7
Kleines LAN - Mailserver integrieren
Hallo,
in einem bestehenden LAN, dass aus einem Windows Server 2003 und neun Clients (Windows XP Professional SP3) besteht, soll ein zusätzlicher Mailserver integriert werden
Auf dem Server im LAN läuft ein Datenbankserver.
Das gesamte Netz ist nicht an das Internet angebunden. Der Server und die Clients hängen an einem Switch.
Demnach haben die Mitarbeiter derzeit keinen Zugriff auf ihre Mails an ihren Clients. Nicht wirklich zeitgemäß.
Jetzt war meine Idee, einen zweiten Server(Gerät ist vorhanden) als Mailserver einzurichten. In diesen wollte ich 2 Netzwerkkarten einbauen und auf dem Gerät einen kleinen Mailserver (hmailserver) installieren.
Ein Kabel in den Router (derzeit Draytek 2200E+) und das andere in den Switch des LAN's.
Die Clients sollen nicht die Möglichkeit haben, auf das Internet zuzugreifen, lediglich der Zugriff auf den Mailserver zum Abruf der Mails soll erlaubt sein.
Die Mails sollen per pop3 vom ISP abgeholt werden und die Clients greifen dann per IMAP darauf zu.
Einen Exchangeserver halte ich für überdimensioniert, da die Groupware Funktionen im LAN bereits von einer anderen Software (ERP Lösung) zur Verfügung gestellt werden.
Macht die Konstellation Sinn oder völliger Schwachsinn?
Was lässt sich im Bezug auf Sicherheit dazu sagen?
Vielen Dank.
mfg
Carlos03
in einem bestehenden LAN, dass aus einem Windows Server 2003 und neun Clients (Windows XP Professional SP3) besteht, soll ein zusätzlicher Mailserver integriert werden
Auf dem Server im LAN läuft ein Datenbankserver.
Das gesamte Netz ist nicht an das Internet angebunden. Der Server und die Clients hängen an einem Switch.
Demnach haben die Mitarbeiter derzeit keinen Zugriff auf ihre Mails an ihren Clients. Nicht wirklich zeitgemäß.
Jetzt war meine Idee, einen zweiten Server(Gerät ist vorhanden) als Mailserver einzurichten. In diesen wollte ich 2 Netzwerkkarten einbauen und auf dem Gerät einen kleinen Mailserver (hmailserver) installieren.
Ein Kabel in den Router (derzeit Draytek 2200E+) und das andere in den Switch des LAN's.
Die Clients sollen nicht die Möglichkeit haben, auf das Internet zuzugreifen, lediglich der Zugriff auf den Mailserver zum Abruf der Mails soll erlaubt sein.
Die Mails sollen per pop3 vom ISP abgeholt werden und die Clients greifen dann per IMAP darauf zu.
Einen Exchangeserver halte ich für überdimensioniert, da die Groupware Funktionen im LAN bereits von einer anderen Software (ERP Lösung) zur Verfügung gestellt werden.
Macht die Konstellation Sinn oder völliger Schwachsinn?
Was lässt sich im Bezug auf Sicherheit dazu sagen?
Vielen Dank.
mfg
Carlos03
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 115002
Url: https://administrator.de/contentid/115002
Ausgedruckt am: 05.11.2024 um 07:11 Uhr
7 Kommentare
Neuester Kommentar
Da schaue Dir mal den SME-Server an. Das ist ein feiner Server, der auch Webmail unterstützt. Läuft auch als VM auf Deinem Server.
Gruß, Arch Stanton
Gruß, Arch Stanton
Arch, danke Dir für die Antwort.
Habe mir mal kurz die Features angesehen, scheint ja die EierlegendeWollmilchSau zu sein.
Mir wäre ja ne Windows Lösung lieber.
Was hälst du denn von der Idee mit der zweiten NIC? Ist das Schwachsinn.
Lieber den Mailserver gleich mit auf den Server im LAN?
Schönen Gruß
Carlos03
Habe mir mal kurz die Features angesehen, scheint ja die EierlegendeWollmilchSau zu sein.
