[Gelöst] Mail Notification ins LAN



  • Hallo.

    Hat es jemand geschafft, eine Benachrichtigung zu einem Mailserver im LAN zu versenden. Nach draußen geht es (Gmail), nur intern nicht. Hier die Fehlermeldung:

    Nachricht konnte nicht gesendet werden an mike@lhmaster.home -- Fehler: Failed to connect to ssl://192.168.2.201:465 [SMTP: Failed to connect socket: fsockopen(): unable to connect to ssl://192.168.2.201:465 (Unknown error) (code: -1, response: )]
    

    Eine Regel muss nicht her, oder? Ping oder Traceroute funktioniert von der Sense zum Server. Ob IP oder Domain ist auch egal. Hier im Anhang die Config:

    ![pfSense.home - System: Erweiterte Einstellungen: Benachrichtigungen - Mozilla Firefox_003.png](/public/imported_attachments/1/pfSense.home - System: Erweiterte Einstellungen: Benachrichtigungen - Mozilla Firefox_003.png)
    ![pfSense.home - System: Erweiterte Einstellungen: Benachrichtigungen - Mozilla Firefox_003.png_thumb](/public/imported_attachments/1/pfSense.home - System: Erweiterte Einstellungen: Benachrichtigungen - Mozilla Firefox_003.png_thumb)



  • Hallo,

    wenn du SMTPS verwendest,

    • muss das Server-Zertifikat des Mailservers vertrauenswürdig sein (von einer öffentlichen CA stammen),

    • der CN in der Notifcation Konfig im Feld "E-Mail-Server" stehen (ich denke nicht, dass dein Zertifikat auf die IP ausgestellt ist.) und,

    • falls es ein FQDN ist, muss ihn die pfSense richtig auflösen können (internes DNS oder Override).

    Wenn das alles zu viel Aufwand ist, verwende einfach unverschlüsseltes SMTP, ist ja nur intern und die übertragenen Informationen sind auch nicht gerade Top Secret.



  • Hi.

    Ist ein selbst signiertes Zertifikat. Der Server hat draussen nichts zu suchen. Sammelt von mehren Mailaccounts die Mails per pop3-Abruf und stellt sie mir zu Verfügung. Habe das Zertifikat in die Sense importiert, half nicht. Wenn das Zertifikat öffentlich abgesegnet sein muss. kann ich hier aufhören.

    Selbst wenn CN und Mailserver gleich sind, kommt die Fehlermeldung. FQDN ist übrigens lhmaster.home, wurde unter dem DNS Resolver eingetragen (host overrides). In der ARP-Tabelle ist die IP der FQDN zugeordnet.

    Bei unverschlüsseltes SMTP kommt die Meldung:

    Error: PLAIN authentication failure [SMTP: STARTTLS failed (code: 220, response: 2.0.0 Ready to start TLS)]
    

    Kann auch am Server liegen. der traue ich alles zu. Ist eine Syno RS815+, DSM 6.1.4 mit Mail Plus Server und Mail Plus.



  • Ob das Importieren des Zertifikats hilft, weiß ich nicht. Vermutlich nicht.

    Wenn du SMTP einstellst, macht der STARTTLS, wie das Log zeigt, wofür auch wiederum das Zertifikat nötig ist.
    Hast du auch versucht, den Haken bei "sicher SMTP-Verbindung" rauszunehmen?



  • Jep, Haken ist raus.

    Mit der Fehlermeldung gibt Google etliche Ursachen raus. Falsche php Version, falsche timezone in der php.ini,
    http://osticket.com/forum/discussion/3422/failed-to-configure-email-smtp-settings

    neues Zertifikat erstellen oder bei deaktivierten SSL/TLS wird STARTSSL verlangt
    http://gefruckelt.de/programmieren/authentication-failure-smtp-starttls-failed/

    Bin erstmal überfragt. Die Fritz.Box versendet Mails intern, diverse Debianserver auch. was nicht geht ist die Sense und das Network Management Control der Cyberpower USV. :-[



  • Wenn der Haken raus ist, erzwingt die pfsense gewiss nicht eine Verschlüsselung, das macht bestenfalls der SMTP-Server.
    Kannst du den nicht so konfigurieren, dass er auch unverschlüsselte Verbindungen erlaubt? Wenn er selbst, so wie ich es verstanden habe, nur interne Verbindungen annimmt, brauchst du doch keine Verschlüsselung. Bei Verbindungen, die er aktiv zu anderen Server aufbaut, kommt das Zertifikat ohnehin nicht zum Tragen.

