Am 03.05.2012 16:29, schrieb Andreas Reschke:
Am Do, 3.05.2012, 15:45 schrieb Robert Schetterer:
Am 03.05.2012 15:31, schrieb Andreas Reschke:
Am Do, 3.05.2012, 15:06 schrieb Robert Schetterer:
Am 03.05.2012 15:03, schrieb Andreas Reschke:
Am Mi, 2.05.2012, 18:24 schrieb Dennis Guhl:
On Wed, May 02, 2012 at 05:32:42PM +0200, Andreas Reschke wrote: > Guten Tag > > Beim Review unseres Email Gateways kam folgende Idee oder auch > Problem > auf. > > Der Gateway in der DMZ muss eine Verbindung ins interne Netz > aufmachen, > um > ein E-Mail zuzustellen. Bei allen anderen DMZ Services haben wir > genau > dies vermieden.
[..]
> Auf dem System sollen auch White-, Grey- und Blacklists sowie TLS > zur > Anwendung kommen. Es waere super, wenn das alles im Hausnetz > passieren > koennte, denn dafuer haben wir eine GUI ;-), fuer die wegen des > Schluesselmanagements sowieso Lizenzen gezahlt werden muessen. > Web-GUI > und > Schluesselmanagement sind aber irgendwie beides nix fuer die DMZ.
Verstehe ich Dich richtig, Ihr habt im internen Netz einen Mailserver stehen der mit Gott und der Welt plaudert, der MX ist, aber Ihr macht Euch Sorgen um ein paar Verbindungen aus der DMZ heraus?
Dennis _______________________________________________ postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
Nein, nein,
da habe ich falsch/unklar ausgedrückt. Was ich haben will: Der Mailserver in der DMZ queued ausschliesslich (nur inbound), der interne Mailserver holt sich die eingehenden Mails mit einem kurzen Intervall mit irgendeinem Polling Protokoll ab. Die Queue wird geleert.
was soll das bringen, wenn du das bremsen willst mach es mit einem slow transport
Er macht Greylisting, Whitelisting, Userüberprüfung, usw.). Falls alles korrekt ist wird die Mail intern zugestellt.
greylisting usw mach der server der mails aus dem internet empfaengt, kein anderer
Ausgehende Emails werden dann ueber den äusseren postfix rausgeschickt. Der spielt dann auch den MX Host.
Keine Initiative von aussen nach innen und unterbinden von Tunnelbauten.
Gruß Andreas
sorry aber deine Anforderung ist verwirrend formuliert
-- Best Regards
MfG Robert Schetterer
Germany/Munich/Bavaria _______________________________________________ postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
Sorry, auf meinem Mist ist das nicht gewachsen. Mein Chef will mehr Sicherheit, da die Zertifikate ja in der "bösen" DMZ liegen.
Es könnte ja der Mailserver in der DMZ gehackt werden und die Zertifikate geklaut und ein Tunnel ins LAN gebaut werden werden.
Gruß Andreas
nein, du drueckst dich ungluecklich aus ich glaub nicht das jemand versteht auf was du eigentlich raus willst du solltest mal den Netzlayout beschreiben ansonsten verlangen chefs oefter mal Unfug -- Best Regards
MfG Robert Schetterer
Germany/Munich/Bavaria
Also ich "male" mal etwas:
Internet | Postfix DMZ | Queue | Postfix intern holt Mails vom externen ab, kein Durchgang von außen nach innen, aber von innen nach außen, überprüft (Greylisting, Verschlüsselung, usw.) | ----------------------------------- | | gute Mails abgelehnte Mails | | wird intern wird zurück zum externen weitergeleitet geschicktDer externe Postfix soll nur ein "dummer" Mailserver ohne Daten usw. sein. Die Intelligenz (White-, Grey- und Blacklists sowie TLS, usw.) soll intern bleiben.
Besser so?
ja besser beschrieben, man kann natuerlich die Welt verkomplizieren ich wuerde das als nicht sinnvoll bezeichnen
der Klassiker ist
postfix relay mit greylisting, antispam, antivir in der dmz schiebt per smtp transport an den internen mailserver der wiederum ueber smtp nur an das dmz postfix relay raus versendet, fuer ein abholen per irgendwas vom relay wuerde nur eine langsame/unsichere Leitung etc sprechen ansonsten ist es Unfug
das postfix relay muss natuerlich die domains kennen fuer die es zustaendig ist , und am besten auch die mail adressen ( das kann man aber auch per verify dynamisch erledigen oder per ldap an einer acitve dir usw ( wenn im selben Netzwerk ) wenn du versenden von aussen ( smtp ) ueber das postfix dmz relay zulassen willst kannst du zb einen einen sasl auth im internen mailserver ueber imap machen
der internen mailserver haelt die mailboxen, willst du nach dort keinen zugriff von aussen erlauben ( pop3/imap) muessen die clients halt erstmal einen vpn tunnel in dein intranet haben das ist der klassiker bei internen zb exchange setups
du kannst aber auch auf der firewall oder zb auf dem postfix dmz relay server einen dovecot proxy fuer imap und pop3 laufen lassen zusaetzlich kannst du den traffic zwischen relay und internen mailserver noch verschluesselt mit den jeweiligen ssl varianten der Protokolle machen ( ist aber eigentlich ueberfluessiger overhead, und nimmt deiner firewall die moeglichkeit in den traffic reinzusehen )
gute oder schlechte mails gibts per se nicht, antispam und ativir macht das dmz relay weil es an der front steht, natuerlich kann man danach auch noch filtern ist aber meisst ueberfluessig bis sinnlos , wenn man es vorne schon richtig gemacht hat, bzw ein windows client muss zb ohnehin immer antivr software haben
wenn das so nicht reicht wuerde ich zu einer (Kauf) smtp proxy mit antivir und antispam raten um sich dann damit rumzuaergern die filtert dann on the fly den smtp verkehr vor deinem internen mailserver