[Postfixbuch-users] 2 Postfix-Server sicher miteinander "verbinden"

Patrick Ben Koetter p at state-of-mind.de
Do Nov 17 08:30:56 CET 2005


* Ralf Prengel <ralf.prengel at rprengel.de>:
> Hallo,
> 
> aktuell sammele ich auf einem Postfix-Server in meiner DMZ alle Mails der
> Rechner in der DMZ und übermittele sie dann auf meinen internen
> Postfix-Server.
> Grundsätzlich klappt das (Port 25 in der Firewall muß dann halt für den
> einen Rechner auf sein) aber ich würde die Kommunikation doch gerne
> absichern.
> Vorab:
> Meine Postfix-Kenntnisse sind, vorsichtig formuliert, übersichtlich und
> mein Postfix-Buch habe ich im Moment verliehen.
> 
> Meine Überlegungen/ Fragen:
> Der interne Postfix-Server  kann TLS. Kann ich dem DMZ-Postfix TLS für den
> Versand beibrigen? Wenn ja, was ich vermute, wie muß ich die Zertifikate
> händeln?

TLS ist kein Garant dafür, dass die Verbindung IMMER verschlüsselt sein wird.
Wenn der empfangende Server z.B. kein TLS kann, kann Dein Server nicht mit TLS
senden.

Die Kommunikation zwischen Deinem internen und Deinem externen Server kannst
Du jedoch kontrollieren und immer TLS nutzen. Dazu muss Dein externer Server
TLS anbieten und Deinem internen sagst Du durch den
smtp_tls_per_site-Parameter und eine entsprechende Map, dass für den externen
IMMER TLS genutzt werden muss. Details dazu stehen im TLS_README der Postfix
Dokumentation.

Deinem DMZ Server bringst Du bei TLS sooft wie möglich zu nutzen, indem Du Dir
die Familie der smtp_tls_...-Parameter ansiehst. Du benötigst einen ...key,
ein ...cert, ein ...ca..., und musst es anschalten (smtp_use_tls = yes).
Zustätzlich kannst Du noch Session-Caching einschalten:

smtp_tls_CAfile = /usr/share/ssl/certs/ca-bundle.crt
smtp_tls_cert_file = /etc/postfix/certs/mail.state-of-mind.de.crt
smtp_tls_key_file = /etc/postfix/certs/mail.state-of-mind.de.key
smtp_tls_loglevel = 0
smtp_tls_note_starttls_offer = yes
smtp_tls_session_cache_database = btree:/etc/postfix/smtp_scache
smtp_tls_session_cache_timeout = 3600s
smtp_use_tls = yes

> Wie kann ich den internen Postfix-Server so konfigurieren das er Mails aus
> dem Netz 192.168.2.x annimnt aber zusätzllich nur von 192.168.1.233.

mynetworks = 192.168.2.0/24, 192.168.1.233/32

> Die Firewall läst zwar nur den einen Rechner auf Port 25 herein aber
> schaden kann es ja nicht.
> 
> Was kann ich noch weiter machen?

Der Firewall beibringen, welche User intern existieren und welche nicht. Dann
wird SPAM an der Hauastür abgewiesen und nicht erst im Nachhinein wieder vor
die Tür gesetzt:
-> relay_recipient_maps

p at rick

-- 
Das »Postfix«-Buch
<http://www.postfix-buch.com>
saslfinger (debugging SMTP AUTH):
<http://postfix.state-of-mind.de/patrick.koetter/saslfinger/>



Mehr Informationen über die Mailingliste Postfixbuch-users