    Bei mir werden Notifications auch unverschlüsselt auf einen interne SMTP Server geschickt (der das Relay macht). Das hat durch die Versionen hindurch seit 2.0 noch keine Probleme bereitet.



  • Der Mailserver macht soweit keine Probeme, mit SMTP unverschlüsselt versenden funktioniert ja.

    pfSense ist konfiguriert mit Port 25, Haken bei```
    Enable SMTP over SSL/TLS

    Could not send the message to mikexxxx@lhmaster.home -- Error: PLAIN authentication failure [SMTP: STARTTLS failed (code: 220, response: 2.0.0 Ready to start TLS)]

    
    Was soll ich machen. Wer beim unverschlüsselten Login unbedingt STARTTLS verlangt, keine Ahnung, normalerweise nach meinem Verständniss auch der SMTP-Server.
    Du hast Anscheinend auch eine Syno als Mailserver laufen. Können wir mal die Config vergleichen?


  • Nein, bei mir ist das ein Windows Server.

    Sieht so aus, als ob sich der Server an der PLAIN authentication stößt und das deswegen unbedingt verschlüsselt haben möchte. Und ich nehme an, dass er die einzige Alternative der pfSense, "LOGIN", aber nicht versteht.

    Am Windows Server ist das konfigurierbar, wenngleich es böse Warnhinweise gibt.

    @mike69:

    Der Mailserver macht soweit keine Probeme, mit SMTP unverschlüsselt versenden funktioniert ja.

    Vom Server aus? Da ist er aber in der Funktion des Clients. Dabei ist es egal, ob verschlüsselt oder nicht, dazu benötigt er kein Zertifikat, wie schon vorhin erwähnt. Hier überprüft er bestenfalls das vom Server gelieferte Zertifikat. Und ein selbst-signiertes würde er wohl auch ablehnen, wenn es oder ein übergeordnetes nicht importiert ist.



  • ist es denn notwendig den internen mailverkehr zu verschlüsseln? sehe da keinen sinn drin, zumal es sich ja eh nur um logs handelt.


  • Moderator

    @bahsig: Da geht es nicht um Sinn oder Unsinn. Zum einen ist es irrelevant ob es verschlüsselt wird oder nicht, denn es ist minimaler Overhead - warum also nicht. Zum anderen geht es um sichere Voreinstellungen. Es gibt genug Menschen, die ein NAS o.ä. einfach ans Netz hängen und da Mails direkt forwarden, da möchte man ähnlich wie bei FritzBox und Co einfach ordentliche Voreinstellungen liefern. Mit der gleichen Argumentation könnte man auch sagen SSH intern braucht keiner Telnet tuts ja auch ;)



  • @viragomann:

    @mike69:

    Der Mailserver macht soweit keine Probeme, mit SMTP unverschlüsselt versenden funktioniert ja.

    Vom Server aus? Da ist er aber in der Funktion des Clients. Dabei ist es egal, ob verschlüsselt oder nicht, dazu benötigt er kein Zertifikat, wie schon vorhin erwähnt. Hier überprüft er bestenfalls das vom Server gelieferte Zertifikat. Und ein selbst-signiertes würde er wohl auch ablehnen, wenn es oder ein übergeordnetes nicht importiert ist.

    Sorry, mein Fehler. Meinte das senden vom Clienten zum Mailserver. Der wiederum versendet verschlüsselt zu den internen Clienten, nach draußen durch einem SMTP-Relay. Wie gesagt, der Server hat draussen nichts zu suchen und soll nur meiner Familie dienen..

    Klar kann die pfSense Mails nach draussen senden. Durch den pop3-Abruf habe ich die Mail spätestens nach 5 Minuten. Durch den internen Mailserver erspare ich mir unnützen Traffic und habe einen kleinen Zeitvorteil. Ging ja jahrelang vorher auch so.
    Interessant ist nur die Tatsache, warum es hier nicht funktioniert.
    Zur Info, hatte die pfSense eingemottet und gerade erst alles neu installiert auf Version 2.4.2. Altlasten sollten nicht vorhanden sein.



  • Ach ja, wollte noch hinzufügen, mein interner Mailserver verlangt keine Authentifizierung. Damit werden keine Kontodaten übertragen und es ist auch eine Verschlüsselung nicht so wichtig.

