Ich stehe gerade wieder davor, einem Gerät eine "Email-Adresse" zu geben, damit es seinen Status mitteilen kann. Dafür will das Gerät einen SMTP-Account haben. Es wäre schön, wenn ich dem Gerät (und allen, die die Accountdaten darüber ergaunern) damit nicht automatisch die Möglichkeit geben müsste, beliebige Empfänger zu behelligen. Wenn man zu den Email-Adressen bei Netcup SMTP-Logins generieren könnte, die nur Mail an diese/eine bestimmte eigene Adresse schicken können, wäre das sehr beruhigend.
Feature-Wunsch: SMTP-Logins für Einlieferung von Mail ausschließlich an die eigene Email-Adresse
- NaN
- Erledigt
-
ist doch möglich. Statt weiteren Alias legst du einen weitere email Adresse an, und gibst der eigene Zugangsdaten. Ggf. noch Forwarding aktivieren.
-
Deinen Wunsch verstehe ich jetzt, wird sich aber so mit einem Standard Hosting Paket nicht abbilden lassen. Mir ist aktuell kein email Anbieter bekannt, mit dem man die Funktion auf seine eigene Adresse einschränken kann.
Ggf. baust du dir deinen eigenen Email Server, auf Basis eines kleinsten netcup root Servers... -
Ich stehe gerade wieder davor, einem Gerät eine "Email-Adresse" zu geben, damit es seinen Status mitteilen kann. Dafür will das Gerät einen SMTP-Account haben. Es wäre schön, wenn ich dem Gerät (und allen, die die Accountdaten darüber ergaunern) damit nicht automatisch die Möglichkeit geben müsste, beliebige Empfänger zu behelligen. Wenn man zu den Email-Adressen bei Netcup SMTP-Logins generieren könnte, die nur Mail an diese/eine bestimmte eigene Adresse schicken können, wäre das sehr beruhigend.
Die Postausgangskontrolle per Domain oder per User würde zumindest zahlenmäßig hier ein Limit für die Einstellung bieten.
Interessant wäre das Feature aber allemal, wenn es auf RFCs brechen würde.
Ich überlege gerade, ob man es mit einer internen Subdomain versuchen könnte (also eine Subdomain zunächst korrekt anlegen, im WCP die Mails dazu anlegen und dann den A/MX im DNS für sie wieder löschen). Die Mailserver müssten damit ihre lokale Zuständigkeit gerade noch mitbekommen und könnten nur auf Postfächer auf dem selben Host zustellen. So die Theorie.
-
Wenn diese Zugangsdaten in die falschen Hände geraten, wird mein Account dadurch möglicherweise zur Spamschleuder, was ich natürlich nicht möchte.
Ist das nicht immer so? Sollte man dafür nicht immer eine Strategie haben? Da du das Problem auch mit "normalen" Mail-Konten hast sehe ich keine Erhöhung des Risikos, ein "normales" Mail-Konto auch für die von dir beschriebenen Mails zu nutzen, selbst wenn es, technisch, Mails auch woanders hinschicken könnte. Theoretisch kann ja grundsätzlich jeder Mails überall hinschicken, dafür braucht man nicht mal ein SMTP-Konto. Insofern macht es auch IMHO recht wenig Sinn, bei SMTP die Ausgangs-Adressen zu beschränken, da ein Client das eben auch jederzeit nicht nutzen könnte.
-
Du lässt ja auch nicht alle Programme als root laufen, obwohl die das, was über die Rechte eines normalen Users hinausgeht, einfach sein lassen könnten.
Das ist jetzt irgendwie was komplett anderes.
Nungut, dann wirst du entweder Netcup überzeugen müssen das zu implementieren, oder auf eine eigene Lösung zurückgreifen müssen.
Bedenken mit einem "normalen" Mail-Account habe ich da im Übrigen keine, da ein Mail-Account (wenn er selbst über keine eingehenden Mails verfügt) kein Sicherheitsrisiko darstellt, wenn er Spam verschickt. Nervig, ja, keine Diskussion, aber keine unmittelbare Gefahr. Mittelbar vielleicht, wenn sie zum Phishing verwendet würde, aber auch für Phishing brauche ich die SMTP-Zugangsdaten nicht, also auch hier kein zusätzliches Risiko, was nicht ohnehin existierte.
