Exchange 2013 kan wel mail versturen niet ontvangen

Wat heb je al geprobeerd om te testen ?
Probeert bijvoorbeeld vanaf een andere verbinding eens te kijken of de poort ook werkelijk open staat
kun je vanaf je lokale netwerk wel verbinden met de server ? bijvoorbeeld met telnet..

er zijn nog legio zaken die je kunt testen ( google even naar : test stmp )

Verwijderd schreef op vrijdag 18 oktober 2013 @ 13:47:
Ik heb via google test smtp opgezocht, ik krijg de melding failed to connect port 25.
Zou het daaraan liggen? Want ik krijg die poort niet open op mijn experiabox, hij blijft closed!

Je KPN internet verbinding zal port 25 inkomend, standaard wel blokkeren.

Verwijderd schreef op vrijdag 18 oktober 2013 @ 13:57:
Dat betekent dus dat ik met die experiabox nooit mail kan ontvangen op mijn exchange server?

Dat betekend zelfs dat je op het KPN netwerk nooit mail kan ontvangen op je Exchange server. Bij b.v. UPC staat dit nog wel open (althans, een jaartje terug), maar de meeste providers schermen dit af.

Dit heeft als reden dat een slecht geconfigureerde mail server in korte tijd veel spam mail kan opleveren. Op zakelijke lijnen gaat dit wel vrijwel altijd goed, maar ja, dan zitten er mensen aan de knoppen die de door jou graag opgedane ervaring al wel hebben

Je kan je mail server op een andere poort draaien, maar daar heb je eigenlijk geen fluit aan.

Verwijderd schreef op vrijdag 18 oktober 2013 @ 14:02:
dan zou het toch moeten kunnen omdat het een zakelijke lijn is?

Niet persee nee.

Bel de zakelijke helpdesk en vraag wat de mogelijkheden zijn.

_Arthur schreef op vrijdag 18 oktober 2013 @ 14:59:
[...]

Niet persee nee.

Bel de zakelijke helpdesk en vraag wat de mogelijkheden zijn.

^^

Dit, zakelijke lijnen in dit segment zijn meestal niets anders dan consumenten lijnen met een betere garantie qua uptime en door voer capaciteit.

Misschien had ik mij iets beter uit moeten drukken, met een zakelijke lijn bedoel ik glasvezel aansluitingen met hoge bandbreedte. Die zijn meestal ongefilterd

[ Voor 0% gewijzigd door WhizzCat op 18-10-2013 15:13 . Reden: typ-o ]

Wederom, dat heeft niks met de Experiabox te maken... KPN blokkeert dat, niet je Experiabox. Tenminste, op consumentenlijnen. Heb je ze al gebeld of ze dat op je zakelijke lijn ook doen?

Kun je (vanuit intern) wel een mailtje sturen naar een mailbox op die server via telnet?

Verwijderd schreef op vrijdag 18 oktober 2013 @ 15:43:
Als ik telnet invoer in Command prompt krijg ik dit: telnet wordt niet herkend als een interne of externe opdracht, programma of batchbestand.

Telnet installeren vanuit de windows roles/features.

Verwijderd schreef op vrijdag 18 oktober 2013 @ 15:43:
Als ik telnet invoer in Command prompt krijg ik dit: telnet wordt niet herkend als een interne of externe opdracht, programma of batchbestand.

Omdat de telnet client in Windows 7/2008 niet meer standaard geinstalleerd word. Die kan je nog via de features terug krijgen.

Mooi, het is dus gelukt om telnet te installeren.

Welke meldingen krijg je als je probeert naar je lokale exchange-server te telnetten en een mailtje te sturen?

Mail vanaf het Internet komt alleen standaard niet binnen over poort 587, maar over poort 25. Als deze poort dicht staat (hetzij op je router, hetzij bij je provider), zul je geen mail ontvangen als ik jou een mail ga sturen...

Een truuk die nog wel eens wil helpen is ook inkomende mail te laten relayen via je provider. Je moet hiervoor een tweede MX record aanmaken met een lagere prioriteit (= hogere preference waarde).

Vergeet niet dat je voor de mailserver 2 DNS records moet maken, een MX record met de naam van de server en een bijpassend A record met het juiste IP adres.