    Vielleicht lässt sich auch bei dir die Authentifizierung abschalten. Ist aber nur ratsam, wenn es keinerlei Weiterleitungen von SMTP von draußen gibt, bzw. wenn er kein Relaying macht!



  • Glaube, das geht nicht. du erstellst Benutzer und Kennwort, die wiederum bekommen die Erlaubnis Mail und Mailserver zu nutzen. Mit den Benuzern inkl. Passwort meldest Du dich mit den Clients an. Die Syno ist sowieso extrem unübersichtlich und zumindest ich weiß nicht wirklich, was sie macht wenn Du ein Button anklickst.. Extrem Klickbunti, eben, nicht ganz meins aber die Hardware ist geil.  ;D

    Ist jetzt offftopic, aber wer weiß, wie ich ein cleanes BS raufkriege, immer her mit der Info. Ist nicht ganz trivial.



  • Moderator

    dann mach doch TLS an (Submission auf 587) und sende die Mails an die Syno mit einem Benutzer den du dafür anlegst (pfsense) der eben nur minimale Rechte hat und nur mail nutzen darf. Macht man ja u.a. auch in einem AD, LDAP etc. mit den Lese-Usern o.ä. und wäre logischer als irgendwas komplett unauthentifiziert zu senden.

    Die Syno macht zwar einiges "autmagisch" aber tortz allem ist da auch nur ein abgespecktes Linux drauf, was entsprechende Pakete mit schöner Optik bündelt. Und den verwendeten Server (meines Wissens Postfix) kann das auch.

    Mit

    <internet mailserver="" ip="">587


    From Address
    Receiver Address
    Auth Login
    Auth Pass
    PLAIN

    sollte es dann via Submission eigentlich recht problemlos laufen. Wie schon andernorts mal gesagt ist SMTPS/465 inzwischen für Mail Client Versand mit Auth eher unüblich. 25 ohne oder mit Starttls und Login oder 587 Submission sind eigentlich die gebräuchlichsten Varianten.

    Und ich finde das "Klickibunti" der Syno nicht mal so schlimm. Ist ähnlich wie auf der pfSense - pf und andere Dienste könnten noch viel mehr, aber es wird eben auf das meiste reduziert, was man oft braucht. Macht die Syno mit komplexen Paketen wie Samba/AD, LDAP etc. hier auch und das nichtmal schlecht und vor allem oft mit guter/sicherer Voreinstellung für den Fall, dass man sie einfach mal ans Netz hängt.

    Gruß</internet>



  • Hi.

    Die Syno macht zwar einiges "autmagisch" aber tortz allem ist da auch nur ein abgespecktes Linux drauf, was entsprechende Pakete mit schöner Optik bündelt. Und den verwendeten Server (meines Wissens Postfix) kann das auch.

    Nur die Bevormundung seitens Synology dem User oder Admin gegenüber ist eine Sauerei. Und noch andere Sachen, was aber nicht hier her gehört. Es fehlt eine Plauderecke.  :)

    Habe den Mailuser der Syno als neuen User in der pfSense eingetragen, funktioniert nicht:

    Could not send the message to user@lhmaster.home -- Error: PLAIN authentication failure [SMTP: STARTTLS failed (code: 220, response: 2.0.0 Ready to start TLS)]
    

    Ohne SMTP over SSL/TLS, jeweils Port 25 und 587, gleiche Meldung.

    Komme nicht weiter hier.

    sollte es dann via Submission eigentlich recht problemlos laufen. Wie schon andernorts mal gesagt ist SMTPS/465 inzwischen für Mail Client Versand mit Auth eher unüblich. 25 ohne oder mit Starttls und Login oder 587 Submission sind eigentlich die gebräuchlichsten Varianten.

    Ehrlich? Sehe gerade, Port 465 wurde 2001 anders vergeben. (Wikipedia)



  • Der Mailserver der Syno versucht sich damit offenbar nur an den RFC 4954 zu halten.
    Ein Auszug:

    Note: A server implementation MUST implement a configuration in which
      it does NOT permit any plaintext password mechanisms, unless either
      the STARTTLS [SMTP-TLS] command has been negotiated or some other
      mechanism that protects the session from password snooping has been
      provided.  Server sites SHOULD NOT use any configuration which
      permits a plaintext password mechanism without such a protection
      mechanism against password snooping.

    Ist das Zertifikat zwingend / automatisch von der Syno generiert? Aber auch das wäre gemäß des Standards.

