Outpost Firewall blockiert Mozilla Thunderbird

#1 Prost,

ich wüde mich freuen wenn mir Jemand helfen könnte diese seltsame Blockade zu beheben. Die Outpost Fw ist die beste Fw die ich bis jetzt hatte, aber sie lässt mich einfach keine Mails abholen. Ich verwende als Regel für Thunderbird das eMail Client preset und habe noch eine extra Regel hinzugefügt, weil Thbrd gerne ein loopback auf 127.0.0.1 machen wollte. Ich habe den Loopback ohne Porteinschränkung freigegeben. Die Firewall fordert auch keine weiteren Regeln an. Trotzdem wird Thbrd blockiert und im Outpost Log erscheint das:

[01:04:38 thunderbird.exe OUT REFUSED TCP localhost (remote) 1110 (remote) localhost (local) 1150 (local) THUNDERBIRD Regel #1]

Die Regel #1 ist selbst erstellt, aber das kann ja eigentlich nur nutzen.

kann sich das hier wer erklären???

Danke
mfg

le BOB

#2 Puh...das Drama scheint sich "local" abzuspielen. Kann es sein, dass die Regel für´s Loopback nur für UDP freigegeben ist und/oder aus Versehen nur für eingehende Verbindungen definiert ist.
__________
Durchsuchen --> Aussuchen --> Untersuchen

#3 Das Problem liegt möglicherweise darin, dass Du die Ports 1110 und 1150 nicht freigegeben hast.

Deaktiviere oder lösche einmal alle Regeln für Thunderbird. Dann schalte die Firewall auf "Lernmodus" um. Optionen => Sicherheit => Regelassistent.

Wenn Du jetzt Thunderbird startest und Deine Mails abrufst, dann zeigt Dir der Regelassistent an, welche Regeln zu erstellen sind.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#4 Danke für eure schnelle Antwort,

leider hat es das Problem noch nicht beseitigt :-(
ich habe den Loopback in beide Richtungen per TCP freigegeben sogar ohne den Port vorzugeben und den Lernmodus habe ich auch schon probiert. Leider auch ohne Erfolg. Eigentlich hat Thbrd alle Regeln die es Haben will. Wenn ich die Firewall auf "diesem Progremm immer vertrauen" einstelle, geht es obwohle das Prog ja dann auch nicht mehr macht als ich ohnehin erlaubt habe!?! Aber das kann ja nicht der Zweck einer Firewall sein, dass alles ungefragt durchkommt!

Also, weitere gute Vorschläge sind willkommen :-)

mfg
le BOB

#5 Mmh! Das ist merkwürdig! Könnte mir nur vorstellen, dass es u.U. an irgend einer globalen Regel (DNS o.ä.) liegt.
Ansonsten vielleicht das Problem einmal im Outpost Forum zur Diskussion stellen.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#6 Also ich benutze Outpost Pro (V25375.4822) mit Thunderbird 1.02. Bei mir wurden die Regeln automatisch erstellt und die lauten:

Send mail TCP OUT SMTP
receive mail TCP OUT POP3,POP3S
IMAP connection TCP OUT IMAP
HTTP connection TCP OUT 80-83,HTTPS,SOCKS,PROXY:3128,PROXY:8080,PROXY:8088,AOL4
Localhost Connection TCP OUT 127.0.0.1 (255.255.255.255)
read news TCP OUT NNTP

Wenn du nachsiehst, dann gibt es die von dir oben angegebenen Ports nicht. Außerdem wird, wie du siehst, die Localhost-Regel auch automatisch erstellt.

Also ich sehe 2 Möglichkeiten: 1. Du löschst deine Regeln und lässt sie durch OP automatisch neu erstellen. 2. ThBird deinstallieren und neu installieren mit der neuen buggefixten 1.02.

Es könnte theoretisch noch an einem alten Outpost liegen, aber das glaube ich eher nicht.

