Forum: Mikrocontroller und Digitale Elektronik ESP8266 Email Sicherheit?

Theoretisch könnte man die PWs auslesen, wenn man an den ESP kommt. Dies 
ist aber mehr oder weniger aufwendig... Der ESP wird aber wohl nicht 
frei zugänglich hängen.

Der Email-Zugang über HTTP ist auch nicht verschlüsselt... evtl. gibt es 
schon eine Umsetzung mit HTTPS?

Die Software von Arduino hat eine große Community und eine Backdoor in 
der Lib halte ich für sehr unwahrscheinlich. Die Sourcen liegen meines 
Wissen nach offen und kann man sich ja anschauen.

Eine Backdoor in den ESP ist mir auch nicht bekannt.

Die WPA Verschlüsselung des WLANs ist zZ sicher,

Bei allen Punkten lasse mich aber gerne eines Besseren belehren.

VG Ert

Hallo,

Stefanus F. schrieb:
> Da die Software auf einer Firmware basiert, die der Chinesische
> Chiphersteller ausschließlich in binär-form zur Verfügung stellt und
> auch nicht alle Detail zur Programmierung des Chips veröffentlicht hat,
> halte ich das Risiko für eine Backdoor und Sicherheitslücken für hoch.

von welchem Teil der Firmware sprichst Du konkret?

> Man kann es nicht einmal überprüfen.
Stimmt. Die Meldungen über Traffic zu chinesischen Servern, den die ESPs 
heimlich erzeugen, reißen ja nicht ab. Leider sind die Nutzer ja auch 
noch alles Leute, die garnicht in der Lage wären, den Traffic ihres 
Routers ins Internet irgenwie zu überprüfen.
Auch die heimlich auf den ESPs installierte Zusatzsoftwar fällt garnicht 
auf, es gibt ja nichtmal einen Virenscanner für die ESPs...

Falls Du da Sarkasmus entdecken solltest:
Ich bin für Sicherheit im eigenen Netz und von- und nach außen.
Ich bin gegen primitive Panikmache, die hilft niemanden wirklich.

Gruß aus Berlin
Michael

Hallo,

Stefanus F. schrieb:
> Von dem binären Teil, der ohne Quelltext veröffentlicht wird.

ein Teil davon sind die Objectdateien von Komponenten, deren Source 
verfügbar ist, LWIP-Stack usw.
Ist aber für mich hier auch garkein Problem.
Für mich ist die Entscheidungsgrundlage: was kann das Teil tun, was ich 
nicht will und was tut es davon wirklich. Die ESPs sind soweit 
verbreitet, daß die Community schon aufgeheult hätte, wenn da auch nur 
ein Byte ungefragt in die Welt geschickt werden würde. Im Gegensatz zu 
Handy, TV, Mediabox usw. usw. bin letztlich ich derjeneige, der diese 
Komponenten vom Grundatz her mit meiner Software überhaupt erst 
aktiviert.
Selbst die Wahrscheinlichkeit, das jemand mit meinem ESP von außen Unfug 
anstellen könnte (Software einschleusen,Botnetz usw.) schätze ich mit 0 
ein.
Einerseits müßte ich dazu den Port erst vorwarden oder es müßte einer 
der üblichen Angriffe beim holen einer Webseite (JS, PlugIns, versteckte 
Links usw. usw.) sein. Da läuft dann aber keine Software, die darauf 
reagieren könnte.
Natürlich könnte man jetzt sagen: das hat Espressif alles in den Closed 
Sources versteckt. Dann müßten sie aber auch noch einen 200MHz Core mit 
Ram usw. versteckt haben, damit es keiner merkt...

Wenn ich auf einem RasPi ein fertiges Image aus dem Netz raufwerfe, das 
beabschtigt für die Funktion Internetzugriff haben soll, ist die Chance 
sehr viel größer, das da jemand böses einbaut und es mir unterjubelt.
Genauso bei jeder Handy-App, die ich wirklich nutzen will und die um 
alle möglichen Rechte bettelt.
Da muß ich dann auch vertrauen oder nicht nutzen. Die Prüfmöglichekit 
für mich ist da weit geringer als bei der ESP-Nutzung.

Gruß aus Berlin
Michael

Nils P. schrieb:
> Der Email-Zugang über HTTP ist auch nicht verschlüsselt... evtl. gibt es
> schon eine Umsetzung mit HTTPS?

