Email Notifications
-
Dieses Forum ist echt Pflichtlektüre! Ich nutze pfsense nun schon 4 Jahre, aber diese Funktionalität habe ich noch nicht gesehen.
TNXNoch schöner wär's allerdings mit PGP…
-
Hi fork,
weshalb mit PGP? Wenn du deinen Mailreport an ein von dir gemanagtes Mailsystem via TLS übergibst, gibt es auf der Strecke ja nichts mehr, wovor du die Mail schützen müsstest. Wenn du naütürlich über einen Freemailer o.ä. die Mails versendest, sieht das etwas anders aus, korrekt. Aber es werden ja auch keine Vitaldaten oder Passwörter versendet ;)
Grüße
-
weshalb mit PGP?
Genau für den zweiten von Dir genannten Fall 'öffentlicher Mailer'. Auch wenn da nicht direkt vertrauliche Details drinstehen, würde ich gern jegliche überflüssigen Hinweise über Infrastrukturen im öffentlichen Raum vermeiden.
Mit PGP und einem anonymisierten Topic+Sender sollten sich die Risiken minimieren lassen. -
OK verständlich. :)
Subjektiv allerdings muss ich da hinterfragen, warum man dann in einem Szenario, bei dem Sicherheit so wichtig ist, dass man keine Metadaten o.ä. versenden will, das ganze dann über nen öffentlichen/kostenlosen Mailer versendet und nicht über einen eigenen internen Dienst bspw. An der Stelle behandle ich pfSense eigentlich wie jede andere Netzwerkkomponente, und da wäre mir jetzt akut nie in den Sinn gekommen, mich darüber zu "beklagen" (nur als Vergleich), dass bspw. eine Cisco ASA oder ein Juniper Switch seine Reports per Mail nicht via PGP verschlüsselt ;) - denn die haben eh nur intern versendet zu werden. Ich wüsste jetzt akut kein Kundensetup, bei dem kein Mailserver der als "sicher" anzusehen ist, erreichbar wäre als Sendeserver. Ob dann die Zieladresse erreicht werden kann ohne irgendwelche Server ohne TLS anzusprechen ist natürlich ein Fragezeichen, außer die Mail bleibt dann direkt auf dem Server.
Als Workaround/Alternative kann man aber bspw. die Mails zu/über einen Service wie Mailbox.org versenden und dort dann die Verschlüsselung beim Eingang mit hinterlegtem PGP Key aktivieren. Dann werden die Daten auch verschlüsselt gespeichert.
-
Ich denke, der Vergleich hinkt etwas. pfsense ist durchaus auch ein Produkt für den fortgeschrittenen Privatanwender. Dessen Daten sind aus seiner Sicht bestimmt nicht weniger schützenswert. Die Frage ist dann wohl eher, ob man PGP vertraut oder nicht. Im Enterprise-Kontext wird PGP aber- fatalerweise - eher ignoriert.
Und ein 'Noch schöner wär's allerdings mit PGP…' würde ich nicht zwingend als 'Klage' auslegen, eher als Äusserung eines Wunsches. Jedenfalls war es so gemeint... ;)
-
Da haben wir ein wenig aneinander vorbeigeschrieben :D
Deshalb hatte ich ja "beklagen" auch in "" geschrieben, weil ich verstanden habe, dass es keine Klage war, sondern eher ein (frommer) Wunsch. Deshalb ja auch meine Kernaussage vorweg "OK verständlich". Ich meinte nur, dass in dem Kontext, in dem ich solch einen Use Case sehe, meistens(!) eh interne Mailsysteme zur Verfügung stehen, die die Mail direkt annehmen können ohne sie in der Welt herumzusenden.
