Weiterhin "timeout"

    Um Rückfragen vorzubeugen, bitten wir um folgende Angaben:
    * Thunderbird-Version:45.7.1
    * Betriebssystem + Version:Win7, 64b, Ultimate
    * Kontenart (POP / IMAP): IMAP
    * Postfach-Anbieter (z.B. GMX): OVH
    * Eingesetzte Antiviren-Software: KIS '17
    * Firewall (Betriebssystem-intern/Externe Software):
    * Router-Modellbezeichnung (bei Sende-Problemen): Neatgear Nighthawk X4S, 2600, VDSL/ADSL

    Moin,

    seit einigen Wochen laborieren wir jetzt an diesem Problem:
    Alle 2-3 Tage können keine mails mehr versendet werden (SMTP timeout). Erst nach einem Neustart geht es dann wieder.
    Wir haben bereits das Konto aufgeräumt und natürlich auch die Untersuchung der ausgehenden mails durch KIS abgeschaltet.
    Die einzige Veränderung, die wir erreicht haben ist, dass es sich vorher in Stufen verschlechtert hatte (erst gingen keine mails mit Anhang raus, dann keine mit der alten Korrespondenz).
    Hat noch jemand Vorschläge?

    Grüße
    Sven

    Hallo Sven!

    Ich kann natürlich nur eine Vermutung äußern, aber in deinem Fall ist es wirklich eine recht üble.

    Wenn du, ohne dass du grundsätzliche Änderungen an der Konfiguration des Thunderbird vorzunehmen, "ab und an und einige Tage" Mails versenden kannst, dann gehe ich einfach mal davon aus, dass deine Einstellungen im Thunderbird und auch auf deinem Rechner insgesamt völlig korrekt sind. Noch dazu, wenn du diese IMHO sinnfreie Überwachung der verschlüsselten Verbindungen zu den Mailservern durch deinen VA-Scanner bereits deaktiviert hast. Auch den danach erforderlichen Neustart deines Rechners hast du ja zwischenzeitlich durchgeführt (mehrere Tage ...).

    Meine Vermutung (!) geht dahin, dass du dir irgendwelchen Schadcode "eingefangen" hast, welcher deinen Rechner zum unfreiwilligen Mitglied eines Botnetzes umgewandelt hat und der jetzt (ohne dass du es bemerkst!) sofort nach dem Einschalten durch seinen neuen Herren fernbedient wird und massenweise SPAM versendet.
    Als Reaktion darauf sperren aufmerksame Provider deiner IP die für SMTP vorgesehenen Ports und stoppen damit wirksam die von deinem Rechner ausgehende SPAM-Flut.

    Das ist, wie schon geschrieben, meine Vermutung. Leider entspricht diese meistens der Tatsache.


    Lösung:
    Du musst unbedingt diese Vermutung entweder widerlegen oder bestätigen.
    Der Schnelltest ist, zuerst im Router die dir zugeteilte offizielle IP heraussuchen und aufschreiben. Dann den Router durch Ziehen der Stromversorgung auszuschalten. Ein paar Minuten warten und eine neue Internetverbindung aufbauen, in der Regel bekommst du dabei eine neue IP, was du wieder im Router überprüfst - die Sache macht nur Sinn, wenn du wirklich eine andere IP bekommen hast.
    Nun startest du sofort den Thunderbird und versuchst, eine Mail zu versenden.
    Wenn dieses problemlos funktioniert, dann ist das ein starkes Indiz für meine Vermutung! Dann, wenn diese Vermutung zutrifft, erkennt der Provider die SPAM-Schleuder sehr bald und macht wieder dicht.

    Der nächste Schritt wäre, mal den Provider anzurufen. Fragen, ob vlt. die SMTP-Ports bei deiner IP gesperrt wurden. Bei einem seriösen Provider schaut dann ein Techniker nach. Das machen aber nicht alle Provider ... .

    Und dann würde ich, um ganz sicher zu gehen, den Rechner mit einer speziellen DVD starten. Diese DVD ("desinfe´t" aus dem Heise-Verlag) startet ein Linux und aus diesem Betriebssystem heraus drei bis 4 unterschiedliche tagesaktuelle AV-Scanner. Nur, wenn diese nichts gefunden haben, kannst du deinen Rechner als clean betrachten. Ein AV-Scan von einem unter dem laufenden Windows gestarteten Scanner ist absolut nicht aussagefähig, weil "moderne" Schadsoftware, welche bereits auf dem Rechner installiert ist, den Scanner perfekt täuschen kann. Darauf solltest du dich also keinesfalls verlassen.


    Das mach bitte mal, und dann sehen wir weiter.

    Ich wünsche dir, dass ich mich irre ... .


