Probleme beim Empfang von "outbound.protection.outlook.com"

I

ichi123

Active Member
Apr 24, 2019
6
1
43
38
Guten Abend liebe Community!

Ich stehe vor einem Problem bei welchem ich nicht sagen kann, dass es "auf einmal" aufgetreten ist oder schon länger besteht.

Aktuell ist bei mir der Empfang von Mails vom MTA *.outbound.protection.outlook.com nicht (mehr) möglich.

Hier ein Log Snippet dazu:

Code: 
Oct  2 18:04:25 mgw postfix/smtpd[5443]: connect from mail-dm6nam11on2066.outbound.protection.outlook.com[40.107.223.66]
Oct  2 18:04:25 mgw postfix/smtpd[5443]: Anonymous TLS connection established from mail-dm6nam11on2066.outbound.protection.outlook.com[40.107.223.66]: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)
Oct  2 18:04:25 mgw postfix/smtpd[5443]: disconnect from mail-dm6nam11on2066.outbound.protection.outlook.com[40.107.223.66] ehlo=1 starttls=1 quit=1 commands=3
Oct  2 18:04:26 mgw postfix/postscreen[5374]: CONNECT from [2a01:111:f400:7eaa::614]:62017 to [2a01:4f8:c2c:XXXX::2]:25
Oct  2 18:04:32 mgw postfix/postscreen[5374]: PASS NEW [2a01:111:f400:7eaa::614]:62017
Oct  2 18:04:32 mgw postfix/smtpd[5443]: connect from mail-dm6nam11on20614.outbound.protection.outlook.com[2a01:111:f400:7eaa::614]
Oct  2 18:04:32 mgw postfix/smtpd[5443]: Anonymous TLS connection established from mail-dm6nam11on20614.outbound.protection.outlook.com[2a01:111:f400:7eaa::614]: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)
Oct  2 18:04:33 mgw postfix/smtpd[5443]: disconnect from mail-dm6nam11on20614.outbound.protection.outlook.com[2a01:111:f400:7eaa::614] ehlo=1 starttls=1 quit=1 commands=3

Zuerst dachte ich, dass es eventuell an den Let's Encrypt Zertifikaten liegt. Deshalb habe ich ein wenig Geld in die Hand genommen und mir ein Zertifikat gekauft - leider ohne Verbesserung.

Der Output von "pmgconfig cert info" zeigt das korrekte Zertifikat - sowohl für API als auch für postfix.

Auffällig ist, dass der Rest der eingehenden Mails von MTA mit TLSv1.3 kommen und problemlos durchgehen. Die Aushandlung mit o.g. MTA ergibt jedoch nur TLSv1.2.

Ergebnisse von MXToolbox:

rDNS = i.O.
SPF = i.O.
DKIM = i.O.
DMARC = i.O.

EDIT: (sorry in der Eile vergessen):
Hier die Versionsstände (pmgversion -v )

Code: 
proxmox-mailgateway: 7.1-2 (API: 7.1-7/4d02e400, running kernel: 5.15.60-1-pve)
pmg-api: 7.1-7
pmg-gui: 3.1-4
pve-kernel-helper: 7.2-12
pve-kernel-5.15: 7.2-11
pve-kernel-5.13: 7.1-9
pve-kernel-5.4: 6.4-7
pve-kernel-5.15.60-1-pve: 5.15.60-1
pve-kernel-5.13.19-6-pve: 5.13.19-15
pve-kernel-5.13.19-2-pve: 5.13.19-4
pve-kernel-5.4.143-1-pve: 5.4.143-1
pve-kernel-5.4.30-1-pve: 5.4.30-1
clamav-daemon: 0.103.7+dfsg-0+deb11u1
ifupdown: 0.8.36+pve1
libarchive-perl: 3.4.0-1
libjs-extjs: 7.0.0-1
libjs-framework7: 4.4.7-1
libproxmox-acme-perl: 1.4.2
libproxmox-acme-plugins: 1.4.2
libpve-apiclient-perl: 3.2-1
libpve-common-perl: 7.2-3
libpve-http-server-perl: 4.1-3
libxdgmime-perl: 1.0-1
lvm2: 2.03.11-2.1
pmg-docs: 7.1-2
pmg-i18n: 2.7-2
pmg-log-tracker: 2.3.1-1
postgresql-13: 13.8-0+deb11u1
proxmox-mini-journalreader: 1.3-1
proxmox-spamassassin: 3.4.6-4
proxmox-widget-toolkit: 3.5.1
pve-firmware: 3.5-3
pve-xtermjs: 4.16.0-1
zfsutils-linux: 2.1.5-pve1




Gibt es jemanden mit ähnlichen Problemen?
Hat ggf. jemand einen Tipp für mich, wo ich weiter ansetzen kann?
Sofern Informationen fehlen, liefere ich diese gerne nach!