    Wenn das Problem von der Seite nicht zu lösen ist, bleibt nur dafür zu sorgen, dass die pfSense dem Zertifikat vertraut.



  • Das Zertifikat der Syno ist selbst generiert, CN ist lhmaster.home. alle Dienste nutzen dieses Zertifikat. Es gibt kaum Probleme, nur das Network Management der Cyberpower USV möchte auch nicht mit dem internen Mailserver kommunizieren.

    Das witzige ist, der Mailclient, hier Evolution, kann ohne Verschlüsselung Mails empfangen und versenden, also nur mit Authentifizierung. Weiss nicht mehr weiter…. :'(

    Edit:
    Hier ist irgendwo der Wurm drin. Jetzt möchte Evolution TLS auf dedizierten Port haben, sonst looft es nicht....

    Edit2:
    pfSense 2.3.5 installiert, config geladen, kann jetzt Mails versenden. Leider nur unverschlüsselt, aber geht. Warum? ::)



  • @mike69:

    Das witzige ist, der Mailclient, hier Evloution, kann ohne Verschlüsselung Mails empfangen und versenden, also nur mit Authentifizierung. Weis nicht mehr weiter…. :'(

    Hast du dem Zertifikat irgendwann mal in Evolution dauerhaft vertraut? Das geht ja normalerweise bei MUAs.

    @mike69:

    Edit2:
    pfSense 2.3.5 installiert, config geladen, kann jetzt Mails versenden. Leider nur unverschlüsselt, aber geht. Warum? ::)

    D.h. der SMTP-Server erlaubt unverschlüsselte Verbindungen.
    Vielleicht, weil du jetzt keinen "Notification E-Mail auth username" angegeben hast?

    Ich nehme an, dass der Server mit Login-Daten nach wie vor eine verschlüsselte Verbindung verlangt, oder?



  • @viragomann:

    @mike69:

    Das witzige ist, der Mailclient, hier Evloution, kann ohne Verschlüsselung Mails empfangen und versenden, also nur mit Authentifizierung. Weis nicht mehr weiter…. :'(

    Hast du dem Zertifikat irgendwann mal in Evolution dauerhaft vertraut? Das geht ja normalerweise bei MUAs.

    Nee, wahrscheinlich Blödsinn erzählt. Evolution funktioniert nur mit SMTPS über Port 465 gerade. Zertifikat wurde nicht importiert, nur User und Passwort sind gesichert.
    Die Sense sendet nur unverschlüsselt, und mit der 2.4.2 funktioniert der Mailversand nicht. Das ist seltsam.

    Vielleicht, weil du jetzt keinen "Notification E-Mail auth username" angegeben hast?

    Was meinst Du?

    Ich nehme an, dass der Server mit Login-Daten nach wie vor eine verschlüsselte Verbindung verlangt, oder?

    Kann ich dir leider nicht sagen.

    Mailversand ist suboptimal, läuft aber erst mal. Werde später nochmal ein oder zwei Augen darauf werfen.



  • Hast du einen SMTP-User angegeben? Siehe im Att.

    Bei mir ist das Feld leer.

    ![2017-12-11 22_40_16-pfSense_System_ Advanced_ Notifications.png](/public/imported_attachments/1/2017-12-11 22_40_16-pfSense_System_ Advanced_ Notifications.png)
    ![2017-12-11 22_40_16-pfSense_System_ Advanced_ Notifications.png_thumb](/public/imported_attachments/1/2017-12-11 22_40_16-pfSense_System_ Advanced_ Notifications.png_thumb)


  • Moderator

    Ich versende auch über nen externen Dienst der Postfix - genauso wie die Syno auch - nutzt mit 587/Submission. Alle Felder wie in meinem letzten Post benannt und SMTP over SSL aus, weil hier dann STARTTLS gesendet werden sollte. Funktioniert.



  • @JeGr:

    Ich versende auch über nen externen Dienst der Postfix - genauso wie die Syno auch - nutzt mit 587/Submission. Alle Felder wie in meinem letzten Post benannt und SMTP over SSL aus, weil hier dann STARTTLS gesendet werden sollte. Funktioniert.

    Ich nutze ebenfalls Postfix lokal und bei mir klappt der Versand auch nicht. Hier liegt das aber (zumindest wenn ich die Logs richtig deute) daran das ich eine private CA verwende. pfSense akzeptiert die Zertifikate dieser CA aber nicht für den Mailversand, auch dann nicht wenn ich die CA im Zertifikat-Manager der pfSense hinterlege.