Je kan uiteraard geen A-records aanmaken voor een andere domeinnaam. Je kan wel MX-records aanmaken die verwijzen naar hostnamen buiten jouw domeinnaam...

Je moet dus de volgende twee MX-records hebben:

- jouwdomein.nl MX Preference = 10 mail.jouwdomein.nl
- jouwdomein.nl MX Preference = 20 mail.kpnmail.nl

Daarnaast moet je het volgende A-record hebben:

- mail.jouwdomein.nl <jouw IP-adres>

En zo zijn we toch alles lekker aan het voorkouwen, terwijl je dit natuurlijk prima zelf kan googlen...

Wie moeten er weten waar jouw server zicht bevindt? Alleen jij, of de hele wereld? En waar vragen die dat soort dingen op?

Verwijderd schreef op vrijdag 18 oktober 2013 @ 17:34:
nja ik zie het even niet meer... laat ook maar

Zeg dikke helpdeskuser.

Wat voor records zijn het ? dns records toch ? die stel je in in je ?????

A ) De dns server van je domein
B ) Domeincontroller

dus meer info en geef gewoon je echt domein. Je ip adres is publiek en wordt toch al 100x per uur aangevallen door compleet onbekende, dus geeft gewoon ff je domein en je ip voor de paar goedwillende die hier rondlopen

yup

kwa ip maakt toch geen reet uit, als jij zorgt dat jij je zaakjes op orde hebt krijg je geen rommel (echt voor de tweakers hoef je je geen zorgen te maken maar er zijn genoeg bezoekers op jouw vriendins ip naar zwakheden zoeken.

Verwijderd schreef op vrijdag 18 oktober 2013 @ 18:01:
Dan ligt het dus aan KPN, maar omdat het alleen voor het testen is, kan ik er vanuit gaan dat ik dus alles goed heb ingesteld maar dat het door KPN komt dat ik geen mail kan replyen naar het domein?

Want de rest werkt allemaal prima

als jij geeneens weet waar je die je die records instelt weet ik niet zo zeker of de rest wel prima werkt. 1 euvel heb je alvast gevonden

[ Voor 99% gewijzigd door Fish op 18-10-2013 18:05 ]

KPN heeft dit compleet uitgelegd staan op hun site

Eigen mailserver configureren (Internet)

Kijk even bij het stukje "Ontvangen met eigen MTA"....

[ Voor 14% gewijzigd door Question Mark op 18-10-2013 18:49 ]

Waar mail je naartoe? tok1984@mail.mijndomein.nl of tok1984@mijndomein.nl ?

Daarnaast is nu je 2e MX naar de smarthost, niet naar de inbound server van KPN. Let wel, als je dit nu aanpast, dat het kan zijn dat Hotmail het oude record nog een tijdje in cache houdt en het dus niet meteen duidelijk hoeft te zijn of het nu wel of niet werkt.

Dan kan het nog steeds aan de cache liggen, het blijven dezelfde servers / caching DNS die er tussen zitten. Probeer het anders via Gmail of zo (in ieder geval niet Hotmail).

Zolang je de domeinnaam niet vrijgeeft (kan eventueel via DM als je het niet publiek neer wilt zetten) kunnen wij het niet controleren, je omschrijving is wat cryptisch maar lijkt goed te zijn.

Vergeet die port checker. Poort 25 staat dicht vanuit de boze buitenwereld, dus ook voor iedere willekeurige port checker. Poort 25 staat niet dicht voor de SMTP server op het netwerk van je provider, vandaar dat je met MX-records de mail via die server moet laten binnenkomen.

Vergeet ook je domain controller. Deze verzorgt alleen DNS voor interne clients. Aangezien mail vanaf het Internet komt, moet je daar de juiste instellingen bekend maken en dat doe je bij je hostingprovider.

