Penetration Test ??
Hallo in die Runde, ich habe ein Postfix-Mailgateway mit Postfix 2.10.2, Amavisd-new 2.9.0, Spamassasisin 3.3.2 und Clamd 0.98.4 installiert. Das möchte ich in die DMZ stellen und es soll meinen internen Postfix schützen. Gibt es Penetration-Test-Tools mit denen ich herausfinden kann, ob mein Gateway einigermaßen "sicher" ist ?
Vielen Dank im Voraus und freundliche Grüße
Markus Kötter
Am 23.10.2014 um 12:06 schrieb Kötter, Markus:
Hallo in die Runde,
ich habe ein Postfix-Mailgateway mit Postfix 2.10.2, Amavisd-new 2.9.0, Spamassasisin 3.3.2 und Clamd 0.98.4 installiert.
Das möchte ich in die DMZ stellen und es soll meinen internen Postfix schützen.
Gibt es Penetration-Test-Tools mit denen ich herausfinden kann, ob mein Gateway einigermaßen „sicher“ ist ?
was verstehst du unter "sicher" ?
Vielen Dank im Voraus und
freundliche Grüße
Markus Kötter
Best Regards MfG Robert Schetterer
* Kötter, Markus Markus.Koetter@lvr.de:
Hallo in die Runde, ich habe ein Postfix-Mailgateway mit Postfix 2.10.2, Amavisd-new 2.9.0, Spamassasisin 3.3.2 und Clamd 0.98.4 installiert. Das möchte ich in die DMZ stellen und es soll meinen internen Postfix schützen. Gibt es Penetration-Test-Tools mit denen ich herausfinden kann, ob mein Gateway einigermaßen "sicher" ist ?
Es gibt keine Tools von der Stange. Wir haben über die Jahre ein Set an Tests erarbeitet, mit dem wir in brauchbarer Zeit Systeme auf ihr Serviceverhalten hin testen können.
Habt ihr Anforderungen an Sicherheit, gegen die man testen kann?
p@rick
Nicht explizit. Wir müssen nur die teuren Symantec Messaging Gateways ersetzen durch ein Open Source Lösung und die neue Lösung soll natürlich die gleiche Leistungsfähigkeit haben wie die Symantec-Kisten. Bekomme ich mit spamassassin eine ähnlich gute Erkennungsrate hin wie Symantec und Ironport mit ihren riesigen Reputationsdatenbanken ?
Ist das "Set an Tests" Open Source oder müssen wir dafür zahlen ?
Markus
-----Ursprüngliche Nachricht----- Von: postfix-users [mailto:postfix-users-bounces+markus.koetter=lvr.de@de.postfix.org] Im Auftrag von Patrick Ben Koetter Gesendet: Donnerstag, 23. Oktober 2014 12:28 An: postfix-users@de.postfix.org Betreff: Re: Penetration Test ??
* Kötter, Markus Markus.Koetter@lvr.de:
Hallo in die Runde, ich habe ein Postfix-Mailgateway mit Postfix 2.10.2, Amavisd-new 2.9.0, Spamassasisin 3.3.2 und Clamd 0.98.4 installiert. Das möchte ich in die DMZ stellen und es soll meinen internen Postfix schützen. Gibt es Penetration-Test-Tools mit denen ich herausfinden kann, ob mein Gateway einigermaßen "sicher" ist ?
Es gibt keine Tools von der Stange. Wir haben über die Jahre ein Set an Tests erarbeitet, mit dem wir in brauchbarer Zeit Systeme auf ihr Serviceverhalten hin testen können.
Habt ihr Anforderungen an Sicherheit, gegen die man testen kann?
p@rick
Zitat von "Kötter, Markus" Markus.Koetter@lvr.de:
Nicht explizit. Wir müssen nur die teuren Symantec Messaging Gateways ersetzen durch ein Open Source Lösung und die neue Lösung soll natürlich die gleiche Leistungsfähigkeit haben wie die Symantec-Kisten.