Liebe Grüße
 
Last edited:
Hallo aus Amerika

Ich musste outbound.protection.outlook.com zu Configuration, Mail Proxy, Whitelist, Sender Domain Exception hinzufügen, damit diese Nachrichten meine Benutzer erreichen können. Ich weiß nicht, ob das die beste Vorgehensweise ist, aber ich habe es getan. Ich bin offen für eine bessere Lösung, wenn jemand sie hat, aber das habe ich getan, damit es funktioniert.

Geben Sie Google die Schuld, wenn mein Deutsch schrecklich ist!

Liebe Grüße
 
Last edited:
bwdavis said:
Hallo aus Amerika

Ich musste outbound.protection.outlook.com zu Configuration, Mail Proxy, Whitelist, Sender Domain Exception hinzufügen, damit diese Nachrichten meine Benutzer erreichen können. Ich weiß nicht, ob das die beste Vorgehensweise ist, aber ich habe es getan. Ich bin offen für eine bessere Lösung, wenn jemand sie hat, aber das habe ich getan, damit es funktioniert.

Geben Sie Google die Schuld, wenn mein Deutsch schrecklich ist!

Liebe Grüße
Click to expand...
English:
Thanks for your Reply!

I already added this rule to my whitlist ruleset. See below.
Unfortunatly it still doesn't work.
Any further idea is highly welcome!

Deutsch:
Danke für deine Rückmeldung! :)
Leider habe ich das auch schon versucht. Ich habe die Sender Domain & eine Regex Regel angelegt.
Leider noch immer ohne Erfolg.
Jede weitere Idee ist natürlich herzlich wilkommen.

pmg.png

Code: 
Oct  4 19:18:31 mgw postfix/postscreen[23777]: CONNECT from [104.47.55.109]:6329 to [XXX]:25
Oct  4 19:18:31 mgw postfix/postscreen[23777]: PASS OLD [104.47.55.109]:6329
Oct  4 19:18:32 mgw postfix/smtpd[23785]: connect from mail-mw2nam10lp2109.outbound.protection.outlook.com[104.47.55.109]
Oct  4 19:18:33 mgw postfix/smtpd[23785]: Anonymous TLS connection established from mail-mw2nam10lp2109.outbound.protection.outlook.com[104.47.55.109]: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)
Oct  4 19:18:33 mgw postfix/smtpd[23785]: disconnect from mail-mw2nam10lp2109.outbound.protection.outlook.com[104.47.55.109] ehlo=1 starttls=1 quit=1 commands=3
Oct  4 19:18:33 mgw postfix/postscreen[23777]: CONNECT from [2a01:111:f400:7e89::200]:13073 to [2a01:4f8:c2c:XXX]:25
Oct  4 19:18:33 mgw postfix/postscreen[23777]: PASS OLD [2a01:111:f400:7e89::200]:13073
Oct  4 19:18:33 mgw postfix/smtpd[23785]: connect from mail-mw2nam10lp20200.outbound.protection.outlook.com[2a01:111:f400:7e89::200]
Oct  4 19:18:34 mgw postfix/smtpd[23785]: Anonymous TLS connection established from mail-mw2nam10lp20200.outbound.protection.outlook.com[2a01:111:f400:7e89::200]: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)
Oct  4 19:18:34 mgw postfix/smtpd[23785]: disconnect from mail-mw2nam10lp20200.outbound.protection.outlook.com[2a01:111:f400:7e89::200] ehlo=1 starttls=1 quit=1 commands=3
Oct  4 19:19:01 mgw postfix/postscreen[23777]: CONNECT from [104.47.59.172]:12361 to [XXX]:25
Oct  4 19:19:01 mgw postfix/postscreen[23777]: PASS OLD [104.47.59.172]:12361
Oct  4 19:19:01 mgw postfix/smtpd[23785]: connect from mail-dm6nam12lp2172.outbound.protection.outlook.com[104.47.59.172]
Oct  4 19:19:02 mgw postfix/smtpd[23785]: Anonymous TLS connection established from mail-dm6nam12lp2172.outbound.protection.outlook.com[104.47.59.172]: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)
Oct  4 19:19:02 mgw postfix/smtpd[23785]: disconnect from mail-dm6nam12lp2172.outbound.protection.outlook.com[104.47.59.172] ehlo=1 starttls=1 quit=1 commands=3
Oct  4 19:19:02 mgw postfix/postscreen[23777]: CONNECT from [2a01:111:f400:fe59::207]:23258 to [2a01:4f8:c2c:XXX]:25
Oct  4 19:19:02 mgw postfix/postscreen[23777]: PASS OLD [2a01:111:f400:fe59::207]:23258
Oct  4 19:19:03 mgw postfix/smtpd[23785]: connect from mail-dm6nam12lp20207.outbound.protection.outlook.com[2a01:111:f400:fe59::207]
Oct  4 19:19:03 mgw postfix/smtpd[23785]: Anonymous TLS connection established from mail-dm6nam12lp20207.outbound.protection.outlook.com[2a01:111:f400:fe59::207]: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)
Oct  4 19:19:03 mgw postfix/smtpd[23785]: disconnect from mail-dm6nam12lp20207.outbound.protection.outlook.com[2a01:111:f400:fe59::207] ehlo=1 starttls=1 quit=1 commands=3
Oct  4 19:17:59 mgw postfix/postscreen[23777]: cache btree:/var/lib/postfix/postscreen_cache full cleanup: retained=730 dropped=8 entries
Oct  4 19:18:31 mgw postfix/postscreen[23777]: CONNECT from [104.47.55.109]:6329 to [XXX]:25
Oct  4 19:18:31 mgw postfix/postscreen[23777]: PASS OLD [104.47.55.109]:6329
Oct  4 19:18:32 mgw postfix/smtpd[23785]: connect from mail-mw2nam10lp2109.outbound.protection.outlook.com[104.47.55.109]
Oct  4 19:18:33 mgw postfix/smtpd[23785]: Anonymous TLS connection established from mail-mw2nam10lp2109.outbound.protection.outlook.com[104.47.55.109]: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)
Oct  4 19:18:33 mgw postfix/smtpd[23785]: disconnect from mail-mw2nam10lp2109.outbound.protection.outlook.com[104.47.55.109] ehlo=1 starttls=1 quit=1 commands=3
Oct  4 19:18:33 mgw postfix/postscreen[23777]: CONNECT from [2a01:111:f400:7e89::200]:13073 to [2a01:4f8:c2c:XXX::2]:25
Oct  4 19:18:33 mgw postfix/postscreen[23777]: PASS OLD [2a01:111:f400:7e89::200]:13073
Oct  4 19:18:33 mgw postfix/smtpd[23785]: connect from mail-mw2nam10lp20200.outbound.protection.outlook.com[2a01:111:f400:7e89::200]
Oct  4 19:18:34 mgw postfix/smtpd[23785]: Anonymous TLS connection established from mail-mw2nam10lp20200.outbound.protection.outlook.com[2a01:111:f400:7e89::200]: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)
Oct  4 19:18:34 mgw postfix/smtpd[23785]: disconnect from mail-mw2nam10lp20200.outbound.protection.outlook.com[2a01:111:f400:7e89::200] ehlo=1 starttls=1 quit=1 commands=3
 