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

    Hallo Peter,

    vielen Dank für Deine Antwort.
    Das mit der Schadsoftware können wir aber ausschliessen. Da ist unser Provider in der Tat sehr rigoros.
    Ich benutze auch ein Notebook mit VPN/Proxy-Software ("Hotspot Shield"). Da hatte ich am Montag eine Hong Kong-IP die vor 12 Monaten wohl für eine DDoS-Attacke benutzt wurde und schon wurden wir komplett gesperrt und konnten nicht einmal das Login vom Provider erreichen. Auf Anfrage hat uns der Provider mitgeteilt, dass unser Konto keinen ungewöhnlichen Traffic aufweist.
    Sollten wir also eine SPAM-Schleuder sein, würden wir das sehr schnell merken.
    Das Problem scheint auch nur bei mails aufzutauchen, die eine Antwort sind.

    Gruß
    Sven

    Nun, ich freue mich über deine Sicherheit und deinen Optimismus.
    Ich persönlich halte es lieber so, dass ich mich überzeuge.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

    Hallo Desaster Area,

    Zitat von Desaster Area

    Gibt es die DVD noch irgendwo anders?


    meines Wissens nein!

    Höre Dich doch einfach mal in Deinem Bekannten- und Freundeskreis um, ob jemand die c't abonniert hat oder regelmäßig kauft. Der/Die kann Dir ja dann die desinfec't-DVD mal leihweise zur Verfügung stellen.

    Gruß
    Feuerdrache

    „Innerhalb der Computergemeinschaft lebt man nach der Grundregel, die Gegenwart sei ein Programmfehler, der in der nächsten Ausgabe behoben sein wird.“
    Clifford Stoll, amerik. Astrophysiker u. Computer-Pionier

    Charmante Idee, aber ich wohne gerade in Polen. Hier geht die Anzahl der c't-Abonnenten sicher gegen Null...
    Morgen schlägt unser externer IT-Mann zum 2. Mal bei uns zur Problemlösung auf.
    Nächste Woche kommt dann ein neuer "Fachmann" ...

    Das kann selbstverständlich (als Notlösung bei Nichtvorhandensein der desinfec´t-DVD) auch verwendet werden.

    Dabei wird natürlich nur ein einzier AV-Scanner genutzt (bei desinfec´t sind es vier, auch der "Kaspersky" ist da dabei). Aber wie bei der desinfec´t bootet hier von der DVD ein von installierten Windows unabhängiges Betriebssystem, was schon den großen Unterschied macht.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

    Ein sorgfältiger Virenscan schadet nicht. Für mich sieht das Fehlerbild allerdings nicht nach einem "Bot-Befall" aus. Wenn es ein Spam-Bot wäre, dann würde der Provider den SMTP-Versand wohl komplett sperren, unabhängig von der IP.

    @graba
    Der Einkauf im Heise-Shop endet IMMER mit einem Link zu PayPal. Eine Auswahl ist nicht möglich.
    Allerdings war der Kundenservice so freundlich meine Bestellung manuell zu generieren und hat mr dann die Bankdaten für eine normale SEPA-Überweisung gemailt.
    desinfec't kommt also nächste Woche.
    Obwohl ich mir den Befall des Rechners eigentlich nicht vorstellen kann ...
    Das Problem würde dann vermutlich immer auftauchen und nicht nur bei mails mit Anhang.

    Gruß
    Sven

    Zitat von Desaster Area

    Obwohl ich mir den Befall des Rechners eigentlich nicht vorstellen kann ...

    Aber dann weißt du mit der für dich maximalen Sicherheit, dass dies so ist. Ist doch auch was wert, oder?
    Ich werde grundsätzlich bei eigener Hilfeleistung an fremden Rechnern und natürlich auch hier im Forum immer zuerst prüfen (lassen), ob ein Befall mit Schadcode vorliegt oder mit hoher Wahrscheinlichkeit ausgeschlossen werden kann. So viel Zeit sollte sein.

    Zitat von SusiTux

    Wenn es ein Spam-Bot wäre, dann würde der Provider den SMTP-Versand wohl komplett sperren, unabhängig von der IP.

    Kann sein, muss es aber nicht.
    Wir hatten hier genügend Beispiele im Forum, wo der Versand von Mails nach dem IP-Wechsel ein kurze Zeitspanne problemlos funktionierte. Deshalb betrachte ich diesen (schnellen, unkomplizierten und kostenlosen) Test zumindest als ein Indiz.

