pfSense Gold Subscription

Author Topic: [Gelöst] Mail Notification ins LAN  (Read 710 times)

0 Members and 1 Guest are viewing this topic.

Offline mike69

  • Jr. Member
  • **
  • Posts: 71
  • Karma: +10/-0
    • View Profile
[Gelöst] Mail Notification ins LAN
« on: December 10, 2017, 09:09:25 am »
Hallo.

Hat es jemand geschafft, eine Benachrichtigung zu einem Mailserver im LAN zu versenden. Nach draußen geht es (Gmail), nur intern nicht. Hier die Fehlermeldung:

Code: [Select]
Nachricht konnte nicht gesendet werden an mike@lhmaster.home -- Fehler: Failed to connect to ssl://192.168.2.201:465 [SMTP: Failed to connect socket: fsockopen(): unable to connect to ssl://192.168.2.201:465 (Unknown error) (code: -1, response: )]
Eine Regel muss nicht her, oder? Ping oder Traceroute funktioniert von der Sense zum Server. Ob IP oder Domain ist auch egal. Hier im Anhang die Config:






« Last Edit: December 16, 2017, 04:01:40 am by mike69 »
DSL-Modem: Draytek Vigor130
pfSense 2.3.5 auf APU1D4
Switch: HP ProCurve 1810 24G
NAS: Synology RS815+
AP: Draytek AP710, FB7490

Offline viragomann

  • Hero Member
  • *****
  • Posts: 2622
  • Karma: +276/-1
    • View Profile
Re: Mail Notification ins LAN
« Reply #1 on: December 10, 2017, 10:10:44 am »
Hallo,

wenn du SMTPS verwendest,
  • muss das Server-Zertifikat des Mailservers vertrauenswürdig sein (von einer öffentlichen CA stammen),
  • der CN in der Notifcation Konfig im Feld "E-Mail-Server" stehen (ich denke nicht, dass dein Zertifikat auf die IP ausgestellt ist.) und,
  • falls es ein FQDN ist, muss ihn die pfSense richtig auflösen können (internes DNS oder Override).

Wenn das alles zu viel Aufwand ist, verwende einfach unverschlüsseltes SMTP, ist ja nur intern und die übertragenen Informationen sind auch nicht gerade Top Secret.

Offline mike69

  • Jr. Member
  • **
  • Posts: 71
  • Karma: +10/-0
    • View Profile
Re: Mail Notification ins LAN
« Reply #2 on: December 10, 2017, 10:49:55 am »
Hi.

Ist ein selbst signiertes Zertifikat. Der Server hat draussen nichts zu suchen. Sammelt von mehren Mailaccounts die Mails per pop3-Abruf und stellt sie mir zu Verfügung. Habe das Zertifikat in die Sense importiert, half nicht. Wenn das Zertifikat öffentlich abgesegnet sein muss. kann ich hier aufhören.

Selbst wenn CN und Mailserver gleich sind, kommt die Fehlermeldung. FQDN ist übrigens lhmaster.home, wurde unter dem DNS Resolver eingetragen (host overrides). In der ARP-Tabelle ist die IP der FQDN zugeordnet.


Bei unverschlüsseltes SMTP kommt die Meldung:
Code: [Select]
Error: PLAIN authentication failure [SMTP: STARTTLS failed (code: 220, response: 2.0.0 Ready to start TLS)]
Kann auch am Server liegen. der traue ich alles zu. Ist eine Syno RS815+, DSM 6.1.4 mit Mail Plus Server und Mail Plus.



DSL-Modem: Draytek Vigor130
pfSense 2.3.5 auf APU1D4
Switch: HP ProCurve 1810 24G
NAS: Synology RS815+
AP: Draytek AP710, FB7490

Offline viragomann

  • Hero Member
  • *****
  • Posts: 2622
  • Karma: +276/-1
    • View Profile
Re: Mail Notification ins LAN
« Reply #3 on: December 10, 2017, 10:58:49 am »
Ob das Importieren des Zertifikats hilft, weiß ich nicht. Vermutlich nicht.

Wenn du SMTP einstellst, macht der STARTTLS, wie das Log zeigt, wofür auch wiederum das Zertifikat nötig ist.
Hast du auch versucht, den Haken bei "sicher SMTP-Verbindung" rauszunehmen?