-
Ich überlege gerade, ob man es mit einer internen Subdomain versuchen könnte (also eine Subdomain zunächst korrekt anlegen, im WCP die Mails dazu anlegen und dann den A/MX im DNS für sie wieder löschen). Die Mailserver müssten damit ihre lokale Zuständigkeit gerade noch mitbekommen und könnten nur auf Postfächer auf dem selben Host zustellen. So die Theorie.
Das könnte tatsächlich funktionieren
Gibt es hier Freiwillige für nen Test?edit: Ist dann vermutlich auch nicht nur auf die eine Domain, sondern auf alle sich auf diesem Shared Mailserver konfigurierten Domains limitiert, für die "lokale destination" zutrifft...
-
Du lässt ja auch nicht alle Programme als root laufen, obwohl die das, was über die Rechte eines normalen Users hinausgeht, einfach sein lassen könnten. Meine Fritzbox, Wetterstation, Webcam, Waschmaschine, Staubsauber, Kühlschrank, UPS, Kontaktformular, etc. müssen halt nicht Mail an irgendjemanden als an mich schicken können.
Grundsätzlich können sie das – oder besser gesagt ein Nutzer, welcher dort eindringt oder das Gerät dazu bringt, Befehle für ihn auszuführen – aber, selbst ohne Root-Rechte. Wie einfach das ist, wenn nur Zugriff auf eine Shell besteht, zeigt etwa dieses Script: How to send e-mail from bash. Das geht auch problemlos am eigenen Mail-Gateway vorbei (wodurch die Verwendung/Kontrolle von SPI/DKIM/DMARC auf Domäneninhaber-/Empfängerseite als Schutz fungieren kann), erlaubt aber dennoch grundsätzlich die Verwendung einer beliebigen, ggf. zuvor ermittelten Domäne. Denn mit Shellzugang kann man beliebige Funktionalität einschleusen (Stichwort Turing-Vollständigkeit).
Dies zu unterbinden gelingt nur durch eine Firewall, die diesen Geräten jeglichen Kontakt von "innen" nach "außen" verwehrt, der nicht über ein Gateway läuft, welches ggf. mittels Stateful Packet Inspection (SPI, also zustandsorientierte Paketüberprüfung) potenziell zulässige Kommunikation genauer unter die Lupe nimmt. Und diese muss vor oder auf der vorgenannten Fritzbox stehen und die gesamte Kommunikation überwachen können, wenn es um die Absicherung des heimischen Bereichs geht. Ein Dienstleister wie Netcup steht hierfür schon "zu weit weg".
-
Grundsätzlich können sie das – oder besser gesagt ein Nutzer, welcher dort eindringt oder das Gerät dazu bringt, Befehle für ihn auszuführen – aber, selbst ohne Root-Rechte. Wie einfach das ist, wenn nur Zugriff auf eine Shell besteht, zeigt etwa dieses Script: How to send e-mail from bash. Das geht auch problemlos am eigenen Mail-Gateway vorbei
Mir ist bewusst, dass SMTP keine Accounts voraussetzt. Das hatte ich auch schon in Kommentar #3 erwähnt. Aber erstens ist es schwer, von der Position der IoT Geräte im Netz unangemeldet irgendeine Email erfolgreich auszuliefern. Zweitens ist das dann kein Problem für die Reputation des Mailservers, was es zu keinem Problem für Netcup macht, und das macht es zu einem wesentlich kleineren Problem für mich. Drittens, nicht ganz unwichtig, können die Geräte im Normalfall Mail nicht ohne Smarthost verschicken. Das heißt, wenn ich von denen Mail bekommen möchte, dann muss ich ihnen einen SMTP-Account geben, und da würde ich gerne einen nehmen, mit dem man nicht unangenehm auffallen kann.
Alles, was es dafür bräuchte, wäre ein Häkchen im Bereich Ausgangskontrolle "Mails an die eigene Adresse für die Ausgangskontrolle nicht als ausgehende Mail zählen" und die entsprechende Funktionalität.
-
Auch wenn dies offtopic wird und womöglich absolut am Wunsch vorbeigeht, ist folgendes ggf. ein adäquater Workaround:
Ich nutze für derweil Benachrichtigungen schon lange keine Mails mehr, sondern Pushnachrichten. Viele Dienste bieten hierfür APIs an. Mit einem eigenen Wrapper kannst du dann auch sehr restriktiv gewünschte Limits einbauen.
In meinem Fall hatte ich das zunächst mit Telegram genutzt, nun Matrix.
Sieh es einfach als weiteren, gut gemeinten Denkanstoß.:)
