[postfix-users] Aufbau 2 Stufiges Mail Gateway

Robert Schetterer robert at schetterer.org
Do Mai 3 17:03:45 CEST 2012 

Am 03.05.2012 16:29, schrieb Andreas Reschke:
> 
> Am Do, 3.05.2012, 15:45 schrieb Robert Schetterer:
>> Am 03.05.2012 15:31, schrieb Andreas Reschke:
>>>
>>> Am Do, 3.05.2012, 15:06 schrieb Robert Schetterer:
>>>> Am 03.05.2012 15:03, schrieb Andreas Reschke:
>>>>>
>>>>> Am Mi, 2.05.2012, 18:24 schrieb Dennis Guhl:
>>>>>> On Wed, May 02, 2012 at 05:32:42PM +0200, Andreas Reschke wrote:
>>>>>>> Guten Tag
>>>>>>>
>>>>>>> Beim Review unseres Email Gateways kam folgende Idee oder auch
>>>>>>> Problem
>>>>>>> auf.
>>>>>>>
>>>>>>> Der Gateway in der DMZ muss eine Verbindung ins interne Netz
>>>>>>> aufmachen,
>>>>>>> um
>>>>>>> ein E-Mail zuzustellen. Bei allen anderen DMZ Services haben wir
>>>>>>> genau
>>>>>>> dies vermieden.
>>>>>>
>>>>>> [..]
>>>>>>
>>>>>>> Auf dem System sollen auch White-, Grey- und Blacklists sowie TLS
>>>>>>> zur
>>>>>>> Anwendung kommen. Es waere super, wenn das alles im Hausnetz
>>>>>>> passieren
>>>>>>> koennte, denn dafuer haben wir eine GUI ;-), fuer die wegen des
>>>>>>> Schluesselmanagements sowieso Lizenzen gezahlt werden muessen.
>>>>>>> Web-GUI
>>>>>>> und
>>>>>>> Schluesselmanagement sind aber irgendwie beides nix fuer die DMZ.
>>>>>>
>>>>>> Verstehe ich Dich richtig, Ihr habt im internen Netz einen Mailserver
>>>>>> stehen der mit Gott und der Welt plaudert, der MX ist, aber Ihr macht
>>>>>> Euch Sorgen um ein paar Verbindungen aus der DMZ heraus?
>>>>>>
>>>>>> Dennis
>>>>>> _______________________________________________
>>>>>> postfix-users mailing list
>>>>>> postfix-users at de.postfix.org
>>>>>> http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
>>>>>>
>>>>>
>>>>> Nein, nein,
>>>>>
>>>>> da habe ich falsch/unklar ausgedrückt. Was ich haben will:
>>>>> Der Mailserver in der DMZ queued ausschliesslich (nur inbound), der
>>>>> interne Mailserver holt sich die eingehenden Mails mit einem kurzen
>>>>> Intervall mit irgendeinem Polling Protokoll ab. Die Queue wird
>>>>> geleert.
>>>>
>>>> was soll das bringen, wenn du das bremsen willst mach es mit einem slow
>>>> transport
>>>>
>>>>> Er macht Greylisting, Whitelisting, Userüberprüfung, usw.). Falls
>>>>> alles
>>>>> korrekt ist wird die Mail intern zugestellt.
>>>>
>>>> greylisting usw mach der server der mails aus dem internet empfaengt,
>>>> kein anderer
>>>>
>>>>>
>>>>> Ausgehende Emails werden dann ueber den äusseren postfix
>>>>> rausgeschickt.
>>>>> Der spielt dann auch den MX Host.
>>>>>
>>>>> Keine Initiative von aussen nach innen und unterbinden von
>>>>> Tunnelbauten.
>>>>>
>>>>> Gruß
>>>>> Andreas
>>>>
>>>> sorry aber deine Anforderung ist verwirrend formuliert
>>>>
>>>> --
>>>> Best Regards
>>>>
>>>> MfG Robert Schetterer
>>>>
>>>> Germany/Munich/Bavaria
>>>> _______________________________________________
>>>> postfix-users mailing list
>>>> postfix-users at de.postfix.org
>>>> http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
>>>>
>>>
>>> Sorry, auf meinem Mist ist das nicht gewachsen. Mein Chef will mehr
>>> Sicherheit, da die Zertifikate ja in der "bösen" DMZ liegen.
>>>
>>> Es könnte ja der Mailserver in der DMZ gehackt werden und die
>>> Zertifikate
>>> geklaut und ein Tunnel ins LAN gebaut werden werden.
>>>
>>> Gruß
>>> Andreas
>>
>> nein, du drueckst dich ungluecklich aus
>> ich glaub nicht das jemand versteht auf was du eigentlich raus willst
>> du solltest mal den Netzlayout beschreiben
>> ansonsten verlangen chefs oefter mal Unfug
>> --
>> Best Regards
>>
>> MfG Robert Schetterer
>>
>> Germany/Munich/Bavaria
>>
> Also ich "male" mal etwas:
> 
>                              Internet
>                                  |
>                            Postfix DMZ
>                                  |
>                                Queue
>                                  |
>                    Postfix intern holt Mails vom externen ab,
>       kein Durchgang von außen nach innen, aber von innen nach außen,
>                  überprüft (Greylisting, Verschlüsselung, usw.)
>                                  |
>                  -----------------------------------
>                  |                                  |
>               gute Mails                        abgelehnte Mails
>                  |                                  |
>               wird intern                   wird zurück zum externen
>              weitergeleitet                     geschickt
> 
> Der externe Postfix soll nur ein "dummer" Mailserver ohne Daten usw. sein.
> Die Intelligenz (White-, Grey- und Blacklists sowie TLS, usw.) soll intern
> bleiben.
> 
> Besser so?