Verder is enige kennis over DNS wel vereist om dit goed op te zetten en te snappen waarom het niet werkt. Iedere domeinnaam heeft namelijk een TTL instelling. Deze TTL (= Time To Live) bepaalt hoe lang andere DNS servers op het Internet gegevens over jouw domeinnaam in hun cache vasthouden. Bij de meeste providers is dit een uur, of zelfs een dag. Met andere woorden: als een DNS server van Microsoft al een keer het MX-record voor jouw domeinnaam heeft opgevraagd, kan het maar net zo zijn dat deze DNS servers 24 uur lang dezelfde gegevens vasthoudt, voordat het opnieuw een lookup doet bij jouw hostingprovider. Zo kan het dus gebeuren dat wijzigingen die jij doorvoert in de DNS niet meteen zichtbaar zijn bij Hotmail, maar dit een vertraging oploopt van maximaal de TTL waarde die voor jouw domeinnaam ingesteld staat.

Zoals al eerder geopperd: geef even je echte domeinnaam, zodat degene die je hier willen helpen kunnen kijken wat er precies fout gaat, want zoals jij het uitlegt snap ik er niet veel meer van. Je krijgt een NDR terug op je Hotmail account. Kun je eens de inhoud van deze NDR posten?

In een PB heb ik van TS de domeinnaam ontvangen. Ik zal hier mijn reactie op die PB geanonimiseerd posten, zodat de rest ook op de hoogte wordt gebracht...

Een nslookup levert mij het volgende op:

Non-authoritative answer:
jouwdomein.nl internet address = x.x.x.x
jouwdomein.nl nameserver = ns3.webhostingserver.nl
jouwdomein.nl nameserver = ns2.webhostingserver.nl
jouwdomein.nl nameserver = ns1.webhostingserver.nl
jouwdomein.nl
primary name server = ns1.webhostingserver.nl
responsible mail addr = hostmaster.jouwdomein.nl
serial = 2013101853
refresh = 500 (8 mins 20 secs)
retry = 400 (6 mins 40 secs)
expire = 1209600 (14 days)
default TTL = 100 (1 min 40 secs)
jouwdomein.nl MX preference = 20, mail exchanger = mailrelay.planet.nl.jouwdomein.nl
jouwdomein.nl MX preference = 10, mail exchanger = mail.jouwdomein.nl
jouwdomein.nl MX preference = 10, mail exchanger = smtp.jouwdomein.nl.jouwdomein.nl
jouwdomein.nl text =

"v=spf1 a mx ip4:x.x.x.x ip6:x:x:x::/48 ip6:x:x:x
02::/48 ~all"
jouwdomein.nl AAAA IPv6 address = x:x:x:x::x

mail.jouwdomein.nl internet address = x.x.x.x
mail.jouwdomein.nl AAAA IPv6 address = x:x:x:x::x

Het gaat mis bij de MX-records. Hier wordt nogmaals 'jouwdomein.nl' achter de hostnaam van de MX-servers gezet. Vaak gebeurt dit als je deze hostnaam niet afsluit met een punt. Kijk dus even bij je hostingprovider of het MX 20 record verwijst naar 'mailrelay.planet.nl.' (met punt achter de nl dus...). Het MX record naar 'smtp.jouwdomein.nl.jouwdomein.nl' kan er in zijn geheel uit. Laat die 'mail.jouwdomein.nl' maar staan...

Dat ligt er aan, NAT je DC of routeert deze alleen maar? Als hij NAT moet je het IP van je DC in de poirt forward zetten, als deze alleen routeert moet je een static route in de Experiabox zetten, en dat kon wel eens teveel van het goede zijn voor dat dichtgetimmerde doosje.

Mag ik vragen waarom je voor deze opstelling hebt gekozen? Een domain controller die ook meteen router speelt is absoluut geen best practice, een DC met 2 netwerkkaarten is al een slecht idee vanwege DNS issues (al helpt in jouw geval netmask ordering daar wel bij).

Als het dan toch VM's zijn kun je beter een dedicated router inrichten in plaats van een van de belangrijkste security componenten in je netwerk zo te exposen

Je hebt al een router, dat is de Experiabox

Of je RRAS ook aan NAT doet hangt helemaal af van wat jij instelt, zonder NAT is het heel goed mogelijk een pakketje van 192.168.2.21 naar 10.0.0.12 te sturen en terug. Doe maar een "tracert -d 8.8.8.8" vanaf een command promt, dat zijn allemaal routers die je pakketje forwarden, en op jouw eigen Experiabox (en mogelijk de RRAS) na doen ze geen van allen NAT.