Mir wäre ja ne Windows Lösung lieber.
Was hälst du denn von der Idee mit der zweiten NIC? Ist das Schwachsinn.
Lieber den Mailserver gleich mit auf den Server im LAN?
Schönen Gruß
Carlos03
Die zweite NIC isoliert Deine Netzwerk, dennoch solltest Du nicht auf Antivirensoftware verzichten. Der SME-Server läuft doch in einer VM unter Windows. Vorteil: AV- und Antispamsoftware sind dabei. Ich habe die Software ein paar Male eingesetzt mit bis zu 30 Clients. Ich bin zufrieden. Den Hmailserver finde ich auch gut, ich muß gestehen, ich habe noch nicht soviel damit experimentiert.
Gruß, Arch Stanton
Gruß, Arch Stanton
Danke Dir.
Das wollte ich hören.
Jetzt habe ich aber noch eine Frage.
Nehmen wir an ich verwende zwei NIC's, die erste bekommt ne IP aus dem LAN (192.168.1.100) und die andere eine IP aus dem Netz des Routers (192.168.2.1).
Muss ich jetzt zwingend ne Route einrichten?
AV läuft bereits auf dem Server im LAN. Ich würde dies den Mailserver erweitern. hmailserver bietet bereits die Möglichkeit einen externen AV Scanner einzubinden. Spam lasse ich direkt beim ISP filtern, dass klappt sehr zufriedenstellend.
Ich werde mir den SME am Wochenende mal genauer ansehen.
Schönen Gruß
Carlos03
Folgende Konfiguration schlage ich dir vor
Installiere deinen Server wie du es beschreibst ...
) auch wenn ich dir entweder zum exchange oder andernfalls zu einer linuxlösung raten würde... also
kleiner exchangeserver / Linux Proxy/MailServer
dann den switch mit dem router verbinden und im router die NAT mit einem IPfilter konfigurieren also im router für den zugriff von LAN nach WAN nur die IPs freigeben von denen du möchtest das sie zugriff haben spart zweite karte und viel ärger bei der konfig...
ausserdem nimmst du den clients die möglichkeit auf das internet zuzugreifen indem du ihnen den gateway nimmst gar kein problem
wenn du dich für einen windows server entscheidest dann instaliere auch gleich den WSUS von microsoft kann man kostenlos herunterladen und er verteilt zentral windows updates ohne zurgiff der clients auf das internet das gleiche gilt für das anntivirus z.B. (Kaspersky Open Space Base Pack) hier wäre das gleiche der Fall nur ein server hat zugriff aufs internet alle anderen nicht trotzdem können sie updates automatisch machen sowohl windows wie auch antivirus oder office im WSUS sind alle Microsoft produkte integriert und ich kann einfach festlegen welche updates wann heruntergeladen werden bzw. auf den clients installiert werden.
diese lösung ist sehr einfach zu realiseren und kostet nix bis auf die Server Lizenz exchange und antivirus ausserdem kann man jederzeit schnell und bequem dem kunden einzelne pc ans netz hängen oder wieder weg fallst noch mehr infos brauchst meld dich
hinweis WSUS ist kostenlos und läuft ab windows 2000 SP4 server eine domäne sezte ich vorraus... Vielleicht würde sich hier ein small business 2003 server R2 anbieten dieser bietet dir viele features inkl. 5 clients lizenzen und kostet etwa 300 Euro was den eigentlichen Server ersetzen kann bzw. zum file & Printserver macht.....
Vorteil am Small business ist die einfach wartung und installatio sowie die günstigen anschaffungskosten nachteil ist das es ein standalone server ist ... also nur in kleine domänen sinn macht
Installiere deinen Server wie du es beschreibst ...
