Proxmox Mailgateway in der DMZ. Exchange Server im LAN
Servus an alle.
Ich betreibe zurzeit in meinem Lab einen Exchange Server der Mails von einem Proxmox Mailgateway entgegennimmt.
Funktioniert wunderbar.
Das Proxmox Mailgatewy steht in der DMZ und der Exchange in LAN Zone.
Nun ist es ja so, dass das Proxmox Mailgateway aus der DMZ heraus zum Exchange die Mail sendet.
Somit ist das Prinzip einer DMZ ja nicht eingehalten. In der Firewall hab ich die Regeln zwar eng gezogen, bin damit aber nicht wirklich zufrieden. Aus der DMZ soll ja das LAN nicht erreicht werden können.
Gibt es da einen anderen Weg??
Ich betreibe zurzeit in meinem Lab einen Exchange Server der Mails von einem Proxmox Mailgateway entgegennimmt.
Funktioniert wunderbar.
Das Proxmox Mailgatewy steht in der DMZ und der Exchange in LAN Zone.
Nun ist es ja so, dass das Proxmox Mailgateway aus der DMZ heraus zum Exchange die Mail sendet.
Somit ist das Prinzip einer DMZ ja nicht eingehalten. In der Firewall hab ich die Regeln zwar eng gezogen, bin damit aber nicht wirklich zufrieden. Aus der DMZ soll ja das LAN nicht erreicht werden können.
Gibt es da einen anderen Weg??
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 6181457183
Url: https://administrator.de/forum/proxmox-mailgateway-in-der-dmz-exchange-server-im-lan-6181457183.html
Ausgedruckt am: 22.12.2024 um 07:12 Uhr
10 Kommentare
Neuester Kommentar
Hi.
In eine DMZ stellst du Server/Dienste, die, weitestgehend vom restlichen System abgeschottet laufen sollen...
... meist von außen angesprochen, wie Webserver und eben Mailgateways, die über eingegrenzte und evtl besonders kontrollierte Wege ihre Daten von innen abfragen oder dorthin weiterleiten.
Somit sehe ich dein Kpnzept, das der Mail-Gateway in. der DMZ wohl die Mails abruft oder empfängt und nach evtl. Prüfung an einen internen Mailserver weiterleitet als sinngemäß ein ...
In eine DMZ stellst du Server/Dienste, die, weitestgehend vom restlichen System abgeschottet laufen sollen...
... meist von außen angesprochen, wie Webserver und eben Mailgateways, die über eingegrenzte und evtl besonders kontrollierte Wege ihre Daten von innen abfragen oder dorthin weiterleiten.
Somit sehe ich dein Kpnzept, das der Mail-Gateway in. der DMZ wohl die Mails abruft oder empfängt und nach evtl. Prüfung an einen internen Mailserver weiterleitet als sinngemäß ein ...
Morschen.
Genauso bei Kunden im Einsatz.
Das Mailgateway in seinem Netzwerksegment darf ausschließlich auf Port 25 mit dem Exchange Server kommunizieren und sonst ist alles dicht.
Vom LAN darf zusätzlich auf Port 8006 auf das Proxmox Mailgateway zugegriffen werden für das Management und die Quarantäne.
+1 für das Design, sofern man kein Cloud Gateway mieten möchte.
Gruß
Marc
Genauso bei Kunden im Einsatz.
Das Mailgateway in seinem Netzwerksegment darf ausschließlich auf Port 25 mit dem Exchange Server kommunizieren und sonst ist alles dicht.
Vom LAN darf zusätzlich auf Port 8006 auf das Proxmox Mailgateway zugegriffen werden für das Management und die Quarantäne.
+1 für das Design, sofern man kein Cloud Gateway mieten möchte.
Gruß
Marc
Jap
https://www.proxmox.com/de/proxmox-mail-gateway
Gibt auch noch einen eigenen Backup Server für die Virtualisierungslösung.
Gruß
Marc
Hallo,
das Netz ist intern unzureichend segmentiert. Die Trias aus WAN, LAN und DMZ ist ein theoretisches Konzept, das in der Regel nicht 1:1 mit entsprechenden Subnetzen umgesetzt werden kann, ohne eine notwendige Segmentierung zu unterlaufen.
Netzwerkgeräte werden u.a. unter Sicherheitsaspekten kategorisiert und in Netzsegmenten gruppiert. Zu den Sicherheitsaspekten zählen die erforderlichen ein- und ausgehenden Verbindungen. Auf ein einzelnes Segment sind dabei Vorstellungen von einem "LAN" oder einer "DMZ" praktisch nicht anwendbar und spielen somit begrifflich keine Rolle.
Vielmehr ergeben sich daraus Netze für Clients/Client-Gruppen, Telefonie, verschiedene Server-Gruppen etc, zwischen denen jeweils die minimal erforderlichen Verbindungen zulässig sind.
Über eine solche Struktur kann dann das Prinzip DMZ als Kontrollüberlegung gelegt werden: Der Wunsch, Exchange und Proxmox zu trennen, führt zu zwei Netzen, die konzeptionell beide einer DMZ zuzuordnen sind. Natürlich können die Clients nicht auch noch in dieser DMZ untergebracht werden; aber von vornherein sollten sie schon nicht im Servernetz des Exchange stehen. Wird also ein solches Client-Netzwerk ergänzt, fällt es in die Kategorie "LAN", und wird das Prinzip der DMZ eingehalten.
Grüße
Richard
das Netz ist intern unzureichend segmentiert. Die Trias aus WAN, LAN und DMZ ist ein theoretisches Konzept, das in der Regel nicht 1:1 mit entsprechenden Subnetzen umgesetzt werden kann, ohne eine notwendige Segmentierung zu unterlaufen.
Netzwerkgeräte werden u.a. unter Sicherheitsaspekten kategorisiert und in Netzsegmenten gruppiert. Zu den Sicherheitsaspekten zählen die erforderlichen ein- und ausgehenden Verbindungen. Auf ein einzelnes Segment sind dabei Vorstellungen von einem "LAN" oder einer "DMZ" praktisch nicht anwendbar und spielen somit begrifflich keine Rolle.
Vielmehr ergeben sich daraus Netze für Clients/Client-Gruppen, Telefonie, verschiedene Server-Gruppen etc, zwischen denen jeweils die minimal erforderlichen Verbindungen zulässig sind.
Über eine solche Struktur kann dann das Prinzip DMZ als Kontrollüberlegung gelegt werden: Der Wunsch, Exchange und Proxmox zu trennen, führt zu zwei Netzen, die konzeptionell beide einer DMZ zuzuordnen sind. Natürlich können die Clients nicht auch noch in dieser DMZ untergebracht werden; aber von vornherein sollten sie schon nicht im Servernetz des Exchange stehen. Wird also ein solches Client-Netzwerk ergänzt, fällt es in die Kategorie "LAN", und wird das Prinzip der DMZ eingehalten.
Grüße
Richard