Mailserver gestört? - Webmail und Outlook Versand/Empfang funktioniert nicht

  • Hallo,

    Das verrät uns auf jeden Fall schon einmal, dass die Maildomain generell aufgelöst werden kann und funktionstüchtig ist. Auch der SMTP-Server (Port 587) antwortet korrekt.


    Den IMAP-Port kann man mit Telnet z.B. so prüfen: telnet mx2f47.netcup.net 993

    Korrekte Antwort wäre hier ebenfalls:

    Code
    root@ncdb-m:~# telnet mx2f47.netcup.net 993
    Trying 188.68.47.71...
    Connected to mx2f47.netcup.net.
    Escape character is '^]'.


    Die Zertifikatstests bringen uns hier nicht viel weiter, es scheint eher ein Problem mit der Konnektivität zu sein.


    Die SSL Verbindung zu Port 993 kann so getestet werden: openssl s_client -crlf -connect mx2f47.netcup.net:993


    Die Ausgabe ist zu lang zum Darstellen hier, aber am Ende muss so etwas stehen:

    Code
    * OK [CAPABILITY IMAP4rev1 LITERAL+ SASL-IR LOGIN-REFERRALS ID ENABLE IDLE AUTH=PLAIN AUTH=LOGIN AUTH=DIGEST-MD5 AUTH=CRAM-MD5] Dovecot ready.
  • Danke für deine Hilfe!

    Anbei das Bildschirmfoto der Ergebnisse.

  • Interessant, dass die verschlüsselte Verbindung nicht funktioniert. Dazu werde ich später noch ein paar Fragen posten, sobald ich mit der Arbeit durch bin.

    Generelle Ideen könnten sein:

    - Eventuell wird mit einer alten Protokollversion verbunden, die mittlerweile nicht mehr unterstützt wird (TLS 1.0/1.1/SSLv3)

    - Es wird keine gemeinsame Cypher für die Verbindung gefunden -> Verbindungsversuch wird abgelehnt


    Eventuell ist hier ein Loadbalancer auf verschiedene Mailserver im Einsatz, die unterschiedliche Dovecot / Cyphersuiten einsetzen. Das würde erklären, dass es nicht immer zu Fehlern kommt.


    Wie alt ist das System, auf dem der Email-Client läuft?

  • Zitat

    Je IP-Adresse sind 20 parallele Verbindungen per IMAP oder IMAPS zu einem Mailserver möglich

    Ein Thunderbird baut in der Standardeinstellung 5 parallele Verbindungen auf, kann man aber einstellen. Je nachdem, wie viele Endgeräte gleichzeitig zugreifen, kann man hier in das Limit laufen. Das würde erklären, wieso der Verbindungsaufbau beim IMAP-Port (plötzlich) nicht mehr zustande kommt. Apple scheint hier auch ein jahrealtes Problem zu haben mit zu vielen parallelen Verbindungen: https://discussions.apple.com/thread/2547839


    Wie viele Ordner hast du in deinem IMAP Account? Manche clients bauen für jeden Ordner eine eigene Verbindung auf. Da sind bei mehreren Clients die 20 Verbindungen schnell aufgebraucht.

    Allerdings sollte der IMAP-Server eine ordentliche Fehlermeldung ausgeben, wenn das rate-limit erreicht wird statt einfach per firewall zu blocken ...

  • INteressant wäre nun herauszufinden, warum openssl nicht verbindet, aber telnet schon.


    Beim nächsten Mal, wenn das vorkommt, bitte folgende Tests ausführen:

    - openssl s_client -crlf -connect mx2f47.netcup.net:993 (bitte mehrmals - schlägt jeder Verbindungsversuch fehl? Falls nicht, welche Cipher und welche TLS-Version wird angezeigt?

    - openssl s_client -crlf -connect mxde.email:993 (wir fragen noch einen anderen Mailserver nach einer Verbindung - checken, ob der Port 993 schon beim Ausgehen blockiert wird, oder tatsächlich der Verbindungsversuch seitens Netcup refused wird)

    - openssl version (welche Version von openSSL ist im Einsatz?)

  • Anbei das Bildschirmfoto.

    openssl version gibt LibreSSL 2.2.7 aus

  • Ein Thunderbird baut in der Standardeinstellung 5 parallele Verbindungen auf, kann man aber einstellen. Je nachdem, wie viele Endgeräte gleichzeitig zugreifen, kann man hier in das Limit laufen. Das würde erklären, wieso der Verbindungsaufbau beim IMAP-Port (plötzlich) nicht mehr zustande kommt. Apple scheint hier auch ein jahrealtes Problem zu haben mit zu vielen parallelen Verbindungen: https://discussions.apple.com/thread/2547839


    Wie viele Ordner hast du in deinem IMAP Account? Manche clients bauen für jeden Ordner eine eigene Verbindung auf. Da sind bei mehreren Clients die 20 Verbindungen schnell aufgebraucht.

    Allerdings sollte der IMAP-Server eine ordentliche Fehlermeldung ausgeben, wenn das rate-limit erreicht wird statt einfach per firewall zu blocken ...

    Heute morgen hatte ich am iPhone anhängende Fehlermeldung. Dabei war dies der erste Aufruf der Mail-App. Es waren zu diesem Zeitpunkt keine anderen Geräte (bis auf ein iPad im Sperrmodus) in Betrieb und somit versuchten auch keine Clienten wie Thunderbird Mails abzurufen.


