[postfix-users] Aufbau 2 Stufiges Mail Gateway

Andreas Reschke postfix_ml at rirasoft.de
Do Mai 3 16:29:05 CEST 2012 

Am Do, 3.05.2012, 15:45 schrieb Robert Schetterer:
> Am 03.05.2012 15:31, schrieb Andreas Reschke:
>>
>> Am Do, 3.05.2012, 15:06 schrieb Robert Schetterer:
>>> Am 03.05.2012 15:03, schrieb Andreas Reschke:
>>>>
>>>> Am Mi, 2.05.2012, 18:24 schrieb Dennis Guhl:
>>>>> On Wed, May 02, 2012 at 05:32:42PM +0200, Andreas Reschke wrote:
>>>>>> Guten Tag
>>>>>>
>>>>>> Beim Review unseres Email Gateways kam folgende Idee oder auch
>>>>>> Problem
>>>>>> auf.
>>>>>>
>>>>>> Der Gateway in der DMZ muss eine Verbindung ins interne Netz
>>>>>> aufmachen,
>>>>>> um
>>>>>> ein E-Mail zuzustellen. Bei allen anderen DMZ Services haben wir
>>>>>> genau
>>>>>> dies vermieden.
>>>>>
>>>>> [..]
>>>>>
>>>>>> Auf dem System sollen auch White-, Grey- und Blacklists sowie TLS
>>>>>> zur
>>>>>> Anwendung kommen. Es waere super, wenn das alles im Hausnetz
>>>>>> passieren
>>>>>> koennte, denn dafuer haben wir eine GUI ;-), fuer die wegen des
>>>>>> Schluesselmanagements sowieso Lizenzen gezahlt werden muessen.
>>>>>> Web-GUI
>>>>>> und
>>>>>> Schluesselmanagement sind aber irgendwie beides nix fuer die DMZ.
>>>>>
>>>>> Verstehe ich Dich richtig, Ihr habt im internen Netz einen Mailserver
>>>>> stehen der mit Gott und der Welt plaudert, der MX ist, aber Ihr macht
>>>>> Euch Sorgen um ein paar Verbindungen aus der DMZ heraus?
>>>>>
>>>>> Dennis
>>>>> _______________________________________________
>>>>> postfix-users mailing list
>>>>> postfix-users at de.postfix.org
>>>>> http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
>>>>>
>>>>
>>>> Nein, nein,
>>>>
>>>> da habe ich falsch/unklar ausgedrückt. Was ich haben will:
>>>> Der Mailserver in der DMZ queued ausschliesslich (nur inbound), der
>>>> interne Mailserver holt sich die eingehenden Mails mit einem kurzen
>>>> Intervall mit irgendeinem Polling Protokoll ab. Die Queue wird
>>>> geleert.
>>>
>>> was soll das bringen, wenn du das bremsen willst mach es mit einem slow
>>> transport
>>>
>>>> Er macht Greylisting, Whitelisting, Userüberprüfung, usw.). Falls
>>>> alles
>>>> korrekt ist wird die Mail intern zugestellt.
>>>
>>> greylisting usw mach der server der mails aus dem internet empfaengt,
>>> kein anderer
>>>
>>>>
>>>> Ausgehende Emails werden dann ueber den äusseren postfix
>>>> rausgeschickt.
>>>> Der spielt dann auch den MX Host.
>>>>
>>>> Keine Initiative von aussen nach innen und unterbinden von
>>>> Tunnelbauten.
>>>>
>>>> Gruß
>>>> Andreas
>>>
>>> sorry aber deine Anforderung ist verwirrend formuliert
>>>
>>> --
>>> Best Regards
>>>
>>> MfG Robert Schetterer
>>>
>>> Germany/Munich/Bavaria
>>> _______________________________________________
>>> postfix-users mailing list
>>> postfix-users at de.postfix.org
>>> http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
>>>
>>
>> Sorry, auf meinem Mist ist das nicht gewachsen. Mein Chef will mehr
>> Sicherheit, da die Zertifikate ja in der "bösen" DMZ liegen.
>>
>> Es könnte ja der Mailserver in der DMZ gehackt werden und die
>> Zertifikate
>> geklaut und ein Tunnel ins LAN gebaut werden werden.
>>
>> Gruß
>> Andreas
>
> nein, du drueckst dich ungluecklich aus
> ich glaub nicht das jemand versteht auf was du eigentlich raus willst
> du solltest mal den Netzlayout beschreiben
> ansonsten verlangen chefs oefter mal Unfug
> --
> Best Regards
>
> MfG Robert Schetterer
>
> Germany/Munich/Bavaria
>
Also ich "male" mal etwas:

                             Internet
                                 |
                           Postfix DMZ
                                 |
                               Queue
                                 |
                   Postfix intern holt Mails vom externen ab,
      kein Durchgang von außen nach innen, aber von innen nach außen,
                 überprüft (Greylisting, Verschlüsselung, usw.)
                                 |
                 -----------------------------------
                 |                                  |
              gute Mails                        abgelehnte Mails
                 |                                  |
              wird intern                   wird zurück zum externen
             weitergeleitet                     geschickt

Der externe Postfix soll nur ein "dummer" Mailserver ohne Daten usw. sein.
Die Intelligenz (White-, Grey- und Blacklists sowie TLS, usw.) soll intern
bleiben.

Besser so?
-- 
Der Inhalt eines Kasten Bit sind 24 Stück, also ist ein Kasten ein Byte!
E-Mail: andreas at rirasoft.de

Mehr Informationen über die Mailingliste postfix-users