10
Proxmox Mailgateway in der DMZ. Exchange Server im LAN
Servus an alle.
Ich betreibe zurzeit in meinem Lab einen Exchange Server der Mails von einem Proxmox Mailgateway entgegennimmt.
Funktioniert wunderbar.
Das Proxmox Mailgatewy steht in der DMZ und der Exchange in LAN Zone.
Nun ist es ja so, dass das Proxmox Mailgateway aus der DMZ heraus zum Exchange die Mail sendet.
Somit ist das Prinzip einer DMZ ja nicht eingehalten. In der Firewall hab ich die Regeln zwar eng gezogen, bin damit aber nicht wirklich zufrieden. Aus der DMZ soll ja das LAN nicht erreicht werden können.
Gibt es da einen anderen Weg??
Ich betreibe zurzeit in meinem Lab einen Exchange Server der Mails von einem Proxmox Mailgateway entgegennimmt.
Funktioniert wunderbar.
Das Proxmox Mailgatewy steht in der DMZ und der Exchange in LAN Zone.
Nun ist es ja so, dass das Proxmox Mailgateway aus der DMZ heraus zum Exchange die Mail sendet.
Somit ist das Prinzip einer DMZ ja nicht eingehalten. In der Firewall hab ich die Regeln zwar eng gezogen, bin damit aber nicht wirklich zufrieden. Aus der DMZ soll ja das LAN nicht erreicht werden können.
Gibt es da einen anderen Weg??
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 6181457183
Url: https://administrator.de/contentid/6181457183
Printed on: April 27, 2024 at 15:04 o'clock
10 Comments
Latest comment
erhhhh....Proxmox ist ein Mailgateway ?
Ich dache immer das wäre eine Virtualisierungsverwaltung (ausser es geht hier um ein anderes Proxmox als das was ne Platte von mir gelöscht hat).
Ich dache immer das wäre eine Virtualisierungsverwaltung (ausser es geht hier um ein anderes Proxmox als das was ne Platte von mir gelöscht hat).
Hi.
In eine DMZ stellst du Server/Dienste, die, weitestgehend vom restlichen System abgeschottet laufen sollen...
... meist von außen angesprochen, wie Webserver und eben Mailgateways, die über eingegrenzte und evtl besonders kontrollierte Wege ihre Daten von innen abfragen oder dorthin weiterleiten.
Somit sehe ich dein Kpnzept, das der Mail-Gateway in. der DMZ wohl die Mails abruft oder empfängt und nach evtl. Prüfung an einen internen Mailserver weiterleitet als sinngemäß ein ...
In eine DMZ stellst du Server/Dienste, die, weitestgehend vom restlichen System abgeschottet laufen sollen...
... meist von außen angesprochen, wie Webserver und eben Mailgateways, die über eingegrenzte und evtl besonders kontrollierte Wege ihre Daten von innen abfragen oder dorthin weiterleiten.
Somit sehe ich dein Kpnzept, das der Mail-Gateway in. der DMZ wohl die Mails abruft oder empfängt und nach evtl. Prüfung an einen internen Mailserver weiterleitet als sinngemäß ein ...
Morschen.
Genauso bei Kunden im Einsatz.
Das Mailgateway in seinem Netzwerksegment darf ausschließlich auf Port 25 mit dem Exchange Server kommunizieren und sonst ist alles dicht.
Vom LAN darf zusätzlich auf Port 8006 auf das Proxmox Mailgateway zugegriffen werden für das Management und die Quarantäne.
+1 für das Design, sofern man kein Cloud Gateway mieten möchte.
Gruß
Marc
Genauso bei Kunden im Einsatz.
Das Mailgateway in seinem Netzwerksegment darf ausschließlich auf Port 25 mit dem Exchange Server kommunizieren und sonst ist alles dicht.
Vom LAN darf zusätzlich auf Port 8006 auf das Proxmox Mailgateway zugegriffen werden für das Management und die Quarantäne.
+1 für das Design, sofern man kein Cloud Gateway mieten möchte.
Gruß
Marc
Jap
https://www.proxmox.com/de/proxmox-mail-gateway
Gibt auch noch einen eigenen Backup Server für die Virtualisierungslösung.
Gruß
Marc
1
Moin,
wenn Du das Prinzip der DMZ zu 100% einhalten möchtest, dann muß ein Mailserver in der DMZ die Mails annehmen, und der Exchange pollt die dann vom Mailserver z.B. mit PopCon o.ä.