  • @viragomann:

    Hast du einen SMTP-User angegeben? Siehe im Att.

    Bei mir ist das Feld leer.

    Da stehen bei mir User und Passwort. Authentifizierung ist am Mailserver aktiviert da von draußen zugegriffen wird.

    @JeGr:

    Ich versende auch über nen externen Dienst der Postfix - genauso wie die Syno auch - nutzt mit 587/Submission. Alle Felder wie in meinem letzten Post benannt und SMTP over SSL aus, weil hier dann STARTTLS gesendet werden sollte. Funktioniert.

    Hier leider nicht, nur unverschlüsselt. Habe gerade die Syno neu aufgesetzt, werde demnächst nochmal testen was geht.



  • Da mich das jetzt doch gewurmt hat habe ich mein CA Zertifikat einfach mal per Hand in die Liste der System CA Zertifikate unter /usr/local/share/certs/ca-root-nss.crt eingetragen, und siehe da der Mailversand klappt. Da ich davon ausgehe das diese Datei aber spätestens bei einem System Update überschrieben wird ist das natürlich keine dauerhafte Lösung. Hier wäre es ideal wenn CAs die im Zertifikat Manager hinterlegt werden auch automatisch dort mit eingefügt werden.



  • @Grimson:

    Da mich das jetzt doch gewurmt hat habe ich mein CA Zertifikat einfach mal per Hand in die Liste der System CA Zertifikate unter /usr/local/share/certs/ca-root-nss.crt eingetragen, und siehe da der Mailversand klappt. Da ich davon ausgehe das diese Datei aber spätestens bei einem System Update überschrieben wird ist das natürlich keine dauerhafte Lösung. Hier wäre es ideal wenn CAs die im Zertifikat Manager hinterlegt werden auch automatisch dort mit eingefügt werden.

    Die Datei existiert hier nicht, noch nicht einmal der Ordner certs. Welche Version hast Du?



  • @mike69:

    Die Datei existiert hier nicht, noch nicht einmal der Ordner certs. Welche Version hast Du?

    Die aktuelle 2.4.2-release.



  • Jetzt bin ich aber verwirrt:
    @mike69:

    Der Server hat draussen nichts zu suchen. Sammelt von mehren Mailaccounts die Mails per pop3-Abruf und stellt sie mir zu Verfügung.

    @mike69:

    Da stehen bei mir User und Passwort. Authentifizierung ist am Mailserver aktiviert da von draußen zugegriffen wird.

    Die Aussagen widersprechen sich doch.
    Hast du nun doch eingehende SMTP-Verbindungen aktiv, oder nur POP3 od. IMAP? Das sollte sich getrennt konfigurieren lassen.
    Wenn du aber per SMTP-Clients darüber Mails verschicken willst, benötigst du die Authentifizierung, keine Frage, ansonsten könnte es jeder.

    Etwas ähnliches wie Grimson hatte ich auch schon angedacht, ich hätte allerdings versucht, das Zertifikat oder das der ausstellenden CA als zusätzliche Datei im entsprechenden Verzeichnis abzulegen. Welches das in FreeBSD zu sein hat, weiß ich aber leider auch nicht.
    Vielleicht findest du im Netz Infos dazu mit den richtigen Suchbegriffen, die deine FreeBSD Version anstatt pfSense enthalten.
    Aber auch das könnte bei einem OS-Update überschrieben werden.

    Nachdem in FreeBSD auch OpenSSL am Werken ist, vermute ich, dass es ähnlich ist wie in Linux sein (ist aber auch von Distro zu Distro ein wenig unterschiedlich). Bei einigen Linux-Distros funktioniert es so:

    • Das Stammzertifikat der CA, die das berüchtigte Zertifikat ausgestellt hat, im USR-Zertifikats-Verzeichnis ablegen. Das kann ggf. auch das Zertifikat selbst sein. Ein Root CA Zert gibt es in deinem Fall wohl nicht. In pfSense könnte das /usr/local/openssl sein.

    • Im Verzeichnis, in dem die Applikationen nach den Zertifikaten suchen (in Linux ist das typischerweise /etc/sll/certs, hier könnte das /etc/ssl sein), einen Symlink setzen, der auf dieses Zertifikat verweist.

    • Den Zertifikatsspeicher aktualisieren: update-ca-certificates –fresh

    Vom Grundsystem, FreeBSD, her muss das so ähnlich funktionieren, ob es die pfSense zulässt, kann ich nicht sagen.



