TB 31.0 kann über SSH-Tunnel keine Mails abrufen.

Thunderbird-Version: 31.0
Betriebssystem + Version: Windows 7 Home
Kontenart (POP / IMAP): IMAP
Postfachanbieter (z.B. GMX): Mein Arbeitgeber

Hallo,

ich verbinde meinen Thunderbird seit einigen Jahren über zwei SSH-Tunnel mit dem Mail-Server meines Arbeitgebers. Seit Installation des TB 31.0 kann dieser darüber aber keine Mails mehr abrufen. Es gibt keine Fehlermeldung, die Statuszeile zeigt immer nur "<Mein Mail-Kontoname>: Verbunden mit localhost..." (localhost ist bei SSH-Tunnel normal), und der Fortschrittsbalken unten rechts ist vollgelaufen. Das Mailtextfenster bleibt leer.

Ich habe über dieses Problem schon mit ein paar TB-Supportern gechattet. Dadurch habe ich erfahren, dass es auch noch den TB 24.7 gibt. Mit diesem tritt das Problem nicht auf. Nun sagt mir aber mein Secunia PSI ständig, dass mein TB erneuert werden müsste, was mich nervt. Ich könnte ihm sagen, dass er das ignorieren soll, aber das möchte ich auch nicht.

Ich habe nun den Verdacht, dass dieses unterschiedliche Verhalten von TB 31.0 und TB 24.7 an einem im TB 31.0 möglicherweise deaktivierten veralteten, weil inzwischen unsicheren Sicherheitsprotokoll liegt. Nun meine Frage: Liege ich da richtig? Wenn ja, welche Einstellungen müssen im TB 31.0 und/oder auf Server-Seite vorgenommen werden, damit TB 31.0 meine Mails wieder über den SSH-Tunnel abrufen kann? Oder muss ich mit dem TB 24.7 leben, bis das Problem im TB 31.x gefixt ist?

Viele Grüße
tkansgar

Hallo Peter,

vielen Dank für deine Antwort.

Zitat von "Peter_Lehmann"

Hallo tkansgar,

und willkommen im Forum!
Also SSH und SSH-Tunnel sind für mich als "Linuxer" natürlich geläufige Handwerkzeuge. Aber wie macht das der Nutzer einer WinDOSe? Putty?

Genau! Präziser gesagt erledigt das der SSH-Tunnel-Client für mich. Der baut per plink.exe (gehört zu putty) zwei SSH-Tunnel (einer für den Mail-Empfang und einer für den Versand) zu meinem Arbeitgeber auf, und in TB gebe ich nur noch "localhost" und den lokalen Port des jeweiligen Tunnels an.

Zitat

Ich würde jetzt zuerst einmal versuchen, ganz normal per ssh den/die Mailserver deines Arbeitgebers zu erreichen. Also, wie du auch immer ssh machst, auf der Konsole einen Connect zu den Servern aufbauen und dann auch noch eine Anmeldung und vlt. noch eine Auflistung der Mails durchführen.
Ziel des ganzen: herausbekommen, ob die ssh-Verbindung an sich noch funktioniert.

Den Aufwand kann ich mir sparen. Ich ersetze einfach bei bestehenden Tunnels den TB 31.0 durch den TB 24.7, und schon kann letzterer die Mails über denselben Tunnel wieder abrufen. Das Hin und Her zwischen TB 31.0 und TB 24.7 habe ich nun schon einige Male durchgezogen. Das Ergebnis bleibt stets dasselbe.

Zitat

Und je nach Ergebnis dann die Sache aufgeben (wenn dies vlt. nicht gewollt und erkannt wurde ...) oder gemeinsam mit dem Admin der Firma weitere Test machen.

Daran habe ich auch schon gedacht. Werde Montag mal unsere Admins kontaktieren.

Zitat

MfG Peter

Vielen Dank nochmal
tkansgar

Hallo Susanne,

auch dir vielen Dank für die Antwort,

Zitat von "SusiTux"

Hallo tkansgar,

das sollte eigentlich ein Thema für den Admin in Deiner Firma sein. Aber vielleicht können wir ja das Wochenende nutzen und den Fehler einkreisen.

Ich nehme an, Du verwendest in beiden Fällen, also mit TB 31 und 24.7 dasselbe Profil? Oder hast Du zwei Profile?

Ja, dasselbe Profil (habe gerade mal wieder TB 31.0 installiert).

Zitat

Teste zunächst einmal im Safe-Mode. Insbesondere Erweiterungen, die selbst auf das Internet zugreifen, z.B. Lightning, könnten eine Rolle spielen.

Habe ich gemacht. Abgesehen von der etwas veränderten Oberfläche hat sich nichts verändert, schon gar nicht am nicht funktionierenden Mailempfang.

Zitat

Welche AV-Software verwendest Du? Die könnte eine Rolle spielen und erklären, weshalb es mit der Version 31 nicht geht. So gab es z.B. gerade mit GDATA und TB 31 einige Probleme, die GDATA inzwischen behoben hat. Für den Test solltest Du also sicherstellen, dass Deine AV-Software komplett deaktiviert ist.

