On Thu, May 03, 2012 at 04:29:05PM +0200, Andreas Reschke wrote:
[..]
Also ich "male" mal etwas:
Internet | Postfix DMZ | Queue | Postfix intern holt Mails vom externen ab, kein Durchgang von außen nach innen, aber von innen nach außen, überprüft (Greylisting, Verschlüsselung, usw.) | ----------------------------------- | | gute Mails abgelehnte Mails | | wird intern wird zurück zum externen weitergeleitet geschicktDer externe Postfix soll nur ein "dummer" Mailserver ohne Daten usw. sein. Die Intelligenz (White-, Grey- und Blacklists sowie TLS, usw.) soll intern bleiben.
Besser so?
Verständlich ist es nun mal auf jeden Fall (erläutere aber bitte ausführlicher was genau Du mit Verschlüsselung meinst) -- ansonsten nur noch eine sehr schlechte Idee (um es sehr freundlich zu sagen).
Dein Postfix in der DMZ ist der einzige Punkt, der eine Entscheidung darüber fällt ob eine E-Mail angenommen wird oder nicht.
Ebenso ist das der einzige Punkt, der entscheidet, ob eine Ablehnung dauerhaft oder nur temporär ist (z.B. in Zuge von Greylisting).
Alles andere führt zu Backscatter und vielen anderen Problemen oder ist so schlicht unmöglich (z.B. Queues hin und her schieben).
Wenn es nicht gewünscht wird, dass aus der DMZ keine Verbindung in das lokale Netz aufgebaut wird (warum eigentlich nicht), dann speichere die E-Mails auf dem Postfix in der DMZ zwischen, hole sie von dort mit fetchmail o.ä. ab und sortiere sie in Deinem internen Mailserver in die Postfächer.
Dennis