TB 31.1.2 kein Abruf der E-Mail-Konten möglich[erl.]

  • Thunderbird-Version: 31.1.2
    Betriebssystem + Version: Windows 7 64
    Kontenart (POP / IMAP): POP
    Postfachanbieter (z.B. GMX): GMX


    Hallo,

    mein Problem entspricht dem von tetsuo am 23. Juli 2014 unter "[gelöst] TB keine Abruf der E-Mail-Konten möglich" dargestellten Situation. Nur dass der Lösungsweg bei mir nicht funktioniert. Bereits Ende Juli nach dem Update von Version 24.6.0 auf 31.0 konnte TB keine Mails mehr bei GMX abholen. Keine Fehlermeldung. Versenden über GMX lief einwandfrei. In der Hoffnung, diese Macke sei allgemeiner Art und würde schon bald beseitigt sein, habe ich die alte Version wieder über den Thunderbird installiert. Danach funktionierte wieder alles, allerdings war die Darstellung eine Mixtur aus alt und neu.
    Gestern ein neuer Versuch mit Version 31.1.2: Beim Abrufen der Mail gab es unten links den Hinweis "<Email-Adresse>: Verbunden mit pop.gmx.net...", und dabei bleibt es, keine Mails, keine Fehlermeldung.


    tetsuo's Lösung bestand darin, Avast von der Kontrolle des Mail-Verkehrs zu entbinden. Ich habe seit einiger Zeit wieder Kaspersky, der natürlich auch gerne die Mails rein und raus scannt. Ich habe die Mail-Überwachung unter Protest des Virenprogramms abgeschaltet. Es gab trotzdem keine Mails von GMX. Auch nach einem Neustart nicht - man probiert ja alles. Die Einstellungen sind korrekt wie zu Zeiten der Version 24.6.0. Außerdem habe ich einen kleinen Raspberry PI testweise als IMAP-Server im lokalen Netz laufen. Der bedient sich auch bei GMX, allerdings löscht er dort nichts. Ich habe unter TB auf dem Windows-Rechner einen Account für den IMAP-Server eingerichtet. Sicherheitseinstellungen gegenüber GMX und Raspi sind identisch (SSL/TLS, Passwort, normal).


    Unter TB's "Extras, Aktivitäten" gibt es jede Menge Hinweise auf Vorgänge, die einwandfrei gelaufen sind. Bei einem exotischen Account bemängelt er etwas wegen eines Regelverstoßes, aber die endlose, aber fruchtlose Verbindung zu GMX nimmt er kommentarlos hin.


    Beim Studium der Changelogs (soweit das beim mir sinnvoll ist) ist mir nichts Verdächtiges aufgefallen. Ich hoffe ja, dass dieses Verhalten nicht als ultimative Sicherheitsmaßnahme eingefügt wurde. Aber mir fällt nichts mehr ein, was ich ausprobieren könnte.


    Hat vielleicht jemand ein Eingebung?

  • Vielen Dank für die schnelle Antwort.


    Ich habe mich an die Verfolgung der üblichen Verdächtigen - Virenscanner und Firewall gemacht.
    Kaspersky hat die Obhut über die Firewall auch übernommen. Ich hatte geglaubt, dass die normale Firewall von Windows läuft. Wie auch immer, es war keine Bremse in den Einstellungen der Firewall und der Beobachtung des Netzverkehrs allgemein wie auch bei der Scannerei zu erkennen. Thunderbird war als rundum vertrauenswürdig eingestuft, obwohl Kaspersky berücksichtigt hatte, dass die neuere Version erst einen Tag drauf ist. Und in Europa nur von 10 (!) Rechnern ausgeführt würde. Die niedrige Zahl wird wohl daran liegen, dass kein Kaspersky-Nutzer mit TB 3.1.* klar kommt.
    Kaspersky zeigt keine veranlassten Blockierungen, das gilt für alle seine Bestandteile. Es ist auch nicht erkennbar, dass an den Ports geschraubt wurde.


    Windows behauptet auch, von Nichts zu wissen. Ich konnte weder der Netzwerkeinstellung noch der Ereignisanzeige etwas Sinnvolles zu dem Thema entlocken.


    Ich habe die Email-Pflege durch Kaspersky abgestellt, keine Änderung. Ich habe den Webscan-Teil auch abgeklemmt, keine Besserung. Ich habe den ganzen Kaspersky disabled, keine Änderung (alle Tests natürlich auch nach Neustarts).


