[Postfixbuch-users] Postfi in DMZ

thomas polnik postfix at polnik.de
Mi Jan 30 12:02:45 CET 2008


Hallo Thomas,
> Internet/Provider -- Firewall -- DMZ mit Postfix -- Firewall --LAN mit
> Postfix gegen LDAP und Cyrus-IMAP -- zurück an Smarthost Provider
>
> Vielen Dank für eure Hinweise und Vorschläge
>   
Wenn Du keine unnötigen Löcher in die DMZ > internes LAN bohren willst,
wirst Du über fetchmail o.ä. vom internen Netz aus nicht herumkommen.
Wäre aus meiner Sicht die sauberste und sicherste Lösung.

Wenn Du die geschaffene Sicherheit aufweichen willst/mußt, dann eher
keine Freigabe eines Ports DMZ => internes LAN, sondern vielleicht eher
eine getunnelte Verbindung über ssh, also vom internen Mailserver eine
ssh-Verbindung auf den DMZ-Mailserver und auf dem DMZ-Mailserver über
transport die Weiterleitung der Mails an 127.0.0.1:<Tunnelport>
durchführen. So könntest Du Deine FW "austricksen", bzw. die
entsprechenden Policies umgehen.
Egal was Du aber in in dieser Richtung - Aufweichung der DMZ-Sicherheit
- tust,  halte ich es _persönlich_ für eine schlechte Idee, aber ich
weiß auch, daß man als Techniker sich manchmal unsinnigen Dingen beugen
muß, wenn man am Sonntag etwas Kleingeld für Brötchen haben will :)

Viele Grüße,
thomas polnik.





Mehr Informationen über die Mailingliste Postfixbuch-users