Mail Loop, Domino findet Postfach nicht

[Hikari]

Hallo zusammen,

ich habe mich hier schon durch das Forum gewühlt, aber entweder nicht das richtige Stichwort gefunden oder es ist vielleicht auch so ein banaler Fehler, dass es schon wieder zu einfach ist.

Folgendes Problem stellt sich mir:

Ich arbeite bei einem Dienstleister und wir haben eigentlich nur mit Exchange zu tun. Domino ist für uns alle Neuland.
Jetzt haben wir einen Neukunden mit seinem vorhandenen System übernommen. Dieser hat Domino in der Version 12.
Bisher wurden die Mails via POPcon abgeholt.
Also Hoster > POPcon > Domino
Domino durfte direkt raussenden.
Eine Firewall oder ähnliches war nicht im Einsatz.

Jetzt hat der Kunde aber, um seine Sicherheit zu erhöhen, eine Sophos UTM angeschafft inkl. Mail Protection, die er verständlicherweise auch nutzen möchte. Durch mehrere Foreneinträge, wo eine Sophos UTM in Konstellation mit Domino eingesetzt wird, weiß ich auch nun, dass das möglich ist.

Allerdings haben wir ein Problem. Der Domino ist scheinbar der Meinung, dass er zwar die Mails von der Sophos annimmt, kann sie aber wohl keinem Postfach zuordnen.
Eine Fehlermeldung auf dem Domino gibt es nicht.
Er sendet die Mails einfach gleich wieder raus und so kommt es dann zum Loop, weil sie beim Hoster dann wieder im Postfachlanden > weitergehen an die Sophos > Domino > Hoster usw. Bis das Limit erreicht ist und eine Fehlermeldung beim Absender eintrifft, dass die Mail nicht zugestellt werden konnte.
Der Domino kann aktuell noch direkt versenden, die gesendeten Mails gehen noch nicht durch die Sophos (wir wollten erstmal den Empfang sauber hinkriegen).

Uns war aufgefallen, dass im POPcon für die Benutzerkonten folgendes Format verwendet wurde V.Nachname/NetBIOS einer alten Domäne die es nicht mehr gibt, also z.B. M.Mustermann/MK
Unsere Vermutung und auch die des vorherigen Verwalters des Domino, welcher auch nicht weiter weiß, ist, dass der Domino in diesem Format etwas erwartet und auf das was die Sophos ihm liefert daher nicht richtig reagiert, bzw. es nicht richtig verarbeiten kann, weil ihm irgendwo die Zuordnung fehlt.

Nun haben wir uns schon durch die Einstellungen in Domino gewühlt und hier und da mal die Mailadressen der Benutzer nachgetragen (weil da wirklich immer nur M.Mustermann/MK stand) und andere Einstellungen getestet.

Leider alles ohne Erfolg. Also haben wir das POPcon erstmal wieder eingeschaltet, damit der Kunde seine Mails bekommt.

Laut dem Kunden ist der Domino auch historisch gewachsen und hat das Unternehmen durch mehrere Umfirmierungen begleitet, weshalb überall Altlasten noch vorhanden sein können. Ob die Probleme machen kann ich allerdings nicht einschätzen.

Daher nun meine Frage:
Habt ihr vielleicht einen Tipp was wir noch prüfen könnten?
Gibt es da vielleicht ein bestimmtes Verfahren wie man von POPcon zu Sophos umstellt?

Screenshots kann ich auch gerne liefern.
Ich hoffe es hat vielleicht jemand eine Idee.

Viele Grüße
Janina

[Riccardo Virzi]

Ohne genauere Details ist das schwierig zu beantworten.

Wenn der Domino Server die Mails wieder zurück schickt und keine Zustellfehlermeldung erzeugt, fällt mir spontan ein:
der Domino Server ist für die Internet Domain nicht zuständig

Sind die Mail Domains beim Domino Server korrekt eingestellt? Was passiert, wenn manuell (per telnet oder einem anderem Programm) eine Mail am Domino Server abliefert. Wenn dieselbe Empfänger Adresse verwendet wird, sollte die Mail auch wieder weiter an die Sophos geleitet werden.

Wie ist POPcon konfiguriert? Werden die Empfänger Adressen umformatiert?

