[Postfixbuch-users] Postfi in DMZ

[Sandy Drobic]

Thomas Beger wrote:
> Fred Ockert schrieb:
> 
>> wie jetzt ...eine nicht konfigurierbare Firewall ? irgendwo kann das 
>> nicht ganz sein... zumal ..der DMZ-Postfix muss ja auch nicht unbedingt 
>> auf Port 25..
>>
>> User per VPN .. na gut (sicher von Intern nach extern) .. aber doch 
>> nicht aus der DMZ ?...
>>
>> Fred
> 
> Ja, Firewall läst nur von Extern nach DMZ auf Port bzw. Dienste durch.
> Verbindungen zu LAN intern müssen von LAN ausgehen, also bekannt sein.
> Per VPN von extern in LAN nur mit mehrfacher Verschlüsselung möglich.
> Halt die harte Lehre einer Firewall, alle Verbindungen nach intern gehen
> von intern aus.

Das geht natürlich nur, solange du keine Dienste nach außen anbietest. Wenn 
das das Fall ist (und das is der Fall bei einem SMTP-Server, der Mails aus dem 
Internet annimmt), muss ein Port nach außen freigegeben werden.

Gegen das Design, Postfix in der DMZ als Gateway zu betreiben, ist nichts zu 
sagen. Aber dann Fetchmail zu verwenden ist auch aus Sicherheitsaspekten nicht 
anzuraten. Postfix ist in den letzten Jahren durch keine Sicherheitslücke 
aufgefallen, Fetchmail sehr wohl.

Deshalb:

DMZ: Postfix nimmt Mails von Internet an und leitet sie an internen Postfix 
per smtp weiter. Wenn mehrere Server in der DMZ sind, dann auch per TLS und 
smtp auth.

intern: Firewall akzeptiert SMTP nur von internem Server zu DMZ-Server und 
umgekehrt, alle anderen Clients werden geblockt. Server in der DMZ müssen sich 
authentifizieren bei DMZ-Postfix.

Ausgehend darf nur der Postfix-DMZ per SMTP kommunizieren.



-- 
Sandy

Antworten bitte nur in die Mailingliste!
PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com