[Postfixbuch-users] Postfi in DMZ

Uwe Driessen driessen at fblan.de
Mi Jan 30 20:28:35 CET 2008


Jan P. Kessler schrieb:
> 
> Uwe sorry, aber das würde ich auf keinen Fall machen.

Wieso sorry wenn ich mich irre ist es immer gut wenn das jemand anderes berichtigt 

> 
> Die Gefahr bei Dual-homed Maschinen besteht entgegen der landläufigen
> Meinung nicht im IP-Forwarding. Das würde einen Angreifer nur etwas
> bringen, wenn auch das restliche Routing auf das Mailrelay zeigt. Nein,
> die Gefahr bei solchen Systemen liegt in kompromittierten Diensten. Auch
> wenn man Wietse sicher prima Code  unterstellen kann, bleiben da noch
> die vielen anderen Abhängigkeiten (OpenSSL, SASL, ...) vor denen in der
> Postfix Doku nicht zu unrecht gewarnt wird. In einem solchen Fall hat
> der Angreifer nämlich dann direkten Durchgriff aufs LAN.

Wo du recht hast hast du recht da hab ich nicht dran gedacht. Ich denke bei solchen
Problemen mehr pragmatisch.
Wird Ihm also wirklich nur der Weg über Tunnel bleiben die von innen aufgemacht werden. 

> 
> Wenn ich müsste, würde ich den Tunnel (wie gesagt, aus dem LAN
> initiiert, s. anderer Post) wählen. Dann kann man den externen Mailer
> nämlich ganz normal als Relay betreiben und sich auch die ganze
> virtual-Schweinerei sparen.
> 


Mit freundlichen Grüßen

Drießen

-- 
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert
Tel.: 06708 / 660045   Fax: 06708 / 661397





Mehr Informationen über die Mailingliste Postfixbuch-users