    Ich kann mich sogar an einen Forenbeitrag erinnern, wo der User (sinngemäß) schrieb, dass ihm sein Provider auf seine Anfrage hin mitgeteilt hat, dass dieser ihm wegen "verdächtiger und stark übermäßiger" Nutzung des :25 diesen Port gesperrt hat, und ihm den Hinweis gab, einfach auf 587 auszuweichen! (BTW: eine aktuelle Fritz!Box bietet auch eine entsprechende Option, indem sie den :25 von sich aus sperrt. Das beseitigt zwar nicht das Schadprogramm, aber meistens dessen Wirkung. Zumindest so lange, wie deren Entwickler nicht auch auf :587 umstellen.)


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

    Zitat von Peter_Lehmann

    Ich kann mich sogar an einen Forenbeitrag erinnern, wo der User (sinngemäß) schrieb, dass ihm sein Provider auf seine Anfrage hin mitgeteilt hat, dass dieser ihm wegen "verdächtiger und stark übermäßiger" Nutzung des :25 diesen Port gesperrt hat,

    Das ist das, was ich angesprochen habe. Der Provider sperrt in der Regel nicht die IP, weil die sich ja eh täglich ändert, sondern das Konto oder, wie in diesem Beispiel, halt den Port.
    Das ist hier aber laut Aussage der Providers nicht der Fall. Der hat ja nicht einmal etwas Verdächtiges beobachtet. Einen Spam-Bot halte ich daher für sehr unwahrscheinlich.

    Die c't DVD ist ja noch in der Post, aber trotzdem habe ich mit unserem externen IT-Mann am Wochenende nochmal 2 Stunden am Problem gebastelt.
    Wir haben uns mal den Router vorgenommen, aber dort auch nichts auffälliges gefunden.
    Die Symptome haben sich aber verändert.
    Nach dem Neustart ist immer nur eine einzige (Antwort-)email möglich, egal ob mit oder ohne Anhang.
    Über "Verfassen" mit Adresse aus dem Adressbuch geht es ohne Neustart. Es sind also nur Antwort-mails von dem Timeout betroffen.
    Dabei ist es egal, ob die vorhergehende Korrespondenz gelöscht wurde oder nicht.
    Das Problem besteht, wie wir gerade herausgefunden haben, auch bei einem weiteren PC in meinem Büro.
    Könnt ihr damit die Fehlerquelle etwas eingrenzen?

    Gruß
    Sven

    Einmal editiert, zuletzt von Desaster Area (28. Februar 2017 um 14:14)

    Hallo Sven,


    vor gaaaanz langer Zeit (Anfang/Mitter der 80er) stand in der Spezifikation für SMTP noch nichts über eine Authentisierung am SMTP-Server. Es konnte also jeder nach Gutdünken über jeden Postausgangsserver senden. (Es gab damals nur kaum jemanden, der das ausnutzen konnte.)

    Als erste Möglichkeit einer Authentisierung (es wurde wohl so langsam notwendig ...), wurde "SMTP after POP" eingeführt.
    Das bedeutet: der Client konnte nach seiner Anmeldung am Posteingangsserver (also dem Abholen oder "Nachsehen") für einen kurzen Zeitraum mit der zum Abholen benutzen IP auch Mails versenden. Und nach wenigen Minuten war es damit vorbei.
    Sinn dahinter: die erfolgte Anmeldung am POP-Server wurde für ein paar Minuten auch zum Senden genutzt - weil ja die Postausgangsserver noch keine Möglichkeit zur Authentisierung kannten.

    Heute (seit gefühlten 20 Jahren) gibt es echte Auth. am SMTP.

    Prüfe:
    - ob wirklich dem Mailkonto der korrekte SMTP-Eintrag für genau dieses Konto zugewiesen wurde.
    - ob die Einstellungen hinsichtlich der Auth.-Daten (Benutzername und Passwort sowie Art der Authentisierung) exakt stimmen.

    Nicht, dass ein alter SMTP immer noch "SMTP after POP" kennt, und dich mit den falschen Auth.-Daten kurzzeitig senden lässt. Möglich wäre das nämlich!


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

    Ich habe noch eine Zusatzfrage.

    Zitat von Desaster Area

    Es sind also nur Antwort-mails von dem Timeout betroffen.


    Enthält die ursprüngliche Mails externe Inhalte, z.B. Grafiken? Falls ja, kann der TB auf diese zugreifen?

    Zitat von Desaster Area

    Ich verwende keinen POP-Server, sondern IMAP. Ist es dann genauso?

    Diese Frage kann ich dir nicht beantworten. Das alte Verfahren ist so alt, dass es heutzutage keiner mehr nutzt. Ich gehe aber davon aus, dass auch "SMTP after IMAP" funktionieren dürfte. Aber genaues weiß ich nicht.

    Auf jeden Fall kann es nichts schaden, die SMTP-Einstellungen noch einmal penibel zu überprüfen.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!