ueba3ba
Goto Top

Proxmox Mailgateway in der DMZ. Exchange Server im LAN

Servus an alle.

Ich betreibe zurzeit in meinem Lab einen Exchange Server der Mails von einem Proxmox Mailgateway entgegennimmt.

Funktioniert wunderbar.

Das Proxmox Mailgatewy steht in der DMZ und der Exchange in LAN Zone.

Nun ist es ja so, dass das Proxmox Mailgateway aus der DMZ heraus zum Exchange die Mail sendet.

Somit ist das Prinzip einer DMZ ja nicht eingehalten. In der Firewall hab ich die Regeln zwar eng gezogen, bin damit aber nicht wirklich zufrieden. Aus der DMZ soll ja das LAN nicht erreicht werden können.

Gibt es da einen anderen Weg??

Content-ID: 6181457183

Url: https://administrator.de/forum/proxmox-mailgateway-in-der-dmz-exchange-server-im-lan-6181457183.html

Ausgedruckt am: 22.12.2024 um 07:12 Uhr

Pjordorf
Pjordorf 02.03.2023 um 00:38:43 Uhr
Goto Top
Hallo,

Zitat von @Ueba3ba:
Gibt es da einen anderen Weg??
Gedankenübertragungface-smile

Gruß,
Peter
Ueba3ba
Ueba3ba 02.03.2023 um 00:46:20 Uhr
Goto Top
Zitat von @Pjordorf:
Gedankenübertragungface-smile

Naja, soweit ist die Evolution noch nicht face-smile
WoenK0
WoenK0 02.03.2023 um 01:33:23 Uhr
Goto Top
erhhhh....Proxmox ist ein Mailgateway ?
Ich dache immer das wäre eine Virtualisierungsverwaltung (ausser es geht hier um ein anderes Proxmox als das was ne Platte von mir gelöscht hat).
MirkoKR
MirkoKR 02.03.2023 um 06:01:37 Uhr
Goto Top
Hi.

In eine DMZ stellst du Server/Dienste, die, weitestgehend vom restlichen System abgeschottet laufen sollen...

... meist von außen angesprochen, wie Webserver und eben Mailgateways, die über eingegrenzte und evtl besonders kontrollierte Wege ihre Daten von innen abfragen oder dorthin weiterleiten.

Somit sehe ich dein Kpnzept, das der Mail-Gateway in. der DMZ wohl die Mails abruft oder empfängt und nach evtl. Prüfung an einen internen Mailserver weiterleitet als sinngemäß ein ...
radiogugu
radiogugu 02.03.2023 um 07:31:57 Uhr
Goto Top
Morschen.

Genauso bei Kunden im Einsatz.

Das Mailgateway in seinem Netzwerksegment darf ausschließlich auf Port 25 mit dem Exchange Server kommunizieren und sonst ist alles dicht.

Vom LAN darf zusätzlich auf Port 8006 auf das Proxmox Mailgateway zugegriffen werden für das Management und die Quarantäne.

+1 für das Design, sofern man kein Cloud Gateway mieten möchte.

Gruß
Marc
radiogugu
radiogugu 02.03.2023 um 07:33:30 Uhr
Goto Top
Zitat von @WoenK0:
erhhhh....Proxmox ist ein Mailgateway ?

Jap face-smile

https://www.proxmox.com/de/proxmox-mail-gateway

Gibt auch noch einen eigenen Backup Server für die Virtualisierungslösung.

Gruß
Marc
ipzipzap
ipzipzap 02.03.2023 um 08:40:31 Uhr
Goto Top
Moin,

wenn Du das Prinzip der DMZ zu 100% einhalten möchtest, dann muß ein Mailserver in der DMZ die Mails annehmen, und der Exchange pollt die dann vom Mailserver z.B. mit PopCon o.ä.

Exchange und POP-Connector fänd ich jetzt aber auch kein tolles Design face-big-smile

cu,
ipzipzap
Ueba3ba
Ueba3ba 02.03.2023 um 09:35:46 Uhr
Goto Top
Danke für eure Beiträge.

Das Proxmox Mailgateway empfängt auf Port 25 und leitet weiter an den Exchange. In der Firewall ist nur die IP vom PMG und dem ExSrv auf Port 25 erlaubt. Alles andere ist dicht.

Es existieren keine Postfächer bei Providern die abgerufen werden. Alle Postfächer werden auf dem Exchange gehostet.
Daher fällt die Lösung mit dem POP-Connector nicht in meine Auswahl.
C.R.S.
Lösung C.R.S. 02.03.2023 um 12:01:56 Uhr
Goto Top
Hallo,

das Netz ist intern unzureichend segmentiert. Die Trias aus WAN, LAN und DMZ ist ein theoretisches Konzept, das in der Regel nicht 1:1 mit entsprechenden Subnetzen umgesetzt werden kann, ohne eine notwendige Segmentierung zu unterlaufen.

Netzwerkgeräte werden u.a. unter Sicherheitsaspekten kategorisiert und in Netzsegmenten gruppiert. Zu den Sicherheitsaspekten zählen die erforderlichen ein- und ausgehenden Verbindungen. Auf ein einzelnes Segment sind dabei Vorstellungen von einem "LAN" oder einer "DMZ" praktisch nicht anwendbar und spielen somit begrifflich keine Rolle.
Vielmehr ergeben sich daraus Netze für Clients/Client-Gruppen, Telefonie, verschiedene Server-Gruppen etc, zwischen denen jeweils die minimal erforderlichen Verbindungen zulässig sind.

Über eine solche Struktur kann dann das Prinzip DMZ als Kontrollüberlegung gelegt werden: Der Wunsch, Exchange und Proxmox zu trennen, führt zu zwei Netzen, die konzeptionell beide einer DMZ zuzuordnen sind. Natürlich können die Clients nicht auch noch in dieser DMZ untergebracht werden; aber von vornherein sollten sie schon nicht im Servernetz des Exchange stehen. Wird also ein solches Client-Netzwerk ergänzt, fällt es in die Kategorie "LAN", und wird das Prinzip der DMZ eingehalten.

Grüße
Richard
Ueba3ba
Ueba3ba 02.03.2023 um 12:30:16 Uhr
Goto Top
@ C.R.S

danke für deinen Beitrag.