    Bei GMX habe ich in meinem Account gestöbert. Dort war aufgelistet, dass von außen zu dem Zeitpunkt 17 Fehlversuche stattgefunden hatten.


    Passwort ist OK, schließlich kann ich Mails versenden. GMX hat die versuchte Verbindungaufnahme auch bemerkt und zuordnen können - einen Versuch mit Telnet habe ich mir also erspart.


    Mehr Optionen fallen mir nicht ein. Die Installation auf einem anderen Rechner dürfte kein Licht ins Dunkel bringen. Thunderbird bemerkt die Erfolglosigkeit seines Saugversuchs nicht einmal, jedenfalls geht er still drüber weg.


    Ich werde also eine pragmatische Lösung wählen, wieder an meine Mails zu kommen. Vielleicht gewöhne ich mich an Raspi ;-)


    Vielen Dank noch einmal


    Joachim

  • Hallo Joachim,


    Zitat von "oldjoe46"

    Vielleicht gewöhne ich mich an Raspi


    Keine schlecht Idee. Ich bin immer wieder begeistert, was mit diesen kleinen Ding und 512 MB RAM so alles geht. (Eigentlich sollte es mich nicht wundern. Schließlich läuft ja ein Linux drauf :-))


    Die Fehlversuche, die gmx meldet, würde ich zunächst immer so deuten, dass das Passwort nicht korrekt war. Ich gehe aber davon aus, dass Du das längst geprüft hast und ausschließen kannst. Für das Senden über SMTP benutzt Du zwar dasselbe Passwort, im TB musst Du es aber für beide Server getrennt hinterlegen. Falls Du also für den POP ein Tippfehler im Passwort hast, kann das Senden dennoch funktionieren.


    Wie bedient sich denn der Pi bei gmx? Holt er die E-Mails direkt dort ab oder hast Du einen zusätzlichen Sammeldienst und der Pi holt von dort ab? Falls er direkt abholt, kannst Du die Einstellungen zur Sicherheit ja nochmals vergleichen.


    Bleibt nach wie vor der Kaspersky. Auch wenn Du ihn deinstalliert hast, bleiben möglicherweise immer noch Zertifikate übrig und/oder verbogene Proxy-Einstellungen im TB. Da würde ich also auch noch mal schauen.
    Beides wirst Du im Zweifelsfall dadurch los, indem Du ein ganz neues Profil anlegst. Der Kaspersky hat sich möglicherweise auch im Zertifikatsspeicher des Windows verewigt. Das sollte dem TB aber meines Wissens nicht weiter interessieren.


    Gruß


    Susanne

  • Hallo SusiTux,


    auf dem Raspberry PI holt fetchmail die Mail von GMX und zwei anderen Servern. Den Rest machen Dovecot und Postfix, bei <5W im Dauerlauf.


    Unter Windows gibt es eben was zu erforschen. Z.B bei Kaspersky beschäftigt man sich auch mit dem Problem http://forum.kaspersky.com/ind…7&view=findpost&p=2294821.


    Die Ausführungen sind recht aufschlussreich und lassen erkennen, welcheTechniken überhaupt von den Antivirenleuten eingesetzt werden. Wäre eigentlich schön wenn die sich mit den Mail-Client-Programmierern zusammensetzen würden, als nur auf beiden Seiten mit der Glaskugel zu arbeiten. Ich habe nun auch alles gemacht, was dort angeregt wurde (interne Einstellungen, Zertifikate importiert). Aber keine der angebotenen Varianten funktioniert hier. Der Konjunktiv bei den Beschreibungen ist aber auch recht häufig.


    Die Zertifikate hat Kaspersky sowohl beim Firefox als auch beim Thunderbird untergebracht. Nach der Crypto-Vorstellung ist es ja auch wohl der konsequente Weg, die Verschlüsselung richtig schwer knackbar zu machen. Obwohl ich bisher nicht durchschaut habe worin der Mehrwert liegen soll, wenn eine SSL-Verbindung auf demselben Übertragungsabschnitt noch einmal einer weiteren SSL-Prozedur unterzogen werden muss/sollte.


