Ecopower 1.0: E-Mailversand bei Störung oder Ereignis

  • Mit tatkräftiger Unterstützung eines Kunden haben wir es geschafft ein Ereignis-Email zu generieren und an einem Wunschempfänger zu verschicken. Eigentlich war das gar nicht schwer aber ich hatte bisher einfach nicht den Dreh gefunden mich damit zu beschäftigen. Da ich aber bereits öfters deswegen angesprochen wurde, möchte ich das Procedere hier einmal veröffentlichen wie man ohne den Vaillant-Server Emails versendet. Die Passwörter werde ich hier nicht veröffentlichen aber viele kennen die schon. Falls nicht bitte den Fachhandwerker oder Kundendiensttechniker Deines Vertrauens befragen.


    Ich benutze immer den Microsoft-Internetexplorer für die Verbindung zum Systemregler, weil ich mit den anderen immer irgendwelche Probleme bekomme. Als IP-Adresse ist die zu verwenden, die im Systemregler hinterlegt wurde.


    Bild1 zeigt den Screen nach Eingabe des Passwortes.


    Bild2 zeigt das Hauptmenü für Experten. Das ist normaler Weise nicht dem Fachhandwerker zugänglich und hier ist der Systemregler im Hydraulikmodus 2.


    Bild3 zeigt das Untermenü "Email"


    Bild4 zeigt Konfigurationsmenü "Email".


    Mit dieser Email-Einstellung kann man sich auch ohne ein APP über den Zustand des BHKWs informieren lassen.



    PS: In Abhängigkeit von der Softwareversion können die Menü's abweichen.

  • Hallo Oscar,


    danke für Deine Anleitung. Sehe ich aber richtig, dass bei dem hier...


    Bild4 zeigt Konfigurationsmenü "Email".


    ... das Kennwort im Klartext ausgegeben wird? Wenn Du also die ecoPOWER Deiner Kunden so einrichtest, können halbwegs pfiffige Kunden - die es halt schaffen sich mit höheren Rechten einzuloggen - Dein T-Online Kennwort sofort im Klartext anschauen? Da stehen keine Sternchen? Ja, mir ist klar dass man mit etwas mehr Ahnung auf sicher auch an das Kennwort kommt, aber abgespeicherte Kennworte anzeigen ist nicht grade "Best Practice"...


    Viele Grüße


    Dirk

  • ... das Kennwort im Klartext ausgegeben wird?


    Im Bild 4 steht "Daten des eigenen Emailproviders eintragen". Damit ist der Provider des Kunden gemeint und nicht mein Provider. Zur Not kann man für das BHKW noch ein eigenes Postfach einrichten. Es dient nur zum Versenden der Emails.


    PS: Mein Email-Account dürfte allgemein bekannt sein. Es ist natürlich nicht das richtige Passwort zu sehem.

    Rechnen hilft. Bleistift, Stück Papier und ein Taschenrechner und man wird sich über einige Ergebnisse wundern. ?(
    http://perdok.info/
    Oscar Perdok GmbH
    Gildeweg 14, 46562 Voerde
    Beratung, Planung und Installation von: KWK-Anlagen, PV-Anlagen, Stromspeicher mit Notstromfunktion, Eigene Herstellung von Ladestationen für E-Mobile, Energie-Effizienz incl. Kosten/Nutzen-Betrachtung, Ladestation für E-Mobile (kostenlos)

  • Hallo zusammen,


    schlußendlich sind die Daten auf der rechten Seite unten die Daten eines existierenden eMail-Accounts, vorzugshalber des Kunden.


    Es war wirklich ziemlich einfach, jedenfalls wenn man es kann ;)


    Allerdings kann man, wenn man möchte, auch für jede Anlage eine eigene eMailadresse erzeugen, die dann für die entsprechende Anlage genutzt wird.


    Viel Spass beim mailen
    Axel

  • Klar, die Daten muss man irgendwie eingeben. Ob es sich dabei um Kunden- oder Fachhandwerker-Daten handelt ist dabei egal. Mich stört dabei halt, dass das Kennwort offensichtlich im Klartext angezeigt wird. Und so was macht man einfach nicht. Ein weiterer Hinweis darauf, dass wer auch immer den Dialog (und den Rest der App) zusammengeklickt hat, nicht mal ansatzweise Ahnung von Sicherheit hat.


