MTA zur Benachrichtigung des Admin auf DMZ-Host
Hallo zusammen,
Ich habe einen DNS-Server (Debian) im DMZ stehen. Auf diesem läuft nichts außer bind9.
ich würde mir von diesem Server gerne Emails zur Benachrichtigung bei bestimmten Ereignissen schicken lassen.
Die Frage ist jetzt, ob das überhaupt empfehlenswert ist. Zwar habe ich den bind9 und den Server entsprechend gesichert, aber er steht ja gerade deshalb in der DMZ weil ich ihm nicht vertrauen will. Erhöht der ein MTA hier die Angriffsfläche relevant und sollte ich das lieber lassen? Wie überwacht ihr DMZ-Hosts?
Grüße
lcer
Ich habe einen DNS-Server (Debian) im DMZ stehen. Auf diesem läuft nichts außer bind9.
ich würde mir von diesem Server gerne Emails zur Benachrichtigung bei bestimmten Ereignissen schicken lassen.
Die Frage ist jetzt, ob das überhaupt empfehlenswert ist. Zwar habe ich den bind9 und den Server entsprechend gesichert, aber er steht ja gerade deshalb in der DMZ weil ich ihm nicht vertrauen will. Erhöht der ein MTA hier die Angriffsfläche relevant und sollte ich das lieber lassen? Wie überwacht ihr DMZ-Hosts?
Grüße
lcer
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 636081
Url: https://administrator.de/forum/mta-zur-benachrichtigung-des-admin-auf-dmz-host-636081.html
Ausgedruckt am: 29.04.2025 um 15:04 Uhr
3 Kommentare
Neuester Kommentar
Hallo
der sendet ja nur - Also nur SMTP Service
so long
Yumper
der sendet ja nur - Also nur SMTP Service
so long
Yumper
Mahlzeit.
Wenn die relevanten Ports von außen nicht erreichbar sind, hast du eigentlich kein Problem (entsprechende Systempflege und -konfiguration vorausgesetzt). Und wer sagt, dass du die Mails direkt nach intern senden musst? Wenn du die Möglichkeit hast, vom DMZ-System nur "nach außen" zu senden, bohrst du dir auch kein Loch in dein Sicherheitskonzept.
Beim Monitoring kommt es darauf an, ob du agentless überwachen willst oder nicht. Ohne Agent musst du halt von irgendwo und irgendwie an die Kiste rankommen. Wenn hingegen ein Agent auf der Kiste läuft, der von sich aus nach außen kommuniziert, muss auch hier kein Loch gebohrt werden. Eine Pauschalaussage will ich hier nicht treffen, die einzig richtige Antwort hier (wie so oft): It depends.
Cheers,
jsysde
Wenn die relevanten Ports von außen nicht erreichbar sind, hast du eigentlich kein Problem (entsprechende Systempflege und -konfiguration vorausgesetzt). Und wer sagt, dass du die Mails direkt nach intern senden musst? Wenn du die Möglichkeit hast, vom DMZ-System nur "nach außen" zu senden, bohrst du dir auch kein Loch in dein Sicherheitskonzept.
Beim Monitoring kommt es darauf an, ob du agentless überwachen willst oder nicht. Ohne Agent musst du halt von irgendwo und irgendwie an die Kiste rankommen. Wenn hingegen ein Agent auf der Kiste läuft, der von sich aus nach außen kommuniziert, muss auch hier kein Loch gebohrt werden. Eine Pauschalaussage will ich hier nicht treffen, die einzig richtige Antwort hier (wie so oft): It depends.
Cheers,
jsysde
Moin,
kannst du nicht die Werte/Ereignisse mit einem bestehenden Monitoring System via SNMP abfragen?! Somit hättest du auch gleich eine Gegenprobe, wenn die Abfrage nicht mehr möglich ist. Wenn eine E-Mail nicht ankommt, obowohl das Ereignis eingetreten ist, bekommst du es nicht unmittelbar mit. Außer es sind zyklische Meldungen, die einem Schema entsprechen.
Gruß,
Dani
kannst du nicht die Werte/Ereignisse mit einem bestehenden Monitoring System via SNMP abfragen?! Somit hättest du auch gleich eine Gegenprobe, wenn die Abfrage nicht mehr möglich ist. Wenn eine E-Mail nicht ankommt, obowohl das Ereignis eingetreten ist, bekommst du es nicht unmittelbar mit. Außer es sind zyklische Meldungen, die einem Schema entsprechen.
Gruß,
Dani