Offline mike69

  • Jr. Member
  • **
  • Posts: 71
  • Karma: +10/-0
    • View Profile
Re: Mail Notification ins LAN
« Reply #4 on: December 10, 2017, 11:24:12 am »
Jep, Haken ist raus.

Mit der Fehlermeldung gibt Google etliche Ursachen raus. Falsche php Version, falsche timezone in der php.ini,
http://osticket.com/forum/discussion/3422/failed-to-configure-email-smtp-settings

neues Zertifikat erstellen oder bei deaktivierten SSL/TLS wird STARTSSL verlangt
http://gefruckelt.de/programmieren/authentication-failure-smtp-starttls-failed/

Bin erstmal überfragt. Die Fritz.Box versendet Mails intern, diverse Debianserver auch. was nicht geht ist die Sense und das Network Management Control der Cyberpower USV. :-[



DSL-Modem: Draytek Vigor130
pfSense 2.3.5 auf APU1D4
Switch: HP ProCurve 1810 24G
NAS: Synology RS815+
AP: Draytek AP710, FB7490

Offline viragomann

  • Hero Member
  • *****
  • Posts: 2622
  • Karma: +276/-1
    • View Profile
Re: Mail Notification ins LAN
« Reply #5 on: December 10, 2017, 01:04:09 pm »
Wenn der Haken raus ist, erzwingt die pfsense gewiss nicht eine Verschlüsselung, das macht bestenfalls der SMTP-Server.
Kannst du den nicht so konfigurieren, dass er auch unverschlüsselte Verbindungen erlaubt? Wenn er selbst, so wie ich es verstanden habe, nur interne Verbindungen annimmt, brauchst du doch keine Verschlüsselung. Bei Verbindungen, die er aktiv zu anderen Server aufbaut, kommt das Zertifikat ohnehin nicht zum Tragen.

Bei mir werden Notifications auch unverschlüsselt auf einen interne SMTP Server geschickt (der das Relay macht). Das hat durch die Versionen hindurch seit 2.0 noch keine Probleme bereitet.

Offline mike69

  • Jr. Member
  • **
  • Posts: 71
  • Karma: +10/-0
    • View Profile
Re: Mail Notification ins LAN
« Reply #6 on: December 10, 2017, 01:43:00 pm »
Der Mailserver macht soweit keine Probeme, mit SMTP unverschlüsselt versenden funktioniert ja.

pfSense ist konfiguriert mit Port 25, Haken bei
Code: [Select]
Enable SMTP over SSL/TLS ist raus. Von admin@pfsense.home, To user@t-online.de (oder intern zu user@lhmaster.home), die Meldung schmeisst die Sense raus:
Code: [Select]
Could not send the message to mikexxxx@lhmaster.home -- Error: PLAIN authentication failure [SMTP: STARTTLS failed (code: 220, response: 2.0.0 Ready to start TLS)]
Was soll ich machen. Wer beim unverschlüsselten Login unbedingt STARTTLS verlangt, keine Ahnung, normalerweise nach meinem Verständniss auch der SMTP-Server.
Du hast Anscheinend auch eine Syno als Mailserver laufen. Können wir mal die Config vergleichen?
DSL-Modem: Draytek Vigor130
pfSense 2.3.5 auf APU1D4
Switch: HP ProCurve 1810 24G
NAS: Synology RS815+
AP: Draytek AP710, FB7490

Offline viragomann

  • Hero Member
  • *****
  • Posts: 2622
  • Karma: +276/-1
    • View Profile
Re: Mail Notification ins LAN
« Reply #7 on: December 10, 2017, 04:01:22 pm »
Nein, bei mir ist das ein Windows Server.

Sieht so aus, als ob sich der Server an der PLAIN authentication stößt und das deswegen unbedingt verschlüsselt haben möchte. Und ich nehme an, dass er die einzige Alternative der pfSense, "LOGIN", aber nicht versteht.

Am Windows Server ist das konfigurierbar, wenngleich es böse Warnhinweise gibt.

Der Mailserver macht soweit keine Probeme, mit SMTP unverschlüsselt versenden funktioniert ja.
Vom Server aus? Da ist er aber in der Funktion des Clients. Dabei ist es egal, ob verschlüsselt oder nicht, dazu benötigt er kein Zertifikat, wie schon vorhin erwähnt. Hier überprüft er bestenfalls das vom Server gelieferte Zertifikat. Und ein selbst-signiertes würde er wohl auch ablehnen, wenn es oder ein übergeordnetes nicht importiert ist.

