Fritzbox: PC für Internet gesperrt, E-Mail-Server für Mailversand als Ausnahme definieren

[dark_rider]

Hallo zusammen,

ich möchte für ein älteres Gerät im Fritzbox-Heimnetz, das noch mit Windows 7 arbeitet (Anwendungen/Peripherie leider nicht mit Windows 10/11 kompatibel bzw. hoher Test-/Migrationsaufwand) und für das daher aus Sicherheitsgründen der Internetzugang gesperrt ist (über Internet/Filter/Zugangsprofil "gesperrt"), nur den E-Mail-Versand über eine bestimmte Mailserver-URL freischalten.

In Internet/Filter/Listen/Erlaubte Internetseiten habe ich diese Mailserver-URL eingetragen, dann ein neues Zugangsprofil angelegt und dabei "Internetseiten erlaubt" ausgewählt. Der Mailversand war aber trotzdem nicht möglich, da die Erlaubnis sich offenbar nur auf Internetseiten (http(s)) bezieht, was AVM bestätigt.

Hat vielleicht jemand eine Idee oder sogar Erfahrungen dazu, wie man für ein Gerät an der Fritzbox das Internet generell sperren, aber als einzige Ausnahme den E-Mail-Versand über einen bestimmten E-Mail-Server erlauben kann?

 

[TheGrey]

Dann könnte die Win7-Maschine aber jeden Host im Internet auf 443 ansprechen. Der TE wünscht sich ja ausdrücklich, nur zu einem Host connecten zu können.

Das ist insbesondere relevant, weil manche Viren auf genau diesem Weg Spam-Mails verschicken. Es wäre also klug, wenn die besagte Maschine auch wirklich nur einen Host auf einem Port ansprechen dürfte. Das ist aber mit einer Fritzbox nicht machbar.

Man darf dort auch eine Ziel IP angeben. Und es gibt auch noch die Whitelist für Domain Namen. Schau doch mal selbst ins entsprechende Menü.

 

[mtu]

Man darf dort auch eine Ziel IP angeben. Und es gibt auch noch die Whitelist für Domain Namen. Schau doch mal selbst ins entsprechende Menü.

Dann muss ich mich verguckt haben, danke für den Hinweis. Vielleicht erfahren wir ja vom TE, ob es sich wie gewünscht einrichten lässt.

 

[dark_rider]

Konkret ist der hier gewünschte Anwendungsfall des älteren Win7-PCs, dass er mir in bestimmten Fehlerfällen eine E-Mail sendet, damit ich dann zeitnah informiert bin, da ich ihn nur sporadisch alle paar Wochen anschaue und ihn ansonsten seine Arbeit machen lasse (er steuert Geräte in Richtung Hausautomation, also z.B. Lichtquellen). Dazu muss er im lokalen Heimnetz sein, weshalb das von Mornsgrans vorgeschlagene Gastnetzwerk leider keine Option ist.

Wie von mtu und TheGrey angesprochen, ist bisher das Problem in der Fritzbox, dass ich dem PC dort per Filter entweder nur bestimmte Internetseiten freischalten kann (per URL-Whitelist), dann aber kein E-Mail-Versand möglich ist, oder dass ich E-Mail-Versand generell für alle URLs freischalte, obwohl ich aber ja nur den Zugriff auf einen bestimmten SMTP-Server benötige. Dass man bei den Filtern auch Port und Ziel-IP angeben kann, ist auch mir neu - das werde ich mir in Kürze genauer anschauen!

Beitrag automatisch zusammengeführt: 19 Feb. 2024

Also zumindest bei meiner Fritzbox (7590, aktuelle Firmware) kann man unter Internet/Filter/Listen/Netzwerkanwendungen/Netzwerkanwendung hinzufügen nur Ports angeben, keine IP-Adressen oder gar URLs.

 

[Mornsgrans]

Schon mal unter "Kindersicherung" geschaut? - Dort kann man Whitelists festlegen.

 

[dark_rider]

Ja, s. weiter oben, das hatte ich ja schon zuallererst probiert, aber die Whitelist gilt nur für Internetseiten/Surfen, nicht für den E-Mail-Versand.

 

[elchmartin]

Windows 10 Firewall Control: Sphinx Software

Windows 10 Firewall Control: Einzelplatz-Lizenz. Ist eine einfache und vollständige Lösung, um Netzwerkaktivität von Anwendungen zu überwachen und zu kontrollieren. Es schützt vor unerwünschten Windows-updates, ein- und ausgehenden Netzwerkaktivitäten durch Anwendungen, die lokal oder...

www.sphinx-soft.com

Die Free Version reicht meine ich.
Aus meiner damaligen Nutzung erinnere ich mich an die Möglichkeit, alles zu blockieren und dann einzelne Anwendungen freizugeben.
Am Anfang nervig (weil alles mögliche telefonieren will) und danach ists recht komfortabel.

 

[dark_rider]

Allerdings läuft der PC ja mit Windows 7, und "alles zu blockieren und dann einzelne Anwendungen freizugeben", das sollte auch die Win7-Firewall schaffen?

