6
SMTP über Firewall zum Exchange
Hallo,
folgendes Szenario:
Exchange 2013 mit LANCOM UTM Firewall. Ich habe mir gerade die Firewallregeln (die ein IT-Dienstleister eingerichtet hat) für Port 25 / SMTP Empfang angeschaut.
Eingestellt ist die Regel, dass von extern nach intern die kommikation über Port 25 zugelassen wird.
In dieser Regel ist der Proxy aktiviert und zusätzlich noch die DMZ Port Weiterleitung. Dort steht als externe IP Adresse die IP Adresse von unserem Bintec Router der vorgeschaltet ist.
Nur mal so für mich zum Verständnis.
Beim Hoster wurde ein MX Record Eintrag gesetzt, der besagt das die Mails erst zum Archivierungssystem des Hosters und dann von dort aus zum unserem Bintec Router weitergeleitet werden. Von da aus geht es dann über die oben genannte Portweiterleitung, über unsere Firewall (mit eingeschalten Proxy) zum Exchange.
Ich empfinde diese eigentlich so weit als sicher. Ist das der gängige Weg den Port 25 von extern nach intern verfügbar zu machen?
folgendes Szenario:
Exchange 2013 mit LANCOM UTM Firewall. Ich habe mir gerade die Firewallregeln (die ein IT-Dienstleister eingerichtet hat) für Port 25 / SMTP Empfang angeschaut.
Eingestellt ist die Regel, dass von extern nach intern die kommikation über Port 25 zugelassen wird.
In dieser Regel ist der Proxy aktiviert und zusätzlich noch die DMZ Port Weiterleitung. Dort steht als externe IP Adresse die IP Adresse von unserem Bintec Router der vorgeschaltet ist.
Nur mal so für mich zum Verständnis.
Beim Hoster wurde ein MX Record Eintrag gesetzt, der besagt das die Mails erst zum Archivierungssystem des Hosters und dann von dort aus zum unserem Bintec Router weitergeleitet werden. Von da aus geht es dann über die oben genannte Portweiterleitung, über unsere Firewall (mit eingeschalten Proxy) zum Exchange.
Ich empfinde diese eigentlich so weit als sicher. Ist das der gängige Weg den Port 25 von extern nach intern verfügbar zu machen?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 662347
Url: https://administrator.de/contentid/662347
Printed on: April 26, 2024 at 04:04 o'clock
6 Comments
Latest comment
Moin. Ich hab intern noch nen Postfix davor um den Exchange nicht ganz nackt da stehen zu haben.
Mir hat man einst gesagt, ein Microsoft Server gehört im KMU Umfeld nicht offen ins Netz. Auch unserem Exchange ist ein Mailgateway vorgeschaltete.
https://www.linux-magazin.de/ausgaben/2018/04/proxmox-mailgateway/
Bei uns ist das System aber in der Firewall...
https://www.linux-magazin.de/ausgaben/2018/04/proxmox-mailgateway/
Bei uns ist das System aber in der Firewall...
Zitat von @themuck:
Mir hat man einst gesagt, ein Microsoft Server gehört im KMU Umfeld nicht offen ins Netz. Auch unserem Exchange ist ein Mailgateway vorgeschaltete.
Aha.Mir hat man einst gesagt, ein Microsoft Server gehört im KMU Umfeld nicht offen ins Netz. Auch unserem Exchange ist ein Mailgateway vorgeschaltete.
Für mein verständnis sollte ein Exchange NIE nackend aus dem WAN erreichbar sein - das gilt aber auch für einen HCL Domino, postfix, Tobit, ... Mail-Server. Da setzt man immer irgendwelche Sicherheitskomponenten zwischen - und dabei egal, ob es ne 10-Mann-Bude oder eine 100.000 Mann-Bude ist (in denen natürlich auch Frauen beschäftigt sein können
)Gibt ja noch zahlreiche, andere Systeme:
NoSpamProxy
SMTP-Proxies in den UTMs
postfix als Gateway/ "Middleware". ...
...
So ein Postfix ist eigentlich gut gegen die raue Wildnis des Internets gerüstet, da sehe ich nicht unbedingt die Notwendigkeit, irgendwelche UTM als Durchlauferhitzer dazwischen zu schalten.
Auf denen läuft nicht selten selbst ein modifizierter Postfix, da ergäbe sich also auch kein Sicherheitsgewinn...?
Vor was schützt mich eine UTM da genau?
Auf denen läuft nicht selten selbst ein modifizierter Postfix, da ergäbe sich also auch kein Sicherheitsgewinn...?
Vor was schützt mich eine UTM da genau?
Postfix ist von einem anerkannten Sicherheitsforscher mit gutem Ruf, Wietse Venema, geschrieben worden. Eines der Designziele des Programms ist es von Anfang an möglichen Angreifern wenig Angriffsfläche zu bieten.
Und bis heute hat Postfix im Laufe seines Daseins beeindruckend wenig Sicherheitsprobleme zu verzeichnen gehabt im Vergleich zu anderen MTAs.
Und bis heute hat Postfix im Laufe seines Daseins beeindruckend wenig Sicherheitsprobleme zu verzeichnen gehabt im Vergleich zu anderen MTAs.
Ich möchte noch mal auf deine Nachricht eingehen.
Fakt ist das in unsere UTM von Lancom auch ein SMTP Proxie eingebaut hat und auch Viren und SPAM ganz gut abwehrt.
Aber trotzdem wäre es doch besser z.B. ein Proxmox Mailgateway in die DMZ zu stellen der die Mail entgegen nimmt, diese auf Viren und SPAM prüft und erst dann zum Exchange zustellt oder?
Das schöne bei Proxmox ist, dass es eine fertige ISO Datei ist und die Konfiguration des Mailgateways scheint ganz einfach zu sein. Hat jemand von euch schon Erfahrung damit gemacht?
Fakt ist das in unsere UTM von Lancom auch ein SMTP Proxie eingebaut hat und auch Viren und SPAM ganz gut abwehrt.
Aber trotzdem wäre es doch besser z.B. ein Proxmox Mailgateway in die DMZ zu stellen der die Mail entgegen nimmt, diese auf Viren und SPAM prüft und erst dann zum Exchange zustellt oder?
Das schöne bei Proxmox ist, dass es eine fertige ISO Datei ist und die Konfiguration des Mailgateways scheint ganz einfach zu sein. Hat jemand von euch schon Erfahrung damit gemacht?