Offline bahsig

  • Jr. Member
  • **
  • Posts: 54
  • Karma: +0/-0
    • View Profile
Re: Mail Notification ins LAN
« Reply #8 on: December 11, 2017, 02:29:30 am »
ist es denn notwendig den internen mailverkehr zu verschlüsseln? sehe da keinen sinn drin, zumal es sich ja eh nur um logs handelt.

Offline JeGr

  • Moderator
  • Hero Member
  • *****
  • Posts: 3153
  • Karma: +202/-8
  • old man standing
    • View Profile
Re: Mail Notification ins LAN
« Reply #9 on: December 11, 2017, 04:48:31 am »
@bahsig: Da geht es nicht um Sinn oder Unsinn. Zum einen ist es irrelevant ob es verschlüsselt wird oder nicht, denn es ist minimaler Overhead - warum also nicht. Zum anderen geht es um sichere Voreinstellungen. Es gibt genug Menschen, die ein NAS o.ä. einfach ans Netz hängen und da Mails direkt forwarden, da möchte man ähnlich wie bei FritzBox und Co einfach ordentliche Voreinstellungen liefern. Mit der gleichen Argumentation könnte man auch sagen SSH intern braucht keiner Telnet tuts ja auch ;)
Don't forget to [applaud] those offering their time and brainpower to help you!

If you're interested in paid support, I'm available via PM for details of German pfSense support either for corporate or personal cases.

Offline mike69

  • Jr. Member
  • **
  • Posts: 71
  • Karma: +10/-0
    • View Profile
Re: Mail Notification ins LAN
« Reply #10 on: December 11, 2017, 06:57:43 am »

Der Mailserver macht soweit keine Probeme, mit SMTP unverschlüsselt versenden funktioniert ja.
Vom Server aus? Da ist er aber in der Funktion des Clients. Dabei ist es egal, ob verschlüsselt oder nicht, dazu benötigt er kein Zertifikat, wie schon vorhin erwähnt. Hier überprüft er bestenfalls das vom Server gelieferte Zertifikat. Und ein selbst-signiertes würde er wohl auch ablehnen, wenn es oder ein übergeordnetes nicht importiert ist.

Sorry, mein Fehler. Meinte das senden vom Clienten zum Mailserver. Der wiederum versendet verschlüsselt zu den internen Clienten, nach draußen durch einem SMTP-Relay. Wie gesagt, der Server hat draussen nichts zu suchen und soll nur meiner Familie dienen..


Klar kann die pfSense Mails nach draussen senden. Durch den pop3-Abruf habe ich die Mail spätestens nach 5 Minuten. Durch den internen Mailserver erspare ich mir unnützen Traffic und habe einen kleinen Zeitvorteil. Ging ja jahrelang vorher auch so.
Interessant ist nur die Tatsache, warum es hier nicht funktioniert.
Zur Info, hatte die pfSense eingemottet und gerade erst alles neu installiert auf Version 2.4.2. Altlasten sollten nicht vorhanden sein.
DSL-Modem: Draytek Vigor130
pfSense 2.3.5 auf APU1D4
Switch: HP ProCurve 1810 24G
NAS: Synology RS815+
AP: Draytek AP710, FB7490

Offline viragomann

  • Hero Member
  • *****
  • Posts: 2622
  • Karma: +276/-1
    • View Profile
Re: Mail Notification ins LAN
« Reply #11 on: December 11, 2017, 07:35:55 am »
Ach ja, wollte noch hinzufügen, mein interner Mailserver verlangt keine Authentifizierung. Damit werden keine Kontodaten übertragen und es ist auch eine Verschlüsselung nicht so wichtig.

Vielleicht lässt sich auch bei dir die Authentifizierung abschalten. Ist aber nur ratsam, wenn es keinerlei Weiterleitungen von SMTP von draußen gibt, bzw. wenn er kein Relaying macht!

Offline mike69

  • Jr. Member
  • **
  • Posts: 71
  • Karma: +10/-0
    • View Profile
Re: Mail Notification ins LAN
« Reply #12 on: December 11, 2017, 08:29:23 am »
Glaube, das geht nicht. du erstellst Benutzer und Kennwort, die wiederum bekommen die Erlaubnis Mail und Mailserver zu nutzen. Mit den Benuzern inkl. Passwort meldest Du dich mit den Clients an. Die Syno ist sowieso extrem unübersichtlich und zumindest ich weiß nicht wirklich, was sie macht wenn Du ein Button anklickst.. Extrem Klickbunti, eben, nicht ganz meins aber die Hardware ist geil.  ;D

Ist jetzt offftopic, aber wer weiß, wie ich ein cleanes BS raufkriege, immer her mit der Info. Ist nicht ganz trivial.

