E-mails recebidos que não aparecem ou estão muito atrasados - Exchange 2003 com Barracuda Firewall

Navegue suas respostas
2

Nosso principal funcionário de TI está fora do escritório, então tenho que (rapidamente) resolver esse problema urgente. Ninguém na empresa está recebendo e-mails externos. Parece que aconteceu de repente. Temos um domínio do AD, usando o Exchange Server 2003, com um Barracuda 300 Spam & Caixa de firewall como nosso firewall de entrada. Quando olho para a página de administração do Barracuda, ela mostra as mensagens recebidas e processadas por horas e, de repente, nenhuma mensagem, começando algumas horas atrás. No Exchange System Manager, há uma tonelada (centenas ou mais) de conexões SMTP entre o Exchange e a caixa Barracuda. O suporte a Barracuda está atualmente analisando o problema, mas não encontrou nada até agora. Alguma idéia sobre o que isso poderia ser? Algo do lado da troca? Agradecemos antecipadamente por qualquer ajuda.

EDIT: Se eu fizer um traceroute de um endereço externo, ele nunca chegará ao meu firewall. Eu vejo os pacotes indo de roteador para roteador na internet, mas o último roteador listado é o Comcast, meu ISP. Ele não mostra nosso firewall de hardware, então estou pensando que talvez o e-mail nunca esteja chegando na caixa do Barracuda (e, portanto, no servidor de e-mail).

    
por johnnyb10 04.08.2010 / 21:18

4 respostas

4

  1. Execute uma pesquisa de DNS para o registro MX do seu domínio de e-mail.

  2. Se a etapa 1 for bem-sucedida, execute uma pesquisa de DNS para o registro A retornado da pesquisa de registro MX.

  3. Se a etapa 2 for bem-sucedida, tente estabelecer uma sessão de telnet para a porta 25 do endereço IP retornado da consulta de registro A.

  4. Se a etapa 3 for bem-sucedida, tente enviar um email para um usuário interno a partir da sessão de telnet estabelecida na etapa 3.

  5. Se a etapa 4 for bem-sucedida, você saberá que o problema está entre o Barracuda e o servidor Exchange.

  6. Se o Barracuda tiver qualquer tipo de CLI, tente estabelecer uma sessão telnet dele na porta 25 do seu servidor Exchange.

  7. Se a etapa 6 for bem-sucedida, tente enviar um email para um usuário interno a partir da sessão de telnet estabelecida na etapa 6.

  8. Se a etapa 7 for bem-sucedida, você saberá que o problema está no servidor Exchange.

Deixe-nos saber qual etapa, se houver alguma falha, pode ajudar você a refinar o problema.

Acho que cobri todas as bases. Se alguém vir alguma coisa que eu deixei de fora, por favor, canse.

    
por 05.08.2010 / 01:11
4
Primeiro, se você tiver o apoio do Barracuda para investigá-lo, deixe-os fazer o que quiserem. Eles sabem o que estão fazendo e lidaram com questões como essa no passado.

Na minha experiência, se o Barracuda está sentado em e-mails que ele já aceitou, há apenas algumas coisas que podem estar erradas.

Primeiro, pode haver um problema com a conexão com o servidor Exchange, pois o servidor do Exchange não está aceitando-o ou está causando algum tipo de tempfailing por algum motivo (como, por exemplo, a sua loja estar cheia e desmontada). Existem também alguns casos extremos em que, se o Barracuda estiver validando e-mails de entrada em sua zona do AD antes de aceitá-los e sua conexão com o servidor AD for interrompida, você poderá ver um atraso - mas o modo de falha mais comum para esse problema é que mail recebe perma-bounced em vez de tempfailed ou enfileirado.

Em segundo lugar, pode haver uma enxurrada de mensagens recebidas / spam acontecendo, e o Barracuda está gastando tempo lidando com a inundação em vez de passar as mensagens. Você pode ver isso observando os gráficos de estatísticas na página de administração - grande pico significa tráfego intenso.

Existe também a possibilidade de o seu Barracuda ter um problema de hardware e estar lutando, digamos, com um disco com falha internamente. Se for esse o caso, o suporte descobrirá isso rapidamente.

Mas, realmente, deixe o apoio fazer o que eles fazem.

    
por 04.08.2010 / 21:45
2

Questão tola, talvez, mas: você já desligou os dispositivos Barracuda? Nós não usamos o seu dispositivo SMTP, mas o nosso Barracuda Web Filter fica confuso pelo menos duas vezes por mês - por exemplo, subitamente bloqueando todo o tráfego da web sem explicação - e reinicializar sempre resolve o problema. Claro, você deve desligá-lo da interface administrativa, se possível, em vez de apenas puxar o plugue.

Editar firewall do WatchGuard:

Eu não estava ciente de que isso estava por trás de um firewall WatchGuard. Vale a pena acrescentar esse detalhe à pergunta original.

Eu tenho experiência pessoal com e-mails que chegam misteriosamente desaparecendo nas mandíbulas vorazes de uma Firebox. Está configurado com um filtro de pacotes na porta 25 ou um proxy SMTP? Na minha experiência, o proxy SMTP tem três modos de operação: (1) operação normal, (2) petiscar seletivamente em e-mail de clientes importantes e (3) devorar todos os e-mails recebidos. Infelizmente, a seleção de modo é aleatória e não é configurável pelo usuário. Ele também tem uma séria falha de segurança, pois impede conexões TLS oportunistas, fazendo com que o email seja enviado em texto não criptografado quando normalmente seria criptografado. Isso pode ou não importar em seu ambiente específico.

Especialmente considerando que você já tem outro produto de firewall de e-mail, se você estiver usando o proxy SMTP WatchGuard, sugiro strongmente alterá-lo para um filtro de pacotes simples.

    
por 05.08.2010 / 06:13
1

Eu diria primeiro verificar a conectividade de fora. Vá para mxtoolbox.com e insira seu nome de domínio, clique em enviar. A ferramenta fará uma pesquisa de DNS dos registros MX do seu domínio. Você deve ver um registro para o seu barracuda ou servidor de troca. Haverá um link para testar / diagnosticar, clique nele. Isso tentará abrir uma sessão telnet pela porta 25 para o servidor para verificar se ele está acessível e respondendo. Isso deve dizer que você deve ir em seguida. Observe que o TraceRoute não significa necessariamente que há um problema, já que a barracuda provavelmente está configurada para não responder a solicitações ICMP.

    
por 05.08.2010 / 00:49

Tags

Servidor Exchange no VMWare ESXi 4 Para o tripwire, como eu teria o relatório enviado por e-mail apenas quando uma violação fosse encontrada?