Mails werden per SMTP verschickt!
Manche Leute glauben scheinbar, HTTP(S) wäre das einzige Protokoll im 
Netz.

Daß die ESP8266-Blobs kontaminiert sind glaub ich auch nicht, daß die 
gehärtet sind, und da nicht ganz schnell Buffer-Overflows provoziert 
werden können aber genauso wenig.

Also entweder ins Gastnetz damit, oder gleich ein eigenes IoT-WLAN 
aufmachen.
Dafür reicht ein 18€-Rouer mit OpenWRT.

Und natürlich auf keinen Fall einen Port von Außen auf die Dinger 
aufmachen.

Wenn man das alles beachtet, halte ich die Dinger für unbedenklich.

Raph schrieb:
> Zudem brauchst du kein externen eMail-Server auf dem du dich einglogst.
> Du bist einfach selbst der Server (das machen Spam-Bots so). Dieser
> verbindet sich dann zum eMail-Server im Internet. Dazu musst du aber in
> deinem eMail-Server diesen freigeben, sonst landest du sofort als SPAM.

Nicht erforderlich!
Praktisch alle FreeMailer lassen auch den Zudriff via SMTP/POP3/IMAP zu 
(sonst würden Outlook/Thunderbird etc. nicht funktionieren)

Mit den selben Zugangsdaten kann auch der ESP Mails versenden. (per 
SMTP)
Idealerweise richtet man sich für den ESP einen eigenen (weiteren) 
Account ein.

Raph schrieb:
> Aber dann kann man ohne TLS etc in einem freien WLAN das Passwort
> gestolen bekommen. Deshalb soll er sich als Server ausgeben.

Dazu der separate Account, und, wenn dein WLAN so unsicher ist, daß dein 
70-jähriger Nachbar dich "hacken" kann, hast du sowieso ganz andere 
Probleme.
Die ESP sind dann ohnehin ein offenes Buch.

Raph schrieb:
> Harry L. schrieb:
>> Dazu der separate Account, und, wenn dein WLAN so unsicher ist, daß dein
>> 70-jähriger Nachbar dich "hacken" kann, hast du sowieso ganz andere
>> Probleme.
>
> Ganz schön dämlich! Hoffen und beten bringen in der IT nix! Siehe {hier
> belibigen Hersteller eintragen}...

Du hast echt nix verstanden oder ne Leseschwäche!

Hallo,

Stefanus F. schrieb:
> Es könnte sich immer noch jemand ins Gastnetz einhacken (oder ohne
> Passwort nutzen, falls du das erlaubst) und sich dann in den ESP
> einhacken. Von da aus kommt er aber nicht weiter, weil das Gastnetz ja
> weitgehend vom Hauptnetz isoliert ist.

gib mir doch mal bitte irgendeinen theoretischen ansatz, wie Du Dir das 
Einhacken auf einem ESP vorstellst.
Wenn ich z.B. einen Webserver auf dem ESP laufen habe, wird dieser doch 
nur genau auf das reagieren, was ich da als Auswertung der Daten 
reinprogrammiert habe. Das gilt doch auch für UDP-Pakete usw. usw. Was 
könnte ich denn theoretisch dem ESP unterjubeln, damit der irgendwas 
macht, was ich nicht will?
Die Frage ist durchaus ernst gemeint.
Annahme: ich sende mit dem ESP eine Email an eine fest hinterlegte 
Adresse, unverschlüsselt. Wie durch einen Hack z.B. den Inhalt der Mail 
fälschen?
Wie die Zieladresse ändern? Den Inhalt mitlesen, weil unverschlüsselt, 
lasse ich mal außen vor, weil das ein generelles Problem außerhalb des 
ESP wäre.
Soweit ich weiß, ist Emailversand mit SSL/TSL Verbindung zum 
Mailprovider möglich, das werde ich aus Interesse auf jeden Fall mal 
testen.
Da wäre der Status "von außen" also gelich dem, wenn ich die Mail von PC 
o.ä. versende.
Wie ist das bei ThingSpeak u.ä.? Nutze ich selbst nicht.

Gruß aus Berlin
Michael

Sprudel schrieb:
> aja also meine Anwendung ist es, dass der Esp einmal am Tag aufwacht
> und eine Email an smtp2go sendet und von dort aus sendet smtp2go sie
> weiter an meine private Emailadresse. Der Inhalt der Nachricht ist nur
> ein Temperaturwert.