Beispiel:
Adresse im Internet benutzer1@domain.kunde

POPcon holt vom Postfach benutzer1@domain.kunde die Mail ab und schickt sie an den Domino Server weiter. Dabei wird aber die Empfänger Adresse geändert in benutzer1@domain-domino.kunde.

Das bedeutet: obwohl die Mails von Domino mit @domain.kunde verschickt werden, fühlt sich der Domino SMTP Server nur für die Domäne @domain-domino.kunde zuständig. Alle anderen Domänen leitet er weiter. Und damit entsteht dann auch der Mail Loop.

Das bitte mal prüfen und ansonsten brauchen wir Auszüge aus den Logs, um den Fehler einzugrenzen.

[Micha B]

Allerdings haben wir ein Problem. Der Domino ist scheinbar der Meinung, dass er zwar die Mails von der Sophos annimmt, kann sie aber wohl keinem Postfach zuordnen.
Eine Fehlermeldung auf dem Domino gibt es nicht.

Das kann ich mir nur schwer vorstellen. Wenn der Domino Server etwas tut, dann sollte man dies auch in der Console sehen. Ich vermute eher, dass die Mails gar nicht erst zum Domino kommen. Ich würde da erst mal die letzte Änderung des ganzen Systems im Verdacht haben - also die Sophos UTM. Am Domino selbst kann man mittels TELNET schön prüfen, ob Mails angenommen werden oder eben nicht.

https://www.ibm.com/support/pages/how-use-telnet-test-status-smtp-mail-server-windows

[Tode]

So ein Problem geht man SYSTEMATISCH an.

Schritt 1: Basics prüfen: Ist der Domino- Server überhaupt für SMTP konfiguriert, hört er auf Port 25 und kannst Du da eine Mail abgeben?
Schritt 2: Wenn der Domino die Mail annimmt: fühlt er sich dann für die Internet- Domäne zuständig oder lehnt er die Mail direkt ab?
Schritt 3: Stellt der Domino die Mails dem richtigen User zu

Für einen erfahrenen Domino- Admin oder Dienstleister sind diese Checks in 15 Minuten zu erledigen.
Wenn man keine Ahnung hat, dann scheitert man schon daran, festzustellen ob der SMTP Listener konfiguriert und gestartet ist (Stichwort Serverdokument, Servertasks).
Der Kunde soll sich für ne Stunde einen Domino- Freelancer oder ähnliches engagieren, dann ist das Ruck Zuck erledigt...


Um POPCon zu betreiben braucht man nämlich (wenn ich mich recht erinnere, habe das vor vielen Jahren mal auf dem privaten Server verwendet) keinen SMTP, der gibt seine Mails direkt dem Router, nachdem er sie per POP3 abgeholt hat...

[CarstenH]

Um POPCon zu betreiben braucht man nämlich (wenn ich mich recht erinnere, habe das vor vielen Jahren mal auf dem privaten Server verwendet) keinen SMTP, der gibt seine Mails direkt dem Router, nachdem er sie per POP3 abgeholt hat...

Laut Doku versendet POPcon per SMTP, der Domino braucht also eine funktionierende SMTP-Konfiguration um Mails zu empfangen. Die hat er aber zumincest nach deiner Beschreibung schon. Siehe nächster Punkt.

Ohne aktiven SMTP-Listener würden die Mails nicht bouncen, es sei denn POPcon ist auf das Gateway zurück konfiguriert, dann schafft man den Loop natürlich auch ganz ohne Domino...

Wenn die Mails vom Domino selbst bouncen muss man sich die Meldungen an einem der beteiligten Server anschauen, entweder am Domino oder an der Sophos. Dazu würde ich mit einer einzelnen Mail anfangen und den Weg der Mail beobachten.

Ansonsten stimme ich Torsten auf ganzer Linie zu, systematisch an das Thema gehen (oder jemanden beauftragen wenn du das selbst nicht kannst). Das ist simple Basiskonfiguration - aber es müssen halt alle beteiligten Komponenten (Sophos - POPCon (solange noch in Nutzung) - Domino) zueinander passend konfiguriert sein.

HTH
Carsten

[Hikari]

Danke für die ganzen Antworten!
Ich hab voraussichtlich morgen Nachmittag den nächsten Termin mit dem Kunden, dann kann ich das alles mal in Ruhe durchgehen.