    Als ich nun gerade an den Rechner bin und Thunderbird öffnete kam mir anhängende Fehlermeldung.


    Die Ordnerstruktur habe ich einmal mit angehangen.


    Mit freundlichen Grüßen


    Eric Sallie

  • Anbei das Bildschirmfoto.

    openssl version gibt LibreSSL 2.2.7 aus

    Und das bitte an mail@netcup.de senden mit der Bitte, die Connect-Versuche mit den Logs abzugleichen. Entweder ist Deine Internetverbindung nicht immer da, oder, es gibt Lastprobleme auf dem Server. Den Zeitpunkt zu melden, ist gut. Was aber auch sein kann: fail2ban, das nach fehlgeschlagenen Verbindungsversuchen (falsches Login/Passwort) Deine IP blockt. Die Fehlschläge können, wenn das Zugriffe von hinter einem CGN sind, auch von anderen Kunden Deines ISP stammen.

  • Hast du einen richtigen Internetanschluss oder gehst du wie eine WG/Hotspot über eine shared IP ins Internet?

    "Security is like an onion - the more you dig in the more you want to cry"

  • Danke für's Testing! - Das verrät uns, dass

    - Dein Client keine Probleme hat eine TLS Verbindung >= Version 1.2 aufzubauen und

    - Ciphers >= 256 Bit unterstützt (oder zumindest diese, häufig verwendete)

    - Es keine lokalen Blocker für den Port 993 gibt bzw. Du definitiv am "Ziel" abgelehnt wirst und nicht auf dem Weg dorthin.


    Es ist gut, dass wir das alles getestet haben, denn damit kann der Support das Problem besser einschätzen. Zum Debugging benötigt er den genauen Zeitpunkt, Deine öffentliche IP, Email-Adresse und ggf. den Endpunkt, der den Abruf versucht hat (z.B. Thunderbird) und ggf. einen Link zu diesem Thread. :)

  • Mail an Netcup ist raus. Erwarte nun gespannt die Antwort.


  • Generell finde ich es schon sehr "frech" seitens Netcup den Kunden einfach auf STARTTLS zu verweisen, wenn er doch SSL nutzen möchte. Wenn man dem Privacy Handbuch glauben kann (und das tue ich), dann ist STARTTLS nicht zu bevorzugen.

    Auch STARTTLS ist bezüglich der Login-Daten sicher, wenn der Client auf jeden Fall STARTTLS probiert und abbricht, wenn das nicht klappt. Unsicher wäre es dann, wenn ein Client trotz Einstellung "STARTTLS verwenden" es auch akzeptiert, wenn der Server STARTTLS nicht annimmt.

  • Guten Tag zusammen,

    wollte mich hier noch mal zurück Melden, da ich mal versucht habe eine Portable Version von Thunderbird zu installieren und siehe da dort funktioniert alles wie es eigentlich soll.

    Also wäre es gut möglich das es an der neusten Version von Thunderbird liegen könnte oder sehe ich das Falsch?

    Was es aber genau ist habe ich noch nicht herausgefunden, wäre ja auch mal Interessent welche Versionen die Leute drauf haben wo alles geht.

    Gruß Jögi und schönen Sonntag an alle

  • Also wäre es gut möglich das es an der neusten Version von Thunderbird liegen könnte oder sehe ich das Falsch?

    Vielleicht liegt es auch an Deiner Antivirus-/Sicherheitslösung? Es soll Programme geben, die sich als Proxy in die Verbindung einklinken, dann aber auch einmal abstürzen.

  • Ein Thunderbird baut in der Standardeinstellung 5 parallele Verbindungen auf, kann man aber einstellen. Je nachdem, wie viele Endgeräte gleichzeitig zugreifen, kann man hier in das Limit laufen. Das würde erklären, wieso der Verbindungsaufbau beim IMAP-Port (plötzlich) nicht mehr zustande kommt. Apple scheint hier auch ein jahrealtes Problem zu haben mit zu vielen parallelen Verbindungen: https://discussions.apple.com/thread/2547839


    Wie viele Ordner hast du in deinem IMAP Account? Manche clients bauen für jeden Ordner eine eigene Verbindung auf. Da sind bei mehreren Clients die 20 Verbindungen schnell aufgebraucht.

    Allerdings sollte der IMAP-Server eine ordentliche Fehlermeldung ausgeben, wenn das rate-limit erreicht wird statt einfach per firewall zu blocken ...

    Interessant, bin gerade mal dem Link gefolgt und habe mir mal eine Viertelstunde zum Überfliegen gegönnt. Hmm, man müsste einfach IMAP so erweitern, dass der Mail-Server das Endgerät neu starten kann :D;). Das würde das Problem eventuell lösen. Oder Donald könnte eine von seinen "Tipitop" Atomraketen auf den Standort von Apple programmieren.:huh::rolleyes:. Jedenfalls scheint das Problem mit der Mail-App seit Jahrzehnten zu bestehen bei allen Mailhostern, bei denen die Anzahl gleichzeitig offener Verbindungen limitiert ist. Wie halt offenbar auch bei netcup. Und alles, was Apple dazu zustande bringt ist, ihren Usern zu empfehlen, "Business Mail" Anbieter zu nutzen. Find ich auch richtig so, wer sich den Luxus Apple Schrott leisten kann, der kann sich sicher auch z.B. ca 5-10€ pro Monat, Mailbox und Benutzer leisten leisten. Und ich dachte immer MS sei Sch****e, aber man kann das offenbar noch locker toppen. :D