[Postfixbuch-users] Postfix+IMAP+SSL

Stefan Förster cite at incertum.net
Di Okt 23 18:13:11 CEST 2007


* Tanja Moeser <new_zealand at gmx.de> wrote:
> Ich habe intern einen Server mit Postfix, openXchange und LDAP.  In
> der DMZ einen Server mit Postix mit TLS und Apache, weil ich gerne
> das Webmail des openXchange über einen ReverseProxy von außen
> bereitstellen möchte.  Ich möchte sowohl von innen, als auch von
> außen über einen Mail-Client die Mails über IMAPs abrufen können.

Wie Du ja schon richtig geschrieben hast braucht das Webinterface
selbst natürlich nur "intern" Zugriff auf den IMAP-Server und evt. die
Authentifizierungsdaten - deswegen ja der Reverse Proxy (sehr schönes
Setup übrigens).

> Meine Fragen dazu: auf welchem Server installiere ich am
> geschicktesten den IMAP-Server (ob Courier oder Cyrus bin mir noch
> nicht schlüssig)?  Wie konfiguriere ich dann Postfix, damit die
> Mails auch in den Postfächern des openXchange landen?  Wie kann ich
> die Authentifizierung über LDAP realisieren, damit ich von außen die
> Mails abrufen kann?  Ich hatte da irgendwo was gelesen mit pam_ldap,
> aber keine Ahnung, ob das das Richtige ist.

Du solltest den IMAP-Server auf jeden Fall auf dem Rechner im internen
Netz installieren. Die Postfix-Konfigurationsfrage hattest Du Dir ja
schon selbst beantwortet: Du reichst die Mails von dem Postfix-Server
in der DMZ an den internen Openexchange-Server weiter - ich hoffe
doch, daß der SMTP kann ;-) Damit landen dann Mails, die an Eure
Mitarbeiter adressiert sind, in den Postfächern.

Dein Hauptproblem, wenn ich Dich richtig verstanden habe, sind also
der direkte Zugriff via IMAP auf die Postfächer und wie Deine Benutzer
Mails über Eure Server verschicken können (mit Authentifizierung).

Eine sehr einfache Lösung: Du gestattest den Zugriff auf die Ports 25
und 993 auf den Server in der DMZ.

Für IMAP betreibst Du dort einen IMAP-Proxy wie z.B. "perdition" (der
kann nämlich auch TLS/SSL eintüten), dem Du eine Kontaktaufnahme mit
dem internen Server gestattest.

Für das Versenden von Mails über Euren Postfix-Server bräuchte ich
noch eine Information: Sind die Benutzerinformationen, also die
Kombination aus Username und Passwort für IMAP die gleichen, die auch
für SMTP (mit SASL) dienen sollen? Wenn ja, hast Du gewonnen: Du
betreibst auf dem Server in der DMZ einen "saslauthd" im sog.
"rimap"-Modus. Dies bedeutet, daß die Benutzerinformationen, die der
Client bereitstellt, gegen einen IMAP-Server abgeglichen werden
sollen. Und da kannst Du z.B. den "perdition" nehmen, denn
127.0.0.1:143 sollte der saslauthd ja ansprechen dürfen.

Zusammenfassung: Von extern Zugriff auf die Ports 25 und 993 in die
DMZ hinein erlauben, von der DMZ aus die Ports 25 und 993 auf den
internen Server erlauben. IMAP-Proxy einrichten, der dann auch die
Authentifizierungsdaten für SASL bereitstellt. Einfache Lösung.

Andere Lösung: Du stellst in der DMZ einen Einwahlpunkt für
VPN-Clients bereit, denen Du dann bestimmte Dienste im internen Netz
freischaltest. Am saubersten geht das mit einem dedizierten Rechner an
einem dedizierten Interface Deines "inneren" Paketfilters. Wenn es
denn billiger sein muß, kannst DU natürlich auch einen VPN-Endpunkt
auf dem Server in der DMZ betreiben, der auch das Webinterface und das
Postfix betreiben soll. Wenn Du das Geld für zusätzliche Hardware
hast, ist die VPN-Lösung natürlich sehr interessant, da die Nutzer
dann auch andere Dinge tun können als nur auf ihre Mails zuzugreifen.

Hilft Dir das jetzt weiter oder rede ich an Dir vorbei? ;-)


Ciao
Stefan

P.S: Es gibt da ein fantastisches Buch zu dem Themenkreis, zwar schon
etwas angestaubt, aber doch lesenswert: Building Internet Firewalls
von Zwicky, Cooper und Chapman - siehe auch:
http://www.amazon.de/Building-Internet-Firewalls-Web-Security/dp/1565928717/
-- 
Stefan Förster     http://www.incertum.net/     Public Key: 0xBBE2A9E9
FdI #314: Outlook (Express) - Designed to enable Virus replication.
(Microsoft)



Mehr Informationen über die Mailingliste Postfixbuch-users