Netgate SG-1000 microFirewall

Author Topic: [Gelöst] Mail Notification ins LAN  (Read 898 times)

0 Members and 1 Guest are viewing this topic.

Offline viragomann

  • Hero Member
  • *****
  • Posts: 2830
  • Karma: +312/-1
    • View Profile
Re: Mail Notification ins LAN
« Reply #15 on: December 11, 2017, 09:55:11 am »
Der Mailserver der Syno versucht sich damit offenbar nur an den RFC 4954 zu halten.
Ein Auszug:
Quote
   Note: A server implementation MUST implement a configuration in which
   it does NOT permit any plaintext password mechanisms, unless either
   the STARTTLS [SMTP-TLS] command has been negotiated or some other
   mechanism that protects the session from password snooping has been
   provided.  Server sites SHOULD NOT use any configuration which
   permits a plaintext password mechanism without such a protection
   mechanism against password snooping.


Ist das Zertifikat zwingend / automatisch von der Syno generiert? Aber auch das wäre gemäß des Standards.

Wenn das Problem von der Seite nicht zu lösen ist, bleibt nur dafür zu sorgen, dass die pfSense dem Zertifikat vertraut.

Offline mike69

  • Jr. Member
  • **
  • Posts: 80
  • Karma: +10/-0
    • View Profile
Re: Mail Notification ins LAN
« Reply #16 on: December 11, 2017, 10:10:09 am »
Das Zertifikat der Syno ist selbst generiert, CN ist lhmaster.home. alle Dienste nutzen dieses Zertifikat. Es gibt kaum Probleme, nur das Network Management der Cyberpower USV möchte auch nicht mit dem internen Mailserver kommunizieren.

Das witzige ist, der Mailclient, hier Evolution, kann ohne Verschlüsselung Mails empfangen und versenden, also nur mit Authentifizierung. Weiss nicht mehr weiter.... :'(

Edit:
Hier ist irgendwo der Wurm drin. Jetzt möchte Evolution TLS auf dedizierten Port haben, sonst looft es nicht....

Edit2:
pfSense 2.3.5 installiert, config geladen, kann jetzt Mails versenden. Leider nur unverschlüsselt, aber geht. Warum? ::)
« Last Edit: December 11, 2017, 11:28:25 am by mike69 »
DSL-Modem: Draytek Vigor130
pfSense 2.3.5 auf APU1D4
Switch: HP ProCurve 1810 24G
AP: Draytek AP710, FB7490

Offline viragomann

  • Hero Member
  • *****
  • Posts: 2830
  • Karma: +312/-1
    • View Profile
Re: Mail Notification ins LAN
« Reply #17 on: December 11, 2017, 01:29:01 pm »
Das witzige ist, der Mailclient, hier Evloution, kann ohne Verschlüsselung Mails empfangen und versenden, also nur mit Authentifizierung. Weis nicht mehr weiter.... :'(
Hast du dem Zertifikat irgendwann mal in Evolution dauerhaft vertraut? Das geht ja normalerweise bei MUAs.

Edit2:
pfSense 2.3.5 installiert, config geladen, kann jetzt Mails versenden. Leider nur unverschlüsselt, aber geht. Warum? ::)
D.h. der SMTP-Server erlaubt unverschlüsselte Verbindungen.
Vielleicht, weil du jetzt keinen "Notification E-Mail auth username" angegeben hast?

Ich nehme an, dass der Server mit Login-Daten nach wie vor eine verschlüsselte Verbindung verlangt, oder?

Offline mike69

  • Jr. Member
  • **
  • Posts: 80
  • Karma: +10/-0
    • View Profile
Re: Mail Notification ins LAN
« Reply #18 on: December 11, 2017, 02:03:29 pm »
Das witzige ist, der Mailclient, hier Evloution, kann ohne Verschlüsselung Mails empfangen und versenden, also nur mit Authentifizierung. Weis nicht mehr weiter.... :'(
Hast du dem Zertifikat irgendwann mal in Evolution dauerhaft vertraut? Das geht ja normalerweise bei MUAs.
Nee, wahrscheinlich Blödsinn erzählt. Evolution funktioniert nur mit SMTPS über Port 465 gerade. Zertifikat wurde nicht importiert, nur User und Passwort sind gesichert.
Die Sense sendet nur unverschlüsselt, und mit der 2.4.2 funktioniert der Mailversand nicht. Das ist seltsam.

