Probleme mit Email Protection mit der Version 9.603-1 ?

Downgrade der FW nur über Installation der alten Version und zurückspielen eines Backups. Leider nur diese aufwändige Lösung.

Hat der Kunde in seinem System einen Logeintrag, das die UTM die Mail angenommen hat?

Ausgeschlossen ist zwar nichts, aber solange sich hier keine weiteren Einträge dazu finden, würde ich sagen Zufall.

Beste Grüße

Alex

Hallo Toliik,

Herzlich willkommen hier in der Community !

(Sorry, my German-speaking brain isn't creating thoughts at the moment. )

In Mail Manager, it's easy to have the 'SMTP Log' tab display lines limited to a single sender or subject.   If that confirms that only two of the mails were seen, then I would blame the sender's infrastructure.  If the third was seen, show us the related text lines from the full SMTP log file.

MfG - Bob (Bitte auf Deutsch weiterhin.)

Danke für deine Antwort.

Ich hatte noch keinen Kontakt mit der IT vom Kunden. Werde ich aber wahrscheinlich tun müssen, wenn es wieder vorkommt.

Weißt du zufällig was man beim  downgrade beachten muss, wenn man zwei Geräte (aktive-passive) hat?

Unter https://www.sophos.com/en-us/support/utm-downloads.aspx kann man nur die aktuelle Firmware oder 9.510 und älter herunterladen. Also muss ich 9.510 herunterladen und installieren. Und dann auf 9.602-3 updaten?

Schöne Grüße

Hallo Bob,

danke für den Hinweis, aber das SMTP-Log unter Mail-Manager ist bei uns nicht auf einzelne Absender oder Betreff beschränkt.

Unter Logging & Reporting -> View Lof Files -> SMTP Proxy wird auch nur zwei Empfangene E-mails angezeigt. Wahrscheinlich liegt das Problem doch beim Kunden...

Danke

Toliik said:

Danke für deine Antwort.

Ich hatte noch keinen Kontakt mit der IT vom Kunden. Werde ich aber wahrscheinlich tun müssen, wenn es wieder vorkommt.

 

Weißt du zufällig was man beim  downgrade beachten muss, wenn man zwei Geräte (aktive-passive) hat?

Unter https://www.sophos.com/en-us/support/utm-downloads.aspx kann man nur die aktuelle Firmware oder 9.510 und älter herunterladen. Also muss ich 9.510 herunterladen und installieren. Und dann auf 9.602-3 updaten?

Korrekt, wenn Du das passende ISO nicht mehr hast bzw. es für diese Version vielleicht keines gab, mußt Du die 9.510 nehmen installieren und dann die Updates bis zur gewünschten Zielversion durchführen.

Wenn Du einen Cluster hast würde ich diesen auflösen, auf dem inaktiven Node die Version installieren, Updates und Restore des Backups und dann die Umschaltung vornehmen. Bitte beachte, dass Du hierbei sicherlich einen kurzen Ausfall hast. Im Anschluss Node 2 downgraden und Cluster wieder herstellen.

Alles also nicht ganz so einfach und die Arbeit müsste schon durch einen triftigen Grund gerechtfertigt werden.

Vielleicht als Tipp für die Zukunft, man kann beim Upgrade einen Knoten/Node zurückhalten. Dies mache ich selbst immer so, somit kann man zumindest einige Tage das Verhalten beobachten und erst dann den zweiten Knoten updaten. Eine sinnvolle Funktion, da das Downgrade nicht wirklich simpel ist.

Beste Grüße

Alex

Hast Du Euren MX schon geprüft? Möglicherweise hast Du einen BackupMX, der in Nirvana zeigt?

Danke für den Hinweis Thorsten,

also du meinst ob es einen zweiten MX Eintrag bei unserem Domain-Hoster gibt? Das habe ich eben überprüft und dort sind tatsächlich zwei MX-Einträge hinterlegt.

Einmal ein MX-Eintrag als Ziel unser Mailserver, Beispiel: "mail.unseredomain.de" mit hoher Priorität  und dann noch ein MX-Eintrag als Ziel der Domain-Hoster selbst, mit niedriger Priorität.

Den zweiten MX-Eintrag brauche ich ja dann wirklich nicht, der läuft ja dann ins Nirwana oder? Hab keine E-Mailkonten bei dem Hoster.

Schöne Grüße

Na dann...  weg damit. 

Es wurde wieder eine E-Mail geblockt.

Unter E-Mail Protection -> Mail Manager taucht die E-Mail nicht auf.

