[Postfixbuch-users] Mails aus eigener DMZ

[Paul]

Am 05.05.2015 um 22:52 schrieb Ralf Hansen:
> Hallo zusammen,
> 
> ich habe da mal eine Frage.
> Wir betreiben in unserer DMZ sowohl eigene Server, als auch
> Kundensysteme (Hosting), auf dessen Applikationen (z.B. unsichere
> Kontaktformulare) wir keinen direkten Einfluss haben.
> Mails, die in der DMZ generiert werden, können natürlich auch in unser
> internes Netz versandt werden. Leider liegt es in der Natur der Sache,
> dass man Absender leicht fälschen kann.
> 
> Mails aus dem Internet mit Absender @meine-firma.de weise ich direkt ab
> (da nur unsere Mitarbeiter von innen in unserem Namen versenden dürfen),
> jedoch lasse ich diese Absender aus der DMZ prinzipiell zu, da auch
> Verfahren unserer Firma dort angesiedelt sind und mit @meine-firma.de
> versenden.
> 
> Wie verhindere ich nun, dass hier niemand missbräuchlich den Absender
> @meine-firma.de auf einem Kunden-Hosting-System in meiner DMZ einsetzt
> und dann auch noch Mails nach innen sendet?
> Hinweis: Alle Systeme nutzen den gleichen Relayhost, daher möchte ich
> nicht auf unserschiedlichen IPs/Ports je nach Verfahren einliefern.
> 
> Für Anregungen wäre ich dankbar.

Viele Wege führen zum Ziel. Welche davon sinnvoll oder -frei ist,
vernachlässige ich jetzt.

Falls eure Anwendungen auf unterschiedlichen IPs in der DMZ laufen, kann
der Relayhost entsprechend reagieren
oder
lass deine Anwendungen die Mails markieren und nimmst nur markierte
Mails aus der DMZ an.

Falls sich die Anwendungen am relayhost authentifizieren, dann könnte
was mit reject_sender_login_mismatch o.ä. vielleicht helfen...

Gruß,
Paul
> 
> Gruß
> ralf
>