Und ein sicherheitskritischer advanced User / Poweruser ist potentiell auch jemand, der vielleicht genau deshalb keinen Freemailer nutzt, sondern eher ein eigenes System irgendwo aufgebaut hat und/oder betreut, welches die Mail dann direkt empfangen kann. Deshalb mein "?" ob solch eine Option (dringend) nötig ist, da wie gesagt andere Infrastruktur Komponenten, die ebenfalls solche Status Mails erzeugen könn(t)en, auch keine Möglichkeiten haben, Mails zu verschlüsseln. Aber vielleicht denke ich da zu kompliziert ;)
Ich sage nur, dass ein Mailversand via Submission bzw. SMTPS möglich ist, womit die Mail ja verschlüsselt transportiert wird (bis zum ersten Hop). Und wenn ich dem Server dann schon "mißtraue", sollte ich vielleicht die Mail woanders einliefern und gleich dort belassen? Nur ein genereller Gedanke, ohne dein Feature Request als "unnötig" ablehnen zu wollen. Schön wäre das auf jeden Fall! :)
Grüße
-
Ansonsten wirst du jetzt bei einem Gateway Down … (per Mail) ... benachrichtigt.
Echt jetzt?
Ist ja klasse, dass ich zum Versand der mail kein Gateway mehr brauche!
Kann ich das auch für andere Dienste so einstellen, wie HTTP zB? ;D ;D ;D -
Ist ja klasse, dass ich zum Versand der mail kein Gateway mehr brauche!
Kann ich das auch für andere Dienste so einstellen, wie HTTP zB? ;D ;D ;DRichtig, brauchst du nicht. Wie oben gesagt, wenn man das im Firmenumfeld so einsetzt, hat man meistens intern eh einen Mailserver stehen. Bei uns passiert bspw. genau das. Bei einem Gateway Down gibts sowohl Mail als auch SMS, da intern ein (leider) Exchange steht, die Anbindung ist DualWAN, da juckt ein Gateway nicht ;) und die Mail intern wird dann auch noch an einen Raspi mit SMS Flatrate weitergereicht, der das dann als Pager rausschickt :) Und ja das klappt garantiert auch für andere Dienste, wenn die die Message / Notification Elemente der pfSense nutzen :P :D
-
Komm schon, Du weißt wie ich das gemeint habe. Spätestens bei "Surfen ohne Gateway" war's doch klar.
Frage am Rande: wie machst Du das mit dem RasPi und der SMS? Rein aus Interesse und gern auch per PM, da es hier ja nicht hingehört.
-
Moin,
Frage am Rande: wie machst Du das mit dem RasPi und der SMS? Rein aus Interesse und gern auch per PM, da es hier ja nicht hingehört.
MöhpMöhp ich bin daran auch interessiert … :P
-teddy
-
@jahonix: Natürlich weiß ich wie du's gemeint hast, sonst hätte ich diese Übermasse an Smileys nicht genutzt ;)
Was genau wollt ihr denn mit dem RasPi wissen? Das ist ein Raspi2, da hängt ein Huawei Stick dran mit ner SIM eines großen deutschen Telekommunikationsanbieters (narf) und einer SMS Flatrate. Entsprechend läuft da ein ARMel Debian, was den Stick via smsd steuert. Dort kann man dann über dessen Spool Verzeichnisse lustig SMS versenden oder empfangen(!) :) Wir nutzen das fürs interne Monitoring zusätzlich zum externen, um gewisse Services inHouse schon zu überwachen bevor ein Ausfall Kunden-sichtbar wird. Da man manchmal auch Notifications bekommt, die nerven können, kann der Raspi auch SMS empfangen, womit ich auf eine Notification antworten kann - ID/Dienst mit angeben und ack'en oder stfu'en kann, damit der Ruhe gibt, bis man sich drum kümmert. Das läuft dann über ein eigenes Skript/Dienst, was die ankommende SMS auswertet, TolleDinge(TM) tut (wie Checks bestätigen/stummschalten etc.) und anschließend eine Bestätigung zurückschickt (Flatrate sei Dank).
