Beiträge von peterbo

    Was spricht denn jetzt im Endeffekt gegen die Einbindung eines einfachen Storagespace?

    Für 2,69@ den kleinsten VPS, für 5€ 250GB Storage via NFS einbinden. Die Geschwindigkeit und Stabilität davon ist wunderbar und für einen Mailserver mehr als ausreichend.


    Einfach im fstab mounten und fertig:
    46.38.x.x:/volnxxx /var/mail nfs _netdev,rw,hard,intr,rsize=8192,wsize=8192,timeo=14 0 0

    Danke für's Testing! - Das verrät uns, dass

    - Dein Client keine Probleme hat eine TLS Verbindung >= Version 1.2 aufzubauen und

    - Ciphers >= 256 Bit unterstützt (oder zumindest diese, häufig verwendete)

    - Es keine lokalen Blocker für den Port 993 gibt bzw. Du definitiv am "Ziel" abgelehnt wirst und nicht auf dem Weg dorthin.


    Es ist gut, dass wir das alles getestet haben, denn damit kann der Support das Problem besser einschätzen. Zum Debugging benötigt er den genauen Zeitpunkt, Deine öffentliche IP, Email-Adresse und ggf. den Endpunkt, der den Abruf versucht hat (z.B. Thunderbird) und ggf. einen Link zu diesem Thread. :)

    INteressant wäre nun herauszufinden, warum openssl nicht verbindet, aber telnet schon.


    Beim nächsten Mal, wenn das vorkommt, bitte folgende Tests ausführen:

    - openssl s_client -crlf -connect mx2f47.netcup.net:993 (bitte mehrmals - schlägt jeder Verbindungsversuch fehl? Falls nicht, welche Cipher und welche TLS-Version wird angezeigt?

    - openssl s_client -crlf -connect mxde.email:993 (wir fragen noch einen anderen Mailserver nach einer Verbindung - checken, ob der Port 993 schon beim Ausgehen blockiert wird, oder tatsächlich der Verbindungsversuch seitens Netcup refused wird)

    - openssl version (welche Version von openSSL ist im Einsatz?)

    Interessant, dass die verschlüsselte Verbindung nicht funktioniert. Dazu werde ich später noch ein paar Fragen posten, sobald ich mit der Arbeit durch bin.

    Generelle Ideen könnten sein:

    - Eventuell wird mit einer alten Protokollversion verbunden, die mittlerweile nicht mehr unterstützt wird (TLS 1.0/1.1/SSLv3)

    - Es wird keine gemeinsame Cypher für die Verbindung gefunden -> Verbindungsversuch wird abgelehnt


    Eventuell ist hier ein Loadbalancer auf verschiedene Mailserver im Einsatz, die unterschiedliche Dovecot / Cyphersuiten einsetzen. Das würde erklären, dass es nicht immer zu Fehlern kommt.


    Wie alt ist das System, auf dem der Email-Client läuft?

    Hallo,

    Das verrät uns auf jeden Fall schon einmal, dass die Maildomain generell aufgelöst werden kann und funktionstüchtig ist. Auch der SMTP-Server (Port 587) antwortet korrekt.


    Den IMAP-Port kann man mit Telnet z.B. so prüfen: telnet mx2f47.netcup.net 993

    Korrekte Antwort wäre hier ebenfalls:

    Code
    root@ncdb-m:~# telnet mx2f47.netcup.net 993
    Trying 188.68.47.71...
    Connected to mx2f47.netcup.net.
    Escape character is '^]'.


    Die Zertifikatstests bringen uns hier nicht viel weiter, es scheint eher ein Problem mit der Konnektivität zu sein.


    Die SSL Verbindung zu Port 993 kann so getestet werden: openssl s_client -crlf -connect mx2f47.netcup.net:993


    Die Ausgabe ist zu lang zum Darstellen hier, aber am Ende muss so etwas stehen:

    Code
    * OK [CAPABILITY IMAP4rev1 LITERAL+ SASL-IR LOGIN-REFERRALS ID ENABLE IDLE AUTH=PLAIN AUTH=LOGIN AUTH=DIGEST-MD5 AUTH=CRAM-MD5] Dovecot ready.

    Ich kann den Unmut des Netcup-Supports hier etwas verstehen - ich biete auch ein Email-Hosting für über 200 Kunden an und was da so an Anfragen kommt, ist einfach nicht zu glauben. Das schlägt sich dann natürlich auch auf wirklich validen Anfragen durch.


    Meistens allerdings liegt das Problem beim Enduser oder seiner Technik. Dafür ist der Anbieter natürlich nicht zuständig und kann das auch in seinen Logs nicht sehen. Die Probleme sind in den meisten Fällen:

    - falsche Ports verwendet

    - (nicht mehr so stark seitdem He**er ein eigenes 200G Telekom Peering hat) Endbenutzer hat eine Telekom-Leitung und bekommt zu Stoßzeiten keine (schnelle) Antwort aus dem He**er/Netcup Netz
    - Kunde hat auf irgendeinem Endgerät ein falsches Passwort für die Mail-Adresse angegeben und der Mailserver (fail2ban) sperrt die gesamte Mailabfrage von dieser IP-Adresse nach X Anmeldeversuchen
    - Telekom sperrt Port 25

    - Virenscanner blockiert Email-Kommunikation


    Ob der Mailserver gerade "tot" oder langsam ist, oder ob nur ich die Konnektivitätsprobleme habe, kann jeder mit der MXToolbox https://mxtoolbox.com testen, sobald Probleme auftreten (den Test "Test Email Server") auswählen.


    Auch Telnet ist hier hilfreich: telnet mx2f47.netcup.net 587 -> von verschiedenen Geräten / Netzen probieren. Wenn das nur aus einem nicht klappt, kann man gezielt weiter forschen.

    Eine funktionierende Antwort ist bei dem Test z.B.

    Trying 188.68.47.71...

    Connected to mx2f47.netcup.net.

    Escape character is '^]'.

    220 mx2f47.netcup.net ESMTP Postfix (Debian/GNU)

    Auch ein Traceroute (Windows: tracert mx2f47.netcup.net) kann hilfreich sein. So könnten wir sehen, wo in den Zeiten ggf. der Verbindungsversuch abbricht/verloren geht.