Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    [Gelöst] Mail Notification ins LAN

    Scheduled Pinned Locked Moved Deutsch
    43 Posts 5 Posters 7.1k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • GrimsonG
      Grimson Banned
      last edited by

      @viragomann:

      Etwas ähnliches wie Grimson hatte ich auch schon angedacht, ich hätte allerdings versucht, das Zertifikat oder das der ausstellenden CA als zusätzliche Datei im entsprechenden Verzeichnis abzulegen. Welches das in FreeBSD zu sein hat, weiß ich aber leider auch nicht.

      Das hatte ich schon probiert, zumindest beim Mailversand wird nur die /etc/ssl/cert.pem genutzt, welche ein symbolischer Link auf die oben genannte Datei ist. Andere, an den üblichen Stellen, abgelegte Zertifikate werden komplett ignoriert.

      1 Reply Last reply Reply Quote 0
      • V
        viragomann
        last edited by

        Hast auch einen Neustart versucht?
        Ansonsten bin ich am Ende mit den Weisheiten. :(

        1 Reply Last reply Reply Quote 0
        • mike69M
          mike69 Rebel Alliance
          last edited by

          Jetzt bin ich aber verwirrt:
          Quote from: mike69 on December 10, 2017, 10:49:55 am
          Der Server hat draussen nichts zu suchen. Sammelt von mehren Mailaccounts die Mails per pop3-Abruf und stellt sie mir zu Verfügung.
          Quote from: mike69 on Yesterday at 05:26:11 pm
          Da stehen bei mir User und Passwort. Authentifizierung ist am Mailserver aktiviert da von draußen zugegriffen wird.
          Die Aussagen widersprechen sich doch.
          Hast du nun doch eingehende SMTP-Verbindungen aktiv, oder nur POP3 od. IMAP? Das sollte sich getrennt konfigurieren lassen.

          Ja , ist verwirrend. ;)
          Stelle keinen öffendlichen Mailserver zur Verfügung, der ackert nur für die Familie. Raus gehen die Mails per Relay. Der Zugriff erfolgt von aussen über die gröffneten Ports 25, 465 und 995, also smtp smtps und imaps.
          Daher wird nur ein selbstsigniertes Zertifikat genutzt. Da ich weiss, wo der Server steht reicht es im Normalfall aus. Sorry, falls das Verkehrt rüberkommt.

          War bis jetzt mit der Synology beschäftigt und Family will auch etwas von mir, daher kamen die Antworten sehr sparsam.

          Also wie JeGr das vorschlägt funktioniert es nicht, also eine Mail von der Sense zum Mailserver funktioniert nur eine unverschlüsselte Verbindung mit Authentifizierung per Name und Passwort. Alles andere war nicht von Erfolg gekrönt. Werde mir heute Abend mal schauen, es mit importierten Certs funktioniert,

          pfSene läuft gerade hier mit Version 2.3.5. mit der 2.4.2 ist gar kein Mailversand zum eigenen Mailserver zustande gekommen. Alles seltsam.

          DG FTTH 400/200
          Supermicro A2SDi-4C-HLN4F with pfSense 2.7.2

          1 Reply Last reply Reply Quote 0
          • V
            viragomann
            last edited by

            Was JeGr vorschlägt, ist heute die bevorzugte Methode Mail von einem MUA auf einem Server einzubringen. SMTP ist eigentlich für Verbindungen zwischen Servern gedacht.
            Allerdings habe ich nicht verstanden, wie er das mit dem STARTTLS meint. Wenn der Server STARTTLS macht (weil er Verschlüsselung bei Authentifizierung erzwingt), benötigt er ebenso ein Zertifikat.

            Ich weiß immer noch nicht, ob der Server auch unverschlüsseltes SMTP (ohne Authentifizierung) erlauben würde, bzw. ob es konfigurierbar wäre. Falls ja, könntest du noch folgende Variante versuchen:
            Du stellst sämtliche MUA Clients (die sich eben auch von extern verbinden möchten) auf Port 587 um, weiterhin mit Auth und Verschlüsselung. Diese akzeptieren ja das Zertifikat.
            Du sperrst Port 25 von außen und erlaubst am SMTP Server anonyme Verbindungen.
            Dann kannst du den User und Passwort in der Notification Konfig rausnehmen.

            SMTP ohne Auth und ohne Verschlüsselung sind dann nur noch von intern möglich. Vorausgesetzt, du benötigst keine weiteren SMTP-Verbindungen von außen.

            1 Reply Last reply Reply Quote 0
            • mike69M
              mike69 Rebel Alliance
              last edited by

              Moin.