Derzeit AVG. Auch das habe ich gemacht (nur komplett deaktiviert, nicht deinstalliert). Hat ebenfalls nichts gebracht. Werde mal bei AVG nachsehen, ob dort ähnliche Probleme wie bei GDATA bekannt sind.

Zitat

Wenn das nicht hilft, ein paar weitere Fragen:

Wie baust Du die Tunnel auf? Über PuTTy? Wird die Session korrekt aufgebaut, d.h. gelingt der Login? Hast Du sichergestellt, dass die Tunnel stehen, bevor Du den TB startest?
Ich vermute, dass Du jeweils einen Tunnel zum Abruf der E-Mails und zum Senden über den SMTP aufgebaut hast?

Ich glaube, das habe ich inzwischen (an Peter) alles beantwortet.

Zitat

Klappt das Versenden über den Tunnel?

Das klappt erstaunlicherweise. Ich habe eine Testmail an mein E-Mail-Konto bei T-Online geschickt. Die ist sofort angekommen. Es erschien nur eine Fehlermeldung, dass die Mail nicht in den Gesendet-Ordner kopiert werden konnte.

Zitat

Gruß

Susanne (die diesmal nur zweite ist, weil sie mit der Nachbarin geratscht hat. Ich schicke es jetzt aber trotzdem ab ;-))

Viele Grüße
tkansgar

Zitat von "tkansgar"

Derzeit AVG. Auch das habe ich gemacht (nur komplett deaktiviert, nicht deinstalliert). Hat ebenfalls nichts gebracht. Werde mal bei AVG nachsehen, ob dort ähnliche Probleme wie bei GDATA bekannt sind.

Bei AVG kann ich derzeit nichts finden, was auf ein solches Problem mit TB 31.0 hindeutet. Es gibt zwar Probleme mit dem Mail-Empfang, aber die traten alle schon vor TB 31.0 auf oder betrafen den Mail-Versand und haben alle mit einem AVG-Update zu tun.

Grüße
tkansgar

Hallo Susanne,

Zitat von "SusiTux"

Hallo tkansgar,

Das ist ja immerhin etwas ;-). Basierend darauf habe ich noch zwei Vorschläge, die einen Test wert sind.

1. Ich gehe davon aus, dass die Verbindung zu dem Mailserver verschlüsselt aufgebaut wird. Dann könnte das Stapling eine Rolle spielen. Ich bin mir nicht sicher, wann Mozilla das ocsp-stapling im TB eingeführt hat. Es kann sein, dass das relativ neu ist bzw. dass es in diesem Bereich gerade erst Änderungen gegeben hat.
Deshalb lohnt sich vielleicht folgender Test, zumal er schnell gemacht ist: Setze unter Einstellungen -> erweitert -> Tab Allgemein -> Konfiguration bearbeiten den Schalter

security.ssl.enable_ocsp_stapling einmal auf false

Starte dann den TB neu und teste.

Alles anzeigen

Habe ich gemacht. Hat auch nichts gebracht. Hab den Schalter wieder auf true gesetzt.

Zitat

2. Der Virenscanner ist für mich immer noch ein Kandidat, gerade weil das Senden funktioniert. Führe deshalb einen Test durch, nachdem Du einen sauberen Systemstart durchgeführt hast, siehe bei Microsoft: http://support.microsoft.com/kb/929135/de

Auch das habe ich gemacht ...

Zitat

Kontrolliere mit dem Taskmanager, dass tatsächlich kein AVG-Prozess aktiv ist.

Beim ersten Versuch waren trotzdem sechs AVG-Prozesse am Leben. Und zwei AVG-Dienste waren in msconfig auch wieder eingeschaltet. In der Annahme, dass AVG die Dienste beim Runterfahren wieder aktiviert, habe ich sie dann im abgesicherten Modus von Windows nochmal abgeschaltet. Aber nach dem nächsten Boot waren immer noch zwei AVG-Prozesse am Leben: avgesrva.exe und avgrsa.exe. Dann musste ich natürlich meine SSH-Tunnel erstmal starten. Und der Mail-Emfang mit TB 31 ging natürlich wieder nicht. :cry:

Da ich meinen PC so nicht laufen lassen möchte, habe ich inzwischen alle Dienste wieder eingeschaltet (die zwei AVG-Dienste musste ich sogar explizit wieder einschalten, da sie durch "Normaler Systemstart" nicht wieder eingeschaltet wurden).

Zitat

Gruß

Susanne

Gruß
tkansgar

Hallo Susanne,

Zitat von "SusiTux"

Hallo tkansgar,

das ist wieder mal so ein Tag, an dem ich froh bin, dass ich überwiegend mit Linux unterwegs bin. Dieses AVG scheint recht hartnäckig zu sein, wenn sie sich sogar den Einstellungen in der msconfig widersetzt.

