Plötzlich kein email versand mehr möglich - "Network unreachable"???

[servilianus]

Also langsam bin ich mit meinem Latein am Ende.

Hatte mir den Mail-Server eingerichtet - und bis vor wenigen Tagen war die Versendung von Mails problemlos möglich.

Meine Voraussetzungen:

- feste IP bei Unitymedia, IPv4
- beim Domain-Inhaber alles richtig eingerichtet, Domain und subdomains (mail.meinname.de) löst richtig auf
- Auf keinerlei Blacklists gelistet.
- Alle Einstellungen wie DKIM etc sind richtig und funktionieren
- EMPFANG von Mails funktioniert
- VERSAND von Emails ist plötzlich nur noch über den Relay-Server (googlemail) möglich

wenn ich ohne Relay Mails versenden möchte, erhalte ich im ssh folgende Fehlermeldung: (hier als Beispiel Versand an googlemail.de):

2018-04-11T02:22:13+02:00 Heimserver postfix/qmgr[25509]: D18797630: from=<mail@meinname.de(also meine email-adresse)>, size=499, nrcpt=1 (queue active)
2018-04-11T02:22:13+02:00 Heimserver postfix/smtp[30172]: connect to gmail-smtp-in.l.google.com[2a00:1450:400c:c04::1a]:25: Network is unreachable
2018-04-11T02:22:13+02:00 Heimserver postfix/smtp[30172]: connect to gmail-smtp-in.l.google.com[74.125.206.27]:25: Connection refused
2018-04-11T02:22:13+02:00 Heimserver postfix/smtp[30172]: connect to alt1.gmail-smtp-in.l.google.com[74.125.131.26]:25: Connection refused
2018-04-11T02:22:13+02:00 Heimserver postfix/smtp[30172]: connect to alt1.gmail-smtp-in.l.google.com[2a00:1450:4010:c0e::1b]:25: Network is unreachable
2018-04-11T02:22:13+02:00 Heimserver postfix/smtp[30172]: connect to alt2.gmail-smtp-in.l.google.com[74.125.68.26]:25: Connection refused
2018-04-11T02:22:13+02:00 Heimserver postfix/smtp[30172]: D18797630: to=<xyz@googlemail.com>, relay=none, delay=2161, delays=2161/0.11/0.17/0, dsn=4.4.1, status=deferred (connect to alt2.gmail-smtp-in.l.google.com[74.125.68.26]:25: Connection refused)

Fritzbox neu gestartet, Portweiterleitungen 25 / 465 / 587 eingerichtet.

Wieso ist das googlemail-Netzwerk plötzlich unreachable??? Warum wird die Verbindung abgelehnt?

Habe den Syno-Mailserver mal deinstalliert und neu installiert - ohne Effekt....

also wenn ich das richtig interpretiere - der Mail server Postfix versucht einmal über Ipv4 eine Verbindung aufzubauen, scheitert - dann über ipv6 eine Verbindung aufzubauen - scheitert.


Warum denn das ???

Weiss hier jemand einen Rat?

Kanns an der Fritz-Box liegen (was ich nicht glaube) - oder an Unitymedia? Irgendwo scheitert der Postfix-Server mit der Verbindungsherstellung. Und das urplötzlich, vor wenigen Tagen. Aber warum geht dann der Versand über den Googlemail-Relay?

Danke Euch!

 

[servilianus]

Nachtrag von mir: Ich kann die Ports 465 / 587 anpingen. In der Firewall sind auch alle entsprechenden Ports geöffnet. Selbst wenn ich die Firewall komplett abschalte, bringt es nichts...
Und noch ein etwas seltsamer Effekt: Ich habe ja mal den Mailserver komplett deinstalliert - und dann wieder neu installiert. Aber: Er ist dann nicht frisch und leer - sondern es sind dann dort die früheren Einträge wieder vorhanden

 

[Fusion]

Ohne IPv6 in Fritzbox und NAS kannst du auch keine IPv6 Gegenstelle erreichen, deshalb das "network unreachable" denke ich.

Für IPv4 ein connection refused zwischen der DS und dem Google Server.
Hast du mal von der DS aus per Telnet auf Port 25 des google Servers probiert ob du da durchkommst, oder mit einer traceroute oder ähnlichem wo auf der Strecke die Kommunikation hakt?