  • @viragomann:

    Etwas ähnliches wie Grimson hatte ich auch schon angedacht, ich hätte allerdings versucht, das Zertifikat oder das der ausstellenden CA als zusätzliche Datei im entsprechenden Verzeichnis abzulegen. Welches das in FreeBSD zu sein hat, weiß ich aber leider auch nicht.

    Das hatte ich schon probiert, zumindest beim Mailversand wird nur die /etc/ssl/cert.pem genutzt, welche ein symbolischer Link auf die oben genannte Datei ist. Andere, an den üblichen Stellen, abgelegte Zertifikate werden komplett ignoriert.



  • Hast auch einen Neustart versucht?
    Ansonsten bin ich am Ende mit den Weisheiten. :(



  • Jetzt bin ich aber verwirrt:
    Quote from: mike69 on December 10, 2017, 10:49:55 am
    Der Server hat draussen nichts zu suchen. Sammelt von mehren Mailaccounts die Mails per pop3-Abruf und stellt sie mir zu Verfügung.
    Quote from: mike69 on Yesterday at 05:26:11 pm
    Da stehen bei mir User und Passwort. Authentifizierung ist am Mailserver aktiviert da von draußen zugegriffen wird.
    Die Aussagen widersprechen sich doch.
    Hast du nun doch eingehende SMTP-Verbindungen aktiv, oder nur POP3 od. IMAP? Das sollte sich getrennt konfigurieren lassen.

    Ja , ist verwirrend. ;)
    Stelle keinen öffendlichen Mailserver zur Verfügung, der ackert nur für die Familie. Raus gehen die Mails per Relay. Der Zugriff erfolgt von aussen über die gröffneten Ports 25, 465 und 995, also smtp smtps und imaps.
    Daher wird nur ein selbstsigniertes Zertifikat genutzt. Da ich weiss, wo der Server steht reicht es im Normalfall aus. Sorry, falls das Verkehrt rüberkommt.

    War bis jetzt mit der Synology beschäftigt und Family will auch etwas von mir, daher kamen die Antworten sehr sparsam.

    Also wie JeGr das vorschlägt funktioniert es nicht, also eine Mail von der Sense zum Mailserver funktioniert nur eine unverschlüsselte Verbindung mit Authentifizierung per Name und Passwort. Alles andere war nicht von Erfolg gekrönt. Werde mir heute Abend mal schauen, es mit importierten Certs funktioniert,

    pfSene läuft gerade hier mit Version 2.3.5. mit der 2.4.2 ist gar kein Mailversand zum eigenen Mailserver zustande gekommen. Alles seltsam.



  • Was JeGr vorschlägt, ist heute die bevorzugte Methode Mail von einem MUA auf einem Server einzubringen. SMTP ist eigentlich für Verbindungen zwischen Servern gedacht.
    Allerdings habe ich nicht verstanden, wie er das mit dem STARTTLS meint. Wenn der Server STARTTLS macht (weil er Verschlüsselung bei Authentifizierung erzwingt), benötigt er ebenso ein Zertifikat.

    Ich weiß immer noch nicht, ob der Server auch unverschlüsseltes SMTP (ohne Authentifizierung) erlauben würde, bzw. ob es konfigurierbar wäre. Falls ja, könntest du noch folgende Variante versuchen:
    Du stellst sämtliche MUA Clients (die sich eben auch von extern verbinden möchten) auf Port 587 um, weiterhin mit Auth und Verschlüsselung. Diese akzeptieren ja das Zertifikat.
    Du sperrst Port 25 von außen und erlaubst am SMTP Server anonyme Verbindungen.
    Dann kannst du den User und Passwort in der Notification Konfig rausnehmen.

    SMTP ohne Auth und ohne Verschlüsselung sind dann nur noch von intern möglich. Vorausgesetzt, du benötigst keine weiteren SMTP-Verbindungen von außen.



  • Moin.

    Authentifizierung lässt sich deaktivieren, siehe Bild
    Aber es wird von draußen zugegriffen über Smartphone, Tablett usw, deswegen kann ich es nicht deaktivieren. Musst dir mal vorstellen, pro Woche werden mindestens 1 Dutzend IPs wegen versuchten Login geblockt, die Welt ist böse. >:(

    Was JeGr vorschlägt, ist heute die bevorzugte Methode Mail von einem MUA auf einem Server einzubringen. SMTP ist eigentlich für Verbindungen zwischen Servern gedacht.
    Allerdings habe ich nicht verstanden, wie er das mit dem STARTTLS meint. Wenn der Server STARTTLS macht (weil er Verschlüsselung bei Authentifizierung erzwingt), benötigt er ebenso ein Zertifikat.