              Authentifizierung lässt sich deaktivieren, siehe Bild
              Aber es wird von draußen zugegriffen über Smartphone, Tablett usw, deswegen kann ich es nicht deaktivieren. Musst dir mal vorstellen, pro Woche werden mindestens 1 Dutzend IPs wegen versuchten Login geblockt, die Welt ist böse. >:(

              Was JeGr vorschlägt, ist heute die bevorzugte Methode Mail von einem MUA auf einem Server einzubringen. SMTP ist eigentlich für Verbindungen zwischen Servern gedacht.
              Allerdings habe ich nicht verstanden, wie er das mit dem STARTTLS meint. Wenn der Server STARTTLS macht (weil er Verschlüsselung bei Authentifizierung erzwingt), benötigt er ebenso ein Zertifikat.

              Das stimmt, Deswegen klappt es damit zumindest hier mit dem seblbstsignierten Zertitifikat auch nicht, dass pfSense intern Mails mit SSL/TLS oderSTARTTLS verschlüsselt versendet

              Was mich bissl stört ist die anfänglich unverschlüsselte Anfrage zum Server. Wenn aus unerklärlichen Gründen sich MDA und MTA über die Verschlüsselung nicht einig werden, was dann?

              @JeGr:

              Ich versende auch über nen externen Dienst der Postfix - genauso wie die Syno auch - nutzt mit 587/Submission. Alle Felder wie in meinem letzten Post benannt und SMTP over SSL aus, weil hier dann STARTTLS gesendet werden sollte. Funktioniert.

              Das heißt, du nutzt keinen eigenen Mailserver im LAN? Die pfSense verschickt mit STARTTLS an Gmail und Co ihre Benachrichtigungen, und das ohne Probleme.

              Der Mailserver hier sitzt im LAN mit einem selbstsignierten Zertifikat, als SMTP-Relay-Server wird ein Account von Strato genutzt, der per STARTTLS die Mails weiterleitet.

              Oder reden wir hier aneinander vorbei?  :) :) :)

              Auswahl_005.png
              Auswahl_005.png_thumb

              DG FTTH 400/200
              Supermicro A2SDi-4C-HLN4F with pfSense 2.7.2

              1 Reply Last reply Reply Quote 0
              • V
                viragomann
                last edited by

                Hallo,

                die Idee war darauf begründet, dass die Einstellungen zur Verschlüsselung für SMTP und Submission getrennt gemacht werden können. Geht aber wohl nicht.

                Wenn sich Client und Server nicht auf eine Verschlüsselung einigen können, gibt es keine Übertragung.

                Wenn du auf dem Syno Server nichts machen kannst, sende die Nachrichten eben auf einen externen Server. Soweit ich es verstanden habe, hast du ja Mailkonten auf einem öffentlichen Server, der deine Mails empfängt und von dem sie die Syno abholt. Dieser hat wohl ein Zertifikat einer vertrauenswürdigen Stammzertifizierungsstelle und würde sich freuen, die Mails anzunehmen.  ;)

                Grüße

                1 Reply Last reply Reply Quote 0
                • mike69M
                  mike69 Rebel Alliance
                  last edited by

                  Ja.da stimmt. :)

                  DG FTTH 400/200
                  Supermicro A2SDi-4C-HLN4F with pfSense 2.7.2

                  1 Reply Last reply Reply Quote 0
                  • mike69M
                    mike69 Rebel Alliance
                    last edited by

                    Super.

                    Unter Version 2.5.3 können keine Pakete installiert werden, verweist auf die aktuelle Major Release. Also Update auf 2.4.2 und keine unverschlüsselte Mails sind mehr möglich. Was will man mehr. >:(

                    DG FTTH 400/200
                    Supermicro A2SDi-4C-HLN4F with pfSense 2.7.2

                    1 Reply Last reply Reply Quote 0
                    • JeGrJ
                      JeGr LAYER 8 Moderator
                      last edited by

                      Unter Version 2.5.3 können keine Pakete installiert werden, verweist auf die aktuelle Major Release. Also Update auf 2.4.2 und keine unverschlüsselte Mails sind mehr möglich. Was will man mehr. >:(

                      Das ist nicht korrekt und wurde schon an mehrfachen Stellen gepostet ;) Wenn du auf 2.3 bleiben willst UND Pakete brauchst, musst du im Update Handling auf 2.3 Legacy Tree umstellen, ansonsten wird das PKG Update natürlich meckern, weil es die neuen Pakete von 2.4 verwenden will, was nicht möglich ist. Einfach mal einen Schritt zurück machen, durchatmen und nochmal probieren :)

                      Wenn der Server STARTTLS macht (weil er Verschlüsselung bei Authentifizierung erzwingt), benötigt er ebenso ein Zertifikat.