Aber diesmal habe ich was im Log gefunden: Loggin & Reporting -> View Log Files -> SMTP Proxy.

So wie ich die Log-Datei Verstehe, ist Greylisting schuld.... Hier ein Ausschnitt. Die IP vom Absender war immer gleich, nur der Empfänger hat sich geändert.

2019:06:26-11:07:04 UTM exim-in[7699]: 2019-06-26 11:07:04 SMTP connection from [80.149.153.xxx]:60926 (TCP/IP connection count = 1)
2019:06:26-11:07:04 UTM exim-in[16641]: 2019-06-26 11:07:04 H=... (...) [80.149.153.xxx]:60926 Warning: domain.de profile excludes SANDBOX scan
2019:06:26-11:07:04 UTM exim-in[16641]: 2019-06-26 11:07:04 [80.149.153.xxx] F=<...> R=<m.muster@domain.de> Verifying recipient address with callout
2019:06:26-11:07:06 UTM exim-in[16641]: 2019-06-26 11:07:06 1hg3tQ-0004KP-2e ctasd reports 'Unknown' RefID:str=0001.0A0B020C.5D1335BA.000C:SCFSTAT11730999,ss=1,re=-4.000,recu=0.000,reip=0.000,cl=1,cld=1,fgs=0
2019:06:26-11:07:06 UTM exim-in[16641]: 2019-06-26 11:07:06 1hg3tQ-0004KP-2e Greylisting: Greylisted 80.149.153.xxx
2019:06:26-11:07:06 UTM exim-in[16641]: [1\35] 2019-06-26 11:07:06 1hg3tQ-0004KP-2e H=... (...) [80.149.153.xxx]:60926 F=<...> temporarily rejected after DATA: Temporary local problem, please try again!

2019:06:26-11:15:49 UTM exim-in[7699]: 2019-06-26 11:15:49 SMTP connection from [80.149.153.xxx]:35070 (TCP/IP connection count = 2)
2019:06:26-11:15:49 UTM exim-in[19123]: 2019-06-26 11:15:49 H=... (...) [80.149.153.xxx]:35070 Warning: domain.de profile excludes SANDBOX scan
2019:06:26-11:15:49 UTM exim-in[19123]: 2019-06-26 11:15:49 [80.149.153.xxx] F=<...> R=<info@domain.de> Verifying recipient address with callout
2019:06:26-11:15:50 UTM exim-in[19123]: 2019-06-26 11:15:50 1hg41t-0004yR-0t ctasd reports 'Unknown' RefID:str=0001.0A0B0207.5D1337C6.0012:SCFSTAT11730999,ss=1,re=-4.000,recu=0.000,reip=0.000,cl=1,cld=1,fgs=0
2019:06:26-11:15:50 UTM exim-in[19123]: 2019-06-26 11:15:50 1hg41t-0004yR-0t Greylisting: Greylisted 80.149.153.xxx
2019:06:26-11:15:50 UTM exim-in[19123]: [1\37] 2019-06-26 11:15:50 1hg41t-0004yR-0t H=... (...) [80.149.153.xxx]:35070 F=<...> temporarily rejected after DATA: Temporary local problem, please try again!

Weitere E-Mails kamen nicht an. 
Verstehe ich das jetzt richtig, dass durch Greylisting die E-Mails abgelehnt wurde und dann auf eine erneute E-Mail gewartet wird? 
Muss der Kunde die erneut schicken oder passiert das automatisch durch die E-Mailserver?

Hallo Toliik,

(Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

You are correct that greylisting causes a temporary delay and that the resend is automatic.  I haven't recommend greylisting for years, but others whom I respect do, so I'm experimenting with it again.  I saw a 2018 study where roughly 2/3 of greylisted emails were finally delivered, with 1/3 not retried - one assumes those were from spammers.  One of my clients that uses greylisting saw only 56% retried successfully so far in June.

I had thought that the SMTP Proxy used only the triad of sending IP, sender and recipient, but I realize now that it also uses the subject.  This means that greylisting occurs after DATA, so that's after rejections for RBL, rDNS/HELO, local Blacklists, Recipient verification and SPF.  I also see ctasd reports 'unknown' in the line above the greylisted message, so we know that the temporary rejection occurs after the anti-spam tests that would result in rejection have been passed.  The advantage is that malware scans, which are expensive, are skipped unless the message is resent and accepted.

There are situations where Exceptions for greylisting should be made such as addresses to which orders are sent where there's a cut-off time.  Also, mailing services like Constant Contact will use a different IP virtually every time a greylisted email is resent. 

MfG - Bob (Bitte auf Deutsch weiterhin.)