Ich scheine zur Zeit kein Händchen in Sachen Netzwerk zu haben. Seit heute sperrt mein Speedport W921V regelmäßig eine bestimmte IP. Da dort einige meiner E-Mail Konten liegt und auch die Homepage sowie deren Verwaltung heißt es dann in Safari plötzlich Server nicht erreichbar und in Mail haben die Konten Ausrufezeichen. Nach Neustart des Speedport ist wieder alles gut – bis der Spediert die Seite dann wieder sperrt. Im Log ist absolut nichts zu finden. Ich gehe auch mal davon aus, dass ich im Speedport nirgends eine Whitelist anlegen kann.
Bleibt wirklich nur der Neustart?
Haben die Fritzboxen eine Whitelist?

Ich hatte mal die Situation, daß ein Speedport (723W o.ä.)keine iCloud Mails durchlassen wollte. In den Einstellungen des Routers habe ich dann einen Bereich gefunden, in dem sich das lösen ließ. Kann Dir leider nicht mehr genau sagen, wie ich da hingekommen bin - aber schwer zu finden war es eigentlich nicht. Hast Du's denn mal versucht?

Hatte kürzlich auch das Phänomen bei einer Kundin, dass immer wieder die Sende-Ports (25, 465 und 587) gesperrt wurden.

Letztlich stellte sich heraus, dass das an ihrem Speedport-Router lag.

Es gibt dort bei der Firewall Einstellungen, die man definitiv deaktivieren sollte.

Zum einen der E-Mail-Filter, zum anderen aber auch die "Sicherheitsstufen 1 und 2" (einfach keine von beiden aktivieren).

Danach mal noch eine neue IP bekommen (den Router neu mit dem Internet verbinden), und alles sollte wieder funktionieren wie gewünscht.

PS: Bei dem E-Mail-Filter des Speedport gibt es eine Whitelist (nennt sich dort "Zulassungsliste"), diese stellte sich aber als höchst unzuverlässig heraus. Deshalb besser gleich komplett deaktivieren.

In den aktuellen Speedports existiert unter den Internet-Optionen eine "Liste der sicheren EMail-Server", die für die grossen Portale voreingestellt ist. Eigene Server müssen hier mit eingetragen werden. Entweder bleibt übrig, die "Liste der Sicheren EMail-Server" komplett zu deaktivieren oder den FQDN des eigenen EMail-Servers dort einzutragen.

Wichtig: Der Speedport prüft rein prinzipbedingt nicht den Vorwärts-Namen des gewünschten eigenen Mailservers, sondern löst die IP-Adresse(n) per Rückwärtsübersetzung auf. Daher muss der tatsächliche Name des Mailservers aus seiner IP-Adresse bzw. müssen gegebenenfalls bei multiplen IP-Adressen alle relevanten Namen ermittelt werden.

Beispiel anhand von GMX (Terminal.app):
Relevant ist, was der DNS PTR-Record zurück liefert. Dann klappt es auch mit der Whitelist.

Noch ein Hinweis: die Telekom hat dieses Feature eingeführt, um Spam einzudämmen. Wird der Filter im Router deaktiviert und wird ein Rechner im internen Netz zur Müllschleuder, sperrt die Telekom rabiat die für SMTP üblichen Ports zentral (993/995 wurden nmE bisher bei der Sperre ausgelassen). Bis dann EMail abseits von Webmail wieder läuft, vergeht eine Weile.

Hm, die Einstellungen zu "Liste der sicheren EMail-Server“ sind mir von den Fritzboxen her bekannt. Der Spediert sperrt aber nicht nur die Mail-Ports sondern jegliche Kommunikation mit der IP. Es geht dann auch Port 80 nicht und 443 sowie 8443 auch nicht.
In meinem Speedport gibt es nur Filter und Zeitschaltung sowie Portfreischaltung. In beiden Bereichen ist nichts angelegt oder aktiv. Der Bereich Firewall liefert nur eine Infoseite.

Mein Speedport hat definitiv keine Einstellmöglichkeiten zu Firewall oder zu E-Mail. Laut Abfrage die neuste Firmware. Alte Hardware?

Ich liebe meine Fritzbox ...

Hast Du schon mal versucht die Firewall vom Spediert komplett auszuschalten?

jogoto
Der 921 hat die hier diskutierte Funktion noch nicht.