Hallo,

Ich habe keine REGEX-Ausnahme in meiner Konfiguration. Ich weiß nicht, ob du das versucht hast oder nicht.

Dies ist eine Vermutung.

Ich habe diese Informationen gefunden, die ungefähr auf April 2022 datiert sind.

Microsoft forciert das DANE-Protokoll, was bedeutet, dass Server weltweit, auf denen das DANE-Protokoll nicht funktioniert, keine E-Mails von Outlook und verbundenen Domänen erhalten. Dies scheint in Phasen eingeführt zu werden, da ich noch keine anderen Server mit diesem Problem gesehen habe. Da das DANE-Protokoll jedoch in weniger als 1 % aller Domänen weltweit verbreitet ist, vermute ich, dass dies schon bald ein großes Problem für viele Unternehmen sein wird.

Ich hoffe das hilft.
 
Last edited:
  • Like
Reactions: ichi123
bwdavis said:
Hallo,

Ich habe keine REGEX-Ausnahme in meiner Konfiguration. Ich weiß nicht, ob du das versucht hast oder nicht.

Dies ist eine Vermutung.

Ich habe diese Informationen gefunden, die ungefähr auf April 2022 datiert sind.

Microsoft forciert das DANE-Protokoll, was bedeutet, dass Server weltweit, auf denen das DANE-Protokoll nicht funktioniert, keine E-Mails von Outlook und verbundenen Domänen erhalten. Dies scheint in Phasen eingeführt zu werden, da ich noch keine anderen Server mit diesem Problem gesehen habe. Da das DANE-Protokoll jedoch in weniger als 1 % aller Domänen weltweit verbreitet ist, vermute ich, dass dies schon bald ein großes Problem für viele Unternehmen sein wird.

Ich hoffe das hilft.
Click to expand...
Du bist mein persönlicher Held!
Aus irgendeinem Grund stimmte der TLSA Record tatsächlich nicht mehr mit dem präsentieren Zertifikat überein.
Nachdem TLSA Record und Zertifikat wieder übereinstimmten, funktionierte die Zustellung sofort wieder.

Vielen Dank für deine Hilfe nach America :)


#English
You are my personal hero!

For some reason the TLSA record actually no longer matched how the certificate was presented.

After the TLSA record and certificate matched again, the delivery worked again immediately.

Thank you for your help to America :)
 
  • Like
Reactions: bwdavis
You must log in or register to reply here.

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Quick Navigation

Home Get Subscription Wiki Downloads Proxmox Customer Portal About

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!
Community platform by XenForo® © 2010-2024 XenForo Ltd.
Top Bottom