) auch wenn ich dir entweder zum exchange oder andernfalls zu einer linuxlösung raten würde... alsokleiner exchangeserver / Linux Proxy/MailServer
dann den switch mit dem router verbinden und im router die NAT mit einem IPfilter konfigurieren also im router für den zugriff von LAN nach WAN nur die IPs freigeben von denen du möchtest das sie zugriff haben spart zweite karte und viel ärger bei der konfig...
ausserdem nimmst du den clients die möglichkeit auf das internet zuzugreifen indem du ihnen den gateway nimmst gar kein problem
wenn du dich für einen windows server entscheidest dann instaliere auch gleich den WSUS von microsoft kann man kostenlos herunterladen und er verteilt zentral windows updates ohne zurgiff der clients auf das internet das gleiche gilt für das anntivirus z.B. (Kaspersky Open Space Base Pack) hier wäre das gleiche der Fall nur ein server hat zugriff aufs internet alle anderen nicht trotzdem können sie updates automatisch machen sowohl windows wie auch antivirus oder office im WSUS sind alle Microsoft produkte integriert und ich kann einfach festlegen welche updates wann heruntergeladen werden bzw. auf den clients installiert werden.
diese lösung ist sehr einfach zu realiseren und kostet nix bis auf die Server Lizenz exchange und antivirus ausserdem kann man jederzeit schnell und bequem dem kunden einzelne pc ans netz hängen oder wieder weg fallst noch mehr infos brauchst meld dich
hinweis WSUS ist kostenlos und läuft ab windows 2000 SP4 server eine domäne sezte ich vorraus... Vielleicht würde sich hier ein small business 2003 server R2 anbieten dieser bietet dir viele features inkl. 5 clients lizenzen und kostet etwa 300 Euro was den eigentlichen Server ersetzen kann bzw. zum file & Printserver macht.....
Vorteil am Small business ist die einfach wartung und installatio sowie die günstigen anschaffungskosten nachteil ist das es ein standalone server ist ... also nur in kleine domänen sinn macht
Danke Dir für den Vorschlag.
Eine Serverversion ist ja bereits vorhanden und auch im EInsatz (WIndows Server 2003). Leider derzeit noch als Arbeitsgruppe.
AV Lösung ebenfalls vorhanden.
Grundsätzlich finde ich die Idee mit dem Paketfilter gut, soweit ich weiß lassen sich mit dem Draytek 2200E+ bereits Firewallregeln erstellen.
Ist denn die Lösung mit zwei Netzwerkkarten nicht grundsätzlich sicherer?
Schönen Gruß
Carlos03
Eine Serverversion ist ja bereits vorhanden und auch im EInsatz (WIndows Server 2003). Leider derzeit noch als Arbeitsgruppe.
AV Lösung ebenfalls vorhanden.
Grundsätzlich finde ich die Idee mit dem Paketfilter gut, soweit ich weiß lassen sich mit dem Draytek 2200E+ bereits Firewallregeln erstellen.
Ist denn die Lösung mit zwei Netzwerkkarten nicht grundsätzlich sicherer?
Schönen Gruß
Carlos03
also bei vorhandenem server exchange nachkaufen.... gibts auch schon günstig..
domäne einrichten kein problem dcpromo
profile auf clients mit dateien&einstellungen sichern sichern dann ins dmprofil importieren
nein zwei netzwerkkarten sind nichts anderes technisch gesehen als eine NAT... auserdem führen zwei netzwerkkarten bei der konfiguration unweigerlich zu mehr aufwand zwecks dns subnet etc.
sinn macht diese wenn du
einen proxy betreiben möchtest
einen router/NAT selbst bauen möchtest
zwei netzwerke die unterschiedliche aus irgendeinem grund nicht veränderbare ipadressräume verwenden verbinden möchtest (proxy/router)
oder du die netzwerkverbindung redundant haben möchtest also einen server der beim hardware defekt der eine karte die andere weiternutzt
in deinem fall ist die lösung mit der Firewall besser bzw. NAT über diese funktion verfügt jeder router lässt sich alles einfacher konfigurieren ausserdem kannst du bei einer etwaigen fernwartung besser hantieren
eine DMZ ist sicherer theoretisch jedoch jemand der über deinen router kommt kommt auch über die DMZ ....
