Plötzlich Probleme mit dem Email-Service

T

telekomiker

New Member
Hallo Leute,

ich habe unter ISPconfig eine Mail-Domain angelegt, die Mail-Konten von meinem bisherigen Mail-Provider via imapsync problemfrei übernommen und alle meine lokalen Geräte in Sachen Thunderbird und Android Email umgestellt. Alles lief einen Tag lang völlig problemfrei bis heute Mittag. Plötzlich kann kein Mail-Client eine Verbindung aufbauen bzw. fortsetzen. Selbst der Zugang über RoundCube wird mit der Fehlermeldung "Ungültige Anfrage! Es wurden keine Daten gespeichert." quittiert.

Ein Blick via System->Show Mail Log zeigt Fehlermeldungen (Ausschnitt) wie
May 12 19:20:48 ispc dovecot: imap-login: Disconnected (no auth attempts in 0 secs): user=<>, rip=UnbekannteIP lip=MeineServerIP, session=<AmJDr3al1Pm5mcbv>
May 12 19:20:50 ispc postfix/smtpd[12067]: timeout after AUTH from unknown[UnbekannteIP2]
May 12 19:20:50 ispc postfix/smtpd[12067]: disconnect from unknown[UnbekannteIP2] ehlo=1 auth=0/1 rset=1 commands=2/3
May 12 19:20:53 ispc postfix/smtpd[12265]: connect from unknown[UnbekannteIP3]
May 12 19:20:59 ispc postfix/smtpd[12265]: warning: unknown[UnbekannteIP3]: SASL LOGIN authentication failed: UGFzc3dvcmQ6
May 12 19:20:59 ispc postfix/smtpd[12265]: disconnect from unknown[UnbekannteIP3] ehlo=1 auth=0/1 rset=1 quit=1 commands=3/4
May 12 19:21:28 ispc dovecot: imap-login: Login: user=<User1@Meine.Domain>, method=PLAIN, rip=MeineDynuHomeIP, lip=MeineServerIP, mpid=12311, TLS, session=<4wGksXal8uayjpa9>
May 12 19:21:33 ispc dovecot: imap-login: Login: user=<User2@Meine.Domain>, method=PLAIN, rip=MeineDynuHomeIP, lip=MeineServerIP, mpid=12318, TLS, session=<IOmwsXal9uayjpa9>
May 12 19:21:36 ispc dovecot: imap-login: Login: user=<User3@Meine.Domain>, method=PLAIN, rip=MeineDynuHomeIP, lip=MeineServerIP, mpid=12319, TLS, session=<w4fYsXal+uayjpa9>
May 12 19:21:38 ispc dovecot: imap-login: Disconnected (auth failed, 3 attempts in 10 secs): user=<User4@Meine.Domain>, method=PLAIN, rip=MeineDynuHomeIP, lip=MeineServerIP, TLS, session=<k3CmsXal9Oayjpa9>
May 12 19:21:44 ispc postfix/smtpd[12067]: connect from unknown[UnbekannteIP2]
May 12 19:21:50 ispc postfix/smtpd[12067]: warning: unknown[UnbekannteIP2]: SASL LOGIN authentication failed: UGFzc3dvcmQ6
May 12 19:21:50 ispc postfix/smtpd[12067]: disconnect from unknown[UnbekannteIP2] ehlo=1 auth=0/1 rset=1 quit=1 commands=3/4
May 12 19:21:54 ispc postfix/smtpd[12265]: warning: hostname 104.2.dialup.mari-el.ru does not resolve to address 77.40.2.104: Name or service not known
May 12 19:21:54 ispc postfix/smtpd[12265]: connect from unknown[77.40.2.104]
May 12 19:21:56 ispc postfix/smtpd[12265]: warning: unknown[77.40.2.104]: SASL PLAIN authentication failed:
May 12 19:22:00 ispc postfix/smtpd[12265]: lost connection after AUTH from unknown[77.40.2.104]
May 12 19:22:00 ispc postfix/smtpd[12265]: disconnect from unknown[77.40.2.104] ehlo=1 auth=0/2 commands=1/3
May 12 19:22:35 ispc postfix/smtpd[12067]: connect from unknown[45.142.195.7]
May 12 19:22:43 ispc postfix/smtpd[12067]: warning: unknown[45.142.195.7]: SASL LOGIN authentication failed: UGFzc3dvcmQ6

(In den ersten Zeilen habe ich die mir unbekannten IP's noch ersetzt, später nicht mehr.)

Ein Blick via System->Show Mail Warn-Log zeigt Fehlermeldungen (Ausschnitt) wie

May 12 19:20:59 ispc postfix/smtpd[12265]: warning: unknown[45.142.195.7]: SASL LOGIN authentication failed: UGFzc3dvcmQ6
May 12 19:21:50 ispc postfix/smtpd[12067]: warning: unknown[45.142.195.7]: SASL LOGIN authentication failed: UGFzc3dvcmQ6
May 12 19:21:54 ispc postfix/smtpd[12265]: warning: hostname 104.2.dialup.mari-el.ru does not resolve to address 77.40.2.104: Name or service not known
May 12 19:21:56 ispc postfix/smtpd[12265]: warning: unknown[77.40.2.104]: SASL PLAIN authentication failed:
May 12 19:22:43 ispc postfix/smtpd[12067]: warning: unknown[45.142.195.7]: SASL LOGIN authentication failed: UGFzc3dvcmQ6
May 12 19:23:40 ispc dovecot: auth: Warning: auth client 0 disconnected with 1 pending requests: EOF