    Das stimmt, Deswegen klappt es damit zumindest hier mit dem seblbstsignierten Zertitifikat auch nicht, dass pfSense intern Mails mit SSL/TLS oderSTARTTLS verschlüsselt versendet

    Was mich bissl stört ist die anfänglich unverschlüsselte Anfrage zum Server. Wenn aus unerklärlichen Gründen sich MDA und MTA über die Verschlüsselung nicht einig werden, was dann?

    @JeGr:

    Ich versende auch über nen externen Dienst der Postfix - genauso wie die Syno auch - nutzt mit 587/Submission. Alle Felder wie in meinem letzten Post benannt und SMTP over SSL aus, weil hier dann STARTTLS gesendet werden sollte. Funktioniert.

    Das heißt, du nutzt keinen eigenen Mailserver im LAN? Die pfSense verschickt mit STARTTLS an Gmail und Co ihre Benachrichtigungen, und das ohne Probleme.

    Der Mailserver hier sitzt im LAN mit einem selbstsignierten Zertifikat, als SMTP-Relay-Server wird ein Account von Strato genutzt, der per STARTTLS die Mails weiterleitet.

    Oder reden wir hier aneinander vorbei?  :) :) :)




  • Hallo,

    die Idee war darauf begründet, dass die Einstellungen zur Verschlüsselung für SMTP und Submission getrennt gemacht werden können. Geht aber wohl nicht.

    Wenn sich Client und Server nicht auf eine Verschlüsselung einigen können, gibt es keine Übertragung.

    Wenn du auf dem Syno Server nichts machen kannst, sende die Nachrichten eben auf einen externen Server. Soweit ich es verstanden habe, hast du ja Mailkonten auf einem öffentlichen Server, der deine Mails empfängt und von dem sie die Syno abholt. Dieser hat wohl ein Zertifikat einer vertrauenswürdigen Stammzertifizierungsstelle und würde sich freuen, die Mails anzunehmen.  ;)

    Grüße



  • Ja.da stimmt. :)



  • Super.

    Unter Version 2.5.3 können keine Pakete installiert werden, verweist auf die aktuelle Major Release. Also Update auf 2.4.2 und keine unverschlüsselte Mails sind mehr möglich. Was will man mehr. >:(


  • Moderator

    Unter Version 2.5.3 können keine Pakete installiert werden, verweist auf die aktuelle Major Release. Also Update auf 2.4.2 und keine unverschlüsselte Mails sind mehr möglich. Was will man mehr. >:(

    Das ist nicht korrekt und wurde schon an mehrfachen Stellen gepostet ;) Wenn du auf 2.3 bleiben willst UND Pakete brauchst, musst du im Update Handling auf 2.3 Legacy Tree umstellen, ansonsten wird das PKG Update natürlich meckern, weil es die neuen Pakete von 2.4 verwenden will, was nicht möglich ist. Einfach mal einen Schritt zurück machen, durchatmen und nochmal probieren :)

    Wenn der Server STARTTLS macht (weil er Verschlüsselung bei Authentifizierung erzwingt), benötigt er ebenso ein Zertifikat.

    Dem habe ich auch nicht widersprochen :) Meine Aussage war auf die Fehlermeldung bezogen: wenn die pfSense die Verbindung nicht aufbauen kann weil bspw. eben fälschlich der TLS over SMTP Haken drin ist - der erzwingt bei Verbindung sofort TLS, STARTTLS wird über eine erst unverschlüsselt aufgebaute Leitung gesprochen. Daher meine Aussage, dass man bei Nutzung von bspw. Submission (587) aufpassen muss, was konfiguriert ist.

    Ich kann wie mike auch schon schreibt bspw. problemlos bei GMail mit Submission meine Reports der pfSense einliefern. Klappt ohne Probleme verschlüsselt. Bei der Syno hatte ich es jetzt noch nicht mit dem Mail Paket zu tun, das müsste ich tatsächlich mal testweise installieren um das zu testen.

    Auf der anderen Seite: Warum überhaupt ein "selbst signiertes Zertifikat"? Die Syno kann LetsEncrypt und damit sich selbst innerhalb Sekunden ein ordentliches Zertifikat abholen. Muss eben nur eine sinnvolle Domain haben.

