ingrimmsch
Goto Top

Proxmox Mailgateway zwischen Firewall und Exchangeserver

Hallo zusammen,

im Zusammenhang mit dem Exchangehack habe ich mir sämtliche mögliche Sicherheitslücken in unserem Unternehmen angeschaut.

Dabei ist mir aufgefallen, dass Port 25 SMTP von extern nach intern direkt zu dem Exchangserver durchgereicht wird. Die MX Record Einträge zeigen auf unseren Hoster (Archivierungssystem) und von da aus wird es dann über unseren Router zu unserer Firewall und dann dem Unternehmen zugestellt.

Natürlich ist dazwischen eine Firewall /UTM die auch SPAMs und Viren abwehrt und der Proxy sowie die DMZ weiterleitung sind ebenfalls aktiv.

lancom

Nun überlege ich aber ob es nicht trotzdem besser wäre, zwischen der Firewall und dem Exchangeserver noch einen Proxmox Mailgateway zu setzen. Dieser soll dann die eintreffenen Mails über Port 25 annehmen, checken und dann erst dem Exchangeserver zustellen.

Meine Fragen die ich nun hätte wären:

  • Sollte man den Proxmox Mailgateway auf eine eigene Hardware installieren oder wäre auch eine VM okay?
  • Wenn man den Mailgateway als VM installier, besteht da nicht ein gewisses Risiko für die ESX Server? Eventuell eigenes VLAN dafür anlegen?
  • Sollte man den Proxmox Mailgateway an einen eigenen ETH Anschluss der Firewall anschließen, damit dieser autark ist und eine IP Adresse aus einem anderen Netz geben?
  • Ist dieses Szenario überhaupt notwendig wenn die UTM ebenfalls Viren und SPAMs abwehrt? Bin ich vielleicht zu über vorsichtig?

Grundsätzlich habe ich mir nun schon viele Videos und Foren Einträge zu dem Proxmox Mailgateway angeschaut und der macht aus meiner Sicht ein richtig guten Eindruck. Eine Testinstallation habe ich ebenfalls vorgenommen und auch die Konfiguration erscheint mir als relativ einfach.

Danke für eure Antworten

Content-ID: 663250

Url: https://administrator.de/contentid/663250

Ausgedruckt am: 22.11.2024 um 14:11 Uhr

BirdyB
Lösung BirdyB 16.03.2021 um 10:35:41 Uhr
Goto Top
Moin,

wenn die Mails per MX sowieso erst an euren Hoster gehen, dann würde ich in der Firewall auch nur die Zustellung von der IP eures Hosters erlauben. Dann kann zumindest nichts mehr über Umwege direkt in euren Exchange wandern. Ansonsten wäre noch die Frage in wiefern euer Hoster schon Spamfilterung, Virenscan, etc. macht...
Wenn die UTM ohnehin schon Spam- und Virenscan macht, kannst du dir natürlich auch noch eine zusätzliche Appliance dazwischenschalten, wenn du deine Gefährdungsanalyse das als notwendig betrachtet und du die Ressourcen hast, noch ein zusätzliches Gateway zu betreiben (Hardware, Know-How, Fehleranalyse, etc.). So aus dem Bauch heraus würde ich das aber für übertrieben halten.
Zu deinen Fragen:

Zitat von @ingrimmsch:
  • Sollte man den Proxmox Mailgateway auf eine eigene Hardware installieren oder wäre auch eine VM okay?
Bei einer VM besteht immer die Gefahr, dass jemand die VM kapert und es schafft auszubrechen. Hängt auch wieder von deiner Gefährdungsanalyse und deinem Sicherheitsbedürfnis ab. Ich würde es als VM aufsetzen.
* Wenn man den Mailgateway als VM installier, besteht da nicht ein gewisses Risiko für die ESX Server? Eventuell eigenes VLAN dafür anlegen?
Da hilft dann das VLAN auch nicht... Aber das Gateway gehört dann doch in eine DMZ...
* Sollte man den Proxmox Mailgateway an einen eigenen ETH Anschluss der Firewall anschließen, damit dieser autark ist und eine IP Adresse aus einem anderen Netz geben?
DMZ...
* Ist dieses Szenario überhaupt notwendig wenn die UTM ebenfalls Viren und SPAMs abwehrt? Bin ich vielleicht zu über vorsichtig?
Ich denke, es wäre vermutlich zuviel, zumal du das ganze ja auch warten musste und im Fehlerfall auch reparieren musst. Die Fragestellung an sich lässt eher auf wenig Erfahrung in dem Gebiet schließen. Gerade bei einem kritischen Thema wie Mail/Exchange wäre da vielleicht doch die fachliche Expertise eines Systemhauses deines Vertrauens hilfreich...

VG
tech-flare
Lösung tech-flare 16.03.2021 aktualisiert um 10:52:59 Uhr
Goto Top
Zitat von @ingrimmsch:

Hallo zusammen,
Hallo

Natürlich ist dazwischen eine Firewall /UTM die auch SPAMs und Viren abwehrt und der Proxy sowie die DMZ weiterleitung sind ebenfalls aktiv.

lancom

Nun überlege ich aber ob es nicht trotzdem besser wäre, zwischen der Firewall und dem Exchangeserver noch einen Proxmox Mailgateway zu setzen. Dieser soll dann die eintreffenen Mails über Port 25 annehmen, checken und dann erst dem Exchangeserver zustellen.
Ein Proxmox ist nichts anderes als ein SMTP Relay wie auf einer UTM. Letztendlich läuft da fast überall ein Postfix.
Klar kannst du das machen. Aber ob dies wirkliche Vorteile bringt, wenn du bereits eine UTM davor hast, ist fraglich.


Meine Fragen die ich nun hätte wären:

  • Sollte man den Proxmox Mailgateway auf eine eigene Hardware installieren oder wäre auch eine VM okay?
  • Wenn man den Mailgateway als VM installier, besteht da nicht ein gewisses Risiko für die ESX Server? Eventuell eigenes VLAN dafür anlegen?
Da scheiden sich die Geister. Genauso wie beim Thema virtuelle Firewall.
Bei einem Kollegen habe ich einen Proxmox als VM aufgesetzt - bisher keine PRobleme

* Sollte man den Proxmox Mailgateway an einen eigenen ETH Anschluss der Firewall anschließen, damit dieser autark ist und eine IP Adresse aus einem anderen Netz geben?
Da scheiden sich genauso die Geister. Auf jedenfall muss der Proxmox in eine DMZ. Du kannst einen phyischen Port an der FW verwenden oder Du kannst auch ein VLAN auf einem Trunk Port dafür verwenden. Es kann ja sein, dass deine HW Firewall gar nicht genügend Ports hat ;)

* Ist dieses Szenario überhaupt notwendig wenn die UTM ebenfalls Viren und SPAMs abwehrt? Bin ich vielleicht zu über vorsichtig?
Es ist durchaus möglich, dass du dir damit auch Probleme beim Routing ins Haus holst. Wenn es irgendwo klemmt, muss du zukünftig nicht nur im Mailflow der UTM nachschauen, sondern auch auf dem Proxmox Mail Gateway.
Kann man machen - muss man aber nicht

Grundsätzlich habe ich mir nun schon viele Videos und Foren Einträge zu dem Proxmox Mailgateway angeschaut und der macht aus meiner Sicht ein richtig guten Eindruck. Eine Testinstallation habe ich ebenfalls vorgenommen und auch die Konfiguration erscheint mir als relativ einfach.
Wie gesagt....es ist halt einfach ein fertiger Postfix mit Spamfilter, welchen man dennoch selbst konfigurieren muss (Blacklist usw.)
ingrimmsch
ingrimmsch 16.03.2021 aktualisiert um 11:10:06 Uhr
Goto Top
Zitat von @BirdyB:

Moin,

wenn die Mails per MX sowieso erst an euren Hoster gehen, dann würde ich in der Firewall auch nur die Zustellung von der IP eures Hosters erlauben. Dann kann zumindest nichts mehr über Umwege direkt in euren Exchange wandern. Ansonsten wäre noch die Frage in wiefern euer Hoster schon Spamfilterung, Virenscan, etc. macht...
Habe gerade mit dem Hoster telefoniert. Der nimmt (das Archivierungssystem) erstmal ohne Scan alles entgegen. Im System selber ist eingetragen an wen es weitergeschickt werden soll.

Wenn die UTM ohnehin schon Spam- und Virenscan macht, kannst du dir natürlich auch noch eine zusätzliche Appliance dazwischenschalten, wenn du deine Gefährdungsanalyse das als notwendig betrachtet und du die Ressourcen hast, noch ein zusätzliches Gateway zu betreiben (Hardware, Know-How, Fehleranalyse, etc.). So aus dem Bauch heraus würde ich das aber für übertrieben halten.
Habe ich mir fast schon gedacht. Auf dem Exchange ist dann auch noch Kaspersky for Exchange installiert der ebenfalls Viren und SPAM Mails abfängt.

* Sollte man den Proxmox Mailgateway auf eine eigene Hardware installieren oder wäre auch eine VM okay?
Bei einer VM besteht immer die Gefahr, dass jemand die VM kapert und es schafft auszubrechen. Hängt auch wieder von deiner Gefährdungsanalyse und deinem Sicherheitsbedürfnis ab. Ich würde es als VM aufsetzen.
Okay
* Wenn man den Mailgateway als VM installier, besteht da nicht ein gewisses Risiko für die ESX Server? Eventuell eigenes VLAN dafür anlegen?
Da hilft dann das VLAN auch nicht... Aber das Gateway gehört dann doch in eine DMZ...
Der Exchange ist in einer DMZ. Somit denke ich das es ausreichend sein sollte.
* Sollte man den Proxmox Mailgateway an einen eigenen ETH Anschluss der Firewall anschließen, damit dieser autark ist und eine IP Adresse aus einem anderen Netz geben?
DMZ...
Ich denke, es wäre vermutlich zuviel, zumal du das ganze ja auch warten musste und im Fehlerfall auch reparieren musst. Die Fragestellung an sich lässt eher auf wenig Erfahrung in dem Gebiet schließen. Gerade bei einem kritischen Thema wie Mail/Exchange wäre da vielleicht doch die fachliche Expertise eines Systemhauses deines Vertrauens hilfreich...
Das IT Systemhaus mit denen wir zusammenarbeiten haben dieses Konstrukt so gebaut. Ich hinterfrage nur im Moment alles sehr kritisch da, die auch eine Portweiterleitung von 443 für OWA direkt zum Exchange aktiviert hatten, ohne einen Reverseproxy etc. zu berücksichtigen.
Ich glaube aber hinsichtlich Proxmox werde ich nun doch darauf verzichten.
themuck
themuck 16.03.2021 um 16:02:06 Uhr
Goto Top
Ich würde mir mal genau anschauen was die FW überhaupt kann und was da konfiguriert wurde... denn Exchange in einer DMZ?

https://www.alitajran.com/exchange-server-in-dmz-or-lan-network/

Soweit mir bekannt hat MS nur die Edge Transport Rolle dafür vorgesehen? IMHO wegen der starken vernetzung zum DC und dem AD...?

Unsere FW macht auch SMTP Proxy mit Postfix, aber eben mit Spam, Viren, Dateiendung, DNSBL, Spam Training... alles was das Proxmox Mailgateway auch kann, nur unterscheiden sich die Gateways alle etwas von der Übersichtlichkeit der konfiguration.