Ein Blick via System->Show Mail-Error Log zeigt Fehlermeldungen wie
May 12 15:53:16 ispc dovecot: auth-worker(669): Error: mysql(localhost): Connect failed to database (dbispconfig): Can't connect to local MySQL server through socket '/var/run/mysqld/mysqld.sock' (2) - waiting for 1 seconds before retry
May 12 15:53:16 ispc dovecot: auth-worker(669): Error: mysql(localhost): Connect failed to database (dbispconfig): Can't connect to local MySQL server through socket '/var/run/mysqld/mysqld.sock' (2) - waiting for 1 seconds before retry
May 12 15:53:17 ispc dovecot: auth-worker(669): Error: mysql(localhost): Connect failed to database (dbispconfig): Can't connect to local MySQL server through socket '/var/run/mysqld/mysqld.sock' (2) - waiting for 5 seconds before retry
May 12 15:53:17 ispc dovecot: auth-worker(669): Error: mysql(localhost): Connect failed to database (dbispconfig): Can't connect to local MySQL server through socket '/var/run/mysqld/mysqld.sock' (2) - waiting for 5 seconds before retry

Was kann der Grund für dieses Verhalten sein und was kann ich tun, um das Ganze wieder zum Laufen zu bringen und am Laufen zu halten?

Besten Dank Im Voraus !

Telekomiker
 
T

telekomiker

New Member
Hi nowayback,

besten Dank für die schnelle Antwort. Leider funktioniert der Restart nicht. Ich hatte meinen Server auch schon neu gebootet. half leider nicht ... :-|
 
N

nowayback

Well-Known Member
dann sollte der fehler in den logfiles stehen

Can't connect to local MySQL server through socket '/var/run/mysqld/mysqld.sock' (2) - waiting for 5 seconds before retry sagt, dass keine Verbindung zum MySQL Server möglich ist. Das kann daran liegen, dass der nicht läuft. Wenn der nicht läuft, muss man in den Logs nachlesen können, warum das der Fall ist.
 
T

telekomiker

New Member
Hallo, Hallo,

Interessanterweise laufen Applikationen wie Nextcloud und Dokuwiki völlig problemlos. Mit PHPadmin kann ich auch auf die Datenbank zugreifen. Leider bin ich noch nicht tief genug drin, um Logfiles wirklich analysieren zu können. Woraus muss ich denn achten?

By the way: ich vermute mal, einfach die Backups der einzelnen Konten zurück zu spielen wird nicht bringen, oder ?!?

Mit besten Grüßen
Telekomiker
 
T

telekomiker

New Member
Hallo Till,

ich habe an den Servereinstellungen nichts verändert. Interessanter Weise stelle ich heute morgen fest, dass ich mit Thunderbird wieder auf die Mailboxen zugreifen kann, aber über Roundcube nicht !?!

Ich habe mal die mir unbekannten IP-Adressen (s.o. System->Show Mail Warn-Log) gegoogelt und dabei festgestellt, dass es sich um eine Adresse handelt, von der derzeit DDoS-Attacke kommen. Kann das die Funktion beeinträchtigen, z.B. Zugriffsprobleme auf die Datenbank?

Eigentlich hatte ich angenommen, dass Euer beeindruckendes ISPconfig 3 Brute-Force-Angriffe bewältigt ?!?

Und zum Schluss: Till - wie kann ich bei Dir als Privatmann Support einkaufen ?

Beste Grüße

Telekomiker
 
T

telekomiker

New Member
Und soeben nochmal getestet: plötzlich geht auch wieder der Zugang via Roundcube. Das verstehe mal einer. Also mal besten Dank bis hierher. Die Frage nach der Brute-Force-Festigkeit bleibt aber.

Und ich habe noch ein weiteres Verständnisproblem: warum fragt der Anmeldeschirm von Roundcube auch noch nach dem Server. Das hatte ich noch nie ?!?

809


Besten Dank im Voraus !

Telekomiker
 
T

Till

Administrator
Zitat von telekomiker:
Die Frage nach der Brute-Force-Festigkeit bleibt aber.
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Die hat aber nichts mit ISPConfig zu tun. ISPConfig ist ein Controlpanel das Konfigurationsdateien für Dienste schreibt, ISPConfig ist keine Netzwerkkomponennte die den Traffic zu Deinem Server kontrolliert oder die Log Files anderer Dienste überwacht, dafür dibt es andere Software. ISPConfig selbst ist z.B. gegen Brute-Force abgesichert, aber das hat nichts mit Deinem Problem mit dem Mail system zu tun, denn das Mailsystem besteht aus Postfix und Dovecot. Postfix und Dovecot sind auch abgesichert, über Fail2ban, wenn Du es richtig installiert hast, dann schließt Fail2ban ports wenn die Anzahl der in fail2ban konfigurierten Fehlversuche überschritten wurde. Und außerdem muss man sagen, dass so ein Schutz sehr relativ ist, denn was beim einen server die normale Auslastung ist, zwingt einen anderen in die Knie. Hängt also sehr von der leistungsfähigkeit Deines Servers ab und wie Du MariaDB konfiguriert hast.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Werbung

Top