Was ein Umstand!

Sowas macht man mit MQTT!

Sprudel schrieb:
> Ist das in dem Fall eine unverschlüsselte Verbindung?

Ja

> Also ich baue ja
> tatsächlich eine Verbindung zu smtp2go auf. Aber was kann passieren,
> wenn jemand an die Account Daten rankommt?

Dann kann er z.B. mit deinem Account (und damit in deinem Namen) über 
SMTP2Go  SPAM und schlimmeres verschicken.

Ich würd ja versuchen, meine Hausautomatisierung auch im Haus zu lassen, 
und da möglichst ohne externe Cloud-Dienste auszukommen.

Das genannte MQTT wär da eine Option. Kriegst du problemlos auf vielen 
Routern, NAS, altem Händie u.Ä. installiert, braucht nur minimal 
Resourcen, Messwerte vom ESP darin zu speichern ist fast schon trivial, 
trotzdem kannst du später ohne große Anpassungen ein "großes" System wie 
OpenHAB oder FHEM dran koppeln. Aber auch ohne sowas gibt's Android 
Apps/Widgets, die dir Messwerte aus dem MQTT visualisieren können.

Zugriff von unterwegs dann über VPN.

Sprudel schrieb:
> naja ich möchts halt gerne mit Email machen, da ich hier jetzt auch
> schon viel Arbeit reingesteckt habe.

Ach ja?
Und deshalb willst du jetzt noch mehr Arbeit in diesen grundlegend 
falschen und zudem unsicheren Ansatz investieren?

Sehr merkwürdige Logik!

Warum fragst du hier eigentlich, wenn dich die richtige Vorgehensweise 
gar nicht interessiert?

Sprudel schrieb:
> Wie funktioniert denn das mit MQTT? Habe im Internet nicht so viel
> gefunden.

Wenn es bereits mit der Web-Suche hapert...

Das Netz ist voll von Infos.
MQTT ist DER Standard für SmartHome.

Sprudel schrieb:
> Wie funktioniert denn das mit MQTT? Habe im Internet nicht so viel
> gefunden.

https://www.heise.de/developer/artikel/Kommunikation-ueber-MQTT-3238975.html

https://pubsubclient.knolleary.net/index.html

1

WiFiClient wlan;

2

PubSubClient mqtt(wlan);

3

AM2320 AMsensor;

4

5

void setup() {

6

// wlan connect...

7

...

8

mqtt.setServer(mqtt_server, 1883);

9

...

10

}

11

12

void loop() {

13

...

14

      AMsensor.read();

15

16

      String vat(AMsensor.t,4);

17

      String vah(AMsensor.h,4);

18

      mqtt.publish("sensors/" sensor "/temperature", vat.c_str(),false);

19

      mqtt.publish("sensors/" sensor "/humidity", vah.c_str(),false);

20

...

21

}

http://www.lmdfdg.com/?q=wie+funktioniert+mqtt%3F

Hallo,

Stefanus F. schrieb:
> Michael U. schrieb:
>> gib mir doch mal bitte irgendeinen theoretischen Ansatz, wie Du Dir das
>> Einhacken auf einem ESP vorstellst.
>
> Dazu müsste man eine Lücke finden, die man ausnutzen kann. Ist sicher
> nicht einfach, solange keine solche öffentlich bekannt ist.
>
>> wird dieser doch nur genau auf das reagieren, was ich da als
>> Auswertung der Daten reinprogrammiert habe
>
> Er reagiert auf deutlich mehr. Zum Beispiel ist die binäre Firmware
> dafür zuständig, das Modul im WLAN Netz anzumelden. Auch ARP Pakete
> beantwortet es vollautomatisch. Da könnte irgendein Bug drin sein, der
> zutage tritt, wenn man absichtlich ein kaputtes Ethernet Paket an das
> Modul schickt.
ok. Möglich wäre alles, ich bin jetzt mal großzügig. zumindest einen 
Abstuzr und Neustart kann ich mir da vorstellen. Ärgerlich, aber für 
mich im Moment kein Sicherheitsrisiko. DHCP, DNS, alls möglich.
Nur: das alles bedingt, daß ich erstmal im internen Netzwerk sein muß, 
um einen derartigen Angriff starten zu können.

