[Postfixbuch-users] [OT] Netzwerkaufbau - Einstellungen beim SMTP-Relay, Anbindung von Außendienstlern

Fr Jan 18 12:17:01 CET 2013

Hallo Gregor,

ich denke für Deine Fragen/Problemstellung gibt es keinen golden Weg,
sondern nur use-cases die immer ein Kompromiss aus Sicherheit und Funktion
sein werden.

> Der ganze Spam-Schutz, amavis-Prüfung etc. muss dann ja auch hier laufen.
>
Zumindest all die "billigen" Checks, die den Umschlag (envelope) und
SMTP-Dialog prüfen. Für den Inhaltscheck hast Du je nach Konfiguration die
Mail ggf. schon angenommen um sie für den Empfänger nur entsprechend zu
sortieren oder markieren - das kann auch ein nachgelagertes System machen.

> Wie sieht es mit der Empfängerüberprüfung aus? Muss ich die hier auch
> schon machen?
> 
Wenn Du auf Grund nicht vorhandener (also erratener) Empfänger ablehnen
willst: ja.
- Du kannst zwei Systeme pflegen: die Nachteile sind wohl jedem klar
- postfix kann in einem smtp-Dialog mit dem Grpuware server schon beim
Einliefern prüfen "ob da hinten" der Empfänger bekannt ist: führt aber zur
kompletten Ablehnung von Mails, wenn Du an der Groupware mal ne Störung oder
Wartung hast
=> ich würde für einen Automatismus sorgen, der mir regelm. die gültigen
Empfänger in der DMZ zur Verfügung stellt: so lesen wir per VB oder LDAP ein
AD nach Exchange-Empfängern aus und stellen das Ergebnis per SCP kopiert dem
Relay/Smarthost als Textfile zur Verfügung

! Denke auch über den 2nd MX nach. Wenn der Primary Empfänger validiert,
sollte es der 2nd auch können sonst wird eben dort der ganze Müll abgekippt
und Du kannst wieder nicht abweisen und musst Dich deswegen mit Müll und
ggf. backscattern plagen.

> Die andere Frage wäre, wie ich unseren Außendienstlern Ihre Emails
> einigermaßen komfortable vorhalten kann.
> Eine Möglichkeit wäre, auch den Groupwareserver (Webmailer und evtl.
> mehr,) in eine eigene DMZ zu stellen. Auf diesen könnte man dann von Innen
> und Außen zugreifen.
> 
> Oder aber den Groupwareserver ins Intranet, und in eine DMZ einen
> Webclient der per IMAP auf den GS im Intranet zugreift?
> Die Angewohnheit Mails auch auf Smartphones abzurufen macht mir auch noch
> Kopfzerbrechen.
> 
Du lieferst ja schon Ansätze. Wie gesagt entscheide über die nötigen
Funktionen und suche dann nach der passenden technischen Lösung. Da Du
Grouware-interne Kommunikation schlecht draußen abbilden kannst wird der Weg
zur Groupware wohl der einfachste sein. Von was reden wir den: seit Version
2000 kann man sich trauen auch OWA (und damit ActiveSync) rauszustellen
(wenn der organisatorische Background wie zB. Patchmanagement und
Passwortrichtlinien stimmen).
Ein zusätzlicher Webmailer erhöht nach meiner Meinung die Angriffsfläche (Du
hast jetzt 2 Softwaren, die kaputt sein können, das PHP,Java,? des
Webmailers und POP/IMAP der Groupware) bei weniger Funktion (nicht alle
Webmailer bilden alle Funktionen von Groupware ab).

Mit freundlichen Grüßen / Kind regards
     Ronny Seffner
-- 
Ronny Seffner  |  Alter Viehweg 1  |  01665 Klipphausen

www.seffner.de  |  ronny at seffner.de  |  +49 35245 72950