    Unlogisch ist natürlich, dass mit dem Abschalten all dieser zusätzlichen Bearbeitungsschritte, die Thunderbird/den Provider aus dem Tritt bringen, praktisch keine Änderung des Systemverhaltens erreicht wird, mit oder ohne Reboot. Aber diese Nebenwirkungen habe ich schon bei AntiVir, bei Avast und nun auch bei Kaspersky gemacht. Das Abschalten eines Sicherheitsmoduls führt oft nicht zum Abschalten im Sinne von wirkungslos machen des Moduls. Die einzige sichere Folge des Abschaltens ist das Auftauchen eines mahnenden Zeigefingers, der übelste Folgen dieser Tat prophezeit.


    Ich versuche es noch etwas. Ein völlig rund laufender Rechner ist ja auch stinklangweilig...


    Joachim

  • Zitat von "oldjoe46"


    Mehr Optionen fallen mir nicht ein.


    Hallo Joachim :)


    in Deiner Aufzählung fehlt mir der saubere Systemstart.


    Zitat


    Vielen Dank noch einmal


    Keine Ursache.
    Gruß Ingo

  • Hallo Joachim,


    Zitat von "oldjoe46"

    Obwohl ich bisher nicht durchschaut habe worin der Mehrwert liegen soll, wenn eine SSL-Verbindung auf demselben Übertragungsabschnitt noch einmal einer weiteren SSL-Prozedur unterzogen werden muss/sollte.


    Einen Mehrwert bzgl. der Verschlüsselung hast Du dadurch natürlich nicht. Es ist aber die einzige Möglichkeit für den AV-Scanner, sich in die zuvor verschlüsselte Verbindung einzuklinken und die E-Mail zu scannen. Du kannst es Dir so vorstellen, als ob der TB die E-Mail zusätzlich auch an den AV-Scanner schickt als Empfänger schicken würde. Dieser hat seinen eigenen öffentlichen Schlüssel bzw. sein eigenes Zertifikat.


    Zitat von "oldjoe46"

    Das Abschalten eines Sicherheitsmoduls führt oft nicht zum Abschalten im Sinne von wirkungslos machen des Moduls.


    Ja, davon war hier im Forum schon mehrmals zu lesen. Der von Ingo vorgeschlagene saubere Systemstart sollte hier für einen Test Abhilfe bringen. Ich würde den AV-Scanner zumindest für die Ursachenforschung einmal komplett entfernen und ein neues Profil verwenden.


    Zitat von "oldjoe46"

    Den Rest machen Dovecot und Postfix, bei <5W im Dauerlauf.


    Wir haben zwei der kleinen "Wunderdinger". Einen nutzt mein Mann und kann dank der GPIO-Schnittstelle endlich wieder mit Lego und Fischertechnik spielen, natürlich nur der Buben wegen.
    Den anderen haben wir als "Server" ständig im Netz, allerdings nur intern. Darauf laufen ein Apache, MySQL und Wordpress, ein Chatserver (ejabberd) und sonstige "Experimente".


    Gruß


    Susanne

  • Hallo Susanne,


    Zitat

    Einen Mehrwert bzgl. der Verschlüsselung hast Du dadurch natürlich nicht. Es ist aber die einzige Möglichkeit für den AV-Scanner, sich in die zuvor verschlüsselte Verbindung einzuklinken und die E-Mail zu scannen. Du kannst es Dir so vorstellen, als ob der TB die E-Mail zusätzlich auch an den AV-Scanner schickt als Empfänger schicken würde. Dieser hat seinen eigenen öffentlichen Schlüssel bzw. sein eigenes Zertifikat.


    Wenn sich der AV-Scanner als "Mithörer" dazwischen hängt dürfte es aus der Sicht des Mailers legitim sein, das mit all seinen Mitteln zu unterbinden. Könnte ja jeder kommen...


    Zitat

    Der von Ingo vorgeschlagene saubere Systemstart sollte hier für einen Test Abhilfe bringen.


    Was ist ein sauberer Systemstart? Ich habe den Rechner jeweils heruntergefahren und dann neu gestartet. Vor ein paar Monaten hatte ich Probleme mit anderen Programmen: VMware ließ sich nicht installieren, Amazon Prime Instant Video hatte auch seine Macke. Das Deinstallieren der Programme und deren Verwandter, Säubern der Registry, Vermeidung von Vollmond, Beachtung des Tidenhubs und was man sonst so versucht - nix zu machen. Ich habe das System einfach neu aufgesetzt (nicht so ganz, aber das hat das Teufelchen wohl nicht mitbekommen). Danach lief alles, obwohl Rechner und Programme unverändert waren.