    @Vaillant: Hier mal ein bisschen VPN, da ein ein bekanntes Loch flicken: Das reicht einfach nicht. Die gesamte Architektur samt Steuerung / Java App entspricht absolut nicht dem Vaillant Qualitätsanspruch - und dem Preisschild des ecoPower.

  • Dirk42: da gebe ich Dir recht - solange noch kein anderer als der account besitzer draufschauen kann wäre es für mich OK. In diesem Fall mit remote wartung durch weitere Person die meist != accountbesitzer ist das natürlich ein no go. Wenn die account daten stimmen kann man damit jede menge unfug treiben.

  • Dieses Email-Account wird für diesen Fall doch nur zum Versenden benutzt. Man richtet halt, wenn man bedenken hat, ein separater Account ein. Ob dann das Passwort beim Einrichten sichtbar ist oder nicht spielt doch dann keine Rolle mehr. Mir ging es darum, dass man eine Email versenden kann ohne den Vaillant-Server und ohne einer DynDNS zu nutzen. Man hat dann die Möglichkeit informiert zu werden, wenn mal ein Fehler bzw. Störung auftritt und muss nicht warten bis man merkt, dass z.B die Bude nicht mehr warm wird oder die Frau schreit, weil aus der Dusche nur noch kaltes Wasser kommt. Es sind nur Störungsmeldungen in "Oneway-Funktion" und keine hochsensible Daten.

    Rechnen hilft. Bleistift, Stück Papier und ein Taschenrechner und man wird sich über einige Ergebnisse wundern. ?(
    http://perdok.info/
    Oscar Perdok GmbH
    Gildeweg 14, 46562 Voerde
    Beratung, Planung und Installation von: KWK-Anlagen, PV-Anlagen, Stromspeicher mit Notstromfunktion, Eigene Herstellung von Ladestationen für E-Mobile, Energie-Effizienz incl. Kosten/Nutzen-Betrachtung, Ladestation für E-Mobile (kostenlos)

  • Hallo Oscar,


    den Sinn der E-Mail Funktion sehe ich komplett ein. Bei mir hat vor zwei-drei Wochen auch Vaillant (oder PowerPlus?) angerufen, weil unser ecoPOWER 1.0 eine Störung gemeldet hat. Genau so stelle ich mir das vor - das erhöht ganz erheblich den WAF und reduziert hoffentlich auch die Wartungskosten für Vaillant, weil sie zielgerichteter zum Service rausfahren und manche Probleme remote beheben können. Und damit werden hoffentlich die Vollwartungsverträge auf Dauer günstiger.


    Aber mit dem Kennwort das Dein Kunde testweise bei sich eingegeben hat, kann er Deine E-Mails bei T-Online abrufen, oder? Bzw. umgekehrt können Du und der Vaillant-/PowerPlus Support nachsehen, welche Mailkennworte die Kunden einsetzen? Klar könnte man Wegwerf-Mailadressen nutzen, aber sinnvoller ist eine wenigstens ein bisschen sichere Lösung. WireShark oder Fiddler einsetzen kann nicht jeder Nutzer, aber ein im Klartext angezeigtes Kennwort abschreiben und auf der t-online Webseite eingeben kriegen auch Erstklässler hin.


    Viele Grüße


    Dirk


    Ps: Wir haben testweise eine VPN-Box und sind rein über UMTS angebunden, deswegen darf unser eco zur Zeit ins Netz. Obwohl mir dabei nur bedingt wohl ist...

  • Es muss klar sein, dass es hier ja nicht hur um Email lesen sondern auch um versenden handellt. Wenn jetzt jemand über diese Accounts pishing mails oder viren verteilt - wer trägt die Konzequenzen?? Wenn so ein Sichterheitsleck als Grobfahrlässig angesehen wird kann das schnell teuer werden.

  • Aber mit dem Kennwort das Dein Kunde testweise bei sich eingegeben hat, kann er Deine E-Mails bei T-Online abrufen, oder?


    Das hast Du falsch verstanden. Es wird nicht mein Email-Account eingetragen sondern einen des Kunden. Wenn Du mir eine Email schickst brauchst Du ja auch nicht mein Account mit meinem Passwort sondern Dein Account mit Deinem Passwort um das Email zu generieren.


