Mails abrufen dauert lange

[peterpan]

Hallo liebes Forum,

diese Frage betrifft keinen Root-Server- ich hoffe, ich kann sie hier trotzdem stellen.

Ich habe einen eigenen Server (SuSE 7.1), bei dem ich übers Internet (also nicht LAN) meine eMails abrufen möchte. Im Vergleich zu meinem Server bei Puretec dauert es bei meinem eigenen Server wesentlich länger, bis er mein POP3-Konto abgefragt hat.

Hat jemand eine Idee, ob ich auf meinem Server was falsch eingestellt habe oder so? Kann doch nicht sein, daß es bei Puretec nur 2 Sekunden dauert und bei meinem eigenen Server ca. 10 oder 12 Sekunden.

Aber: Der Server hat zwei Netzwerkkarten. Wenn ich dem aus dem LAN connecte, geht es sauschnell (< 1 Sekunde).

Ich habe jetzt nochmal per Telnet auf Port 110 getestet. Intern habe ich die Welcome Message sofort nach 0.5 Sekunden und Remote dauert es ca. 10 Sekunden... argh.

Bei mir läuft:
Sendmail 8.11.5/8.11.2/SuSE Linux 8.11.1-0.5 und
qpopper -s (3.1.2)
rpc.dracd -i -e 300 /etc/mail/dracd.db

Woran könnte das liegen?


Danke für jeden Tipp,

PeterPan

[dodolin]

<Glaskugelmode>
Der Server macht eine Ident-Anfrage und die wird vom Client gedropt?
Result: Timeout muss abgewartet werden.
</Glaskugelmode>

[peterpan]

Warum macht er das nur extern? Kann ich das abschalten?

[Anonymous]

Moment, beschreib mal genauer. Wie ich das verstanden hab: Du hast bei dir (also nicht im RZ) einen Server, der schnell Mails sendet, wenn du aus dem Netzwerk abrufst aber langsam, wenn du aus dem Internet abrufst. Ist ja klar, der Schlund-Server steht hinter einer 4GBit-Backbone, dein Server hat vielleicht mit DSL vielleicht grad mal 128K Upstream. Jetzt nur noch ausrechnen, um wieviel er langsameer ist!

[peterpan]

@wurmi

Nee, falsch verstanden.

Es geht um die Zeit, die vergeht, bis der POP3-Server einen Connect hinbekommt. Rufe ich aus dem LAN Mails ab, geht das sehr schnell, mache ich es über das Netz, dauert es 10 Sekunden und dann geht der Abruf ebenfalls schnell. Aber die Ursache der Verzögerung von ca. 10 Sek. erschließt sich mir nicht.

"Fühlt sich an", als ob der DNS Server Zeit für einen Reverse-Lookup braucht, aber daran liegt es nicht.

Die externe Anbindung ist übrigens ausreichend dimensioniert... ;-)

[peterpan]

Noch eine Info: Per FTP dauert es ebenfalls ca. 10 Sekunden, dann wird das Kennwort abgefragt und dann geht´s los.

Kann dies das gleiche Problem sein?

[oxygen]

Es ist das Problem mit der Identabfrage. In der FAQ wird dir geholfen.

[peterpan]

Ok, I see. Zwei Fragen trotzdem:

a) Kann ich das auch irgendwo in einem .conf-File ändern oder muß ich den Wrapper ziehen?
b) Weshalb macht er das im LAN nicht?

[dodolin]

a) Kann ich das auch irgendwo in einem .conf-File ändern oder muß ich den Wrapper ziehen?
b) Weshalb macht er das im LAN nicht?

Sowas fixed man, indem man den Client fixed und nicht indem man den Server an die kaputte Client-Konfiguration anpasst. Warum DROP grundsätzlich sinnlos ist (bis auf wenige Ausnahmen), verrät z.B. die FAQ von de.comp.security.firewall (http://www.iks-jena.de/mitarb/lutz/usen ... .html#Deny).

Im LAN macht dein Server wohl die gleiche Abfrage, nur wird dein dortiger Client nicht kaputt-konfiguriert sein, d.h. entweder er hat einen Identd laufen oder er REJECTed das sauber.

Noch mehr Links zum Thema:
http://www.zugschlus.de/?select=zmna&article=auth
http://www.fefe.de/docs/ident.txt

[peterpan]

Ne, im LAN ist es ebenfalls mein Notebook, was connected. Hast Du denn einen Tipp, wie ich das für POP3 ebenfalls abschalten kann? Auch wenn man sowas nicht tut... :-)

[dodolin]

Sorry, ich kenne weder SuSE noch QPopper. Entweder du musst in der Konfig von QPopper suchen oder falls er über xinetd gestartet wird, eventuell dort. Da ich aber QPopper nicht einsetze, kann ich dir leider auch nicht sagen, wie die Option heisst. :(
Vielleicht findest du es ja selbst oder es weiss jemand anderes mehr Rat...

[peterpan]

Der QPopper hat gar keinen Switch, ich muß das Timeout irgendwie direkt im Wrapper auf 0 setzen. Wie mache ich das denn?

[thorsten]

Code: Select all

$IPTABLES -A INPUT -p tcp --destination-port 113 -j REJECT --reject-with tcp-reset

[dodolin]

Ã?hm... Anmerkung zu Thorstens Beitrag:
a) Das muss er aber auf dem Client machen, das nutzt nichts für seine Server-Konfig.
b) Wenn er es mit '-A' macht, könnte es durchaus sein, dass da vorher noch andere Regeln greifen.
c) Ansonsten: ACK, das wäre sinnig. :-D

[thorsten]

wenn er es auf dem Server machen will, kommt es einfach in OUTPUT (macht ja auch am meisten Sinn) und meinetwegen auch -I

Aber ein wenig Gehirnschmalz sollte er schon selbst aufwenden ;)

[peterpan]

So, ich hab den TCP-Wrapper nun einfach neu kompliliert und das Timeout für den Ident auf 0 gesetzt. Klappt einwandfrei.

Danke Euch allen für die zahlreichen Tipps und die freundliche Hilfestellung.

Herzliche Grüße!