Email Notifications



  • Guten Tag,

    habe mir gerade unter System>Advanced>Notifications den Email-Versand eingerichtet. Test-Mail geht alles wunderbar raus. Meine Frage: Gibt es mit diesen Standard-Einstellungen jetzt schon Mails die dann regelmäßig von der PFsense versendet werden?

    Ich hätte gern eine regelmäßige Nachricht über den Systemstatus und ob die VPN´s oben sind, auchwürde ich gern eine Nachricht empfangen wen es irgendwo einen Fehler gegeben hat. Muss man das irgendwo einrichten und wen ja wie?

    Danke im voraus.



  • Hallo,

    Nachrichten werden da nur im Fehlerfall versandt, und Fehler gibt es doch auf der pfSense so gut wie keine.  :)

    Wenn du Info-Nachrichten bekommen möchtest, kannst du dir das Paket mailreport installieren. Das kann neben den RRD-Graphen den Inhalt der Log Dateien ins Mail packen. Von den Logs kann man sich eine bestimmte Anzahl an Zeilen schicken lassen und diese auch mit einem Filter (bspw. "fail")belegen.
    Außerdem kann es auch Shell Kommandos ausführen, deren Rückgabe ebenfalls ins Mail integriert wird.

    Es lassen sich so unterschiedliche Zusammenstellungen von Reports einrichten, die zu den jeweils ausgewählten Zeiten regelmäßig versandt werden.

    Ist vielleicht nicht so komfortabel, wie du es dir wünscht, erfüllt aber den Zweck.



  • Danke ;D

    Genau das was ich gesucht habe. Das mit RRD Graphen ist wirklich sehr geil.


  • Rebel Alliance Moderator

    Ich lasse mir mit dem "Mailreport" bspw. monatlich die Quality, Loss und Traffic RRD Graphen der WAN Interfaces per Mail schicken. Ansonsten wirst du jetzt bei einem Gateway Down, bei Updates oder auch bei DynDNS Changes benachrichtigt.



  • Dieses Forum ist echt Pflichtlektüre! Ich nutze pfsense nun schon 4 Jahre, aber diese Funktionalität habe ich noch nicht gesehen.
    TNX

    Noch schöner wär's allerdings mit PGP…


  • Rebel Alliance Moderator

    Hi fork,

    weshalb mit PGP? Wenn du deinen Mailreport an ein von dir gemanagtes Mailsystem via TLS übergibst, gibt es auf der Strecke ja nichts mehr, wovor du die Mail schützen müsstest. Wenn du naütürlich über einen Freemailer o.ä. die Mails versendest, sieht das etwas anders aus, korrekt. Aber es werden ja auch keine Vitaldaten oder Passwörter versendet ;)

    Grüße



  • @JeGr:

    weshalb mit PGP?

    Genau für den zweiten von Dir genannten Fall 'öffentlicher Mailer'. Auch wenn da nicht direkt vertrauliche Details drinstehen, würde ich gern jegliche überflüssigen Hinweise über Infrastrukturen im öffentlichen Raum vermeiden.
    Mit PGP und einem anonymisierten Topic+Sender sollten sich die Risiken minimieren lassen.


  • Rebel Alliance Moderator

    OK verständlich. :)

    Subjektiv allerdings muss ich da hinterfragen, warum man dann in einem Szenario, bei dem Sicherheit so wichtig ist, dass man keine Metadaten o.ä. versenden will, das ganze dann über nen öffentlichen/kostenlosen Mailer versendet und nicht über einen eigenen internen Dienst bspw. An der Stelle behandle ich pfSense eigentlich wie jede andere Netzwerkkomponente, und da wäre mir jetzt akut nie in den Sinn gekommen, mich darüber zu "beklagen" (nur als Vergleich), dass bspw. eine Cisco ASA oder ein Juniper Switch seine Reports per Mail nicht via PGP verschlüsselt ;) - denn die haben eh nur intern versendet zu werden. Ich wüsste jetzt akut kein Kundensetup, bei dem kein Mailserver der als "sicher" anzusehen ist, erreichbar wäre als Sendeserver. Ob dann die Zieladresse erreicht werden kann ohne irgendwelche Server ohne TLS anzusprechen ist natürlich ein Fragezeichen, außer die Mail bleibt dann direkt auf dem Server.

    Als Workaround/Alternative kann man aber bspw. die Mails zu/über einen Service wie Mailbox.org versenden und dort dann die Verschlüsselung beim Eingang mit hinterlegtem PGP Key aktivieren. Dann werden die Daten auch verschlüsselt gespeichert.



  • Ich denke, der Vergleich hinkt etwas. pfsense ist durchaus auch ein Produkt für den fortgeschrittenen Privatanwender. Dessen Daten sind aus seiner Sicht bestimmt nicht weniger schützenswert. Die Frage ist dann wohl eher, ob man PGP vertraut oder nicht. Im Enterprise-Kontext wird PGP aber- fatalerweise - eher ignoriert.

