[Postfixbuch-users] Sicherheit von Postfix
Jan P. Kessler
postfix at jpkessler.info
Di Okt 7 14:54:54 CEST 2008
Andre Tann schrieb:
> Hallo zusammen,
>
> ich hätte da mal eine Frage zur Sicherheit von Postfix:
>
Aus meiner Sicht (die aber die eines Firewallers ist) ein klares Nein!
Postfix steht zwar in dem guten Ruf, mit besonderem Augenmerk auf
Sicherheit hin programmiert worden zu sein, aber kannst Du auch für
tausende Zeilen Code von OpenSSL, SASL-libs, amavis, spamassassin
und/oder diversen policy servern garantieren? Wenn Du ein System, das in
direktem Kontakt mit dem Internet seht, ins interne 'trusted' Netz
stellst und dieses kompromittiert wird, gibt es keine weiteren
Schutzeinrichtungen, die die ANDEREN systeme in Eurer internen
Infrastruktur schützen. Aus diesem guten grund gibt es Firewalls, die in
so einem Fall wenigstens verhindern, dass jemand vom Mailgateway aus
Eure Domaincontroller plattmacht oder in Eurer internen Infrastruktur
snifft (arp-spoofing un konsorten).
Die immer wieder in Büchern anzutreffende Aussage bezieht sich auf
Application Level gateways. hier ist es in der Tat so, dass postfix die
diversen Fallstricke des SMTP-Protokolls sicher besser zu umschiffen
weiß, als der smtp-Proxy Service einer PIX oder einer checkpoint. Das
hat aber nichts mit der Sinnhaftigkeit klassicher DMZ-Strukturen zu tun.
Also: postfix->firewall(als Paketfilter)->lan!
Mehr Informationen über die Mailingliste Postfixbuch-users