    Ich wollte den massiven Aufwand (ich wohne auf dem Rechner) nicht wegen der Verständigungsschwierigkeiten der Fraktionen der Mailer und AV-Scanner auf mich nehmen. Nach Murphy's Gesetz ist das Problem flächendeckend in dem Augenblick gelöst, in dem ich mit meiner Prozedur fertig bin :-)


    Joachim

  • Hallo Susanne,


    die Anweisungen von MS zum 'sauberen Neustart' kannte ich nicht. Wieder aws dazu gelernt. Der Link dorthin funktioniert allerdings nicht (bei mir). Habe es aber gefunden http://support2.microsoft.com/kb/929135/en. Dabei fiel mir auf, dass die Übersetzung ins Deutsche zu Nr.3 im Text zumindest missverständlich ist.
    Im Original:
    3. On the General tab, click the Selective startup option, and then click to clear the Load startup items check box. (The Use Original Boot.ini check box is unavailable.)
    auf Deutsch http://support2.microsoft.com/kb/929135/de
    3.Klicken Sie auf der Registerkarte Allgemein auf die Option Benutzerdefinierter Systemstart , und deaktivieren Sie dann das Kontrollkästchen Systemstartelemente laden . (Das Kontrollkästchen Ursprüngliche Boot.ini verwenden ist nicht verfügbar.)


    Vielleicht ist der Unterschied ja nicht groß :-)


    Das Problem beruht offenbar auf Differenzen bei den SSL-Authentifizierungsprozeduren. Der Verdacht kann da eigentlich nicht auf Treiber des Betriebssystems fallen. Die Neustarts mache ich bei Windows seit 3.11 routinemäßig um sicher zu gehen, dass evtl. geänderte Startparameter erfasst werden. Nur das einzelne Programms neu zu starten ist unter Windows etwas unsicher. Die ganze Registry will schließlich verinnerlicht werden.


    Die bisher angebotenen work-arounds zu diesem Thema führen durchweg dazu, dass man auf den eigentlich erwarteten Sicherheitsgewinn erstmal verzichtet, in dem die verdächtige Funktion abgestellt wird, damit kein Fehler auftritt. Im Kaspersky-Forum wurden Ende Juli über wenige Tage von den Forumsmitgliedern über ein halbes Dutzend "Lösungen" proklamiert, die aber jeweils am Folgetag als nicht allgemein funktionierend zurück gezogen wurden. Inzwischen ist Oktober, eine allgemeine, funktionierende Lösung gibt es noch nicht. Wer die ganze Zeit am Ball geblieben ist, hat allerdings einen bedeutenden Zugewinn an Erfahrung zu verzeichnen.


    Da ich zwischendurch auch an meine Emails kommen wollte, hatte ich damals wieder auf 24.6.0 zurückgesetzt. Da wohl viele "Internet security"- Programme mit dem Problem kämpfen, haben entweder alle diese Unternehmen Fehler in ihrem Code, oder nur Mozilla hat unsauber programmiert.
    Der Quellcode von Thunderbird ist ja frei zugänglich. Leider fehlt mir das Konw-How, so einen Riesenschinken an Software überhaupt zu handeln und außerdem habe ich weder SSL- noch code-mäßig eine Ahnung, was ich wo ändern sollte.


    Fazit: Ich bin ziemlich auf schlauere Mitmenschen angewiesen. Deshalb habe ich jetzt wieder die Version 24.6.0 eingespielt.


    Joachim

  • Hallo Joachim,


    Zitat von "oldjoe46"

    Der Link dorthin funktioniert allerdings nicht (bei mir).


    Hab's gerade nochmal probiert. Funktioniert einwandfrei. Geht er inzwischen auch bei Dir, oder hat Dein System vielleicht ein verstecktes Problem?


    Zitat von "oldjoe46"

    Dabei fiel mir auf, dass die Übersetzung ins Deutsche zu Nr.3 im Text zumindest missverständlich ist.


    Ich habe gerade kein Windows vor mir, um die genauen Bezeichnung zu überprüfen, aber an der Übersetzung kann ich nichts missverständliches finden. Viel wichtiger wäre außerdem die Antwort auf die Frage, ob Du diesen sauberen Systemstart denn nun durchgeführt hast und was das Resultat war.


