Proxmox Mailgateway zwischen Firewall und Exchangeserver
Hallo zusammen,
im Zusammenhang mit dem Exchangehack habe ich mir sämtliche mögliche Sicherheitslücken in unserem Unternehmen angeschaut.
Dabei ist mir aufgefallen, dass Port 25 SMTP von extern nach intern direkt zu dem Exchangserver durchgereicht wird. Die MX Record Einträge zeigen auf unseren Hoster (Archivierungssystem) und von da aus wird es dann über unseren Router zu unserer Firewall und dann dem Unternehmen zugestellt.
Natürlich ist dazwischen eine Firewall /UTM die auch SPAMs und Viren abwehrt und der Proxy sowie die DMZ weiterleitung sind ebenfalls aktiv.
Nun überlege ich aber ob es nicht trotzdem besser wäre, zwischen der Firewall und dem Exchangeserver noch einen Proxmox Mailgateway zu setzen. Dieser soll dann die eintreffenen Mails über Port 25 annehmen, checken und dann erst dem Exchangeserver zustellen.
Meine Fragen die ich nun hätte wären:
Grundsätzlich habe ich mir nun schon viele Videos und Foren Einträge zu dem Proxmox Mailgateway angeschaut und der macht aus meiner Sicht ein richtig guten Eindruck. Eine Testinstallation habe ich ebenfalls vorgenommen und auch die Konfiguration erscheint mir als relativ einfach.
Danke für eure Antworten
im Zusammenhang mit dem Exchangehack habe ich mir sämtliche mögliche Sicherheitslücken in unserem Unternehmen angeschaut.
Dabei ist mir aufgefallen, dass Port 25 SMTP von extern nach intern direkt zu dem Exchangserver durchgereicht wird. Die MX Record Einträge zeigen auf unseren Hoster (Archivierungssystem) und von da aus wird es dann über unseren Router zu unserer Firewall und dann dem Unternehmen zugestellt.
Natürlich ist dazwischen eine Firewall /UTM die auch SPAMs und Viren abwehrt und der Proxy sowie die DMZ weiterleitung sind ebenfalls aktiv.
Nun überlege ich aber ob es nicht trotzdem besser wäre, zwischen der Firewall und dem Exchangeserver noch einen Proxmox Mailgateway zu setzen. Dieser soll dann die eintreffenen Mails über Port 25 annehmen, checken und dann erst dem Exchangeserver zustellen.
Meine Fragen die ich nun hätte wären:
- Sollte man den Proxmox Mailgateway auf eine eigene Hardware installieren oder wäre auch eine VM okay?
- Wenn man den Mailgateway als VM installier, besteht da nicht ein gewisses Risiko für die ESX Server? Eventuell eigenes VLAN dafür anlegen?
- Sollte man den Proxmox Mailgateway an einen eigenen ETH Anschluss der Firewall anschließen, damit dieser autark ist und eine IP Adresse aus einem anderen Netz geben?
- Ist dieses Szenario überhaupt notwendig wenn die UTM ebenfalls Viren und SPAMs abwehrt? Bin ich vielleicht zu über vorsichtig?
Grundsätzlich habe ich mir nun schon viele Videos und Foren Einträge zu dem Proxmox Mailgateway angeschaut und der macht aus meiner Sicht ein richtig guten Eindruck. Eine Testinstallation habe ich ebenfalls vorgenommen und auch die Konfiguration erscheint mir als relativ einfach.
Danke für eure Antworten
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 663250
Url: https://administrator.de/contentid/663250
Ausgedruckt am: 22.11.2024 um 14:11 Uhr
4 Kommentare
Neuester Kommentar
Moin,
wenn die Mails per MX sowieso erst an euren Hoster gehen, dann würde ich in der Firewall auch nur die Zustellung von der IP eures Hosters erlauben. Dann kann zumindest nichts mehr über Umwege direkt in euren Exchange wandern. Ansonsten wäre noch die Frage in wiefern euer Hoster schon Spamfilterung, Virenscan, etc. macht...
Wenn die UTM ohnehin schon Spam- und Virenscan macht, kannst du dir natürlich auch noch eine zusätzliche Appliance dazwischenschalten, wenn du deine Gefährdungsanalyse das als notwendig betrachtet und du die Ressourcen hast, noch ein zusätzliches Gateway zu betreiben (Hardware, Know-How, Fehleranalyse, etc.). So aus dem Bauch heraus würde ich das aber für übertrieben halten.
Zu deinen Fragen:
VG
wenn die Mails per MX sowieso erst an euren Hoster gehen, dann würde ich in der Firewall auch nur die Zustellung von der IP eures Hosters erlauben. Dann kann zumindest nichts mehr über Umwege direkt in euren Exchange wandern. Ansonsten wäre noch die Frage in wiefern euer Hoster schon Spamfilterung, Virenscan, etc. macht...
Wenn die UTM ohnehin schon Spam- und Virenscan macht, kannst du dir natürlich auch noch eine zusätzliche Appliance dazwischenschalten, wenn du deine Gefährdungsanalyse das als notwendig betrachtet und du die Ressourcen hast, noch ein zusätzliches Gateway zu betreiben (Hardware, Know-How, Fehleranalyse, etc.). So aus dem Bauch heraus würde ich das aber für übertrieben halten.
Zu deinen Fragen:
Zitat von @ingrimmsch:
Bei einer VM besteht immer die Gefahr, dass jemand die VM kapert und es schafft auszubrechen. Hängt auch wieder von deiner Gefährdungsanalyse und deinem Sicherheitsbedürfnis ab. Ich würde es als VM aufsetzen.- Sollte man den Proxmox Mailgateway auf eine eigene Hardware installieren oder wäre auch eine VM okay?