 

[TheGrey]

Also zumindest bei meiner Fritzbox (7590, aktuelle Firmware) kann man unter Internet/Filter/Listen/Netzwerkanwendungen/Netzwerkanwendung hinzufügen nur Ports angeben, keine IP-Adressen oder gar URLs.

Im Menü Listen: "Erlaubte IP-Adressen: bearbeiten"

Ich weiß allerdings nicht, ob man das kombinieren kann mit den Netzwerkanwendungen.

 

[elchmartin]

Allerdings läuft der PC ja mit Windows 7, und "alles zu blockieren und dann einzelne Anwendungen freizugeben", das sollte auch die Win7-Firewall schaffen?

Ja.

Ich habs damals aber einfacher gefunden mit der Sphinx.
Und die ist für Windows Vista bis 11.

 

[dark_rider]

Im Menü Listen: "Erlaubte IP-Adressen: bearbeiten"

Ich weiß allerdings nicht, ob man das kombinieren kann mit den Netzwerkanwendungen.

Wie auch schon Mornsgrans oben mitgeteilt:

Ja, s. weiter oben, das hatte ich ja schon zuallererst probiert, aber die Whitelist gilt nur für Internetseiten/Surfen, nicht für den E-Mail-Versand.

 

[Mornsgrans]

Hast Du es mit dem SMTP-Hostnamen versucht? - Bei GMX wäre es z.B. "mail.gmx.net"

 

[dark_rider]

Hallo zusammen,

folgende Aussage wurde mir auch von AVM bestätigt:

Ja, s. weiter oben, das hatte ich ja schon zuallererst probiert, aber die Whitelist gilt nur für Internetseiten/Surfen, nicht für den E-Mail-Versand.

Zitat AVM:

Die Kindersicherung der FRITZ!Box ist nicht geeignet, das von Ihnen gewünschte Szenario umzusetzen. Es gibt dort keine Möglichkeit eine "Whitelist" für Internetdienste wie z.B. E-Mail-Versand einzurichten.

Mein Test dazu vorab mit dem (angenommenen) Mailserver in der Liste der erlaubten Websites hatte auch nicht funktioniert, d.h. es wurden keine Mails versandt, so dass dies korrekt erschien.

Nun stellte ich aber gestern und heute über den Header einer früheren, entsprechenden E-Mail fest, dass die verwendete Software ihre Status-E-Mails über einen Mailserver versendet, der nicht nach der Absenderdomain der E-Mails und des Softareanbieters benannt ist, sondern unter einer Subdomain des dazugehörigen Webhosters läuft.

Beispiel:
- Die E-Mails kommen vom Absender statusmail@softwareanbieter.de, versandt werden sie aber über den Mailserver mailserver123.webhoster.de.
- Ich hatte in der Liste der erlaubten Websites erst softwareanbieter.de eingetragen und diese über ein neues Profil dem Win7-PC zugeordnet, es wurden aber trotzdem keine E-Mails versandt.
- Nun habe ich dort zusätzlich mailserver123.webhoster.de eingetragen, und es funktioniert wieder!

Den AVM-Support hielt ich früher eigentlich für sehr kompetent, in den letzten Jahren hat das aber stark gelitten...

Danke Euch für Eure Tipps hier!

 

[elchmartin]

Mir fällt auch noch ein, dass man mit einer PiHole-Installation whitelisten könnte, alles außer direkten IPs und der whitelist-Einträge wäre dann nicht auffindbar...

 

[cuco]

Den AVM-Support hielt ich früher eigentlich für sehr kompetent, in den letzten Jahren hat das aber stark gelitten...

Mein Eindruck bei mehreren Kontaktaufnahmen bisher ist: Kompetent ja, aber völlig nutzlos. Als ich z.B. einen Bug in der Firmware gefunden hatte, bei der Traffic einer Backup-Software automatisch priorisiert wurde, teilte man mir sehr kompetent mit, dass - trotz nicht existierender Priorisierungsregeln - bestimmte Dinge priorisiert werden und die Backup-Software garantiert dazu gehöre.

Das konnte ich zwar widerlegen, war den Support aber egal. Das Problem habe ich 2020 gemeldet. Gerade fällt mir auf, dass ich es 2012 mit einer anderen Backup-Software aber ähnlichen Symptomen schon mal gemeldet hab. Damals wollte man sich das Problem angucken und sich dann wieder melden. Das ist nie erfolgt.

Bei einem Garantietausch wurde mir gesagt, dass Auslieferungsdatum und Herstellungsdatum zu weit auseinander liegen. Daraufhin wurde die Garantie abgewiesen und ich solle mich doch bitte mit dem Verkäufer auseinander setzen, warum die Box so lange auf Lager lag. Bitte? Warum ist das mein Problem?

Bei einem anderen Software-Problem hat man zig Infos von mir eingeholt und dann wollte man der Sache nachgehen und sich dann in 1-2 Wochen wieder melden. Gemeldet hat man sich nie.