[Hikari]

Hallo zusammen!

Ich hatte jetzt ein wenig Zeit mir das ganze noch mal zu Gemüte zu führen.
Ist für mich ja zwar alles neu, aber ich lern gerne dazu, kann ja nie schaden.

Sind die Mail Domains beim Domino Server korrekt eingestellt? Was passiert, wenn manuell (per telnet oder einem anderem Programm) eine Mail am Domino Server abliefert.

Wenn ich per SMTP Testtool eine Mail an den Server sendet, nimmt er sie zwar auch an, sendet sie aber ebenfalls wieder an den Smarthost raus, also ins Internet weg.
Folgende Zeilen sieht man dann auch immer in der Konsole
[1364:0008-2BA4] 22.11.2021 15:01:48   SMTP Server: Backup.kunde.local (192.168.100.12) connected
[1364:0008-2A6C] 22.11.2021 15:01:57   SMTP Server: Message 004D1530 (MessageID: ) received
[1A8C:000D-2BF4] 22.11.2021 15:01:57   Router: Transferring mail to domain SMTP.STRATO.DE (host SMTP.STRATO.DE [81.169.145.133]) via SMTP

Wie ist POPcon konfiguriert? Werden die Empfänger Adressen umformatiert?

siehe Screenshot "POPcon.png"

Das bedeutet: obwohl die Mails von Domino mit @domain.kunde verschickt werden, fühlt sich der Domino SMTP Server nur für die Domäne @domain-domino.kunde zuständig. Alle anderen Domänen leitet er weiter. Und damit entsteht dann auch der Mail Loop.

Sowas vermuten wir auch, nur wir wissen nicht, wo man das im Domino zu den Konten einstellt.

Das bitte mal prüfen und ansonsten brauchen wir Auszüge aus den Logs, um den Fehler einzugrenzen.

Welche genau? Ich kenne leider nur das was auf der Konsole angezeigt wird.
------

Das kann ich mir nur schwer vorstellen. Wenn der Domino Server etwas tut, dann sollte man dies auch in der Console sehen. Ich vermute eher, dass die Mails gar nicht erst zum Domino kommen. Ich würde da erst mal die letzte Änderung des ganzen Systems im Verdacht haben - also die Sophos UTM. Am Domino selbst kann man mittels TELNET schön prüfen, ob Mails angenommen werden oder eben nicht.

Sie kommen an, aber sie gehen gleich wieder raus. Man sieht also auf der Domino Konsole etwas, es gibt halt nur keine Fehlermeldung, die Mails gehen halt gleich weiter. Der Domino ist quasi nur ein Durchgangsraum. Irgendwie werden die Mails nicht dem entsprechenden Postfach zugeordnet.
------

Schritt 1: Basics prüfen: Ist der Domino- Server überhaupt für SMTP konfiguriert, hört er auf Port 25 und kannst Du da eine Mail abgeben?

Ja und bei dem ist es auch Port 25. Wenn man auf der Konsole guckt, kann man den SMTP und der Dienst reagiert auch auf Neustartbefehle und co.

Schritt 2: Wenn der Domino die Mail annimmt: fühlt er sich dann für die Internet- Domäne zuständig oder lehnt er die Mail direkt ab?

Also im Domino unter "Router/SMTP > Restrictions and Controls > Inbound Relay Controls > Allow messages to be sent only to the following external internet domains", hab ich deren Maildomains gefunden. Andere sind da nicht eingetragen. Das dort verwendete Format ist @kunde.tld. Oder gibt es noch andere stellen, wo die Domains stehen müssen?

Schritt 3: Stellt der Domino die Mails dem richtigen User zu

nein
------

Ohne aktiven SMTP-Listener würden die Mails nicht bouncen, es sei denn POPcon ist auf das Gateway zurück konfiguriert, dann schafft man den Loop natürlich auch ganz ohne Domino...

Also POPcon darf nur zum Domino und während der Tests für die UTM war POPcon auch aus, weil der dann nicht mehr abholen soll. POPcon ist jetzt gerade nur an, damit die Mails empfangen können, solange das zwischen UTM und Domino noch nicht funktioniert. Später brauchen wir das dann nicht mehr, weil SmartPOP die Aufgabe übernehmen wird.