 

[servilianus]

Ja klar, IPv6 verstehe ich, dass es da keine Verbindung gibt. IPv4 mit meiner festen Leitung jedoch nicht. Nachdem ich bis heute morgen um 4 Uhr erfolglos an allen möglichen Einstellungen herumgeprockelt habe, habe ich in meiner Verzweifelung Unitymedia angerufen. Und die sagten mir, mmh, Ihre Uplink-Werte schauen gar nicht gut aus - irgendein Uplink-Kanal bei denen funktioniere nicht richtig. Und dies könnte verursachen, dass mein Postfix-Mail-Server keine Verbindung nach aussen erhalte bzw. keinen Handshake mit der Gegenstelle machen könne. Also darauf wäre ich ja nie gekommen - wenn es daran liegt, was zu hoffen ist.
Aber Deinen Tip per Telnet und Port 25 werde ich ausprobieren.
Danke.

---> EDIT: Genau der Tip, per Telnet mal den Port 25 zu checken hat mich weitergebracht: Der Port 25 ist zwar von aussen anpingbar, der Port ist offen, aber die Fritzbox leitet von/über diesen Port nichts weiter. Es betrifft tatsächlich nur diesen einen Port 25. Ich habe die Portweiterleitung mal deinstalliert, die FB auch komplett neu gestartet - keine Änderung. Nun ein Ticket bei AVM aufgemacht...

 

[servilianus]

Hallo Leute. Wenn Posts hier schreien könnten, würde es gerade mal sehr laut werden.

Nach eineinhalb Tagen Gemurkse, einer kurzen Nacht, stunden vor dem Computer habe ich jetzt das Problem gefunden. Vorausgeschickt: Dahin war es ein langer Weg - und die Lösung war so einfach. Erstmal Unitymedia. Die waren - ja, ich habe den Business-Tarif - echt bemüht. Aber leider falsch bemüht. Die sagten mir 1.) könnte am schlechten Uplink liegen. Wahrscheinlich in der Vermittlungsstelle eine Fehler. Dann hieß es 2.), nein, Vermittlungsstelle ist gut - wir schicken einen Techniker vorbei, zum durchmessen. Der kommt morgen.
Dann war der Vorschlag 3.) von Unitymedia: Ja, sie haben ja das Anrecht auf zwei feste IPs. Also eine feste IP wäre dann ausschließlich für ihre Synology/Email-Server, der Router würde dann dafür zum Gateway, und mit der zweiten festen IP könnnen Sie dann alle anderen Geräte im Netzwerk ansprechen. So kommt es dann zu weniger Störungen und das Email-Problem sei gelöst.

Ich habe extra nachgefragt, ob ich das richtig verstanden habe: Die Fritzbox bleibt für eine IP-Nummer ganz normaler DHCP-Server/Nat, für die zweite IP dann - nur für die Synology - der Gateway? Ja, genau so.

Unitymedia hat dann den Router umgestellt. Ergebnis: Ich kam im heimischen Netzwerk nicht mehr auf die Fritzbox-Oberfläche. Anruf bei Unitymedia. Mitarbeiter: Tja seltsam. Sie müssen im Browser die neue IP eingeben. Geht nicht. Dann geben Sie mal die Notfall-IP der Fritzbox ein. Geht nicht. Ja klar, Sie dürfen sich nicht im LanPort 1 der Fritzbox einstöpseln, da die ja für die feste, neue, zweite IP-Adresse für die Synology reserviert ist (?). Rufen Sie dann wieder an.

Klappt alles nicht, Anruf bei Unitymedia, neuer Mitarbeiter: Tja, der Kollege hat offenbar nicht wirklich Ahnung. Die Fritzbox ist jetzt gar kein Router mehr, sondern komplettes Gateway. Sie müssten sich für Ihre Zwecke jetzt schon einen eigenen Router kaufen. Bitte? Und diese Lösung mit zwei IPs würde so gar nicht in NRW funktionieren. OK, ich: Bitte machen Sie alles rückgängig. Er: Machen wir gerne, aber die alte IP-Adresse bekommen Sie nicht zurück, die ist aufgelöst.

Heisst jetzt: Ich bin auf dem Stand von heute morgen, muss aber überall die neue feste IP-Adresse einpflegen. (Apps, Strato etc.). Und muss bei Unitymedia fürs Emailen einen neuen Antrag auf Reverse DNS für die neue feste IP-Adresse abgeben.

Dann bei AVM Fritzbox angerufen: Guten Tag, der Port 25 ist ansprechbar, aber er leitet nicht weiter in der Fritzbox. Deswegen kann ich keine Mails mehr über Port 25 verschicken. Mitarbeiter: Ja, da gab´s bestimmt ein Firmware Update. Ich: kann nicht sein, ist eine Fritzbox von Unitymedia, die lassen sich wirklich Zeit mit Updates. Er: Merkwürdig, bitte schicken Sie mir die Log-Dateien.

