[Postfixbuch-users] Postfi in DMZ

Jan P. Kessler postfix at jpkessler.info
Mi Jan 30 20:19:35 CET 2008


Uwe Driessen schrieb:
> Thomas Beger schrieb: 
>   
>> Wäre es so einfach hätte ich den Transport zum internen auf der DMZ
>> eingerichtet und den Port Freigegeben und fertich. :-)
>>     
>
> 2. Netzwerkkarte die im internen Netz hängt über das die User dann direkt vom Postfix
> pollen können 
>
> Über DMZ werden die Mails auf den Server geholt und der kann sie dann nach Prüfung über
> den zweiten Transportweg an der Firewall vorbei ins interne Netz stellen. Sofern auf der
> Kiste NUR Postfix eingerichtet ist sollte das keine Sicherheitslücke sein.
> forwarding abschalten und schon ist spätestens auf dem Mailserver von intern Schluss und
> von außen sowieso
>
> Mit freundlichen Grüßen
>
> Drießen
>   

Uwe sorry, aber das würde ich auf keinen Fall machen.

Die Gefahr bei Dual-homed Maschinen besteht entgegen der landläufigen 
Meinung nicht im IP-Forwarding. Das würde einen Angreifer nur etwas 
bringen, wenn auch das restliche Routing auf das Mailrelay zeigt. Nein, 
die Gefahr bei solchen Systemen liegt in kompromittierten Diensten. Auch 
wenn man Wietse sicher prima Code  unterstellen kann, bleiben da noch 
die vielen anderen Abhängigkeiten (OpenSSL, SASL, ...) vor denen in der 
Postfix Doku nicht zu unrecht gewarnt wird. In einem solchen Fall hat 
der Angreifer nämlich dann direkten Durchgriff aufs LAN.

Wenn ich müsste, würde ich den Tunnel (wie gesagt, aus dem LAN 
initiiert, s. anderer Post) wählen. Dann kann man den externen Mailer 
nämlich ganz normal als Relay betreiben und sich auch die ganze 
virtual-Schweinerei sparen.




Mehr Informationen über die Mailingliste Postfixbuch-users