Wenn die Mails vom Domino selbst bouncen muss man sich die Meldungen an einem der beteiligten Server anschauen, entweder am Domino oder an der Sophos. Dazu würde ich mit einer einzelnen Mail anfangen und den Weg der Mail beobachten.

Also wenn ich das neue Konstrukt am laufen habe:
1. Sende ich z.B. von mir aus der Firma eine Mail
2. Die geht dann zu Strato, kann man dort im Webmail Postfach auch sehen, bis sie abgeholt wird.
3. SmartPOP (da bei dem Kunden aus anderen Gründen aktuell kein Direktempfang auf die Sophos möglich ist) holt die Mail dann ab
4. Sophos, auch hier kann man sehen wie die Mail durch die Sophos geht und an den Domino abgegeben wird.
5. Domino und da sollte sie dann eigentlich ja in einem Postfach landen. Der Domino schickt sie aber wieder raus an Strato.

Man kann also auf der Sophos auch sehen, dass sie die Mail vom SmartPOP annimt und an den Domino abgibt.
Auf der Domino Konsole sieht man auch den Eingang der Mail.
Dann allerdings gehts für die Mail anstatt in ein Postfach, einfach wieder raus.

---------

Viele Grüße
Janina

[Riccardo Virzi]

Bitte noch das globale Domänendokument prüfen. Im Adreßbuch unter Konfig->Messages->Domains sollte es unter der Kategorie "Global domain" ein Dokument geben. In dem Dokument kann die primäre Internet Domain angegeben werden und mehrere Alias Domains.

Ist dort auch die Mail Domain eingetragen? Falls nicht, bitte eintragen.

[Tode]

Wie soll man hier helfen, wenn Euch die absoluten Basics der Domino- Konfiguration fehlen... Leider ist Mailrouting- Konfiguration in Domino nicht trivial, weil man kann vielen an den verschiedensten Stellen konfigurieren, und wie derjenige, der das hier gemacht hat, das eingestellt hat, kann man nicht sagen, ohne sich das anzusehen.

Für welche Domänen sich ein Server "verantwortlich" fühlt, steht im Global Domain Document.
Wohin SMTP Mails versendet werden, wenn sich der Server nicht verantwortlich fühlt, steht entweder im Foreign SMTP Dokument oder im Server Konfigurationsdokument (im globalen oder im Server spezifischen) auf dem Router/SMTP -> Basics Tab oder in einem oder mehreren SMTP Verbindungsdokumenten.
Ob der Server grundsätzlich alles, was er bekommt an einen Smart- Host weiterleitet oder nur das, von dem er selbst nicht weiß, was er damit anfangen soll, steht ebenfalls im Server Konfigurationsdokument (wieder auf dem Router/SMTP -> Basics Tab). Ob der Server überhaupt Mails von Dir bzw. für die von Dir konfigurierten Domänen / Empfängern annimmt steht auf den "Restrictions and Controls..." - Tabs desselben Dokumentes...

Tut Euch einen Gefallen: heuert für 1 Stunde einen Domino Spezialisten ein, der macht Euch das sauber, ohne Mailloops zu produzieren, dann tut es auch so wie erwartet. Ansonsten schickt ihr im dümmsten Fall Mails ins "Nirvana" oder die laufen sich in der mail.box tot, und dann ist echt übel...

[Riccardo Virzi]

Zu den Protokollen: auf dem Server gibt es im Hauptverzeichnis die Datenbank log.nsf.

Wenn die mit dem Notes Client geöffnet wird, gibt es 2 interessante Ansichten:
1. Verschiedene Ereigniss
2. Mail-Routing-Ereignisse

Die zweite Ansicht ist für Euch interessant, da dort protokolliert wird: Absende Adresse und Empfänger Adresse. Die erste ist eher interessant, wenn bei der SMTP Annahme von Mails was nicht funktioniert.
Wenn in der zweiten Ansicht nichts oder zu wenig steht, dann bitte mal nach dem notes.ini Parameter Log_MailRouting suchen. Damit kann der Router etwas gesprächiger werden.

[eknori]

Ich arbeite bei einem Dienstleister und wir haben eigentlich nur mit Exchange zu tun. Domino ist für uns alle Neuland.