Wat NAT in consumentenrouters doet is het afzendadres aanpassen van je interne IP naar je externe IP, maar dit is alleen omdat apparaten op het internet je interne IP niet routeren. Als jouw routers wel weten waar ze de 'ingang' naar een bepaald subnet kunnen vinden is er geen enkele reden om NAT te gebruiken.

Als je echter je Experiabox niet kunt vertellen dat hij pakketjes voor 10.0.0.0/24 moet bezorgen op 192.168.2.21 dan zul je wel aan NAT moeten (of je haalt de hele RRAS er tussenuit, die doet niks wat je niet ook zonder extra router kunt regelen). In dat geval moet inderdaad de Experiabox binnenkomend TCP-verkeer op de externe interface op poort 25 afleveren op 192.168.2.21, en moet je RRAS-server binnenkomend SMTP-verkeer afleveren op 10.0.0.12

Als je inderdaad gaat NATten dan is dat inderdaad de manier.

Dat iets in een heel ander subnet zit daar laat je je normaal ook niet door tegenhouden; tweakers.net zit in een heel ander subnet dan dat jij zit Net zoals jij met NAT zegt "TCP/25 moet naar 10.0.0.12" weet een normale router "10.0.0.12 moet naar 192.168.2.21"

Natuurlijk hebben ze dan wel internet connectie, zolang je maar aan een paar voorwaarden voldoet, zoals je routing op orde hebben.

Dat is niet anders dan met je 192.168.2.0/24-netwerk, het internet zit op alles behalve 10.8,172.16/12 en 192.168/16, en toch kun je er bij. Waarom? Omdat er een router tussen zit die dat voor je routeert. En vanwege het (noodzakelijke) gebruik van RFC 1918-adressen gebruikt je router NAT.

Nogmaals, als je RRAS-server NAT is er niks aan de hand en moet je op de Experia-box naar de RRAS-server wijzen. Als de Experia-box static routes aankan dan hoeft RRAS niet te NATten en hoef je enkel tegen de Experia-box te zeggen waar deze 192.168.2.0/24 kan vinden. De port forward kan dan rechtstreeks naar de Exchange-machine.

Als dit je boven je pet gaat moet je jezelf afvragen of je wel meerdere netwerken moet gaan maken, of dat je misschien beter eerst een basiscursus netwerken moet gaan. Het klinkt alsof je met de zakelijke mail van het bedrijf van je vriendin bezig bent, dan lijkt het me erg ongewenst als je van alles aan het opzetten bent waarvan je maar half weet hoe het werkt, laat staan dat je weet wat je moet doen als het niet meer werkt

Een gezegde wat ik een tijd geleden tegenkwam gaat als volgt: Als je iets bouwt op de slimste manier die je kent, ben je niet slim genoeg om het te onderhouden, en ik denk dat dat hier ook opgaat.

Zet al die servers gewoon in 192.168.2.0/24, dan hoef je helemaal niet zo moeilijk te doen met RRAS, NAT, routering uitzoeken etc. Als je bepaalde dingen af wilt schermen kun je altijd nog de Windows Firewall instellen bijvoorbeeld.

Verwijderd schreef op maandag 21 oktober 2013 @ 09:49:
In de Experiabox kan ik geen routing instellen, zelfs de DHCP kan ik er niet in uitzetten.
Alle servers etc staan nu in het 192.168.2.0/24 netwerk

DHCP kan helemaal niet uit? En je kunt natuurlijk ook de DNS-servers die het meegeeft niet aanpassen?

Het ging mij erom als ik een andere router achter de experiabox zet met een 10.0.0.0/24 subnet, dan moet ik dat subnet dus NAT-ten naar een 192.168.2.0/24. Ik dacht dat jij dat bedoelde met nog een router achter de router te zetten en daar een eigen subnet te maken.

Nee, de router die jij achter de Experia-box zet is al een router achter een router

Verwijderd schreef op maandag 21 oktober 2013 @ 11:03:
in de experiabox kun je vrijwel niks veranderen.

Dit is precies de reden dat ik overal de ExperiaBox netjes in doos laat zitten en vervang voor een fatsoenlijke modem/router. Die dichtgetimmerde meuk kost onnodig veel tijd.