    Zitat von "oldjoe46"

    Das Problem beruht offenbar auf Differenzen bei den SSL-Authentifizierungsprozeduren.


    Nun, der Thunderbird kann mit diesen Prozeduren ganz sauber umgehen. Das klappt bei Millionen von Benutzern seit vielen Jahren fehlerfrei.
    Abgesehen von falschen Passwörter usw. treten Probleme nur dann auf, wenn ein Virenscanner seine "Man-in-the-Middle-Attacke" fährt und versucht, sich in eine verschlüsselte Verbindung einzuhacken.
    Ich denke nicht, dass man dieses Problem im TB lösen sollte, durch welche Tricks auch immer. Im Gegenteil, meiner Meinung nach sollte ein Mailclient alles tun, so ein Einbrechen zu verhindern, selbst wenn der Benutzer zur Bestätigung auf "Ja, ich vertraue diesem Zertifikat" klickt.


    Diese Probleme tauchen auch wieder auf, bevorzugt nach Updates. Jüngstes Beispiel war GDATA. Auch da ging plötzlich nichts mehr. Hier im Forum haben sich die Anwender ausgeweint. GDATA hat ziemlich schnell einen Patch veröffentlicht, und schon kehrte auch wieder Ruhe ein.


    Was ich damit sagen will ist, dass diese Schwierigkeiten durch die Virenscanner verursacht werden und durch den in meinen Augen sinnlosen Scan während der Übertragung.
    Ich persönlich würde unter Windows nicht auf einen Virenscanner verzichten. Diesen Online-Scan würde ich aber in keinem Fall nutzen.


    Zitat von "oldjoe46"

    Deshalb habe ich jetzt wieder die Version 24.6.0 eingespielt.


    Das ist nicht gerade die beste Idee. Damit tauscht Du einen Pseudo-Schutz gegen real existierende Sicherheitslücken ein.


    Ich empfehle Dir einen radikalen Test: Deinstalliere den AV-Scanner komplett. Lösche im TB alle damit in Zusammenhang stehenden Zertifikate. Wenn das Problem dann immer noch bestehen sollte, dann hast Du entweder doch einen Fehler in den Einstellung (siehe oben zu den zwei Passwörtern) oder auf Deinem Rechner ist noch mehr unstimmig.




    Gruß


    Susanne

  • Hallo Susanne,


    ich glaube, wir können es kurz fassen: Es funktioniert mit Thunderbird 31.1.2 mit Kaspersky 15.0.1.415 unter Window 7 Ultimate 64 Bit.


    Woran lag's? Zunächst mal wieder von 24.6.0 auf 31.1.2 umgestellt. Ich habe in Kasperskys Foren gestöbert und einiges ohne Erfolg probiert. Aber ein Hinweis wirkte sehr passend: Es war wohl die Version 15.0.0.463, die im Juli aktuell war, als Thunderbird seinen Sprung auf die 31 gemacht hat. An einer Stelle wird geraten, alte Zertifikate von Kaspersky aus den Beständen von Thunderbird zu entfernen. Ich hatte drei Zertifikate: Juli, August, Oktober 2014. Die erste bei mir installierte Variante von Kaspersky war die .463. Ich habe gestern die neueste Version (..1.415) herunter geladen und über die vorhandene Variante installiert. Jaja, ich weiß. Keine saubere Installation. Die beiden ältesten Zertifikate gelöscht und Kaspersky wieder so eingestellt, dass sichere Verbindungen untersucht werden.


    Das war's. Abholung der Post klappt. An welchem der beiden gelöschten Zeritifikat es nun lag, weiß ich nicht. Auch was exakt zu der Störung geführt hat, habe ich aus dem Kaspersky-Forum nicht ersehen können.


    Vielen Dank Susanne, dass Du so hartnäckig warst und mich am Basteln gehalten hast :-)


    Jetzt muss ich Thunderbird optisch noch etwas herrichten.


    Joachim

  • Hallo oldjoe46,


    fein, dass nun allles funktioniert. Und danke für die Rückmeldung. Die Lösung hättest Du aber 10 Tage früher haben können:


    Zitat von "SusiTux"

    Bleibt nach wie vor der Kaspersky. Auch wenn Du ihn deinstalliert hast, bleiben möglicherweise immer noch Zertifikate übrig


    :mrgreen:


    Viele Grüße


    Susanne