Am Mi, 2.05.2012, 18:24 schrieb Dennis Guhl:
On Wed, May 02, 2012 at 05:32:42PM +0200, Andreas Reschke wrote:
Guten Tag
Beim Review unseres Email Gateways kam folgende Idee oder auch Problem auf.
Der Gateway in der DMZ muss eine Verbindung ins interne Netz aufmachen, um ein E-Mail zuzustellen. Bei allen anderen DMZ Services haben wir genau dies vermieden.
[..]
Auf dem System sollen auch White-, Grey- und Blacklists sowie TLS zur Anwendung kommen. Es waere super, wenn das alles im Hausnetz passieren koennte, denn dafuer haben wir eine GUI ;-), fuer die wegen des Schluesselmanagements sowieso Lizenzen gezahlt werden muessen. Web-GUI und Schluesselmanagement sind aber irgendwie beides nix fuer die DMZ.
Verstehe ich Dich richtig, Ihr habt im internen Netz einen Mailserver stehen der mit Gott und der Welt plaudert, der MX ist, aber Ihr macht Euch Sorgen um ein paar Verbindungen aus der DMZ heraus?
Dennis _______________________________________________ postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
Nein, nein,
da habe ich falsch/unklar ausgedrückt. Was ich haben will: Der Mailserver in der DMZ queued ausschliesslich (nur inbound), der interne Mailserver holt sich die eingehenden Mails mit einem kurzen Intervall mit irgendeinem Polling Protokoll ab. Die Queue wird geleert. Er macht Greylisting, Whitelisting, Userüberprüfung, usw.). Falls alles korrekt ist wird die Mail intern zugestellt.
Ausgehende Emails werden dann ueber den äusseren postfix rausgeschickt. Der spielt dann auch den MX Host.
Keine Initiative von aussen nach innen und unterbinden von Tunnelbauten.
Gruß Andreas