Gruß Reinhart

#7 Okay, das Problem nimmt mittlerweile eine seltsame Dimension an! Ich glaube die Regeln sind in Ordnung.... aaaber.....

Jetzt kommts: Outpost blockt meinen Localhost (127.0.0.1)!!!

Ich kam darauf, als ich versuchte mich selbst anzupingen und keine Antwort bekam. Ich habe 127.0.0.1 jetzt bei Outpost in den LAN Einstellungen als vertrauenswürdig angegeben. Siehe da der Ping funktioniert... aaaber....
Thunderbird will immer noch nicht, solange Outpost läuft. :-( Was macht diese Firewall da? Ich will jetzt Thbrd mal neu installieren, habe aber wichtige Mails drauf. Weis jemand ob die dann weg sind? Eigentlich müssten die im Profil sein und das bleibt ja drauf, oder? Ich versteh das nicht mehr....

mfg
le BOB

@Reinhart

komischerweise hat das Preset für eMail Client bei mir die Eintragungen "HTTP Connection" und "Localhost Connection" nicht eingefügt. Aber das war leider auch nicht der springende Punkt... trotzdem Danke für deine Hilfe!

#8 le BOB schrieb:

Zitat

[01:04:38 thunderbird.exe OUT REFUSED TCP localhost (remote) 1110 (remote) localhost (local) 1150 (local) THUNDERBIRD Regel #1]

Dieser Log-Eintrag besagt, dass AO *wegen* Regel #1 die Verbindung geblockt hat! Bist du sicher, dass die Regel
i.O. ist? Nur als Sicherheitsnachfrage zu verstehen...

Zitat

Outpost blockt meinen Localhost (127.0.0.1)!!!

Jein, Outpost sendet dir keine Antwort auf ICMP Pakete. Dies ist afair auch für Localhost per AO Preset default.
Das sollte aber nichts mit deinem Problem zu tun haben. Anyway, du kannst diese Einstellung innerhalb
Optionen/System/ICMP Einstellungen folgendermaßen ändern:
Echo reply ausgehend & Echo request eingehend zusätzlich markieren. Danach sollte sich auch 127.0.0.1 pingen lassen.

Eine Lösung für dein Problem habe ich allerdings leider auch nicht. Ich kann mir aber nicht vorstellen, dass eine Neu-
Installation vom TBird hilft. Der Fehler scheint eindeutig bei der AO zu liegen. Aber nach Murphy ist ja alles mög-
lich.

Rherder teilte u.a. folgendes Preset mit:

Zitat

HTTP connection TCP OUT 80-83,HTTPS,SOCKS,PROXY:3128,PROXY:8080,PROXY:8088,AOL4

Komische Konfiguration seitens AO. Ich frage mich, was ein Browser typisches Setting für einen Sinn bei
einem Mailclient macht?
Wobei das Preset für Mailclients eh' zu haken scheint: Kein SMTPS & IMAPS, wenigstenst POP3S haben sie berück-
sichtigt. Hier sollte Agnitum in der nächsten Version bei den Presets Hand anlegen. Wenn schon, denn schon.

Gruß,

Sepia

#9 So, die Sache ist noch ganz anders als man vermuten mag. Da muss man ganz schön lange suchen und tüfteln um darauf zu kommen. Also, festhalten: Thunderbird streikt, weil es zu einem Konflikt zwischen der Outpost Firewall und dem Kaspersky Antivirus Mailscaner kommt. Wenn man eins von Beiden deaktiviert funktioniert alles bestens. Man muss sich also enscheiden, entweder Firewall oder Vierenscanner aktiv lassen. Ich bevorzuge in diesem Fall den Vierenscaner :-) Hoffentlich würd einer der Hersteller beim nächsten Update dieses Problem beheben. Jesus Christus, ich habe mehrer Tage gebraucht um das rauszufinden ;-o Ich hoffe ich kann anderen diese Arbeit mit diesem Beitrag ersparen...
Fals jemand dafür eine Lösung parat hat, wäre er mein persönlicher Forumsheld :-) Mir fällt dafür jedenfalls keine Lösung ein.