                      Dem habe ich auch nicht widersprochen :) Meine Aussage war auf die Fehlermeldung bezogen: wenn die pfSense die Verbindung nicht aufbauen kann weil bspw. eben fälschlich der TLS over SMTP Haken drin ist - der erzwingt bei Verbindung sofort TLS, STARTTLS wird über eine erst unverschlüsselt aufgebaute Leitung gesprochen. Daher meine Aussage, dass man bei Nutzung von bspw. Submission (587) aufpassen muss, was konfiguriert ist.

                      Ich kann wie mike auch schon schreibt bspw. problemlos bei GMail mit Submission meine Reports der pfSense einliefern. Klappt ohne Probleme verschlüsselt. Bei der Syno hatte ich es jetzt noch nicht mit dem Mail Paket zu tun, das müsste ich tatsächlich mal testweise installieren um das zu testen.

                      Auf der anderen Seite: Warum überhaupt ein "selbst signiertes Zertifikat"? Die Syno kann LetsEncrypt und damit sich selbst innerhalb Sekunden ein ordentliches Zertifikat abholen. Muss eben nur eine sinnvolle Domain haben.

                      Gruß

                      Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                      If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                      1 Reply Last reply Reply Quote 0
                      • mike69M
                        mike69 Rebel Alliance
                        last edited by

                        Nabend.

                        Das ist nicht korrekt und wurde schon an mehrfachen Stellen gepostet ;) Wenn du auf 2.3 bleiben willst UND Pakete brauchst, musst du im Update Handling auf 2.3 Legacy Tree umstellen, ansonsten wird das PKG Update natürlich meckern, weil es die neuen Pakete von 2.4 verwenden will, was nicht möglich ist. Einfach mal einen Schritt zurück machen, durchatmen und nochmal probieren :)

                        Asche auf mein Haupt, schlecht bis überhaupt nicht recherchiert. Sorry :-[

                        [quote]Auf der anderen Seite: Warum überhaupt ein "selbst signiertes Zertifikat"? Die Syno kann LetsEncrypt und damit sich selbst innerhalb Sekunden ein ordentliches Zertifikat abholen. Muss eben nur eine sinnvolle Domain haben.

                        Alle 3 Monate darf es erneuert werden, das Update klappt sehr unregelmässig, obwohl die benötigten Ports offen sind.. Wenn das Zertifikat abgelaufen ist, funktionieren einige Applikationen nicht. Und wenn als CN die dyn. DNS-Adresse eingegeben wird, ist intern im LAN noch eine Ausnahmegenehmigung für Browser, Mailclient und Co erforderlich. Mit einem selbstsign. Zertifikat habe ich 10 Jahre Ruhe, die Bude muss laufen. Für einen internen Server halte ich das für die angenehmere Wahl.

                        Bissl Offtopic, aber die CPU load unter 2.4.2 sind höher als unter 2.5.3, oder? Nix drauf, da neu installiert außer paar Regeln. Unter 2.5.3 load average der letzten 15 Minuten bei 0.04, 2.4.2 liegt bei 0.35. Ist gerade aufgefallen.

                        DG FTTH 400/200
                        Supermicro A2SDi-4C-HLN4F with pfSense 2.7.2

                        1 Reply Last reply Reply Quote 0
                        • JeGrJ
                          JeGr LAYER 8 Moderator
                          last edited by

                          Asche auf mein Haupt, schlecht bis überhaupt nicht recherchiert. Sorry :-[

                          Kein Problem darum hab ichs nochmal geschrieben :)

                          Wenn das Zertifikat abgelaufen ist, funktionieren einige Applikationen nicht. Und wenn als CN die dyn. DNS-Adresse eingegeben wird, ist intern im LAN noch eine Ausnahmegenehmigung für Browser, Mailclient und Co erforderlich.

                          Mag jetzt OT sein: Darum lohnt es sich schon seit Jahren, ein internes Netz "richtig" mit einer echten Domain (à la lan.domain.de oder intern/home/bla.domain.de) zu betreiben und nutzen. Für genau deinen angesprochenen Fall habe ich hier im Lab-Setup darum die Konstellation (Beispiel): xy.dom.tld als interne Domain.
                          Warum das eine Rolle spielt? Genau wegen den Zertifikaten :) Hat man jetzt die Domain dom.tld bspw. bei einem unterstützten Provider (Cloudflare bietet das ja für den Hausgebrauch kostenlos an), kann man per DNS API von LetsEncrypt sich innerhalb Sekunden ein Zertifikat für server.xy.dom.tld ausstellen lassen. Durch einen internen DNS Resolver Override wird von intern die Auflösung für die Domain auf die interne IP des NAS gesetzt, von extern löst Cloudflare den Namen mit der echten IP auf (da CloudFlare via API auch "dyndns" macht). Damit löst die Domain überall so auf wie es gebraucht wird und man hat mit dem Zertifikat kein Problem :) Passt das dann auch mit dem DNS ordentlich, gibts meist auch mit LE keine Probleme mehr.