> Man hat ja auch PC's gehackt, indem man kaputte Bilder auf Webseiten
> platziert oder kaputte Office Dokumente per Email verschickt.
Auf meinem ESP ist weder ein anfälliger JPEG/GIG/xxx-Decoder/Anzeiger 
noch irgendein Office oder Adobe-Tool o.ä. zu finden, der irgendeinen 
bekannten Angriffspunkt haben könnte.
Alles übliche beruht auf Fehlern in Software (sehr selten auch Hardware, 
Meltdown), die müssen zumindest dem Hacker bekannt sein und die 
angegriffene Komponente auf dem Zielsystem laufen.
Das gilt auch für Router, IP-Cams usw. genauso. Die Lücke muß bekannt 
sein und auf dem System existieren und es muß einen Weg aus dem Internet 
in dieses System existieren. Der Zugang von Außen ist per default 
überall da vorhanden, wo ich den Kram aus dem Internet erreichen will...
>
>>  Wie durch einen Hack z.B. den Inhalt der Mail fälschen?
>
> Jemand, der Zugang zu deiner Internet-Verbindung hat (also wohl am
> ehesten irgendein böser Mitarbeiter beim Internet Provider oder jemand
> der sich dor eingehackt hat) kann die Kommunikation abfangen, mitlesen
> und modifizieren.
Das ist ein Punkt, der mit ESPs im Speziellen genau garnichts zu tun 
hat, sondern ein ganz allgemeines Problem.

>> Soweit ich weiß, ist Emailversand mit SSL/TSL Verbindung zum
>> Mailprovider möglich
>
> Ich habe ausdrücklich von einer unverschlüsselten Verbindung
> geschrieben. Die Sicherheit von SSL/TLS hängt ganz stark von der
> Validierung der Zertifikate ab, und genau das kann der ESP8266 nicht in
> dem Umfang leisten, wie wir es von PC Software gewohnt sind. Ein Hacker
> könnte seinen Rechner in die Verbindung einschleifen und Dir sein
> Zertifikat schicken. Der ESP würde das Zertifikat eventuell nicht als
> Fälschung erkennen.
>
> Certificate Pinning ist hier eine gängige Gegenmaßnahme.
Ah ja. Wovon reden wir hier eigentlich? Von jemandem, der von ESP eine 
Mail versenden will oder von gesicherten Mails z.B. mit brisanten 
Geschaäftsgeheimnissen?
Alle gängenen Provider nutzen TLS/SLL für den Kontakt zwischen Client 
und Mailserver. Da ist erstmal auch nur der Übertragungsweg bis zum 
Provier gesichert, nichichs weiter.
Ich versende damit auch meine Mails vom PS usw...

> Sprudel schrieb:
>> Aber was kann passieren, wenn jemand an die Account Daten rankommt?
>
> Nun, ich kenne smtp2go nicht und ob man sich damit sicher verbindet.
Kann man, muß man aber aber nicht, deshalb ja der "VorteiL" im 
Zusammenhang mit den ESPs.

> Wenn jemand an deine Account Daten kommt, kann er in deinem Namen den
> Bürgermeister der Stadt mit einer Morddrohung belästigen. Dann hast Du
> ein Problem.
Naja, es gab und gibt vermutlich viel mehr Leute, die von ihrem PC 
unbemerkt Spam versenden weil sie sich was eingefangen haben. Da ist 
dann der Vorteil, daß die SMTP-Zugangsdaten schon griffbereit für den 
Angreifer rumliegen.

Gruß aus Berlin
Michael

Ihr könnt mit euren Frit!Boxen und Netzwerk-Halbwissen anstellen, was 
ishr wollt, "sicher" wird das sowieso nie.

Das ist aber auch ziemlich egal, da ihr kein "Ziel" seit, was den 
Aufwabnd wirklich lohnen würde.

Die Gefahr, daß ihr euch mit eurem Windows irgend einen Schädling 
einfangt, der euch zur Spam-Schleuder macht, ist erheblich größer, als 
daß jemand eure ESPs kapert.

Das Einzige, was hilft, ist wirkliches Wissen um das Netzwerk.

Was geht raus? - was geht rein?

Mit einer Fritz!Box ist dieses Ideal nicht erreichbar, aber die 
Sicherheit der Geräte im Gastnetz steht und fällt mit dem Zugang zu 
diesem Netz.

Wer mehr Kontrolle will muß einen anderen Router nutzen, der diese 
Kontrolle erlaubt, und sich das KnowHow aneignen um den auch sinnvoll 
einzurichten.


