Sophos SG UTM - retry time not reached for any host after a long failure period

Problem

Wenn der Mailserver hinter der Sophos SG UTM Firewall durch z.B. einen Ausfall längere Zeit nicht verfügbar war, sehen Sie möglicherweise im SMTP Proxy Live log folgende Meldung:
retry time not reached for any host after a long failure period sophos

Im Mailmanager der UTM sehen Sie, dass EMails mit dem Vermerk "Bounced" noch nicht zugestellt werden.

Hintergrund

Wenn beispielsweise ein Mailserver nicht mehr erreichbar ist, weil Sie diesen gerade reparieren oder aus anderen Gründen, so treffen ja weiterhin E-Mails ein. Diese E-Mails können aber nicht zugestellt werden. Nun kommt es auf die Retry-Limit Einstellungen des Absender Mailservers drauf an. Diese können z.B. sein, 2 Minuten, dann nach 5 Minuten, dann nach 1h, dann 2h usw. bis es Tageweise weitergeht mit 1 Tag, dann 2, dann 3 Tage. Danach kommt es auf den Mailserver darauf an, ob dieser noch weiterzählt. Beispielsweise bis 4, 5 oder 6 Tage. Das ist freie Einstellungssache des Administratoren der Mailserver. Das bedeutet, dass bei nicht Erreichbarkeit des Empfängers nach Ablauf dieser Zeiten (Aufsteigend von Minuten bis Tage) eine erneute Zustellung der Nachricht versucht wird. Solange, bis das Maximum erreicht wird. Unter Umständen erhält die Absendende Person erst dann eine Nicht Zustellbar Nachricht in seinem Postfach. Das alles passiert auf Absender Seite.

Nun zählt die Sophos jedoch selbst ebenso mit. Sie selbst führt eine Retry Limit beginnend mit 2 Minuten (für die nächsten 2h). Danach steigend mit 1h und weiter steigend mit dem Faktor 1.5 bis zum Maximum von 16h. Anschließend 6h bis zum Maximum von 3 Tagen. Das bedeutet im Klartext, selbst wenn der Absender eine erneute Zustellung versucht, so muss er die zusätzliche Wartezeit der Sophos UTM abwarten. Ist diese Zeit noch nicht abgelaufen, so erscheint im Log die besagte Fehlermeldung.

Lösung

Um eintreffende Mails wieder sofort zustellen zu lassen, sprich nach der Reparatur Ihres Mailservers bzw. Behebung Ihres Problems, löschen Sie einfach die Datenbank in welcher die UTM diese Zeiten speichert. Damit nimmt diese wieder jede Mail an - so wie es eigentlich sein soll. Dazu müssen Sie sich über die Shell an der Firewall anmelden.

Vorgang:

  1. In der SG UTM mit SSH und user loginuser einloggen, dann root werden mit sudo -s 
  2. SMTP Dienst stoppen: /var/mdw/scripts/smtp stop
  3. Retry Database löschen: rm -f /var/storage/chroot-smtp/spool/input/db
  4. SMTP Dienst wieder starten: /var/mdw/scripts/smtp start
  5. Exchange bzw. Mailserver neu starten

Nachlese

Auch Sophos hat dazu einen Artikel geschrieben: https://community.sophos.com/kb/en-us/120368

Print