                          Vielleicht einfach nur als Denkanstoß oder zukünftige Planung: Macht das Leben im LAN definitiv wesentlich leichter und einfacher.

                          Gruß

                          Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                          If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                          1 Reply Last reply Reply Quote 0
                          • mike69M
                            mike69 Rebel Alliance
                            last edited by

                            Magst Du mich mal an die Hand nehmen? Gibt es ein HowTo zu diesem Thema?
                            Habe bei Strato eine Domain registrieren lassen und nutze diese gerade für DynDNS. Das Paket kann noch mehr, habe aber mich nie mit beschäftigt.

                            edit:
                            Alles gut, hab es hinbekommen. ;D

                            DG FTTH 400/200
                            Supermicro A2SDi-4C-HLN4F with pfSense 2.7.2

                            1 Reply Last reply Reply Quote 0
                            • JeGrJ
                              JeGr LAYER 8 Moderator
                              last edited by

                              Magst Du mich mal an die Hand nehmen? Gibt es ein HowTo zu diesem Thema?

                              Wenn du dazu Hilfe brauchst, immer raus damit :) Auch wenns vielleicht von deinem eigenen Thema etwas abweicht - aber schlußendlich ist das ja immer noch "dein Problemthread" :D

                              Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                              If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                              1 Reply Last reply Reply Quote 0
                              • mike69M
                                mike69 Rebel Alliance
                                last edited by

                                Moin.

                                Es funktioniert. pfSense benötigt für die Benachrichtigungen per Mail ein Zertifikat einer vertrauenswürdigen Stammzertifizierungsstelle. Dank dem Tip von JeGr mit LetsEncrypt auf der Syno klappt das mit einem internen Mailserver hier im LAN.

                                Jetzt die Frage, warum? Welchen Sinn hat das sowas zu erzwingen?

                                DG FTTH 400/200
                                Supermicro A2SDi-4C-HLN4F with pfSense 2.7.2

                                1 Reply Last reply Reply Quote 0
                                • V
                                  viragomann
                                  last edited by

                                  Hallo,

                                  freut mich, dass die Sache nun funktioniert.

                                  Erzwungen wird die Verschlüsselung vom SMTP-Server, nicht von der pfSense. Dieser setzt eine verschlüsselte Verbindung voraus, wenn Auth-Daten übertragen werden. Die pfSense hält sich dann lediglich an die Spielregeln, und verlangt, dass des Zertifikat, dass ihr die SMTP-Server liefert, auch vertrauenswürdig sein muss, also von einer vertrauenswürdigen Zertifizierungsstelle stammt. Ansonsten könnte ja jeder ein passendes Zertifikat haben. Das SSL-Zertifikat ist als Personalausweis des Servers zu sehen.
                                  Die pfSense sieht das eben nur etwas enger als die üblichen MUAs, die es oft auch erlauben ein beliebiges Zertifikat dauerhaft zu akzeptieren.

                                  Grüße

                                  1 Reply Last reply Reply Quote 0
                                  • mike69M
                                    mike69 Rebel Alliance
                                    last edited by

                                    @viragomann:

                                    Hallo,

                                    freut mich, dass die Sache nun funktioniert.

                                    Erzwungen wird die Verschlüsselung vom SMTP-Server, nicht von der pfSense. Dieser setzt eine verschlüsselte Verbindung voraus, wenn Auth-Daten übertragen werden. Die pfSense hält sich dann lediglich an die Spielregeln, und verlangt, dass des Zertifikat, dass ihr die SMTP-Server liefert, auch vertrauenswürdig sein muss, also von einer vertrauenswürdigen Zertifizierungsstelle stammt. Ansonsten könnte ja jeder ein passendes Zertifikat haben. Das SSL-Zertifikat ist als Personalausweis des Servers zu sehen.
                                    Die pfSense sieht das eben nur etwas enger als die üblichen MUAs, die es oft auch erlauben ein beliebiges Zertifikat dauerhaft zu akzeptieren.

                                    Grüße

                                    Verstehe, dann wird das so hingenommen.  :D

                                    Dann großen Dank an alle, die unterstützend mitgewirkt haben. Wieder was gelernt. ;D

                                    Mike

                                    DG FTTH 400/200
                                    Supermicro A2SDi-4C-HLN4F with pfSense 2.7.2

                                    1 Reply Last reply Reply Quote 0
                                    • First post
                                      Last post
                                    Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.