Kann man machen - muß man eber nicht.


Für paar popelige Temp-Sensoren muß man das sicher nicht.

Da reichen paar einfache Regeln:

* IoT-Geräte ins Gastnetz
* so wenige offene Ports wie möglich
* keine eingehenden Verbindungen (Port-Forwarding)
falls sowas erforderlich ist -> VPN nutzen!
* Getrennte Accounts für private und IoT-Services (MQTT, SMTP, FTP etc.)

Hallo,

c-hater schrieb:
> Da angeblich der Netzwerkstack wohlbekannt und gut getestet sein soll,
> bleibt da nur noch der Layer1, also Phy. (Wenig überraschend) genau das,
> was eben NICHT als Quelltext verfügbar ist...

Naja, von welchem WLAN-IC/Modul ist denn da etwas offen?

Gruß aus Berlin
Michael

Frage schrieb:
> Wie will man denn ohne offene Ports durch eine Fritz Box hindurch oder
> andere Router?

Harry L. schrieb:
> falls sowas erforderlich ist -> VPN nutzen!

Sprudel schrieb:
> "ESP sendet eine
> Nachricht an MQTT Broker (z.B. Adafruit)"? Wenn man sich beispielsweise
> über das GastWlan auf den ESP hackt und das Passwort meines MQTT Broker
> Accounts ausliest, kann man damit doch bestimmt auch "dumme Sachen"
> anstellen oder nicht?

Der Witz an MQTT ist, dass es trivial simpel aufzusetzen ist, extrem 
wenig Resourcen braucht, und nach dem Installieren mit zero Maintenance 
einfach läuft.

Im Vergleich zu einem Mailserver ist das absolut Deppensicher.

Sicher gibt es (große, weitverteilte) Setups, wo so ein Cloud-MQTT Sinn 
macht. Hausautomatisierung, einzelne Temperatursensoren usw. eher nicht.

Bei mir läuft ein mosquitto MQTT-Server am Wlan Router mit. Gibt's auch 
als fix-und-fertig one-click-install Pakete für diverse NAS. Für Windows 
und Linux sowieso.

ESPs hängen in einem getrennten IoT-"Gast"-Netz.
Dieses Netz hat keinen Weg ins Internet, auch nicht unbeschränkt in mein 
"Haupt-Netz", umgekehrt schon (connection-tracking, NAT). So komm ich 
von Notebook und Tablet auf Weboberflächen von IOT-Geräten, diese aber 
von sich aus nirgendwo hin.

Wenn mir jemand einen ESP klaut (Hardware-Zugang vor Ort hat), und die 
Zugangsdaten aus dem Flash ausliest: Er kann in's IoT Netz, und kann mir 
falsche Temperaturwerte ins Log schreiben. Oder z.B. die Waschmaschine 
abschalten. Aber er kann nicht über meinen Zugang ins Internet und da 
Schaden anrichten.

Ähnlich, wenn jemand in Funk-Reichweite ist, und irgendwelche 
hypothetischen Backdoors im ESP8266-Phy-Blob-Code ausnutzt.

Geheime Phone-Home Funktionen von ESPs und anderen IoT-Geräten laufen 
ins Leere und werden im Firewall-Log erfasst.




So, Zurück zum Thema:


Mach dir da nicht soviele Gedanken, Benutz ein Gast-Wlan, Benutz deinen 
SMTP2Go-Dienst.

Wenn jemand in deinem Gast-Wlan ist, kann er so oder so "in deinem 
Namen" im Netz agieren. Da fällt ein eventuelles Mitsniffen des 
SMTP2Go-Passwortes nicht mehr ins Gewicht.

Wenn jemand dein SMTP2Go-Passwort von ausserhalb mitliest (MITM), dann 
ist das wohl eher ein gelangweilter Telekom-Mitarbeiter, 
Backbone/Peering-Admin oder ein Geheimdienstler. Die hätten noch ganz 
andere Wege um dir zu schaden.

Wenn (Wie auch immer) ein SPAMer dein SMTP2Go-Passwort in die Finger 
kriegt und darüber versendet, dann (du hast vmtl. den Kostenlos-Account) 
macht SMTP2Go ganz schnell dicht und sperrt deinen Account.

Hallo,

zu MQTT erstmal komplett Zustimming, das möchte ich nicht mehr missen.

