich im Pending und er haut es in die Queue. Einen SMTP Verbindungsaufbau hat er nicht gemacht laut Firewall Log.

Im habe auf unseren DNS Server schon den DNS-Resolver von Cloudflare eingetragen als erste Stelle, statt unseren beiden Providern. Neugestartet und überall Cache geleert natürlich auch .

Wenn ich unter Verbundene Systeme -> DNS-Server eintrage müsste es reichen oder?

Dann teste ich nachher mit Google DNS Servers, muss noch die Freischaltungen beantragen.

 

[Chriss]

Update ich hab mal bei mir ins Log geschaut:

Anhang anzeigen 1588

Bei mir steht das wie erwartet auf false... allerdings habe ich auch die GW Rollen neu gestartet damit ein neues Log generiert wird.

Was passiert den bei dir, wenn du unter Partner folgendes konfiguriert?

 

[Sören]

Wenn ich unter Verbundene Systeme -> DNS-Server eintrage müsste es reichen oder?

Jup

Und steht ja jetzt bei dir auch auf false und nicht mehr auf true:



Warum aber die Mail in der Queue landet und nicht verarbeitet wird, ist mir unklar.

Geh doch mal in den Message Track zu der Mail und klicke auf alle anzeigen:

Was passiert den bei dir, wenn du unter Partner folgendes konfiguriert?

teste ich

update: auch das geht

 

[Chriss]

Jup

Und steht ja jetzt bei dir auch auf false und nicht mehr auf true:

Anhang anzeigen 1592

Warum aber die Mail in der Queue landet und nicht verarbeitet wird, ist mir unklar.

Geh doch mal in den Message Track zu der Mail und klicke auf alle anzeigen:

Anhang anzeigen 1593



teste ich

update: auch das geht

 

[Chriss]

Update ich hab mal bei mir ins Log geschaut:

Anhang anzeigen 1588

Bei mir steht das wie erwartet auf false... allerdings habe ich auch die GW Rollen neu gestartet damit ein neues Log generiert wird.

Gleicher Fehler mit Google DNS Server. Habe alles neu gestartet nach der Änderung.

 

[Sören]

Gleicher Fehler mit Google DNS Server. Habe alles neu gestartet nach der Änderung.

hmm.. ich hab nun keine Idee mehr. Habt ihr Support beim Partner über den ihr NSP eingekauft habt? Der wäre dann in der Lage bei uns ein Ticket aufzumachen.

 

[StefanCink]

Mal ganz doof gefragt: Hast Du schonmal über die Kommandozeile von der Gateway Rolle aus versucht, eure DNS-Server nach dem MX für die Domain zu fragen? Funktioniert das?
Gruß Stefan

 

[Chriss]

@Sören @StefanCink @JanJäschke
Das kommt mit den DNSSECChecker von JanJäschke raus, Danke für das Tool.
Unsere öffentliche Domäne und z.B. nospamproxy.com kann ich problemlos with noError auflösen.

PS C:\DNSSECChecker> .\DNSSECChecker.exe checkpoint.com 8.8.8.8
Checking domain: checkpoint.com
Using DNS: 8.8.8.8
MXer is signed propably.

MX records:
------------------------
checkpoint.com. 600 IN MX 0 checkpoint-com.mail.protection.outlook.com.

A record:
------------------------
Unhandled exception. System.AggregateException: One or more errors occurred. (DNS request failed)
---> System.Exception: DNS request failed
at ARSoft.Tools.Net.Dns.DnsSecValidator`1.ValidateOptOut(DomainName name, RecordClass recordClass, TState state, CancellationToken token)
at ARSoft.Tools.Net.Dns.DnsSecValidator`1.ValidateAsync[TRecord](DomainName name, RecordType recordType, RecordClass recordClass, DnsMessage msg, List`1 resultRecords, TState state, CancellationToken token)
at ARSoft.Tools.Net.Dns.SelfValidatingInternalDnsSecStubResolver.ResolveSecureInternalAsync[T](DomainName name, RecordType recordType, RecordClass recordClass, DnsSecValidatorContext state, CancellationToken token)
--- End of inner exception stack trace ---
at System.Threading.Tasks.Task.ThrowIfExceptional(Boolean )
at System.Threading.Tasks.Task.Wait(Int32 , CancellationToken )
at System.Threading.Tasks.Task.Wait()
at ARSoft.Tools.Net.Dns.SelfValidatingInternalDnsSecStubResolver.ResolveSecure[T](DomainName name, RecordType recordType, RecordClass recordClass)
at Program.<Main>$(String[] args) in C:\Users\jjaeschke\source\repos\ConsoleApp1\ConsoleApp1\Program.cs:line 49

 

[Chriss]

Mal ganz doof gefragt: Hast Du schonmal über die Kommandozeile von der Gateway Rolle aus versucht, eure DNS-Server nach dem MX für die Domain zu fragen? Funktioniert das?
Gruß Stefan

Ja klar -->

PS C:\DNSSECChecker> nslookup
Default Server: dns.xxxx.xx
Address: x.x.x.x

> set q=mx
> checkpoint.com
Server: dns.xxxxxx.com
Address: x.x.x.x

Non-authoritative answer:
checkpoint.com MX preference = 0, mail exchanger = checkpoint-com.mail.protection.outlook.com

checkpoint-com.mail.protection.outlook.com internet address = 52.101.68.29
checkpoint-com.mail.protection.outlook.com internet address = 52.101.73.1
checkpoint-com.mail.protection.outlook.com internet address = 52.101.68.39
checkpoint-com.mail.protection.outlook.com internet address = 52.101.73.19
checkpoint-com.mail.protection.outlook.com AAAA IPv6 address = 2a01:111:f403:ca04::5
checkpoint-com.mail.protection.outlook.com AAAA IPv6 address = 2a01:111:f403:ca09::d
checkpoint-com.mail.protection.outlook.com AAAA IPv6 address = 2a01:111:f403:ca04::7
checkpoint-com.mail.protection.outlook.com AAAA IPv6 address = 2a01:111:f403:ca04::a
>

 

[JanJäschke]

DNSSEC bei MS scheint nicht korrekt zu sein:

DNSSEC Debugger - checkpoint-com.mail.protection.outlook.com

The DNSSEC Debugger from VeriSign Labs is an on-line tool to assist with diagnosing problems with DNSSEC-signed names and zones.

dnssec-debugger.verisignlabs.com

Da wirst du nicht viel gegen machen können außer deaktivieren

 

[Chriss]

DNSSEC bei MS scheint nicht korrekt zu sein:

DNSSEC Debugger - checkpoint-com.mail.protection.outlook.com

The DNSSEC Debugger from VeriSign Labs is an on-line tool to assist with diagnosing problems with DNSSEC-signed names and zones.

dnssec-debugger.verisignlabs.com

Da wirst du nicht viel gegen machen können außer deaktivieren

Aber das klappt auch nicht, wenn ich an allen Stellen DNSSEC/ DANE deaktiviere in NoSpamProxy.