Quote
Vielleicht, weil du jetzt keinen "Notification E-Mail auth username" angegeben hast?
Was meinst Du?

Quote
Ich nehme an, dass der Server mit Login-Daten nach wie vor eine verschlüsselte Verbindung verlangt, oder?
Kann ich dir leider nicht sagen.

Mailversand ist suboptimal, läuft aber erst mal. Werde später nochmal ein oder zwei Augen darauf werfen.

DSL-Modem: Draytek Vigor130
pfSense 2.3.5 auf APU1D4
Switch: HP ProCurve 1810 24G
AP: Draytek AP710, FB7490

Offline viragomann

  • Hero Member
  • *****
  • Posts: 2830
  • Karma: +312/-1
    • View Profile
Re: Mail Notification ins LAN
« Reply #19 on: December 11, 2017, 03:45:36 pm »
Hast du einen SMTP-User angegeben? Siehe im Att.

Bei mir ist das Feld leer.

Offline JeGr

  • Moderator
  • Hero Member
  • *****
  • Posts: 3337
  • Karma: +219/-8
  • old man standing
    • View Profile
Re: Mail Notification ins LAN
« Reply #20 on: December 12, 2017, 09:23:07 am »
Ich versende auch über nen externen Dienst der Postfix - genauso wie die Syno auch - nutzt mit 587/Submission. Alle Felder wie in meinem letzten Post benannt und SMTP over SSL aus, weil hier dann STARTTLS gesendet werden sollte. Funktioniert.
Don't forget to [applaud] those offering their time and brainpower to help you!

If you're interested, I'm available via PM to discuss details of German-speaking paid support services.

Offline Grimson

  • Sr. Member
  • ****
  • Posts: 433
  • Karma: +64/-7
    • View Profile
Re: Mail Notification ins LAN
« Reply #21 on: December 12, 2017, 05:25:14 pm »
Ich versende auch über nen externen Dienst der Postfix - genauso wie die Syno auch - nutzt mit 587/Submission. Alle Felder wie in meinem letzten Post benannt und SMTP over SSL aus, weil hier dann STARTTLS gesendet werden sollte. Funktioniert.

Ich nutze ebenfalls Postfix lokal und bei mir klappt der Versand auch nicht. Hier liegt das aber (zumindest wenn ich die Logs richtig deute) daran das ich eine private CA verwende. pfSense akzeptiert die Zertifikate dieser CA aber nicht für den Mailversand, auch dann nicht wenn ich die CA im Zertifikat-Manager der pfSense hinterlege.

Offline mike69

  • Jr. Member
  • **
  • Posts: 80
  • Karma: +10/-0
    • View Profile
Re: Mail Notification ins LAN
« Reply #22 on: December 12, 2017, 05:26:11 pm »
Hast du einen SMTP-User angegeben? Siehe im Att.

Bei mir ist das Feld leer.

Da stehen bei mir User und Passwort. Authentifizierung ist am Mailserver aktiviert da von draußen zugegriffen wird.

Ich versende auch über nen externen Dienst der Postfix - genauso wie die Syno auch - nutzt mit 587/Submission. Alle Felder wie in meinem letzten Post benannt und SMTP over SSL aus, weil hier dann STARTTLS gesendet werden sollte. Funktioniert.