Εrnst B. schrieb:
> Sicher gibt es (große, weitverteilte) Setups, wo so ein Cloud-MQTT Sinn
> macht. Hausautomatisierung, einzelne Temperatursensoren usw. eher nicht
> Bei mir läuft ein mosquitto MQTT-Server am Wlan Router mit. Gibt's auch
> als fix-und-fertig one-click-install Pakete für diverse NAS. Für Windows
> und Linux sowieso.

Bei mir auf einem RasPi zusammen mit FHEM. Vom Internet ist das nicht 
erreichbar, dafür fehlt mir persöhnlich die Notwendigkeit. Sollte sich 
diese ergeben, würde ich mir darüber konkrete Gedanken machen. 
Vermutlich dann VPN-Tunnel, wie es mein Bekannter macht.
Ein paar Infodaten stelle ich im Moment (vöilg nutzlos) auf meiner 
Webseite völlig ungeschützt zu Verfügung. Der RasPi lädt einfach alle 2 
Minuten ein Bild, das FHME generiert per ftp dort hoch.

> ESPs hängen in einem getrennten IoT-"Gast"-Netz.
> Dieses Netz hat keinen Weg ins Internet, auch nicht unbeschränkt in mein
> "Haupt-Netz", umgekehrt schon (connection-tracking, NAT). So komm ich
> von Notebook und Tablet auf Weboberflächen von IOT-Geräten, diese aber
> von sich aus nirgendwo hin.
Die ESPs hängen hier in meinem normalen WLAN, wenn jemand in dieses 
einbricht, kann er mir Porbleme bereiten, nur das kann er dann eben auch 
ohne ESPs...

> Wenn mir jemand einen ESP klaut (Hardware-Zugang vor Ort hat), und die
> Zugangsdaten aus dem Flash ausliest: Er kann in's IoT Netz, und kann mir
> falsche Temperaturwerte ins Log schreiben. Oder z.B. die Waschmaschine
> abschalten. Aber er kann nicht über meinen Zugang ins Internet und da
> Schaden anrichten.
Unbemerkt verschwinden kann ein ESP hier eigentlich nicht, prinzipiell 
könnte mich dann FHEM waren, weil der sich nicht mehr meldet.
Dann könnte ich z.B. auch mein WLAN Passwort ändern.
Wenn er z.B. die Wetteranzeige klat, hätte er auch die Zugangsdaten zu 
OpenWeatherMap, schadet aber dann auch nicht wirklich.

> Ähnlich, wenn jemand in Funk-Reichweite ist, und irgendwelche
> hypothetischen Backdoors im ESP8266-Phy-Blob-Code ausnutzt.
Ich bin da im Moment noch unsicher, was da eigentlich möglich wäre.
DoS oder irgendwelche Abstürze lasse ich da mal raus, die würden konkret 
nur nerven, hier aber nicht wirklichen Schaden anrichten und auch 
schnell auffallen.

> Geheime Phone-Home Funktionen von ESPs und anderen IoT-Geräten laufen
> ins Leere und werden im Firewall-Log erfasst.

Zu SMTP2GO auch volle Zustimmung.

Gruß aus Berlin
Michael

Es gibt öffentliche MQTT-Broker, da brauchst du nichtmal selber einen 
aufzusetzen.
Dein ESP sendet die Daten da hin.  Mit einer MQTT-App auf dem Handy 
subscribst du dein Topic und siehst die aktuelle Temperatur.

Jegliches Gemurke mit Emails und anderem riesigen Overhead sparst du 
dir.

Nimm EspEasy oder Tasmota, klemm da die Temperatursensoren dran.

>Ich meinte wie möchtest du zum Bsp meine Fritz Box angreifen?

Von außen schwierig. Deswegen bringt man das Ziel dazu, von innen 
erstmal die Tür aufzumachen. Natürlich gibt es auch immer mal wieder von 
außen offene Ports und Protokolle auf irgendwelchen IOT-Buden.

Hi, Du frägst nach email Sicherheit im Betreff, frägst dann aber nach 
WLAN- und Systemsicherheit.
Bzgl. Sicherheit für Daten im Transit für email wäre SMTPS mal ein 
Ansatz (Libraries dazu gibt es). WLAN mindestens WPA2 und starke 
Schlüssel.

Ein weiterer Ansatz wären die Libraries von AWS mit FreeRtos. Du 
kannst(Musst) dort Clientzertifikate nutzen. Oder Mongoose OS.
Sind beide sehr gut dokumentiert.