    Und ein 'Noch schöner wär's allerdings mit PGP…' würde ich nicht zwingend als 'Klage' auslegen, eher als Äusserung eines Wunsches. Jedenfalls war es so gemeint...  ;)


  • Rebel Alliance Moderator

    Da haben wir ein wenig aneinander vorbeigeschrieben :D

    Deshalb hatte ich ja "beklagen" auch in "" geschrieben, weil ich verstanden habe, dass es keine Klage war, sondern eher ein (frommer) Wunsch. Deshalb ja auch meine Kernaussage vorweg "OK verständlich". Ich meinte nur, dass in dem Kontext, in dem ich solch einen Use Case sehe, meistens(!) eh interne Mailsysteme zur Verfügung stehen, die die Mail direkt annehmen können ohne sie in der Welt herumzusenden.

    Und ein sicherheitskritischer advanced User / Poweruser ist potentiell auch jemand, der vielleicht genau deshalb keinen Freemailer nutzt, sondern eher ein eigenes System irgendwo aufgebaut hat und/oder betreut, welches die Mail dann direkt empfangen kann. Deshalb mein "?" ob solch eine Option (dringend) nötig ist, da wie gesagt andere Infrastruktur Komponenten, die ebenfalls solche Status Mails erzeugen könn(t)en, auch keine Möglichkeiten haben, Mails zu verschlüsseln. Aber vielleicht denke ich da zu kompliziert ;)

    Ich sage nur, dass ein Mailversand via Submission bzw. SMTPS möglich ist, womit die Mail ja verschlüsselt transportiert wird (bis zum ersten Hop). Und wenn ich dem Server dann schon "mißtraue", sollte ich vielleicht die Mail woanders einliefern und gleich dort belassen? Nur ein genereller Gedanke, ohne dein Feature Request als "unnötig" ablehnen zu wollen. Schön wäre das auf jeden Fall! :)

    Grüße



  • @JeGr:

    Ansonsten wirst du jetzt bei einem Gateway Down … (per Mail) ... benachrichtigt.

    Echt jetzt?
    Ist ja klasse, dass ich zum Versand der mail kein Gateway mehr brauche!
    Kann ich das auch für andere Dienste so einstellen, wie HTTP zB?  ;D  ;D  ;D


  • Rebel Alliance Moderator

    Ist ja klasse, dass ich zum Versand der mail kein Gateway mehr brauche!
    Kann ich das auch für andere Dienste so einstellen, wie HTTP zB?  ;D  ;D  ;D

    Richtig, brauchst du nicht. Wie oben gesagt, wenn man das im Firmenumfeld so einsetzt, hat man meistens intern eh einen Mailserver stehen. Bei uns passiert bspw. genau das. Bei einem Gateway Down gibts sowohl Mail als auch SMS, da intern ein (leider) Exchange steht, die Anbindung ist DualWAN, da juckt ein Gateway nicht ;) und die Mail intern wird dann auch noch an einen Raspi mit SMS Flatrate weitergereicht, der das dann als Pager rausschickt :) Und ja das klappt garantiert auch für andere Dienste, wenn die die Message / Notification Elemente der pfSense nutzen :P :D



  • Komm schon, Du weißt wie ich das gemeint habe. Spätestens bei "Surfen ohne Gateway" war's doch klar.

    Frage am Rande: wie machst Du das mit dem RasPi und der SMS? Rein aus Interesse und gern auch per PM, da es hier ja nicht hingehört.



  • Moin,

    @jahonix:

    Frage am Rande: wie machst Du das mit dem RasPi und der SMS? Rein aus Interesse und gern auch per PM, da es hier ja nicht hingehört.

    MöhpMöhp ich bin daran auch interessiert … :P

    -teddy


  • Rebel Alliance Moderator

    @jahonix: Natürlich weiß ich wie du's gemeint hast, sonst hätte ich diese Übermasse an Smileys nicht genutzt ;)

    Was genau wollt ihr denn mit dem RasPi wissen? Das ist ein Raspi2, da hängt ein Huawei Stick dran mit ner SIM eines großen deutschen Telekommunikationsanbieters (narf) und einer SMS Flatrate. Entsprechend läuft da ein ARMel Debian, was den Stick via smsd steuert. Dort kann man dann über dessen Spool Verzeichnisse lustig SMS versenden oder empfangen(!) :) Wir nutzen das fürs interne Monitoring zusätzlich zum externen, um gewisse Services inHouse schon zu überwachen bevor ein Ausfall Kunden-sichtbar wird. Da man manchmal auch Notifications bekommt, die nerven können, kann der Raspi auch SMS empfangen, womit ich auf eine Notification antworten kann - ID/Dienst mit angeben und ack'en oder stfu'en kann, damit der Ruhe gibt, bis man sich drum kümmert. Das läuft dann über ein eigenes Skript/Dienst, was die ankommende SMS auswertet, TolleDinge(TM) tut (wie Checks bestätigen/stummschalten etc.) und anschließend eine Bestätigung zurückschickt (Flatrate sei Dank).


Log in to reply