Hast Du Windows über die F8-Taste beim Booten im abgesicherten Modus gestartet oder meinst Du den sauberen Systemstart, den ich zunächst empfohlen hatte?

Beides. Zunächst hatte ich es nur mit msconfig gemacht, nach der Anleitung von MS. Nach dem Reboot stellte ich dann wie gesagt fest, dass bei zwei AVG-Diensten in msconfig die Haken wieder da waren und dass sechs AVG-Prozesse liefen. Dann habe ich mit F8 den Abgesicherten Modus gestartet und darin lediglich die beiden Haken in msconfig nochmal gelöscht. Der nächste Neustart hätte dann endlich der von dir empfohlene saubere Systemstart sein sollen. Aber leider liefen dann wieder zwei AVG-Prozesse. Keine Ahnung, wie die gestartet wurden.

Zitat

Im echten abgesicherten Modus (der, bei dem ein entsprechender Hinweistext in den Ecken erscheint) sollte auch AVG nicht mehr zum Zuge kommen. Bei dem "schwächeren" sauberen Start über msconfig kann das schon passieren. Deshalb hatte ich den Hinweis gegeben, die Prozesse zu kontrollieren.
Vielleicht hätte ich gleich zu dem "richtigen" abgesicherten Modus raten sollen. Ich bin mir nur nicht ganz sicher, ob PuTTY dann noch funktioniert.

Auf jeden Fall hätte ich dann den Abgesicherten Modus mit Netzwerkzugang starten müssen. Das habe ich (noch) nicht versucht.

Zitat

Ja, ohne AV-Schutz sollte ein Windows auch meiner Meinung nach nicht ans Netz gehen, wobei ich allerdings dass Überwachen von E-Mails klar ausnehmen möchte.

Wenn es mein PC wäre, würde ich jetzt AVG deinstallieren und erneut testen. Für mich ist diese Software nach wie vor der Kandidat. Denn dass AV-Software ein Herunterladen von E-Mails verhindert, haben wir hier schon oft gesehen. Insbesondere dann, wenn diese Software versucht, sich in SSL-verschlüsselten Datenverkehr einzuklinken.
In diesem Umfeld gab es auch definitiv Änderungen im TB. Deshalb hatte G-Data ja erstmal "dicke Backen" gemacht.

Da Du aber eine funktionierende Lösung hast, ist es vielleicht besser am Montag Deinen Admin zu kontaktieren, zumal ein es ja nur ein Verdacht ist, dass es am AV-Schutz liegen könnte.

Es sind sieben Admins. Hab ihnen schon eine Mail geschickt. Ich werd jetzt erstmal auf den TB 24.7 zurückgehen.

Zitat

Gruß

Susanne

Susanne, vielen Dank für deine Mühe!

Lieben Gruß
Torsten

Hallo Peter,

Zitat von "Peter_Lehmann"

Hallo!

Also wenn sich eine Firma 7 Admins leisten kann, dann verstehe ich nun wirklich nicht, warum diese Firma ihre Mitarbeiter zu Bastellösungen zwingt und nicht einfach einen (IPsec-)VPN-Server hinstellt und den für den Fernzugriff berechtigten Mitarbeitern einen kommerziellen VPN-Client und die nötigen Zugangsdaten gibt. Notfalls geht das ja sogar über den rudimentären VPN-Client der moderneren WinDOSe.
Aber ich muss auch nicht alles verstehen ... .

Ganz einfach (hab ich auch erst nicht verstanden): Es gibt natürlich ein VPN. Aber das dürfen nur Firmengeräte nutzen (z.B. mein Dienst-Handy), aber Privatrechner nicht, weil darüber die Admins keine Kontrolle haben.

Zitat

Duck und weg ...

Darfst wieder auftauchen.

Zitat

MfG Peter

Gruß
Torsten

Hallo Susanne und Peter,

Zitat von "SusiTux"

Ja da sollte wohl einer dabei sein, der das Problem lösen kann. Es wäre nett, wenn Du uns die Ursache und Lösung dann mitteilen würdest.

Leider gibt es (bislang zumindest) keine zufriedenstellende Lösung. Ein netter Admin hat mir vorgeschlagen das Zertifikat für den IMAP-Server bzw. den Tunnel dorthin mal zu löschen in der Hoffnung, dass der TB 31 dann die übliche Zertifikatsfehlermeldung anzeigt, mit der man das Zertifikat dann dauerhaft bestätigen kann. Leider hat sich dadurch am Verhalten des TB 31 rein gar nichts geändert. Die Zertifikatsfehlermeldung erschien erst, nachdem ich den TB 24.7 wieder installiert hatte. Ich bleibe jetzt erstmal bei letzterem. Ich hoffe nur, dass Mozilla das in TB 31 oder höher irgendwann behebt. Dazu noch eine Frage: Sollte ich irgendwie dafür sorgen, dass die TB-Entwickler dieses Problem auch mitbekommen? Wenn ja, wo muss ich das tun? Oder lesen die hier mit?

Zitat

Schönes Restwochenende

Susanne

Gruß
Torsten