Bei einem weiteren Bug mit dem Webinterface wurde es auf einen veralteten Browser geschoben und mir Anleitungen zum Aktivieren von TLS1.2 geschickt. Dass mein Browser TLS1.2 schon kann und aktuell ist, wurde ignoriert und es wurde darauf beharrt, dass das Problem, welches ich einfach reproduzieren konnte, an mir liegt. Die Anleitung zum Reproduzieren des Fehlers haben sie ignoriert.

Ich gebe daher nicht viel auf den Support von AVM. Gut ist, dass die Software Ewigkeiten gepflegt wird. Aber das Kontaktieren des Supports per Mail kann man sich sparen.

Beim Durchsuchen meines Postfachs habe ich gerade 11 Tickets an/von AVM aus den vergangenen 15 Jahren gefunden. 10 davon sind ungelöst (entweder "wir melden uns wieder" oder "sie sind vermeintlich selbst Schuld, aber eigentlich haben wir uns den Bug nicht genauer angeschaut", beides zu ungefähr gleichen Teilen), 1 konnte ich am Ende selbst lösen und habe AVM den Workaround zukommen lassen.

 

[mtu]

Beim Durchsuchen meines Postfachs habe ich gerade 11 Tickets an/von AVM aus den vergangenen 15 Jahren gefunden. 10 davon sind ungelöst (entweder "wir melden uns wieder" oder "sie sind vermeintlich selbst Schuld, aber eigentlich haben wir uns den Bug nicht genauer angeschaut", beides zu ungefähr gleichen Teilen), 1 konnte ich am Ende selbst lösen und habe AVM den Workaround zukommen lassen.

Ich vermute, das Ticket-Aufkommen bei AVM ist extrem hoch, und viele der Meldungen sind von geringer Qualität (Problembeschreibung unvollständig, Problem nicht verstanden, Fehler bei der Bedienung). Es ist deshalb aus Sicht von AVM vernünftig, den Fehler erstmal beim Nutzer zu suchen, auch wenn uns kundigen Power-Usern das auf die Nerven geht.

Zudem sind Support und Entwickler sicherlich so ausgelastet, dass selbst ein zweifelsfrei (oder auch nur wahrscheinlich) auf Seiten von AVM nachgewiesenes Problem nicht automatisch nachverfolgt und behandelt wird. Wir würden natürlich intuitiv vermuten, dass nach der Maxime gearbeitet wird: „Was nach Bug aussieht, wird nachverfolgt und behoben.“

In Wahrheit dürfte die Arbeitsweise eher so aussehen: „Was sich nicht auf Benutzerfehler zurückführen lässt, wird eventuell näher angeschaut, aber nur wenn uns (AVM) das Problem einigermaßen wichtig erscheint und sich nenneswert viele Nutzer beschweren – sonst haben wir genug Anderes zu tun.“

Für alles andere müsste AVM wahrscheinlich enorm viel mehr Leute beschäftigen, als sie es aktuell tun (laut Unternehmen 890 Leute im Jahr 2023, wobei Support natürlich outgesourced sein könnte).

 

[cuco]

Ich vermute, das Ticket-Aufkommen bei AVM ist extrem hoch

klar

und viele der Meldungen sind von geringer Qualität (Problembeschreibung unvollständig, Problem nicht verstanden, Fehler bei der Bedienung). Es ist deshalb aus Sicht von AVM vernünftig, den Fehler erstmal beim Nutzer zu suchen, auch wenn uns kundigen Power-Usern das auf die Nerven geht.

Auch klar, dass der First-Level-Support erst einmal mit Textbausteinen um die Ecke kommt. Ich habe aber teilweise 5-7 E-Mail-Wechsel, in denen ich widerlege, was der First-Level-Support erzählt und beweise, dass es nicht so ist. Trotzdem wird weiter das Problem auf mich geschoben. Teilweise mehrfach auf die längst widerlegten Sachen. Damit geht man nicht auf die Nerven, damit blockt man einfach ab und will sich nicht drum kümmern.

Zudem sind Support und Entwickler sicherlich so ausgelastet, dass selbst ein zweifelsfrei (oder auch nur wahrscheinlich) auf Seiten von AVM nachgewiesenes Problem nicht automatisch nachverfolgt und behandelt wird.

Wenn man aber schreibt: "Oh, stimmt, das gucken wir uns mal an und melden uns wieder." - und dann kommt nichts, auch nicht auf mehrfache Nachfrage weit nach Ablauf der Zeit, dann hat man sich das Leben wieder sehr einfach gemacht und das ganze nur abgeblockt.

In Wahrheit dürfte die Arbeitsweise eher so aussehen: „Was sich nicht auf Benutzerfehler zurückführen lässt, wird eventuell näher angeschaut, aber nur wenn uns (AVM) das Problem einigermaßen wichtig erscheint und sich nenneswert viele Nutzer beschweren – sonst haben wir genug Anderes zu tun.“

Dann darf man aber nicht schreiben: "Wir kümmern uns und melden uns in 1-2 Wochen". Sondern: Der Fehler hat für uns begrenzte Priorität - wir warten ab, ob das mehr User betrifft.