* Wenn man den Mailgateway als VM installier, besteht da nicht ein gewisses Risiko für die ESX Server? Eventuell eigenes VLAN dafür anlegen?
Da hilft dann das VLAN auch nicht... Aber das Gateway gehört dann doch in eine DMZ...* Sollte man den Proxmox Mailgateway an einen eigenen ETH Anschluss der Firewall anschließen, damit dieser autark ist und eine IP Adresse aus einem anderen Netz geben?
DMZ...* Ist dieses Szenario überhaupt notwendig wenn die UTM ebenfalls Viren und SPAMs abwehrt? Bin ich vielleicht zu über vorsichtig?
Ich denke, es wäre vermutlich zuviel, zumal du das ganze ja auch warten musste und im Fehlerfall auch reparieren musst. Die Fragestellung an sich lässt eher auf wenig Erfahrung in dem Gebiet schließen. Gerade bei einem kritischen Thema wie Mail/Exchange wäre da vielleicht doch die fachliche Expertise eines Systemhauses deines Vertrauens hilfreich...VG
Hallo
Klar kannst du das machen. Aber ob dies wirkliche Vorteile bringt, wenn du bereits eine UTM davor hast, ist fraglich.
Bei einem Kollegen habe ich einen Proxmox als VM aufgesetzt - bisher keine PRobleme
Kann man machen - muss man aber nicht
Natürlich ist dazwischen eine Firewall /UTM die auch SPAMs und Viren abwehrt und der Proxy sowie die DMZ weiterleitung sind ebenfalls aktiv.
Nun überlege ich aber ob es nicht trotzdem besser wäre, zwischen der Firewall und dem Exchangeserver noch einen Proxmox Mailgateway zu setzen. Dieser soll dann die eintreffenen Mails über Port 25 annehmen, checken und dann erst dem Exchangeserver zustellen.
Ein Proxmox ist nichts anderes als ein SMTP Relay wie auf einer UTM. Letztendlich läuft da fast überall ein Postfix.Nun überlege ich aber ob es nicht trotzdem besser wäre, zwischen der Firewall und dem Exchangeserver noch einen Proxmox Mailgateway zu setzen. Dieser soll dann die eintreffenen Mails über Port 25 annehmen, checken und dann erst dem Exchangeserver zustellen.
Klar kannst du das machen. Aber ob dies wirkliche Vorteile bringt, wenn du bereits eine UTM davor hast, ist fraglich.
Meine Fragen die ich nun hätte wären:
Da scheiden sich die Geister. Genauso wie beim Thema virtuelle Firewall.- Sollte man den Proxmox Mailgateway auf eine eigene Hardware installieren oder wäre auch eine VM okay?
- Wenn man den Mailgateway als VM installier, besteht da nicht ein gewisses Risiko für die ESX Server? Eventuell eigenes VLAN dafür anlegen?
Bei einem Kollegen habe ich einen Proxmox als VM aufgesetzt - bisher keine PRobleme
* Sollte man den Proxmox Mailgateway an einen eigenen ETH Anschluss der Firewall anschließen, damit dieser autark ist und eine IP Adresse aus einem anderen Netz geben?
Da scheiden sich genauso die Geister. Auf jedenfall muss der Proxmox in eine DMZ. Du kannst einen phyischen Port an der FW verwenden oder Du kannst auch ein VLAN auf einem Trunk Port dafür verwenden. Es kann ja sein, dass deine HW Firewall gar nicht genügend Ports hat ;)* Ist dieses Szenario überhaupt notwendig wenn die UTM ebenfalls Viren und SPAMs abwehrt? Bin ich vielleicht zu über vorsichtig?
Es ist durchaus möglich, dass du dir damit auch Probleme beim Routing ins Haus holst. Wenn es irgendwo klemmt, muss du zukünftig nicht nur im Mailflow der UTM nachschauen, sondern auch auf dem Proxmox Mail Gateway.Kann man machen - muss man aber nicht
Grundsätzlich habe ich mir nun schon viele Videos und Foren Einträge zu dem Proxmox Mailgateway angeschaut und der macht aus meiner Sicht ein richtig guten Eindruck. Eine Testinstallation habe ich ebenfalls vorgenommen und auch die Konfiguration erscheint mir als relativ einfach.
Wie gesagt....es ist halt einfach ein fertiger Postfix mit Spamfilter, welchen man dennoch selbst konfigurieren muss (Blacklist usw.)
Ich würde mir mal genau anschauen was die FW überhaupt kann und was da konfiguriert wurde... denn Exchange in einer DMZ?
https://www.alitajran.com/exchange-server-in-dmz-or-lan-network/
Soweit mir bekannt hat MS nur die Edge Transport Rolle dafür vorgesehen? IMHO wegen der starken vernetzung zum DC und dem AD...?
Unsere FW macht auch SMTP Proxy mit Postfix, aber eben mit Spam, Viren, Dateiendung, DNSBL, Spam Training... alles was das Proxmox Mailgateway auch kann, nur unterscheiden sich die Gateways alle etwas von der Übersichtlichkeit der konfiguration.
https://www.alitajran.com/exchange-server-in-dmz-or-lan-network/
Soweit mir bekannt hat MS nur die Edge Transport Rolle dafür vorgesehen? IMHO wegen der starken vernetzung zum DC und dem AD...?
Unsere FW macht auch SMTP Proxy mit Postfix, aber eben mit Spam, Viren, Dateiendung, DNSBL, Spam Training... alles was das Proxmox Mailgateway auch kann, nur unterscheiden sich die Gateways alle etwas von der Übersichtlichkeit der konfiguration.