    Gruß



  • Nabend.

    Das ist nicht korrekt und wurde schon an mehrfachen Stellen gepostet ;) Wenn du auf 2.3 bleiben willst UND Pakete brauchst, musst du im Update Handling auf 2.3 Legacy Tree umstellen, ansonsten wird das PKG Update natürlich meckern, weil es die neuen Pakete von 2.4 verwenden will, was nicht möglich ist. Einfach mal einen Schritt zurück machen, durchatmen und nochmal probieren :)

    Asche auf mein Haupt, schlecht bis überhaupt nicht recherchiert. Sorry :-[

    [quote]Auf der anderen Seite: Warum überhaupt ein "selbst signiertes Zertifikat"? Die Syno kann LetsEncrypt und damit sich selbst innerhalb Sekunden ein ordentliches Zertifikat abholen. Muss eben nur eine sinnvolle Domain haben.

    Alle 3 Monate darf es erneuert werden, das Update klappt sehr unregelmässig, obwohl die benötigten Ports offen sind.. Wenn das Zertifikat abgelaufen ist, funktionieren einige Applikationen nicht. Und wenn als CN die dyn. DNS-Adresse eingegeben wird, ist intern im LAN noch eine Ausnahmegenehmigung für Browser, Mailclient und Co erforderlich. Mit einem selbstsign. Zertifikat habe ich 10 Jahre Ruhe, die Bude muss laufen. Für einen internen Server halte ich das für die angenehmere Wahl.

    Bissl Offtopic, aber die CPU load unter 2.4.2 sind höher als unter 2.5.3, oder? Nix drauf, da neu installiert außer paar Regeln. Unter 2.5.3 load average der letzten 15 Minuten bei 0.04, 2.4.2 liegt bei 0.35. Ist gerade aufgefallen.


  • Moderator

    Asche auf mein Haupt, schlecht bis überhaupt nicht recherchiert. Sorry :-[

    Kein Problem darum hab ichs nochmal geschrieben :)

    Wenn das Zertifikat abgelaufen ist, funktionieren einige Applikationen nicht. Und wenn als CN die dyn. DNS-Adresse eingegeben wird, ist intern im LAN noch eine Ausnahmegenehmigung für Browser, Mailclient und Co erforderlich.

    Mag jetzt OT sein: Darum lohnt es sich schon seit Jahren, ein internes Netz "richtig" mit einer echten Domain (à la lan.domain.de oder intern/home/bla.domain.de) zu betreiben und nutzen. Für genau deinen angesprochenen Fall habe ich hier im Lab-Setup darum die Konstellation (Beispiel): xy.dom.tld als interne Domain.
    Warum das eine Rolle spielt? Genau wegen den Zertifikaten :) Hat man jetzt die Domain dom.tld bspw. bei einem unterstützten Provider (Cloudflare bietet das ja für den Hausgebrauch kostenlos an), kann man per DNS API von LetsEncrypt sich innerhalb Sekunden ein Zertifikat für server.xy.dom.tld ausstellen lassen. Durch einen internen DNS Resolver Override wird von intern die Auflösung für die Domain auf die interne IP des NAS gesetzt, von extern löst Cloudflare den Namen mit der echten IP auf (da CloudFlare via API auch "dyndns" macht). Damit löst die Domain überall so auf wie es gebraucht wird und man hat mit dem Zertifikat kein Problem :) Passt das dann auch mit dem DNS ordentlich, gibts meist auch mit LE keine Probleme mehr.

    Vielleicht einfach nur als Denkanstoß oder zukünftige Planung: Macht das Leben im LAN definitiv wesentlich leichter und einfacher.

    Gruß



  • Magst Du mich mal an die Hand nehmen? Gibt es ein HowTo zu diesem Thema?
    Habe bei Strato eine Domain registrieren lassen und nutze diese gerade für DynDNS. Das Paket kann noch mehr, habe aber mich nie mit beschäftigt.

    edit:
    Alles gut, hab es hinbekommen. ;D


  • Moderator

    Magst Du mich mal an die Hand nehmen? Gibt es ein HowTo zu diesem Thema?

    Wenn du dazu Hilfe brauchst, immer raus damit :) Auch wenns vielleicht von deinem eigenen Thema etwas abweicht - aber schlußendlich ist das ja immer noch "dein Problemthread" :D