DSL-Modem: Draytek Vigor130
pfSense 2.3.5 auf APU1D4
Switch: HP ProCurve 1810 24G
NAS: Synology RS815+
AP: Draytek AP710, FB7490

Offline JeGr

  • Moderator
  • Hero Member
  • *****
  • Posts: 3153
  • Karma: +202/-8
  • old man standing
    • View Profile
Re: Mail Notification ins LAN
« Reply #13 on: December 11, 2017, 08:45:38 am »
dann mach doch TLS an (Submission auf 587) und sende die Mails an die Syno mit einem Benutzer den du dafür anlegst (pfsense) der eben nur minimale Rechte hat und nur mail nutzen darf. Macht man ja u.a. auch in einem AD, LDAP etc. mit den Lese-Usern o.ä. und wäre logischer als irgendwas komplett unauthentifiziert zu senden.

Die Syno macht zwar einiges "autmagisch" aber tortz allem ist da auch nur ein abgespecktes Linux drauf, was entsprechende Pakete mit schöner Optik bündelt. Und den verwendeten Server (meines Wissens Postfix) kann das auch. 

Mit

<internet Mailserver IP>
587
[ ] Enable SMTP over TLS (NICHT einschalten)
From Address
Receiver Address
Auth Login
Auth Pass
PLAIN

sollte es dann via Submission eigentlich recht problemlos laufen. Wie schon andernorts mal gesagt ist SMTPS/465 inzwischen für Mail Client Versand mit Auth eher unüblich. 25 ohne oder mit Starttls und Login oder 587 Submission sind eigentlich die gebräuchlichsten Varianten.

Und ich finde das "Klickibunti" der Syno nicht mal so schlimm. Ist ähnlich wie auf der pfSense - pf und andere Dienste könnten noch viel mehr, aber es wird eben auf das meiste reduziert, was man oft braucht. Macht die Syno mit komplexen Paketen wie Samba/AD, LDAP etc. hier auch und das nichtmal schlecht und vor allem oft mit guter/sicherer Voreinstellung für den Fall, dass man sie einfach mal ans Netz hängt.

Gruß
Don't forget to [applaud] those offering their time and brainpower to help you!

If you're interested in paid support, I'm available via PM for details of German pfSense support either for corporate or personal cases.

Offline mike69

  • Jr. Member
  • **
  • Posts: 71
  • Karma: +10/-0
    • View Profile
Re: Mail Notification ins LAN
« Reply #14 on: December 11, 2017, 09:16:56 am »
Hi.

Quote
Die Syno macht zwar einiges "autmagisch" aber tortz allem ist da auch nur ein abgespecktes Linux drauf, was entsprechende Pakete mit schöner Optik bündelt. Und den verwendeten Server (meines Wissens Postfix) kann das auch.

Nur die Bevormundung seitens Synology dem User oder Admin gegenüber ist eine Sauerei. Und noch andere Sachen, was aber nicht hier her gehört. Es fehlt eine Plauderecke.  :)

Habe den Mailuser der Syno als neuen User in der pfSense eingetragen, funktioniert nicht:
Code: [Select]
Could not send the message to user@lhmaster.home -- Error: PLAIN authentication failure [SMTP: STARTTLS failed (code: 220, response: 2.0.0 Ready to start TLS)]Ohne SMTP over SSL/TLS, jeweils Port 25 und 587, gleiche Meldung.

Komme nicht weiter hier.

Quote
sollte es dann via Submission eigentlich recht problemlos laufen. Wie schon andernorts mal gesagt ist SMTPS/465 inzwischen für Mail Client Versand mit Auth eher unüblich. 25 ohne oder mit Starttls und Login oder 587 Submission sind eigentlich die gebräuchlichsten Varianten.

Ehrlich? Sehe gerade, Port 465 wurde 2001 anders vergeben. (Wikipedia)
« Last Edit: December 11, 2017, 09:25:44 am by mike69 »
DSL-Modem: Draytek Vigor130
pfSense 2.3.5 auf APU1D4
Switch: HP ProCurve 1810 24G
NAS: Synology RS815+
AP: Draytek AP710, FB7490