Gelöst Header-To Mailadresse unbekannt

[0xFelix]

Hallo zusammen,

wir haben aktuell einen Fall im NSP den ich nicht ganz nachvollziehen kann, ich hoffe mal ich übersehe nur eine Kleinigkeit:

In einer eingehenden Mail wird folgendes angekreidet:




Wenn ich allerdings in die AD-importierten User schaue, ist der auf dem On-Prem Exchange angelegte Verteiler vorhanden, inklusive der genannten Adresse



Sind nicht alle dortigen Adressen automatisch corporate email address?

Danke für die Rückmeldung!

VG Felix

 

[Mueller]

Hallo Felix,
ich möchte gerne einmal versuchen etwas Licht ins dunkle zu bringen.

Für die E-Mail Zustellung wird der RCPT TO verwendet welcher im Repurtationsfilter nicht geprüft wird.
Im Repurtationsfilter wird der Header-TO (wird z.B. im Mailclient angezeigt) geprüft, welcher effektiv nur optische zwecke hat.

Den Fall das die E-Mail erfolgreich zugestellt wird und weder Header-TO noch CC (beide haben optische zwecke) eine Unternehmensadresse beinhalten, tritt z.B. bei BCC E-Mails auf.

Deiner Fehlerbeschreibung nach gehe ich demnach aktuell davon aus, dass der Empfänger die Nachricht im BCC enthalten hat, oder es sich hier um eine automatische E-Mail Weiterleitung an den Empfänger handelte.

 

[0xFelix]

Ah ok das ergibt Sinn, danke.
Kann ich mir im NSP irgendwie/wo noch mehr Details zu RCPT TO und HEADER TO der Mail anzeigen lassen? Oder wenn möglich direkt den ganzen raw Header?
Sorry habe noch nicht so viel Praxiserfahrung mit der Software

 

[Mueller]

Hi Felix,
der RCPT TO ist der Empfänger welcher dir im NoSpamProxy Interface angezeigt wird.
Eine Möglichkeit den Header To anzeigen zu lassen ist mir nicht bekannt.

 

[StefanCink]

Dazu empfehle ich die Verwendung der WebApp. Dort wird in der Nachrichtenverfolgung auch der Header-To angezeigt, wenn man in den Details auf die E-Mail-Adresse klickt.

 

[0xFelix]

Danke für die Rückmeldung.
Unter dem Reiter "Allgemein" in der WebApp?
Wenn ich dort auf die Empfängeradresse klicke, wird in dem Popup die gleiche Adresse angezeigt. (darunter steht dann noch "Siehe Zustellung Reiter für Details", die dortige Empfängeradresse ist aber ebenfalls identisch)

Habe testweise mal die JSON von dem Messagetrack durchsucht, da finde ich auch nur "Recipient"

 

[StefanCink]

Ach Mist, beim Empfänger ist es tatsächlich nicht so. Wir zeigen das nur beim Absender an. :-(

 

[0xFelix]

Ich persönlich würde mir noch irgendeine Loggingfunktion oder so wünschen, wo man im Spezialfall dann doch mal die genaue SMTP-Kommunikation rückverfolgen kann. Oder habe ich die bislang einfach nur nicht gefunden? Wobei das wahrscheinlich in vielen Fällen dann zu viele Daten erzeugen würde...

 

[StefanCink]

Im Logfile von NSP kann man das sehen.

 

[0xFelix]

Welche Kategorie ist denn dafür verantwortlich? Ich nehme an Mail delivery service? Kann man das Logging dafür getrost permanent aktiv lassen?