besten Dank an alle die sich damit beschäftigt haben

mfg
le BOB


@Sepia
ich glaube dieses Browserartige Setting ist für die Updates gedacht und SMTP und IAMP sind eigentlich auch mit drin. Eigentlich is das Preset für Thunderbird schon gar nicht mal schlecht durchdacht. Und um mich selber zu korrigieren: Vielleicht macht es auch Sinn den Localhost grundsätzlich zu blocken, ich hab mal irgendwo gelesen das auch z.B. best. Malware einen Loopback benötigt, deshalb solte man auch das unter Kontrolle haben.

#10 Hättest Du gleich gesagt, dass Du die Kombination Kaspersky + Outpost laufen hast, dann hätten wir das Ganze abkürzen können.
Habe auch Kaspersky als Antivirprog und benutze den Mozilla Suite Mail Client. Nach der Installation von Kaspersky hatte ich das gleiche Problem wie Du. Allerdings hat mir die Forewall im Lernmodus das Richtige angezeigt. Seltsam, dass das bei Dir nicht der Fall zu sein scheint.
Nachdem ich an Kaspersky Support gewandt hatte, kam eine Lösung des Mail Client Problems in Sicht. Du musst für die Kaspersky-Datei KAVMM.EXE eine separate Regel in Outpost erstellen:
Protokoll: TCP
Ziel: eingehend
Remote Host: Localhost
Lokaler Port: 1026 - 5024
erlaube es
Dann sollte Dein ThBMail eigentlich funktionieren, mit Antivir Prog und Firewall.

Gruß
Heron

edit;
u.U. brauchst Du auch noch eine zweite Regel
Protokoll: TCP
Ziel: ausgehend
Remote Host: (Dein Mail Server)
Lokaler Port: 59501
erlaube es
Auf jeden Fall liegt es am Zugang von KAVMM.EXE, dass Dein Mail blockiert wird. Sollten meine Vorschläge nicht funktionieren, dann probiere daran einfach mal herum.
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#11

Zitat

[..]dieses Browserartige Setting ist für die Updates gedacht[..]

Ok, wäre in diesem Falle sinnig. Ich nutze TBird nicht, daher war ich überrascht.

Zitat

[..]und SMTP und IAMP sind eigentlich auch mit drin

Ja, die obigen schon, die Secure Pendants aber anscheinend nicht.

Gruß,

Sepia

#12 @Heron
Die Regeln die Du beschreibst machen schon Sinn und sie funktionieren auch, aber -wieder mal ein großes ABER- nur wenn Outpost deaktiviert ist oder noch viel interessanter, im Modus "Fast alles zulassen" läuft. Im Modus "Regelassistent" wird KAVMM.EXE unter Netzwerkaktivität gar nicht angezeigt.
Bei "Fast alles zulassen" wird wunderbar aufgelistet, wie schön Outpost nach deinen Regeln mit KAVMM.EXE arbeiten kann.

Irgendwie habe ich das Gefühl, die Firewall verhindert, dass KAVMM.EXE überhaupt gestartet werden kann! Könnte das vielleicht an irgendwelchen globalen Einstellungen liegen? Ich habe schon mal probiert die Komponentenkontrolle abzuschalten, hat aber auch nichts genützt. Wo könnte man denn noch dran drehen? Ich hab die globalen Systemregeln alle auf Standard, aber ich weis z.B. nicht was die ICMP Einstellungen zu sagen haben (unter Anderem, weil man die Beschreibungen in den Klammern vom Fenster abgeschnitten werden). Könnte das was damit zu tun haben? Ich bin mal wieder für alle Vorschläge offen :-)

mfg
le BOB

#13 Bitte auch noch lesen, gerade gefunden:
Nach KAV Update Port von Outpost gesperrt. Wie freigeben?
Kerio blockt jeden Verkehr (In Verbindung mit Kaspersky AV )
Der letzte enthält evtl eine Lösung für das prob.
__________
Durchsuchen --> Aussuchen --> Untersuchen

#14 @joschi
Die Lösung aus dem zweiten Link funktioniert offenbar nur mit KAV Personal, da die erwähnte Einstellungsmöglichkeit im KAV Personal Pro 5.0 nicht vorhanden ist.