OK.

Irgendwie bin ich dann durch googlen auf die Lösung gekommen, und ich könnte weinen, da ich wegen diesem kleinen Haken so viel wertvolle Lebenszeit vergeudet habe: In der Fritzbox unter Internet - Filter - Listen - gibts die Einstellung: "Email Filter über Port 25 aktiv". Das war plötzlich angehakt. Haken rausgenommen. Die Verbindung klappt.

Warum mir das weder von Unitymedia und vor allem: Bei AVM/Fritz keiner sagen konnte - ich weiss es nicht. Aber jetzt gehe ich ins Bett uns schlafe mal aus.

 

[Fusion]

Ist ja fast so geil wie die SMTP-Server-Filterliste in den Speedports. Die hast garantiert auch jedes mal vergessen, wenn es wichtig ist.
Und wie sich so Einstellungen von alleine ändern können, AVM Magic.

Freut mich, dass du heute besser schlafen kannst.

 

[Ar-Al]

In der Fritzbox unter Internet - Filter - Listen - gibts die Einstellung: "Email Filter über Port 25 aktiv". Das war plötzlich angehakt. Haken rausgenommen. Die Verbindung klappt.

Ich habe mal bei meiner FB 7590 nachgesehen (auch in meinen eigenen Dokumentationen) und da ist die Option standardmäßig nicht aktiviert, nur die beiden Optionen NetBIOS-Filter und Teredo-Filter. Alle Anbieter- und AVM-Dienste sind bei mir deaktiviert, also kann nichts vom Provider vorkonfiguriert werden.

Wenn ich einen Transportfehler suche, nehme ich erstmal auf einem PC einen einfachen Mail-Client (z.B. Outlook Express unter Windows 10) und versuche damit über alle entsprechenden Empfangs- und Sende-Ports Mails direkt mit einem Mailserver im Internet (z.B. GMX) auszutauschen. Hattest Du das mal probiert?

Mails sendet man doch verschlüsselt z.B. über Port 465 oder 587. Warum verwendest Du unverschlüsselt Port 25?

 

[Fusion]

@Ar-Al - Ports habe nur indirekt mit der Verschlüsselung zu tun.
Es ist richtig, dass die Ports 465 und 587 eben nur für SMTP-TLS bzw 587 nur allgemein für email Übertragung definiert sind.
Ebenso wie eben 25 ursprünglich für SMTP gesetzt war und ist.
https://www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.xhtml

ABER, die Server-Server Kommunikation zwischen MTAs (email-servern, mail-transfer-agent) läuft im Normalfall über Port 25, egal, ob dabei Verschlüsselung zum Einsatz kommt oder nicht.
Port 465 und 587 kommt eben zwischen dem MUA (User Agent, Email Client) und dem MTA (SMTP Server) zum Einsatz.
https://de.wikipedia.org/wiki/Simple_Mail_Transfer_Protocol

 

[servilianus]

Genau, dies ist ja auch auf der SSH-Ebene ablesbar, der Email-Server versucht über den Port 25 einen Handshake. Wenn der natürlich, wie bei mir in der Fritzbox, gesperrt war, ist eine Kommunikation nicht möglich -und die Meldung: Connection refused erscheint. Das Problem war, dass nur mit der Meldung: "xyzmailanbieter 25: Connection refused" gar nicht klar war, wo der Verbindungsfehler lag (im Email-Server, Fritzbox, bei Unitymedia, eigenes Lan-Netz etc.). Ich verstehe nur einfach nicht, wie über Nacht die Kabel-Fritze mir einen Haken in dem Filter-Listen-Menü machte, was ich bisher nicht wirklich kannte. Na ja, jetzt muss ich halt noch den Reverse-DNS-Antrag bei Unitymedia für die neue feste IP abwarten - dann geht´s auch wieder mit den eigenen Mails...

 

[Ar-Al]

@Ar-Al - Ports habe nur indirekt mit der Verschlüsselung zu tun.

Vielen Dank für die Infos. Also geht die Verschlüsselung über Port 25 auch von Server zu Server, was ja auch sehr wichtig ist und leider erst sehr spät auf vielen großen Mailservern eingerichtet wurde.

@servilianus
Ich empfehle, die Anbieter- und AVM-Dienste zu deaktivieren. Ich richte auch fast nie die Boxen mit Start-Codes oder anderen Providerfunktionen ein. Nach jedem Update je FRITZ!Box-Typ kontrolliere ich wirklich alle Einstellungen und gleiche sie mit meinen eigenen Dokumentationen ab.