Hier leider nicht, nur unverschlüsselt. Habe gerade die Syno neu aufgesetzt, werde demnächst nochmal testen was geht.
DSL-Modem: Draytek Vigor130
pfSense 2.3.5 auf APU1D4
Switch: HP ProCurve 1810 24G
AP: Draytek AP710, FB7490

Offline Grimson

  • Sr. Member
  • ****
  • Posts: 433
  • Karma: +64/-7
    • View Profile
Re: Mail Notification ins LAN
« Reply #23 on: December 12, 2017, 05:52:18 pm »
Da mich das jetzt doch gewurmt hat habe ich mein CA Zertifikat einfach mal per Hand in die Liste der System CA Zertifikate unter /usr/local/share/certs/ca-root-nss.crt eingetragen, und siehe da der Mailversand klappt. Da ich davon ausgehe das diese Datei aber spätestens bei einem System Update überschrieben wird ist das natürlich keine dauerhafte Lösung. Hier wäre es ideal wenn CAs die im Zertifikat Manager hinterlegt werden auch automatisch dort mit eingefügt werden.

Offline mike69

  • Jr. Member
  • **
  • Posts: 80
  • Karma: +10/-0
    • View Profile
Re: Mail Notification ins LAN
« Reply #24 on: December 12, 2017, 06:37:00 pm »
Da mich das jetzt doch gewurmt hat habe ich mein CA Zertifikat einfach mal per Hand in die Liste der System CA Zertifikate unter /usr/local/share/certs/ca-root-nss.crt eingetragen, und siehe da der Mailversand klappt. Da ich davon ausgehe das diese Datei aber spätestens bei einem System Update überschrieben wird ist das natürlich keine dauerhafte Lösung. Hier wäre es ideal wenn CAs die im Zertifikat Manager hinterlegt werden auch automatisch dort mit eingefügt werden.

Die Datei existiert hier nicht, noch nicht einmal der Ordner certs. Welche Version hast Du?
DSL-Modem: Draytek Vigor130
pfSense 2.3.5 auf APU1D4
Switch: HP ProCurve 1810 24G
AP: Draytek AP710, FB7490

Offline Grimson

  • Sr. Member
  • ****
  • Posts: 433
  • Karma: +64/-7
    • View Profile
Re: Mail Notification ins LAN
« Reply #25 on: December 12, 2017, 06:54:22 pm »
Die Datei existiert hier nicht, noch nicht einmal der Ordner certs. Welche Version hast Du?

Die aktuelle 2.4.2-release.

Offline viragomann

  • Hero Member
  • *****
  • Posts: 2830
  • Karma: +312/-1
    • View Profile
Re: Mail Notification ins LAN
« Reply #26 on: December 13, 2017, 06:13:57 am »
Jetzt bin ich aber verwirrt:
Der Server hat draussen nichts zu suchen. Sammelt von mehren Mailaccounts die Mails per pop3-Abruf und stellt sie mir zu Verfügung.
Da stehen bei mir User und Passwort. Authentifizierung ist am Mailserver aktiviert da von draußen zugegriffen wird.
Die Aussagen widersprechen sich doch.
Hast du nun doch eingehende SMTP-Verbindungen aktiv, oder nur POP3 od. IMAP? Das sollte sich getrennt konfigurieren lassen.
Wenn du aber per SMTP-Clients darüber Mails verschicken willst, benötigst du die Authentifizierung, keine Frage, ansonsten könnte es jeder.

Etwas ähnliches wie Grimson hatte ich auch schon angedacht, ich hätte allerdings versucht, das Zertifikat oder das der ausstellenden CA als zusätzliche Datei im entsprechenden Verzeichnis abzulegen. Welches das in FreeBSD zu sein hat, weiß ich aber leider auch nicht.
Vielleicht findest du im Netz Infos dazu mit den richtigen Suchbegriffen, die deine FreeBSD Version anstatt pfSense enthalten.
Aber auch das könnte bei einem OS-Update überschrieben werden.

