[Postfixbuch-users] Postfi in DMZ

Sandy Drobic postfixbuch-users at japantest.homelinux.com
Mi Jan 30 19:04:21 CET 2008


Thomas Beger wrote:
> Jan P. Kessler schrieb:
>> Thomas Beger schrieb:
>>> Fred Ockert schrieb:
>>>
> 
>> Vielleicht ein SSH- oder VPN-Tunnel? Das hat dann aber wieder den 
>> Nachteil, dass Schluss ist mit Intrusion Detection & Co. Außerdem kostet 
>> das nicht unwesentlich Performance.
> 
> Also der Port 25 von DMZ nach etern ist ja auf, nur eben die
> Weiterleitung in das interne Netz per Transport geht eben auf der
> Firewall nicht einzurichten. Deshalb ja die Variante per Fetchmail aus
> dem LAN an den internen Mailserver holen. :-(

Noch einmal eine vertiefende Frage dazu: ist das eine Erfordernis (kein Port 
offen auf der Firewall) aufgrund eines sehr hohen (falsch verstandenen) 
Sicherheitsstandards, oder ist das eine paranoide Anforderung von nervösen 
Firewall-Admins, die einfach alles abschmettern und dann meinen, dass alles 
sicher ist?

Zum Vergleich:
Die Sicherheit des internen Netzwerkes würde erheblich steigend, wenn die 
Anwender intern keine Webseiten vom Internet aufrufen können. Solange das der 
Fall ist, halte ich das Firewall-Design mit Fetchmail für eine Lachnummer.

> Klar Fetchmail über verschlüsselte Verbindung wäre ok. Postfix ist der
> einzige Server/ Dienst der in der DMZ läuft.
> Nur wollte ich eben auf dem Postfix in der DMZ keine Systemuser und wenn
> möglich keine lokale Zustellung, so in dem Sinne von

Wenn das ein reiner Relayserver ist (wie es normal ist), dann hast du das auch 
nicht. Das Gateway hat nur eine Liste der gültigen Adressen.

> virtual_domain_mailboxes. Dann dazu nur einen User mit Password an Cyrus
>  mit sasldb zwecks Authentifizierung und Zugriff auf die e-Mails im
> Domainpostfach, POP3 abholung?

Es gibt eine Menge Probleme mit diesen Sammelpostfächern, insbesondere bei 
Mails die an mehrere Empfänger adressiert sind.

Wenn man ohnehin so hölzern ist, warum dann nicht die Mails beim Provider 
auflaufen lassen und normal per POP3 pollen?


-- 
Sandy

Antworten bitte nur in die Mailingliste!
PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com




Mehr Informationen über die Mailingliste Postfixbuch-users