    Bzw. umgekehrt können Du und der Vaillant-/PowerPlus Support nachsehen, welche Mailkennworte die Kunden einsetzen?


    Normalerweise steht dort der Account vom Vaillant-Server und das Vaillant-Passwort. Dieser Account ist bei Vaillant nur für die Emailversand des 1.0. Wenn also der Servicetechniker online nachschaut (kann er ja nur, wenn er die Anlage z.B. eine VPN-Box hat) sieht der nur das Ihm bekannte Vaillant-Passwort. Meine Lösung soll nur für den Fall sein, dass man kein Vollwartungsvertrag hat und trotzdem über den Zustand der Anlage informiert werden will. Dann kennst nur Du Dein Passwort.

    Rechnen hilft. Bleistift, Stück Papier und ein Taschenrechner und man wird sich über einige Ergebnisse wundern. ?(
    http://perdok.info/
    Oscar Perdok GmbH
    Gildeweg 14, 46562 Voerde
    Beratung, Planung und Installation von: KWK-Anlagen, PV-Anlagen, Stromspeicher mit Notstromfunktion, Eigene Herstellung von Ladestationen für E-Mobile, Energie-Effizienz incl. Kosten/Nutzen-Betrachtung, Ladestation für E-Mobile (kostenlos)

  • Meine Lösung soll nur für den Fall sein, dass man kein Vollwartungsvertrag hat und trotzdem über den Zustand der Anlage informiert werden will. Dann kennst nur Du Dein Passwort.


    Passt aus meiner Sicht - ist deckungsgleich mit meiner vorherigen Aussage - nur darf man nicht vergessen die Daten zu löschen bevor man jemanden an die Anlage lässt dem man nicht 100% vertraut (außer mir traue ich keinem ;) ).

  • Mit welchem Passwort logge ich mich denn als Experte ein?


    Siehe:


    Die Passwörter werde ich hier nicht veröffentlichen aber viele kennen die schon. Falls nicht bitte den Fachhandwerker oder Kundendiensttechniker Deines Vertrauens befragen.

    Rechnen hilft. Bleistift, Stück Papier und ein Taschenrechner und man wird sich über einige Ergebnisse wundern. ?(
    http://perdok.info/
    Oscar Perdok GmbH
    Gildeweg 14, 46562 Voerde
    Beratung, Planung und Installation von: KWK-Anlagen, PV-Anlagen, Stromspeicher mit Notstromfunktion, Eigene Herstellung von Ladestationen für E-Mobile, Energie-Effizienz incl. Kosten/Nutzen-Betrachtung, Ladestation für E-Mobile (kostenlos)

  • @Vaillant: Hier mal ein bisschen VPN, da ein ein bekanntes Loch flicken: Das reicht einfach nicht. Die gesamte Architektur samt Steuerung / Java App entspricht absolut nicht dem Vaillant Qualitätsanspruch - und dem Preisschild des ecoPower.


    Zu der im ecoPOWER 1.0 verwendeten Steuerung kommt mit der c't 15/2013 (erscheint am 1. Juli) nochmal ein Artikel. In der Ausgabe 11 gab es ja bereits etwas Ausführliches zu der Saia-Burgess Steuerung im ecoPower.


    Wobei sich ja bereits abzeichnet, dass Vaillant an allen Ecken und Enden nachbessert. Die strukturellen Probleme liegen jedoch nicht nur in der Sicherheit, sondern auch in nicht vorhandenen freien Schnittstellen, damit das ecoPower in bestehende Hausautomationen eingebunden werden kann!


    Zumindest aber könnte die Steuerung mal den Stromzähler am Netzverknüpfungspunkt auswerten, um die Laufzeiten automatisch in die Phasen des größten Stromverbrauches zu legen! Eine Funktion, die schon beim alten WhisperGen vorhanden war...


    Für den Emailversand empfiehlt es sich wegen der schlampigen Programmierung der Steuerung ein separates Postfach nur für den Versand anzulegen... Dirk42 und alikante können ja mal bei Vaillant/Honda bei dem Event am Wochenende anfragen, ob diese Probleme behoben werden sollen :)