Relay problem - SMTP data timeout

Version? - 9.106-17?

Also, please show all of the lines, including the "noisy" lines during the transaction.

is 1.2.3.4 your internal mail server?

Cheers - Bob

Hello,

I have version 9.105-9.
Yesterday there was again a mail in my emailserver queue. I had seen it today.

Yes 1.2.3.4 is my internal mail server. 
Here the lines from the logging from the first post:

2013:11:05-13:43:00 server exim-out[19773]: 2013-11-05 13:43:00 Start queue run: pid=19773
2013:11:05-13:43:00 server exim-out[19773]: 2013-11-05 13:43:00 End queue run: pid=19773
2013:11:05-13:43:01 server exim-in[5075]: 2013-11-05 13:43:01 SMTP connection from [1.2.3.4]:18664 (TCP/IP connection count = 2)
2013:11:05-13:43:01 server exim-in[19775]: 2013-11-05 13:43:01 [1.2.3.4] F= R= Accepted: from relay
2013:11:05-13:43:10 server exim-in[19085]: 2013-11-05 13:43:10 1Vdfta-0004xp-1P SMTP data timeout (message abandoned) on connection from (server) [1.2.3.4]:18645 F=

Here is the log from yesterday:
It was a PDF again. I have zip the PDF and the email was sent today.

2013:11:06-13:32:20 server exim-in[5075]: 2013-11-06 13:32:20 SMTP connection from [1.2.3.4]:10505 (TCP/IP connection count = 1)
2013:11:06-13:32:20 server exim-in[30266]: 2013-11-06 13:32:20 [1.2.3.4] F= R= Accepted: from relay
2013:11:06-13:33:00 server exim-out[30274]: 2013-11-06 13:33:00 Start queue run: pid=30274
2013:11:06-13:33:00 server exim-out[30274]: 2013-11-06 13:33:00 End queue run: pid=30274
2013:11:06-13:34:00 server exim-out[30343]: 2013-11-06 13:34:00 Start queue run: pid=30343
2013:11:06-13:34:00 server exim-out[30343]: 2013-11-06 13:34:00 End queue run: pid=30343
2013:11:06-13:34:37 server exim-in[5075]: 2013-11-06 13:34:37 SMTP connection from [5.5.5.5]:64364 (TCP/IP connection count = 2)
2013:11:06-13:34:37 server exim-in[30350]: 2013-11-06 13:34:37 H=relay.ddd.com [5.5.5.5]:64364 Warning: domain.com profile excludes greylisting: Skipping greylisting for this message
2013:11:06-13:34:37 server exim-in[30350]: 2013-11-06 13:34:37 H=relay.ddd.com [5.5.5.5]:64364 Warning: domain.com profile excludes AV scan: Skipping SMTP inline AV scan for this message
2013:11:06-13:34:37 server exim-in[30350]: 2013-11-06 13:34:37 SMTP connection from relay.ddd.com [5.5.5.5]:64364 closed by QUIT
2013:11:06-13:34:40 server exim-in[5075]: 2013-11-06 13:34:40 SMTP connection from [5.5.5.5]:64379 (TCP/IP connection count = 2)
2013:11:06-13:34:40 server exim-in[30352]: 2013-11-06 13:34:40 H=relay.ddd.com [5.5.5.5]:64379 Warning: domain.com profile excludes greylisting: Skipping greylisting for this message
2013:11:06-13:34:40 server exim-in[30352]: 2013-11-06 13:34:40 H=relay.ddd.com [5.5.5.5]:64379 Warning: domain.com profile excludes AV scan: Skipping SMTP inline AV scan for this message
2013:11:06-13:34:41 server exim-in[30352]: 2013-11-06 13:34:41 1Ve2Jk-0007tY-1v ctasd reports 'Unknown' RefID:str=0000000000,ss=1,re=-4.000,recu=0.000,reip=0.000,vtr=str,vl=0,cl=1,cld=1,fgs=0
2013:11:06-13:34:41 server exim-in[30352]: 2013-11-06 13:34:41 1Ve2Jk-0007tY-1v  work R=SCANNER T=SCANNER
2013:11:06-13:34:50 server smtpd[30358]: SCANNER[30358]: 1Ve2Jk-0007tY-1v Completed
2013:11:06-13:34:50 server exim-out[30361]: 2013-11-06 13:34:50 1Ve2Ju-0007te-5m => zzz@abc.com P= R=static_route_hostlist T=static_smtp H=1.2.3.4 [1.2.3.4]:25 C="250 Message accepted for delivery"
2013:11:06-13:34:50 server exim-out[30361]: 2013-11-06 13:34:50 1Ve2Ju-0007te-5m Completed
2013:11:06-13:35:00 server exim-out[30373]: 2013-11-06 13:35:00 Start queue run: pid=30373
2013:11:06-13:35:00 server exim-out[30373]: 2013-11-06 13:35:00 End queue run: pid=30373
2013:11:06-13:35:19 server smtpd[30358]: SCANNER[30358]: Nothing to do, exiting.
2013:11:06-13:36:00 server exim-out[30431]: 2013-11-06 13:36:00 Start queue run: pid=30431
2013:11:06-13:36:00 server exim-out[30431]: 2013-11-06 13:36:00 End queue run: pid=30431
2013:11:06-13:37:00 server exim-out[30613]: 2013-11-06 13:37:00 Start queue run: pid=30613
2013:11:06-13:37:00 server exim-out[30613]: 2013-11-06 13:37:00 End queue run: pid=30613
2013:11:06-13:37:20 server exim-in[30266]: 2013-11-06 13:37:20 1Ve2HU-0007sA-26 SMTP data timeout (message abandoned) on connection from (server.domain.com) [1.2.3.4]:10505 F=

Is there an other log, where we can see something or what's going on?

Thanks Katrin

Hi, Katrin,

Is it possible that the 'Max message size' on the 'Advanced' tab is smaller than the size of the PDFs but not of the zip files (I would have expected a different message though)?

If that wasn't it, then check the Firewall and Intrusion Prevention logs just before 2013:11:05-13:43:10 and 2013:11:06-13:37:20.  Is there anything related?

Cheers - Bob

Please check your Intrusion Prevention logs as per Bob's suggestion, this smells like an IPS problem.

Hello,

thanks. This was really the problem. Here is the log:

2013:11:05-13:43:01 server snort[5579]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="FILE-PDF Adobe Acrobat Reader incomplete JP2K image geometry - potentially malicious" group="340" srcip="1.2.3.4" dstip="1.1.1.1" proto="6" srcport="18664" dstport="25" sid="25460" class="Attempted User Privilege Gain" priority="1"  generator="1" msgid="0"

I have now configured in the advanced settings the smtp-server and now emails are sending without problems.

Thanks for all help.

Katrin