[Postfixbuch-users] Sicherheit von Postfix

[Andre Tann]

Hallo zusammen,

ich hätte da mal eine Frage zur Sicherheit von Postfix:

Der Postfix-Server steht in einem Netz, an das über VPN mehrere 
Subnetze angeschlossen sind. Das postfix ist derzeit nach außen 
nicht sichtbar. Vielmehr holt fetchmail die Mails vom Provider ab.

Nun möchte ich aus verschiedenen Gründen gerne, daß Mails direkt an 
das Postfix geliefert werden, ohne den Umweg über den Provider. 
Normalerweise würde ich in so einem Fall den Mailserver in eine DMZ 
stellen. Hier aber ergäben sich dann zahlreiche Routingprobleme für 
die über VPN angeschlossenen Subnetze. Diese Probleme wären zwar 
gewiß irgendwie lösbar, aber es würde doch einen erheblichen 
Aufwand bedeuten.

Daher überlege ich, ob es eine erhebliche Gefährdung des Netzwerkes 
bedeuten würde, wenn der Mailserver im "grünen" Netz stehen bleiben 
und die Firewall den Port 25 an den Server durchleiten würde.

Ausgangspunkt meiner Überlegung war die gestrige Lektüre des 
Postfixbuches, dort die Sache mit den smtp-Appliances, die postfix 
schützen sollen, tatsächlich aber bestenfalls keinen Unfug und oft 
sogar Schaden anrichten mit ihrem Verständnis des smtp-Protokolls.

Könnte man nicht ebenso sagen, daß das grüne Netz durch ein in der 
DMZ laufendes postfix nicht besser geschützt wäre, als wenn postfix 
direkt im grünen Netz liefe? Denn das deutlich kompliziertere 
Routing würde ja seinerseits Fehlerquellen und damit Unsicherheit 
ins Netz bringen.

Was meint ihr?

-- 
Andre Tann