服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 传入电子邮件不显示或非常延迟 – Exchange 2003 w /梭子鱼防火墙
Intereting Posts
samba nmbd:query_name_response:收到多个(2)响应 寻找替代赛门铁克Backup Exec 12.5 Linux – 安全 – 有人试图find一个方法吗? SBS 2003,共享日历 具有1个SFP和1个铜端口的端口通道 主机名命令不起作用 Sharepoint粒度安全问题 pipe理程序的互联网连接 input凭证后mstsc会冻结 Mysql慢速查询日志 当WebDAV被禁用时,为什么PROPFIND和DAV会显示在响应标题中? CT上的OpenVZ多networking 通过组策略将用户转移到新的打印机上? 我应该使用基于Windows Server 2016文件服务器的Hyper-V吗? 在更新之前,azure cdn存在多久?

传入电子邮件不显示或非常延迟 – Exchange 2003 w /梭子鱼防火墙

我们的主要IT人员不在办公室,所以我必须(迅速)解决这个紧急问题。 公司内没有人接收外部电子邮件。 这似乎刚刚发生。 我们有一个AD域,使用Exchange Server 2003,并使用Barracuda 300垃圾邮件和防火墙作为入站防火墙。 当我看到梭子鱼pipe理页面时,它显示消息已经进入并处理了几个小时,然后突然没有消息,几个小时前开始。 在Exchange系统pipe理器中,Exchange和梭子鱼框之间有很多SMTP连接(数百个或更多)。 梭子鱼目前正在研究这个问题,但到目前为止还没有发现什么。 任何想法,这可能是什么? 来自Exchange的东西? 在此先感谢您的帮助。

编辑:如果我从外部地址做traceroute,它永远不会到达我的防火墙。 我看到数据包从路由器到互联网上的路由器,但列出的最后一个路由器是Comcast,我的ISP。 它根本没有显示我们的硬件防火墙,所以我想也许邮件是从来没有把它送到梭子鱼框(因此,到邮件服务器)。

  1. 执行您的电子邮件域的MXlogging的DNS查找。

  2. 如果第1步成功,则执行从MXlogging查找返回的Alogging的DNS查找。

  3. 如果第2步成功,则尝试build立从Alogging查找返回的IP地址的端口25的Telnet会话。

  4. 如果步骤3成功,则尝试从步骤3中build立的远程login会话向内部用户发送电子邮件。

  5. 如果第4步成功,那么你知道梭子鱼和Exchange服务器之间存在问题。

  6. 如果梭子鱼有任何types的CLI,然后尝试从它build立一个Telnet会话到您的Exchange服务器的端口25。

  7. 如果第6步成功,则尝试从步骤6中build立的远程login会话向内部用户发送电子邮件。

  8. 如果第7步成功,那么您知道问题是与Exchange服务器。

让我们知道哪一步失败了,可以帮助你缩小问题的范围。

我想我已经涵盖了所有的基础。 如果有人看到我遗漏的东西,请竖起大拇指。

首先,如果你有梭子鱼的支持,让他们做他们的事情。 他们知道他们在做什么,并且在过去处理过这样的问题。

根据我的经验,如果梭子鱼正在接受已经接受的电子邮件,那么只有几件事情可能是错误的。

首先,与Exchange服务器的连接可能存在问题,因为交换服务器不接受它们,或者由于某种原因(例如,您的商店已满并且未安装)进行临时故障转移。 这也是一些边缘情况下,如果梭子鱼在接受它们之前validation入站电子邮件,并且您的AD服务器连接中断,您可以看到一个延迟 – 但是这个问题最常见的失败模式是邮件会被永久取消,而不是暂时失败或排队。

其次,可能会有大量传入的信息/垃圾邮件发生,梭子鱼花时间处理洪水,而不是传递信息。 您可以通过查看pipe理页面上的统计图表来看到这一点 – 大秒杀意味着大stream量。

也有可能你的梭子鱼有一个硬件问题,并与内部的一个失败的磁盘战斗。 如果是这种情况,那么支持将相当快地得出结论。

但是,真的,让支持做他们的事情。

愚蠢的问题,也许,但是:你有没有重新启动梭子鱼设备? 我们不使用他们的SMTP设备,但是我们的Barracuda网页filter每月至less两次出现故障 – 例如,突然阻止所有networkingstream量而没有解释 – 重新启动它总是能够解决问题。 当然,如果可能的话,你应该从pipe理界面closures它,而不是只是拔掉插头。

WatchGuard防火墙编辑:

我之前并不知道这是WatchGuard防火墙的后面。 这个细节值得添加到原来的问题。

我对入站电子邮件的个人经验神秘地消失在一个Firebox的贪婪的下巴。 是使用端口25上的数据包筛选器还是SMTP代理configuration的? 根据我的经验,SMTP代理有三种操作模式:(1)正常操作,(2)对来自重要客户的电子邮件进行select性零食,(3)吞噬所有传入的电子邮件。 不幸的是,模式select是随机的,不是用户可configuration的。 它还有一个严重的安全缺陷,就是它阻止了机会性的TLS连接,导致电子邮件在通常被encryption时以明文forms发送。 这在你的特定环境中可能并不重要。

特别是考虑到你已经有了另一个电子邮件防火墙产品,如果你使用WatchGuard SMTP代理,我强烈build议把它改为一个简单的数据包filter。

我会先说从外部validation连接。 转到mxtoolbox.com并input您的域名,点击提交。 该工具将为您的域执行DNS查找的MXlogging。 你应该看到你的梭子鱼或交换服务器的logging。 将会有一个testing/诊断的链接,点击它。 这将尝试通过端口25打开一个telnet会话到服务器,以validation它是否可访问和响应。 这应该告诉你去下一个。 请注意,TraceRoute不一定意味着有问题,因为梭子鱼可能被configuration为不应答ICMP请求。