Aus zwei Gründen nein:
1. hab ich keine (sichtbare) Möglichkeit dazu (siehe Bild / nur eine Info Seite ohne Köpfchen und Häkchen).
2. ist das laut vieler Diskussionen zum Thema keine gute Idee, da es doch inzwischen massive Angriffe aus dem Netz gibt.

Rocki
Deswegen meine Frage ob die Fritzbox eine Whitelist hat, mir der ich die Kommunikation zu einer bestimmten IP auf allen Ports zulassen kann.

Ah, danke, welcher dann? Mein Speedport ist gemietet. Wenn es was neueres gibt, was mir hilft, kann ich ihn tauschen.

Hast du deine Tests alle vom selben Rechner gemacht, sprich hast du sichergestellt das es der Speedport ist der sperrt oder nur der / dein Rechner "keinen Bock" hat. Also sowohl mal von einem anderen Rechner prüfen oder einfach mit einem "2. Router" testen sofern vorhanden.

Weitere Alternative:
- Den Speedport nur als Modem nutzen und mit PPoE die Einwahl vom Mac nutzen.
- Dein Anbieter sperrt. Dann braucht dessen Hotline einen dezenten Tritt in den Allerwertesten

Nicht nur das, ich hab auch den gleichen Rechner an mein iPhone gehängt, also einen anderen „Router“ verwendet, und es ging alles.
Geht nicht wegen Entertain.Erst dachte ich beim lesen, kann ja nicht sein, weil ein Neustart des Speedport den Fehler behebt aber ich bekomme ja auch eine neue IP. Auf welcher Basis sperrt denn die Telekom? IP oder Anschluss / Anmeldedaten?

Ich hätte noch etwas weiter oben mit Lesen beginnen sollen... Das Problem ist wohl nicht nur der Versand von EMail. Mal schauen. Ich würde mit dem Troubleshooting ganz klassisch beginnen.

Wenn es nach dem Reboot des Routers (ich würde vermuten, auch nach einem Re-Connect, was aber zu prüfen wäre) kurz funktioniert, dann wäre als erstes ein "traceroute" hilfreich. Beispiel:
Sofern der Server und alle Hops auf dem Wege nicht gerade ICMP filtern (heute gern genutzte Unart), dann spuckt Traceroute den gesamten Weg aus (Gegenvergleich mit traceroute zu www.google.de).

Den Vorgang solltest Du wiederholen, sobald das Ganze wieder hakt. Damit kannst Du erkennen, an welchem Punkt die Pakete blockiert werden. Wenn wir das wissen, lässt sich die Diskussion weiter zu bringen.

Eine ausgangsseitige adaptive Sperre hat der Speedport 921 nicht. Mögliche Ursachen sehe ich bei der Telekom und im Server selbst bzw. einer möglicherweise vorgelagerten Firewall des Hosters. Sehr beliebt sind im solventen kommerziellen Bereich Geräte wie die Tipping Point (Hardware-Firewall mit FPGA und ellenlangen Signaturen) oder Monster wie die Palo Alto als Filterlösungen.

Wir können später auch gern noch im Bereich "Fragmentierung" schauen, ob sich da etwas tut.

Das weiß ich noch vom letzten Problem, traceroute funktioniert nur bis zum Hoster aber nicht bis zum Server.Das ist eine sehr gute Idee. Dazu muss ich aber erst wieder das Szenario herstellen, das zur Sperre geführt hat. Da bin ich auch schon auf der Spur und kann es mit ziemlicher Sicherheit provozieren.
Den Teilen traue ich mittlerweile alles zu. Du glaubst nicht, was mir Telekomtechniker schon alles erzählt haben, was technisch anscheinend gar nicht sein kann und es offensichtlich trotzdem passiert. Im Server selbst hab ich blöder Weise gar nicht nachgeschaut, da ich ihn ja nicht erreichen konnte. Muss mal prüfen, ob der bei einer Sperre auch Port 80 sperrt. Das wäre natürlich das Naheliegenste!
Danke für den vielen Input! Manchmal ist man halt so auf eine Idee fixiert, dass man den Wald vor lauter Bäumen nicht sieht.

Hatten wir schon DNS? Auch mal testen ob bloß www.xxx.zzz nicht geht oder auch sofern bekannt ,it fester Ziel-IP gestsperrt wird.