Willkommen im Rechenzentrum

Menu

Telekom Kunden können plötzlich keine Mails über Ihre TUHH Mailadresse versenden

Frage:

Warum kann ich als Telekom Kunde von zuhause plötzlich keine Mails über meinen TUHH Account mehr verschicken? Die Fehlermeldung lautet: Connection timed out, Ablaufzeit überschritten, u. ä.

Antwort:

Eine Firewall in den Speedport-Routern der Telekom blockiert den Zugriff auf Port 587 des Mailservers der TU. Das Problem trat gehäuft nach der Jahreswende 2016/17 auf, war aber auch schon vorher zu beobachten. Denkbar, dass viele Nutzer erst in den Weihnachtsferien die Zeit fanden, ein Firmware-Update auf ihrem Router durchzuführen oder das Problem an uns zu melden. Oder das die Telekom unbemerkt von den Nutzern ein Update, möglicherweise in Zusammenhang mit der Großstörung Ende November 2016, ausgerollt hat.

Die Kurzfassung: Loggen Sie sich bitte auf Ihrem Speedport ein und deaktivieren Sie das Feature "sichere E-Mail-Server" oder tragen Sie den Mailserver der TU in die Whitelist ein.
Eine genauere Anleitung können wir leider hier nicht liefern, fragen Sie am besten die Suchmaschine Ihres Vertrauens oder Tante Google: sichere e-mail-server speedport

Hintergrund: Die Telekom hat in den von ihr vertriebenen Speedport-Routern ein Feature eingebaut, dass den Zugriff auf Port 25 und 587 nur zu bestimmten, in eine Liste eingetragene Mailserver erlaubt. Vertreten sind dort natürlich die Server der Telekom und diverse andere große Provider wie web.de, Yahoo, Google, GMX, und viele mehr..
Das ganze nennt sich "sichere E-Mail-Server". Die TU allerdings ist viel zu unbedeutend, als dass Sie Aufnahme in diese Liste fände.

Kritik: Warum das dem Endkunden größere Sicherheit bescheren soll bleibt ein Rätsel. Den größten Nutzen davon hat höchstwahrscheinlich nur die Telekom, weil so verseuchte Rechner daran gehindert werden, aus dem Telekom-Netz heraus ihre Spammails an beliebige Rechner in der Welt zu verschicken. Und sich daher auch weniger Mailprovider bei der Telekom über Spam beschweren.

Auch ist die technische Realisierung nicht hinreichend erklärt oder die Erklärung zu schwer aufzufinden.
Z.B. lassen die beobachteten Timeouts vermuten, dass die Sperre über Firewall-Regeln auf dem Speedport erreicht wird. Und auf den diversen im Netz zu findenden Screenshots ist zu erkennen, das die Liste der Server aus DNS-Namen besteht. Firewalls arbeiten aber normalerweise mit IP-Adressen. Und DNS-Namensauflösungen haben nur eine beschränkte zeitliche Gültigkeit, größenordnungsmäßig Minuten oder Stunden. Wann genau erfolgt also die Namensauflösung der DNS-Namen zu IP-Adressen? Nur beim Start des Speedport? Regelmäßig einmal am Tag? Bei jedem Zugriff auf Port 25 oder 587? Wenn man also mail.tu-harburg.de in die Liste der erlaubten Server einträgt und der Server ändert seine IP-Adresse, müssen dann alle Nutzer Ihre Speedports neu starten?

Ebenso rätselhaft bleibt, warum Port 25 und Port 587 geblockt werden. Port 25 wird nur für Server-zu-Server Kommunikation genutzt und dessen Sperrung würde nur Malware treffen, ansonsten aber von den meisten Nutzern unbemerkt bleiben.
Port 587 hingegen dient der Kommunikation von Mailprogrammen mit dem Mailserver und ist in in der Regel per Authentifizierung vor unbefugter Nutzung geschützt. Könnte also von Malware nur genutzt werden, wenn diese eh schon in Besitz des Passwortes oder des sonstigen Authenticators ist.
Und was ist mit Port 465? Dieser Port wird genauso wie Port 587 zum Mailversand genutzt, nur der Aufbau der Verbindungsverschlüsselung erfolgt etwas anders. Mangels eines Speedport-Routers konnten wir nicht überprüfen, ob auch dieser Port geblockt wird, aber da er in den Berichten im Netz nicht erwähnt wird besteht der Verdacht, dass dieser Port inkonsequenterweise nicht geblockt wird.
Diese Sperre sorgt nur für Unzufriedenheit bei den Kunden und unnötigem Supportaufwand bei Administratoren von Mailservern die nicht auf der Whitelist stehen. So auch bei der TUHH.

Und was viel schwerer wiegt: Im Falle eines Malware-Befalls bleibt der Rechner des Endkunden trotz der Sperre verseucht und kann von der Malware oder dem Botnetz-Betreiber statt für Spam-Versand ungestört auch für viele andere kriminelle Aktivitäten genutzt werden.