[Postfixbuch-users] Postfi in DMZ
Sandy Drobic
postfixbuch-users at japantest.homelinux.com
Mi Jan 30 19:04:21 CET 2008
Thomas Beger wrote:
> Jan P. Kessler schrieb:
>> Thomas Beger schrieb:
>>> Fred Ockert schrieb:
>>>
>
>> Vielleicht ein SSH- oder VPN-Tunnel? Das hat dann aber wieder den
>> Nachteil, dass Schluss ist mit Intrusion Detection & Co. Außerdem kostet
>> das nicht unwesentlich Performance.
>
> Also der Port 25 von DMZ nach etern ist ja auf, nur eben die
> Weiterleitung in das interne Netz per Transport geht eben auf der
> Firewall nicht einzurichten. Deshalb ja die Variante per Fetchmail aus
> dem LAN an den internen Mailserver holen. :-(
Noch einmal eine vertiefende Frage dazu: ist das eine Erfordernis (kein Port
offen auf der Firewall) aufgrund eines sehr hohen (falsch verstandenen)
Sicherheitsstandards, oder ist das eine paranoide Anforderung von nervösen
Firewall-Admins, die einfach alles abschmettern und dann meinen, dass alles
sicher ist?
Zum Vergleich:
Die Sicherheit des internen Netzwerkes würde erheblich steigend, wenn die
Anwender intern keine Webseiten vom Internet aufrufen können. Solange das der
Fall ist, halte ich das Firewall-Design mit Fetchmail für eine Lachnummer.
> Klar Fetchmail über verschlüsselte Verbindung wäre ok. Postfix ist der
> einzige Server/ Dienst der in der DMZ läuft.
> Nur wollte ich eben auf dem Postfix in der DMZ keine Systemuser und wenn
> möglich keine lokale Zustellung, so in dem Sinne von
Wenn das ein reiner Relayserver ist (wie es normal ist), dann hast du das auch
nicht. Das Gateway hat nur eine Liste der gültigen Adressen.
> virtual_domain_mailboxes. Dann dazu nur einen User mit Password an Cyrus
> mit sasldb zwecks Authentifizierung und Zugriff auf die e-Mails im
> Domainpostfach, POP3 abholung?
Es gibt eine Menge Probleme mit diesen Sammelpostfächern, insbesondere bei
Mails die an mehrere Empfänger adressiert sind.
Wenn man ohnehin so hölzern ist, warum dann nicht die Mails beim Provider
auflaufen lassen und normal per POP3 pollen?
--
Sandy
Antworten bitte nur in die Mailingliste!
PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com
Mehr Informationen über die Mailingliste Postfixbuch-users