Wer in seinem Netzwerk Pi-hole als eigenen DNS-Server einsetzt und bei Apple Mail die Option „Mail-Aktivität schützen“ aktiviert hat, wird unweigerlich über die folgende Fehlermeldung stolpern: „Deine Netzwerkeinstellungen verhindern, dass die Inhalte privat geladen werden.“
Die Konsequenz: Inhalte aus dem Web werden bei der Anzeige der Mails aus sicherheitsgründen nicht automatisch geladen, was bei den meisten Mails heutzutage eher etwas albern aussieht.
Der Grund dafür ist, dass Pi-hole standardmässig die DNS-Abfragen für „Mail-Aktivität schützen“ (auf Englisch: Protect Mail Activity) gemäss den Empfehlungen von Apple blockiert, um ein Bypassing zu verhindern. Das Ganze ist also kein Fehler sondern exakt so beabsichtigt.
Was wenn es nun aber nervt, jedes Mal den Button „Inhalte direkt laden“ anklicken zu müssen? Natürlich könnte man die Funktion „Mail-Aktivität schützen“ einfach deaktivieren. Für mich ist das allerdings keine wirkliche Option, denn die Funktion macht Sinn und hilft die Privatsphäre zu schützen.
Glücklicherweise ist das Verhalten von Pi-hole seit Pi-hole FTL 5.10 in der FTL-Konfiguration konfigurierbar. Man kann die standardmässige Blockade also ausschalten.
Was tun wir da eigentlich?
Bevor wir einfach wild darauf los konfigurieren, empfiehlt es sich, die Auswirkungen zu verstehen.
Da sowohl Protect Mail Activity (PMA) als auch iCloud Private Relay (PR) den selben Mechanismus verwenden, ist es wichtig zu wissen, dass sich das Ausschalten der Blockade auf beides auswirkt. Oder anders ausgedrückt: Es geht entweder beides oder gar nichts.
iCloud Private Relay ist von Apple entwickelt worden, um auch beim Surfen die Privatsphäre zu schützen. Einmal eingeschaltet wird damit der Datenverkehr auf effektive Weise verschleiert, was sehr empfehlenswert ist. Es liegt aber in der Natur der Sache, dass damit auch der DNS-Server von Pi-hole und damit seine Filterwirkung umgangen wird.
Hebt man also die Blockade auf, ermöglicht man gleichzeitig auch das Umgehen von Pi-hole mittels iCloud Private Relay. Aus meiner Sicht ist das nicht schlimm, dasselbe erreicht man beispielsweise auch ungeachtet dieser Konfigurationsanpassung jederzeit durch die Nutzung eines VPNs. Man sollte sich dieser Tatsache einfach bewusst sein.
Letztlich überlässt man damit also den Benutzerinnen und Benutzern des eigenen Netzwerks die Wahl, ob sie die Vorteile des einen oder anderen Dienstes nutzen wollen.
So geht’s
Zuerst verbindet man sich per SSH mit dem Pi-hole Server.
> ssh <benutzername>@<pihole-hostname>Dann editieren wir die Datei /etc/pihole/pihole-FTL.conf
> sudo nano /etc/pihole/pihole-FTL.confUnd ergänzen die Konfiguration mit dem folgenden Eintrag:
BLOCK_ICLOUD_PR=falseZu guter Letzt starten wir der DNS-Server neu.
> pihole restartdnsDas war’s schon. Nach einer kurzen Zeit sollte sich die neue Einstellung automatisch auf alle Geräte im Netzwerk auswirken.
Weitere Informationsquellen:
– Apple Whitepaper: iCloud Private Relay
– iCloud Private Relay: information for Cloudflare customers
– Vorbereitung Ihres Netzwerks oder Webservers auf iCloud Private Relay
Michael
12. Januar 2023Danke für die Anleitung, es funktioniert wunderbar.
Zwei Anmerkungen:
1) Editieren kann man auch mit Nano wenn man den Vi wie ich nicht leiden kann:
sudo nano /etc/pihole/pihole-FTL.conf
2) Der Befehl soll pihole statt pinhole heissen:
pihole restartdns
🙂
tschumi
12. Januar 2023Besten Dank für deine Rückmeldung und deine Anmerkungen.
1) Ob Vi oder Nano ist letztlich natürlich eine Geschmacksfrage. 🙂 Aufgrund deiner Anmerkung habe ich aber darüber nachgedacht. Da die Einstiegshürde bei Nano fairerweise niedriger ist, habe ich mich nun dazu entschieden, die Anleitung auf nano zu ändern.
2) Ups.. danke. Ist korrigiert. 🙂