Exchange und POP-Connector fänd ich jetzt aber auch kein tolles Design
cu,
ipzipzap
wenn Du das Prinzip der DMZ zu 100% einhalten möchtest, dann muß ein Mailserver in der DMZ die Mails annehmen, und der Exchange pollt die dann vom Mailserver z.B. mit PopCon o.ä.
Exchange und POP-Connector fänd ich jetzt aber auch kein tolles Design
cu,
ipzipzap
Danke für eure Beiträge.
Das Proxmox Mailgateway empfängt auf Port 25 und leitet weiter an den Exchange. In der Firewall ist nur die IP vom PMG und dem ExSrv auf Port 25 erlaubt. Alles andere ist dicht.
Es existieren keine Postfächer bei Providern die abgerufen werden. Alle Postfächer werden auf dem Exchange gehostet.
Daher fällt die Lösung mit dem POP-Connector nicht in meine Auswahl.
Das Proxmox Mailgateway empfängt auf Port 25 und leitet weiter an den Exchange. In der Firewall ist nur die IP vom PMG und dem ExSrv auf Port 25 erlaubt. Alles andere ist dicht.
Es existieren keine Postfächer bei Providern die abgerufen werden. Alle Postfächer werden auf dem Exchange gehostet.
Daher fällt die Lösung mit dem POP-Connector nicht in meine Auswahl.
Hallo,
das Netz ist intern unzureichend segmentiert. Die Trias aus WAN, LAN und DMZ ist ein theoretisches Konzept, das in der Regel nicht 1:1 mit entsprechenden Subnetzen umgesetzt werden kann, ohne eine notwendige Segmentierung zu unterlaufen.
Netzwerkgeräte werden u.a. unter Sicherheitsaspekten kategorisiert und in Netzsegmenten gruppiert. Zu den Sicherheitsaspekten zählen die erforderlichen ein- und ausgehenden Verbindungen. Auf ein einzelnes Segment sind dabei Vorstellungen von einem "LAN" oder einer "DMZ" praktisch nicht anwendbar und spielen somit begrifflich keine Rolle.
Vielmehr ergeben sich daraus Netze für Clients/Client-Gruppen, Telefonie, verschiedene Server-Gruppen etc, zwischen denen jeweils die minimal erforderlichen Verbindungen zulässig sind.
Über eine solche Struktur kann dann das Prinzip DMZ als Kontrollüberlegung gelegt werden: Der Wunsch, Exchange und Proxmox zu trennen, führt zu zwei Netzen, die konzeptionell beide einer DMZ zuzuordnen sind. Natürlich können die Clients nicht auch noch in dieser DMZ untergebracht werden; aber von vornherein sollten sie schon nicht im Servernetz des Exchange stehen. Wird also ein solches Client-Netzwerk ergänzt, fällt es in die Kategorie "LAN", und wird das Prinzip der DMZ eingehalten.
Grüße
Richard
das Netz ist intern unzureichend segmentiert. Die Trias aus WAN, LAN und DMZ ist ein theoretisches Konzept, das in der Regel nicht 1:1 mit entsprechenden Subnetzen umgesetzt werden kann, ohne eine notwendige Segmentierung zu unterlaufen.
Netzwerkgeräte werden u.a. unter Sicherheitsaspekten kategorisiert und in Netzsegmenten gruppiert. Zu den Sicherheitsaspekten zählen die erforderlichen ein- und ausgehenden Verbindungen. Auf ein einzelnes Segment sind dabei Vorstellungen von einem "LAN" oder einer "DMZ" praktisch nicht anwendbar und spielen somit begrifflich keine Rolle.
Vielmehr ergeben sich daraus Netze für Clients/Client-Gruppen, Telefonie, verschiedene Server-Gruppen etc, zwischen denen jeweils die minimal erforderlichen Verbindungen zulässig sind.
Über eine solche Struktur kann dann das Prinzip DMZ als Kontrollüberlegung gelegt werden: Der Wunsch, Exchange und Proxmox zu trennen, führt zu zwei Netzen, die konzeptionell beide einer DMZ zuzuordnen sind. Natürlich können die Clients nicht auch noch in dieser DMZ untergebracht werden; aber von vornherein sollten sie schon nicht im Servernetz des Exchange stehen. Wird also ein solches Client-Netzwerk ergänzt, fällt es in die Kategorie "LAN", und wird das Prinzip der DMZ eingehalten.
Grüße
Richard
@ C.R.S
danke für deinen Beitrag.
danke für deinen Beitrag.