SMTP / IMAP Anfragen über die UTM bei einem bestimmten E-Mail-Provider funktionieren nur gelegentlich, 0x800CCC0E

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
dcmuc
Beiträge: 2
Registriert: Fr 22.04.2022, 21:49

SMTP / IMAP Anfragen über die UTM bei einem bestimmten E-Mail-Provider funktionieren nur gelegentlich, 0x800CCC0E

Beitrag von dcmuc »

Hallo in die Runde.

Ich habe ein seltsames Problem auf der Securepoint UTM, auf das ich keine Lösung finde:

An allen 9 Windows Clients mit Outlook im Netzwerk funktioniert die SMTP und IMAP Verbindung zu unserem E-Mail-Provider nur alle paar Stunden und dann nur für ein paar Minuten.
Die restliche Zeit meldet Outlook: 0x800CCC0E, Fehler: Die Verbindung zum Server kann nicht hergestellt werden.
Dieser Fehler deutet darauf hin, dass Portnummer und Verschlüsselungsmethode nicht zueinander passen.
Interessanterweise funktioniert es aber alle paar Stunden für ein paar Minuten, ohne dass vorher die Einstellungen geändert werden. Dann kommen plötzlich an allen 9 Clients die E-Mails an und es werden die Nachrichten verschickt, die im Postausgang liegen geblieben sind.
Bei E-Mail-Accounts, die bei anderen Providern gehostet sind, tritt das Problem nicht auf (da funktioniert alles einwandfrei).
Das Problem tritt unabhängig davon auf, ob die UTM hinter einer FritzBox oder hinter einem VDSL-Modem Betrieben wird (Doppel-NAT kann also nicht Schuld sein).
Alle E-Mail-Ports wurden in der Firewall freigegeben.
Das Problem tritt ebenfalls auf, wenn die Auslieferungs-Firewall-Regel „Internes Netzwerk auf Internet freigeben any“ aktiviert wird. Ein Fehler in der Firewall-Konfiguration sollte also nicht die Ursache sein.
Die E-Mail-Filter befinden sich im Auslieferungszustand, wurden also nicht konfiguriert.
Das Internet (Browser) funktioniert zu jeder Zeit ohne Probleme. Eine gestörte Internetverbindung sollte also nicht die Ursache sein.
Wenn die Clients direkt an einen normalen Router gehängt werden (FritzBox anstatt UTM, Router am Heimarbeitsplatz) gibt es keinerlei Probleme mit der E-Mail-Übertragung. Dies funktioniert bei jedem der 9 Clients.

Das Problem tritt also nur auf, wenn über die UTM auf die E-Mail-Postfächer eines bestimmten Providers zugegriffen wird (in Kombination).
Die Auswertung des Netzwerkverkehrs mit tcpdump am WAN-Port der UTM-Firewall zeigt, dass die Clients zwar fortlaufend IMAP Anfragen über den Port 993 an den E-Mail-Server senden, diese aber nie oder fast nie beantwortet werden.
Ich habe eine Anfrage an den E-Mail-Provider gesendet, warum die besagten IMAP-Anfragen (die über die UTM laufen) nicht beantwortet werden, weiß aber nicht, in wieweit ich da eine nützliche Antwort erhalten werde. Schließlich tritt das Problem an "normalen" Routern nicht auf, sondern nur hinter der UTM.

Ich habe den Verdacht, dass die UTM irgendetwas an den IMAP und SMTP Anfragen per SSL bzw. TLS „verändert“, so dass sie von diesem bestimmten E-Mail-Provider verworfen werden.
Die FritzBox bzw. die anderen Router die getestet wurden leiten die IMAP und SMTP Anfragen einfach unverändert zum E-Mail-Provider durch, und werden daher problemlos beantwortet.
Ist das denkbar?
Verändert die UTM im Auslieferungszustand ohne konfigurierte E-Mail-Filter etwas an SSL bzw. TLS verschlüsselten IMAP und SMTP Anfragen?
Ich habe es in der Anleitung so verstanden, dass sämtliche E-Mail-Filter erst konfiguriert werden müssten, was ohne einen eigenen E-Mail-Server zu betreiben und die MX-Einträge zu verändern mit IMAP-Postfächern gar nicht sinnvoll möglich ist?
Welche Funktionen müsste ich in der UTM deaktivieren bzw. verändern, um sicher zu stellen, dass die IMAP und SMTP Anfragen die UTM so verlassen, wie sie rein gekommen sind?

Vielen Dank.

Grüße, Dennis

dcmuc
Beiträge: 2
Registriert: Fr 22.04.2022, 21:49

Beitrag von dcmuc »

Ergänzung:
Ich habe eine Nachricht vom E-Mail-Provider erhalten: 

"Ich habe mir das mal angeschaut und festgestellt, dass sich alle paar Minuten ein Client hinter der IP mit Port 587 verbindet und dann gleich die Verbindung wieder beendet:
Deswegen landet die IP dann jede Stunde binnen Sekunden wieder auf der Blacklist."

Es sieht also danach aus, dass die UTM nicht wie zuerst vermutet etwas an SSL bzw. TLS "verändert", sondern bestimmte SMTP-Verbindungen sofort wieder "kappt" , nachdem sie aufgebaut wurden.

Welche Funktion bzw. welche Einstellung der UTM könnte für dieses Verhalten verantwortlich sein?

Benutzeravatar
Mario
Securepoint
Beiträge: 935
Registriert: Mi 04.04.2007, 10:47
Wohnort: Bäckerei

Beitrag von Mario »

Auf den ersten Blick: Wahrscheinlich keine. Die Firewall laesst diese Anfragen direkt durch. Wenn der POP3-Proxy eingeschalten ist und POP3 verwendet werden wuerde oder falls der Transparente Proxy aktiv ist fuer HTTP und/ oder HTTPS, dann wuerde die Firewall fuer diese entsprechenden Protokolle etwas aendern. Sonst nicht. Fuer IMAP & Co gibt es gar keine Filtermechanismen dieser Art.

Mir faellt hier nur ein: MTU ausgehend pruefen. Oder schauen, ob es vielleicht der intern verwendete Virenscanner ist. Einige Virenscanner bringen Netzwerkscanner mit, die sich tief eingraben und auch nicht vollstaendig abschalten lassen. Unter Umstaenden ist hier eine SSL-Interception das Problem.

Oder Support-Ticket erstellen. Dann schauen wir uns das einmal an.
Mit freundlichen Grüßen

Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de

Antworten