Torsten arbeitet auch bei einem Dienstleister, und hat euch hier schon mehr als genug Hinweise gegeben. Genug, um damit bei eurem Kunden aufzuschlagen, das Problem souverän zu lösen, und den Aufwand dann grosszügig in Rechnung zu stellen. Torsten hat davon nichts.

Ziel des Forums ist es nicht, unentgeltlich den Handlanger für Dienstleister zu spielen, die am Ende „ihre Leistung“ dem Kunden in Rechnung zu stellen.

Denkt mal drüber nach!

[Hikari]

Torsten arbeitet auch bei einem Dienstleister, und hat euch hier schon mehr als genug Hinweise gegeben. Genug, um damit bei eurem Kunden aufzuschlagen, das Problem souverän zu lösen, und den Aufwand dann grosszügig in Rechnung zu stellen. Torsten hat davon nichts.
Ziel des Forums ist es nicht, unentgeltlich den Handlanger für Dienstleister zu spielen, die am Ende „ihre Leistung“ dem Kunden in Rechnung zu stellen.
Denkt mal drüber nach!

Dafür bin ich Torsten doch auch dankbar.
Außerdem wird das gar nicht dem Kunden von uns in Rechnung gestellt. Der hat für ein anderes Projekt eine Pauschale gezahlt und da fließt diese Arbeitszeit mit rein, die Pauschale is damit für uns schon ins Minus gegangen.  Ich versuche halt nur für mich etwas zu lernen und nachzuvollziehen warum das mit den Mails so nicht geht.

Zu den Protokollen: auf dem Server gibt es im Hauptverzeichnis die Datenbank log.nsf.

Wenn die mit dem Notes Client geöffnet wird, gibt es 2 interessante Ansichten:
1. Verschiedene Ereigniss
2. Mail-Routing-Ereignisse

Die zweite Ansicht ist für Euch interessant, da dort protokolliert wird: Absende Adresse und Empfänger Adresse. Die erste ist eher interessant, wenn bei der SMTP Annahme von Mails was nicht funktioniert.
Wenn in der zweiten Ansicht nichts oder zu wenig steht, dann bitte mal nach dem notes.ini Parameter Log_MailRouting suchen. Damit kann der Router etwas gesprächiger werden.

Danke habe ich gefunden und hat geholfen.

Wohin SMTP Mails versendet werden, wenn sich der Server nicht verantwortlich fühlt, steht entweder im Foreign SMTP Dokument oder im Server Konfigurationsdokument (im globalen oder im Server spezifischen) auf dem Router/SMTP -> Basics Tab oder in einem oder mehreren SMTP Verbindungsdokumenten.
Ob der Server grundsätzlich alles, was er bekommt an einen Smart- Host weiterleitet oder nur das, von dem er selbst nicht weiß, was er damit anfangen soll, steht ebenfalls im Server Konfigurationsdokument (wieder auf dem Router/SMTP -> Basics Tab). Ob der Server überhaupt Mails von Dir bzw. für die von Dir konfigurierten Domänen / Empfängern annimmt steht auf den "Restrictions and Controls..." - Tabs desselben Dokumentes...

Da wars schon richtig drin

Für welche Domänen sich ein Server "verantwortlich" fühlt, steht im Global Domain Document.

Bitte noch das globale Domänendokument prüfen. Im Adreßbuch unter Konfig->Messages->Domains sollte es unter der Kategorie "Global domain" ein Dokument geben. In dem Dokument kann die primäre Internet Domain angegeben werden und mehrere Alias Domains.

Ist dort auch die Mail Domain eingetragen? Falls nicht, bitte eintragen.

Da hat überhaupt kein Dokument exisitert, über all sonst wo man die Domäne eintragen kann/soll steht sie auch drin, aber da (Konfig->Messages->Domains ) ist eine gähnende Leere gewesen.


Vielen Dank für die ganzen Antworten. Damit hat sich das Thema dann erledigt.

Viele Grüße
Janina

[XOverPoint]

Übrigens: Mails von einem externen POP3/IMAP postfach abholen und in Domino zustellen geht u.a. auch mit Hilfe einer Domino App
https://squirrel.abdata.ch/