Nachdem in FreeBSD auch OpenSSL am Werken ist, vermute ich, dass es ähnlich ist wie in Linux sein (ist aber auch von Distro zu Distro ein wenig unterschiedlich). Bei einigen Linux-Distros funktioniert es so:
  • Das Stammzertifikat der CA, die das berüchtigte Zertifikat ausgestellt hat, im USR-Zertifikats-Verzeichnis ablegen. Das kann ggf. auch das Zertifikat selbst sein. Ein Root CA Zert gibt es in deinem Fall wohl nicht. In pfSense könnte das /usr/local/openssl sein.
  • Im Verzeichnis, in dem die Applikationen nach den Zertifikaten suchen (in Linux ist das typischerweise /etc/sll/certs, hier könnte das /etc/ssl sein), einen Symlink setzen, der auf dieses Zertifikat verweist.
  • Den Zertifikatsspeicher aktualisieren: update-ca-certificates --fresh

Vom Grundsystem, FreeBSD, her muss das so ähnlich funktionieren, ob es die pfSense zulässt, kann ich nicht sagen.

Offline Grimson

  • Sr. Member
  • ****
  • Posts: 433
  • Karma: +64/-7
    • View Profile
Re: Mail Notification ins LAN
« Reply #27 on: December 13, 2017, 07:31:57 am »
Etwas ähnliches wie Grimson hatte ich auch schon angedacht, ich hätte allerdings versucht, das Zertifikat oder das der ausstellenden CA als zusätzliche Datei im entsprechenden Verzeichnis abzulegen. Welches das in FreeBSD zu sein hat, weiß ich aber leider auch nicht.

Das hatte ich schon probiert, zumindest beim Mailversand wird nur die /etc/ssl/cert.pem genutzt, welche ein symbolischer Link auf die oben genannte Datei ist. Andere, an den üblichen Stellen, abgelegte Zertifikate werden komplett ignoriert.

Offline viragomann

  • Hero Member
  • *****
  • Posts: 2830
  • Karma: +312/-1
    • View Profile
Re: Mail Notification ins LAN
« Reply #28 on: December 13, 2017, 07:46:18 am »
Hast auch einen Neustart versucht?
Ansonsten bin ich am Ende mit den Weisheiten. :(

Offline mike69

  • Jr. Member
  • **
  • Posts: 80
  • Karma: +10/-0
    • View Profile
Re: Mail Notification ins LAN
« Reply #29 on: December 13, 2017, 09:58:18 am »
Quote
Jetzt bin ich aber verwirrt:
Quote from: mike69 on December 10, 2017, 10:49:55 am
Der Server hat draussen nichts zu suchen. Sammelt von mehren Mailaccounts die Mails per pop3-Abruf und stellt sie mir zu Verfügung.
Quote from: mike69 on Yesterday at 05:26:11 pm
Da stehen bei mir User und Passwort. Authentifizierung ist am Mailserver aktiviert da von draußen zugegriffen wird.
Die Aussagen widersprechen sich doch.
Hast du nun doch eingehende SMTP-Verbindungen aktiv, oder nur POP3 od. IMAP? Das sollte sich getrennt konfigurieren lassen.

Ja , ist verwirrend. ;)
Stelle keinen öffendlichen Mailserver zur Verfügung, der ackert nur für die Familie. Raus gehen die Mails per Relay. Der Zugriff erfolgt von aussen über die gröffneten Ports 25, 465 und 995, also smtp smtps und imaps.
Daher wird nur ein selbstsigniertes Zertifikat genutzt. Da ich weiss, wo der Server steht reicht es im Normalfall aus. Sorry, falls das Verkehrt rüberkommt.

War bis jetzt mit der Synology beschäftigt und Family will auch etwas von mir, daher kamen die Antworten sehr sparsam.

Also wie JeGr das vorschlägt funktioniert es nicht, also eine Mail von der Sense zum Mailserver funktioniert nur eine unverschlüsselte Verbindung mit Authentifizierung per Name und Passwort. Alles andere war nicht von Erfolg gekrönt. Werde mir heute Abend mal schauen, es mit importierten Certs funktioniert,

pfSene läuft gerade hier mit Version 2.3.5. mit der 2.4.2 ist gar kein Mailversand zum eigenen Mailserver zustande gekommen. Alles seltsam.




DSL-Modem: Draytek Vigor130
pfSense 2.3.5 auf APU1D4
Switch: HP ProCurve 1810 24G
AP: Draytek AP710, FB7490