Bei Postfix brauchst du dir kaum Sorgen zu machen, das braucht keine gefilterten Port 25 ;-)
Bekomme ich mit spamassassin eine ähnlich gute Erkennungsrate hin wie Symantec und Ironport mit ihren riesigen Reputationsdatenbanken ?
Um es so schlecht hinzubekommen müsst Ihr euch anstrengen. Die Symantec Cloud hat vor kurzem alle Mails von uns, die eine gültige digitale Signatur hatten als Spam klassifiziert und vernichtet. Es hat unseren Kunden fast eine Woche gekostet bis das Problem bei Symantec verstanden und gelöst wurde...
Kurz danach hatte ein zweiter Kunde der auch Symantec verwendet das gleiche Problem...
Ist das "Set an Tests" Open Source oder müssen wir dafür zahlen ?
Ich nehme an dieses "Set an Tests" wird im Zuge von Beratungsleistungen von http://sys4.de/ angeboten. Wenn es um Sachen geht die vorher mit teurem Zeug von Symantec/Ironport gelöst würden sollte das allerdings noch im Budget drin sein ;-)
Gruß
Andreas
Am 23.10.2014 um 14:29 schrieb Kötter, Markus:
Nicht explizit. Wir müssen nur die teuren Symantec Messaging Gateways ersetzen durch ein Open Source Lösung und die neue Lösung soll natürlich die gleiche Leistungsfähigkeit haben wie die Symantec-Kisten. Bekomme ich mit spamassassin eine ähnlich gute Erkennungsrate hin wie Symantec und Ironport mit ihren riesigen Reputationsdatenbanken ?
da sehe ich kein Problem, ich habe noch nie sowas wie Ironport gebraucht, ehrlich gesagt hab ich nie verstanden warum das jemand ueberhaupt kauft
Ist das "Set an Tests" Open Source oder müssen wir dafür zahlen ?
Markus
-----Ursprüngliche Nachricht----- Von: postfix-users [mailto:postfix-users-bounces+markus.koetter=lvr.de@de.postfix.org] Im Auftrag von Patrick Ben Koetter Gesendet: Donnerstag, 23. Oktober 2014 12:28 An: postfix-users@de.postfix.org Betreff: Re: Penetration Test ??
- Kötter, Markus Markus.Koetter@lvr.de:
Hallo in die Runde, ich habe ein Postfix-Mailgateway mit Postfix 2.10.2, Amavisd-new 2.9.0, Spamassasisin 3.3.2 und Clamd 0.98.4 installiert. Das möchte ich in die DMZ stellen und es soll meinen internen Postfix schützen. Gibt es Penetration-Test-Tools mit denen ich herausfinden kann, ob mein Gateway einigermaßen "sicher" ist ?
Es gibt keine Tools von der Stange. Wir haben über die Jahre ein Set an Tests erarbeitet, mit dem wir in brauchbarer Zeit Systeme auf ihr Serviceverhalten hin testen können.
Habt ihr Anforderungen an Sicherheit, gegen die man testen kann?
p@rick
Best Regards MfG Robert Schetterer
Am 23.10.2014 18:00, schrieb Robert Schetterer:
Am 23.10.2014 um 14:29 schrieb Kötter, Markus:
Nicht explizit. Wir müssen nur die teuren Symantec Messaging Gateways ersetzen durch ein Open Source Lösung und die neue Lösung soll natürlich die gleiche Leistungsfähigkeit haben wie die Symantec-Kisten. Bekomme ich mit spamassassin eine ähnlich gute Erkennungsrate hin wie Symantec und Ironport mit ihren riesigen Reputationsdatenbanken ?