 

[JanJäschke]

Guten Morgen,

für das blanke SMTP Logging geht es etwas leichter als die SvcLogs lesen zu müssen.
Mittels PowerShell kannst du ein Textbasiertes Log der SMTP Verbindungen aktivieren:

Enable-NspSmtpLogging -Path C:\LogOrdner\ -InboundMails

Damit wird bei eingehenden Verbindungen ein Ordner Pro Sender IP angelegt, in diesem ein Ordner Pro Datum+Stunde und darin findest du dann pro session die Verbindung. Die Verbindung ist so aufgeteilt wie sie auch im SvcLog aufgeteilt ist nur eben in mehrere Dateien.
Ein zusammengefasstes Beispiel:

[1_Connect.log]
2025-03-25,07:59:09, None, Processing connection from 10.82.1.10:51348
2025-03-25,07:59:09, Send, 220 NSP-WS-2019 - NoSpamProxy ready
2025-03-25,07:59:09, Receive, EHLO postfix-external.jaj-external.test
2025-03-25,07:59:09, Send, 250-NSP-WS-2019 welcome
2025-03-25,07:59:09, Send, 250-DSN
2025-03-25,07:59:09, Send, 250-ENHANCEDSTATUSCODES
2025-03-25,07:59:09, Send, 250-X-ANONYMOUSTLS
2025-03-25,07:59:09, Send, 250-STARTTLS
2025-03-25,07:59:09, Send, 250-8BITMIME
2025-03-25,07:59:09, Send, 250 SIZE

[1_Mail_0.log]
2025-03-25,07:59:09, Receive, STARTTLS
2025-03-25,07:59:09, Both, (TLS negotation)
2025-03-25,07:59:09, Send, 220 2.0.0 Ready to start TLS
2025-03-25,07:59:09, Receive, EHLO postfix-external.jaj-external.test
2025-03-25,07:59:09, Send, 250-NSP-WS-2019 welcome
2025-03-25,07:59:09, Send, 250-DSN
2025-03-25,07:59:09, Send, 250-ENHANCEDSTATUSCODES
2025-03-25,07:59:09, Send, 250-AUTH PLAIN LOGIN
2025-03-25,07:59:09, Send, 250-8BITMIME
2025-03-25,07:59:09, Send, 250 SIZE

[1_Mail_1.log]
2025-03-25,07:59:09, Receive, MAIL FROM:<bob@jaj-external.test> SIZE=1189
2025-03-25,07:59:09, Send, 250 2.0.0 Requested email action okay
2025-03-25,07:59:09, Receive, RCPT TO:<jaj@jaj.test> ORCPT=rfc822;jaj@jaj.test NOTIFY=Delay,Failure
2025-03-25,07:59:10, Send, 250 2.0.0 Requested email action okay
2025-03-25,07:59:10, Receive, DATA
2025-03-25,07:59:10, Receive, (Receiving Body)
2025-03-25,07:59:10, Send, 354 2.0.0 Start email input; end with <CRLF>.<CRLF>
2025-03-25,07:59:10, Receive, (Body received)
2025-03-25,07:59:31, Send, 250 2.0.0 Queued email for delivery.

[1_Mail_2.log]
2025-03-25,07:59:31, Receive, QUIT
2025-03-25,07:59:31, Send, 221 2.0.0 Service closing transmission channel

Damit siehst du also super einfach wie die SMTP Kommunikation abläuft

Für Outbound kann man das ganze ebenfalls aktivieren:

Enable-NspSmtpLogging -Path C:\LogOrdner\ -OutboundMails -DomainPatterns "PatternNotwendig"

Outbound ist jedoch zwingend ein Pattern erforderlich, hier kann auch eine Liste angegeben werden oder die Liste im Nachhinein bearbeitet werden. Voraussetzung ist, dass das Outbound Logging aktiv ist.

Habe grade beim durchspielen festgestellt, dass das Outbound nicht grade intuitiv ist - Anpassung bereits mitgenommen

EDIT: Header Informationen sind hierbei nicht zu sehen, da diese teil vom Body sind, der wird nicht geloggt.

LG
Jan

 

[0xFelix]

Ah das sieht aber schon sehr nach dem aus, was ich mir gewünscht hab, vielen Dank!
Werde das mal die nächsten Tage testen!
Von meiner Seite aus kann dieser Thread geschlossen werden.
Danke!

VG
Felix