@le BOB
Welche Outpost- und welche KAV-Version benutzt Du? Wie sehen die Symptome aus, wenn Dein Mail Client geblockt wird, insbesondere was macht Kaspersky? Verwandelt sich der untere Teil des KAV "K" in der Taskleiste in einen Briefumschlag, wenn Du Thunderbird öffnest und friert dann ein? Oder zeigt KAV überhaupt keine Reaktion?

Ee ist schwierig auf die Distanz zu entscheiden, was getan werden kann, aber imho sind da noch drei Möglichkeiten, das Prob anzugehen.

1. Verschiebe KAVMM.EXE in den Bereich der "Vertrauten Anwendungen"

2. Starte Thunderbird und sieh nach, welche Aktionen durch Outpost trotz der bestehenden Regeln für KAVMM.EXE geblockt wurden. Erstelle danach die entsprechenden zusätzlichen Regeln.

3. Lösche KAVMM.EXE komplett aus den Anwendungen von Outpost. Starte Outpost im Lernmodus und öffne Thunderbird. Dann wird wahrscheinlich Outpost nach der Aktion mit KAVMM.EXE fragen und einen Rule-Preset "Browser" anbieten (wenn nicht, dann wähle dieses Ruleset aus!). Akzeptiere dieses Ruleset und prüfe, ob Dein Mail danach funktioniert. Danach kannst Du durch sukzessives Abschalten der "Browser"-Regeln die richtige für KAVMM.EXE herausfinden und dann die unnötigen löschen.(so hat es bei mir letztendlich dann funktioniert)

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#15 Also, ich versuche es nochmal etwas genauer zu schildern:

Outpost Firewall Pro ver. 2.5.375.4822 (374)
KAV Pers. Pro ver. 5.0.20

Die Symtome sind abhängig davon in welchem Modus die Firewall läuft!

Regelassistent Modus: KAV tut gar nichts, KAVMM.EXE erscheint bei OP nicht unter Netzwerkaktivitäten und im Log erscheint der oben erwähnte Eintrag, ThBird meldet "Verbindung zum Server verweigert". Sogar wenn ThBird und KAVMM.EXE als Vertrauenswürdig eingestuft sind tut sich nichts!

Fast alles zulassen Modus: KAV verwandelt sich zum Brief, KAVMM.EXE arbeitet nach den definierten Regeln, ThBird fordert das Passwort an und holt die Mails ab. Mit anderen Worten alles bestens!


Ich habe KAV heute mal runtergeschmissen und ne Demo von F-Secure Antivirus getestet...und siehe da der selbe Fehler.
Da muss doch irgendwas ganz anderes im Argen sein, oder? Es muss aber an Outpost liegen, denn wie gesagt, bei "Fast alles zulassen" geht es ja... Ich weiß aber nicht wo ich da noch dran drehen soll...
Kann es noch igendwo an Windows oder an meinem Router (D-Link DI-604) liegen? Stört es vielleicht einen von Beiden, das sich da mehrere Programme mit den gleichen Ports beschäftigen, oder so? Ich bin in der Materie nur so halb drin. Im Router dürfte nichts spezielles gelockt sein, sonst würde ja auch gar nichts gehen. Bei Windows wüßte ich auch nichts, die interne Firewall ist natürlich deaktiviert!
Irgentwelche Vorschläge???

mfg
le BOB