eine DMZ macht sicher sinn in einem netzwerk indem ich darauf angewiesen bin zugriffe von aussen zu gewähren z.B. Webserver etc. jedoch in deinem fall ist es zusätlicher aufwand und eine mögliche fehlerquelle...kleiner tipp noch es muesste moeglich sein fuer einen vorhandenen Windows 2003 Standard Server eine Upgrade Lizenz zum SBS sErver zu bekommen dadurch dass du noch eine arbeitrsgruppe betreibst hast du bei der einrichtung einer domäne auf dem SBS keinerlei Probleme geht alles per assistent und ist ruckzuck erledigt ausserdem hast du die outlook lizenzen mit drin d.h. vollversion pro clientlizenz im server enthalten... was administrativ und technisch effizienter ist denn bei alternativ lösungen kommst du schnell an grenzen was die zentrale administration der postfächer maileinstellungen etc angeht.. gerade in kleinen netzwerken gibt es also keine bessere lösung als ein geschlossenes system zu nutzen Mailserver/client sollten systemintegriert und vom gleichen hersteller sein... gemeinsame adressbücher rechte adressen spam etc .....
bei der einrichtung des mailservers hättest du mit zwei subnetzen mehr aufwand zwecks adressierung und auflösung
wichtig ist auch die automatische archivierung (unabhängig vom benutzer) der mails im mailserver wird gerne vergessen und führt früher oder später zu problemen mit RAM performance bzw. funktion des servers
domäne einrichten kein problem dcpromo
profile auf clients mit dateien&einstellungen sichern sichern dann ins dmprofil importieren
nein zwei netzwerkkarten sind nichts anderes technisch gesehen als eine NAT... auserdem führen zwei netzwerkkarten bei der konfiguration unweigerlich zu mehr aufwand zwecks dns subnet etc.
sinn macht diese wenn du
einen proxy betreiben möchtest
einen router/NAT selbst bauen möchtest
zwei netzwerke die unterschiedliche aus irgendeinem grund nicht veränderbare ipadressräume verwenden verbinden möchtest (proxy/router)
oder du die netzwerkverbindung redundant haben möchtest also einen server der beim hardware defekt der eine karte die andere weiternutzt
in deinem fall ist die lösung mit der Firewall besser bzw. NAT über diese funktion verfügt jeder router lässt sich alles einfacher konfigurieren ausserdem kannst du bei einer etwaigen fernwartung besser hantieren
eine DMZ ist sicherer theoretisch jedoch jemand der über deinen router kommt kommt auch über die DMZ ....
eine DMZ macht sicher sinn in einem netzwerk indem ich darauf angewiesen bin zugriffe von aussen zu gewähren z.B. Webserver etc. jedoch in deinem fall ist es zusätlicher aufwand und eine mögliche fehlerquelle...kleiner tipp noch es muesste moeglich sein fuer einen vorhandenen Windows 2003 Standard Server eine Upgrade Lizenz zum SBS sErver zu bekommen dadurch dass du noch eine arbeitrsgruppe betreibst hast du bei der einrichtung einer domäne auf dem SBS keinerlei Probleme geht alles per assistent und ist ruckzuck erledigt ausserdem hast du die outlook lizenzen mit drin d.h. vollversion pro clientlizenz im server enthalten... was administrativ und technisch effizienter ist denn bei alternativ lösungen kommst du schnell an grenzen was die zentrale administration der postfächer maileinstellungen etc angeht.. gerade in kleinen netzwerken gibt es also keine bessere lösung als ein geschlossenes system zu nutzen Mailserver/client sollten systemintegriert und vom gleichen hersteller sein... gemeinsame adressbücher rechte adressen spam etc .....
bei der einrichtung des mailservers hättest du mit zwei subnetzen mehr aufwand zwecks adressierung und auflösung
wichtig ist auch die automatische archivierung (unabhängig vom benutzer) der mails im mailserver wird gerne vergessen und führt früher oder später zu problemen mit RAM performance bzw. funktion des servers