da sehe ich kein Problem, ich habe noch nie sowas wie Ironport gebraucht, ehrlich gesagt hab ich nie verstanden warum das jemand ueberhaupt kauft
Das kann ich dir Verraten... bei uns in der Firma wird das Gelumpe auch eingesetzt. Aber die Kollegen, die die Teile administrieren haben null - wirklich null Ahnung von Mail. Wenn ich gesagt bekomme, daß nur Systeme für die ein mx-Eintrag im DNS existiert, mails verschicken dürfen, weil die Systeme sonst auf Blacklisten kommen, dann weiß ich alles. Wenn man sich dann aber die Mailgateways dieser Superadmins ansieht, dann kommt einem das Kot*en. Das wird verschlüsselte Übertragung angeschalten, aber im besten Fall sind die Zertifikate abgelaufen, manchmal gibts gar keine, oder die wurden für andere hosts/domains augestellt.. SPF-Records etc gibt auch nicht...
ich hab so eine Wut... ich schreib am besten nichts mehr...
Am 23.10.2014 um 22:00 schrieb Frank Belau:
Am 23.10.2014 18:00, schrieb Robert Schetterer:
Am 23.10.2014 um 14:29 schrieb Kötter, Markus:
Nicht explizit. Wir müssen nur die teuren Symantec Messaging Gateways ersetzen durch ein Open Source Lösung und die neue Lösung soll natürlich die gleiche Leistungsfähigkeit haben wie die Symantec-Kisten. Bekomme ich mit spamassassin eine ähnlich gute Erkennungsrate hin wie Symantec und Ironport mit ihren riesigen Reputationsdatenbanken ?
da sehe ich kein Problem, ich habe noch nie sowas wie Ironport gebraucht, ehrlich gesagt hab ich nie verstanden warum das jemand ueberhaupt kauft
Das kann ich dir Verraten... bei uns in der Firma wird das Gelumpe auch eingesetzt. Aber die Kollegen, die die Teile administrieren haben null - wirklich null Ahnung von Mail. Wenn ich gesagt bekomme, daß nur Systeme für die ein mx-Eintrag im DNS existiert, mails verschicken dürfen, weil die Systeme sonst auf Blacklisten kommen, dann weiß ich alles. Wenn man sich dann aber die Mailgateways dieser Superadmins ansieht, dann kommt einem das Kot*en. Das wird verschlüsselte Übertragung angeschalten, aber im besten Fall sind die Zertifikate abgelaufen, manchmal gibts gar keine, oder die wurden für andere hosts/domains augestellt.. SPF-Records etc gibt auch nicht...
ich hab so eine Wut... ich schreib am besten nichts mehr...
ich lieber auch nicht...., aber ich wuerde dir da in "nichts" widersprechen wollen *g, "Beratungsresistente" gibts leider ueberall...
Best Regards MfG Robert Schetterer
Am Donnerstag, den 23.10.2014, 22:00 +0200 schrieb Frank Belau:
Am 23.10.2014 18:00, schrieb Robert Schetterer:
Das kann ich dir Verraten... bei uns in der Firma wird das Gelumpe auch eingesetzt. Aber die Kollegen, die die Teile administrieren haben null - wirklich null Ahnung von Mail.
Wie in der Firma wo ich arbeite. Mir scheint, je größer die Firma, umso unfähiger das Personal. :-(
Das hier ist übrigens die Einkaufsliste in unserer Firma:
http://dreckstool.de/hitlist.do
Am 24.10.2014 um 15:21 schrieb Joachim Fahrner:
Am Donnerstag, den 23.10.2014, 22:00 +0200 schrieb Frank Belau:
Am 23.10.2014 18:00, schrieb Robert Schetterer:
Das kann ich dir Verraten... bei uns in der Firma wird das Gelumpe auch eingesetzt. Aber die Kollegen, die die Teile administrieren haben null - wirklich null Ahnung von Mail.
Wie in der Firma wo ich arbeite. Mir scheint, je größer die Firma, umso unfähiger das Personal. :-(
Das hier ist übrigens die Einkaufsliste in unserer Firma:
also Webalizer find ich jetzt nicht so schlimm *g
Best Regards MfG Robert Schetterer
participants (6)
-
Frank Belau -
Joachim Fahrner -
Kötter, Markus -
lst_hoe02@kwsoft.de -
Patrick Ben Koetter -
Robert Schetterer