ja besser beschrieben, man kann natuerlich die Welt verkomplizieren
ich wuerde das als nicht sinnvoll bezeichnen

der Klassiker ist

postfix relay mit greylisting, antispam, antivir in der dmz
schiebt per smtp transport an den internen mailserver der wiederum
ueber smtp nur an das dmz postfix relay raus versendet, fuer ein abholen
per irgendwas vom relay wuerde nur eine langsame/unsichere Leitung etc
sprechen ansonsten ist es Unfug

das postfix relay muss natuerlich die domains kennen fuer die es
zustaendig ist , und am besten auch die mail adressen ( das kann man
aber auch per verify dynamisch erledigen oder per ldap an einer acitve
dir usw ( wenn im selben Netzwerk )
wenn du versenden von aussen ( smtp ) ueber das postfix dmz relay
zulassen willst kannst du zb einen einen sasl auth im internen
mailserver ueber imap machen

der internen mailserver haelt die mailboxen, willst du nach dort
keinen zugriff von aussen erlauben ( pop3/imap) muessen die clients halt
erstmal einen vpn tunnel in dein intranet haben
das ist der klassiker bei internen zb exchange setups

du kannst aber auch auf der firewall oder zb auf dem postfix dmz relay
server einen dovecot proxy fuer imap und pop3 laufen lassen
zusaetzlich kannst du den traffic zwischen relay und internen mailserver
noch verschluesselt mit den jeweiligen ssl varianten der Protokolle
machen ( ist aber eigentlich ueberfluessiger overhead, und nimmt deiner
firewall die moeglichkeit in den traffic reinzusehen )

gute oder schlechte mails gibts per se nicht, antispam und ativir macht
das dmz relay weil es an der front steht, natuerlich kann man danach
auch noch filtern ist aber meisst ueberfluessig bis sinnlos , wenn man
es vorne schon richtig gemacht hat, bzw ein windows client muss zb
ohnehin immer antivr software haben

wenn das so nicht reicht wuerde ich zu einer (Kauf) smtp proxy
mit antivir und antispam raten um sich dann damit rumzuaergern
die filtert dann on the fly den smtp verkehr vor deinem internen mailserver

-- 
Best Regards

MfG Robert Schetterer

Germany/Munich/Bavaria

Mehr Informationen über die Mailingliste postfix-users