ingrimmsch
Goto Top

SMTP über Firewall zum Exchange

Hallo,

folgendes Szenario:

Exchange 2013 mit LANCOM UTM Firewall. Ich habe mir gerade die Firewallregeln (die ein IT-Dienstleister eingerichtet hat) für Port 25 / SMTP Empfang angeschaut.

Eingestellt ist die Regel, dass von extern nach intern die kommikation über Port 25 zugelassen wird.
In dieser Regel ist der Proxy aktiviert und zusätzlich noch die DMZ Port Weiterleitung. Dort steht als externe IP Adresse die IP Adresse von unserem Bintec Router der vorgeschaltet ist.


Nur mal so für mich zum Verständnis.

Beim Hoster wurde ein MX Record Eintrag gesetzt, der besagt das die Mails erst zum Archivierungssystem des Hosters und dann von dort aus zum unserem Bintec Router weitergeleitet werden. Von da aus geht es dann über die oben genannte Portweiterleitung, über unsere Firewall (mit eingeschalten Proxy) zum Exchange.

Ich empfinde diese eigentlich so weit als sicher. Ist das der gängige Weg den Port 25 von extern nach intern verfügbar zu machen?

Content-Key: 662347

Url: https://administrator.de/contentid/662347

Printed on: May 23, 2024 at 16:05 o'clock

Member: Henere
Henere Mar 14, 2021 at 02:45:58 (UTC)
Goto Top
Moin. Ich hab intern noch nen Postfix davor um den Exchange nicht ganz nackt da stehen zu haben.
Member: themuck
themuck Mar 14, 2021 updated at 07:28:12 (UTC)
Goto Top
Mir hat man einst gesagt, ein Microsoft Server gehört im KMU Umfeld nicht offen ins Netz. Auch unserem Exchange ist ein Mailgateway vorgeschaltete.

https://www.linux-magazin.de/ausgaben/2018/04/proxmox-mailgateway/

Bei uns ist das System aber in der Firewall...
Member: em-pie
em-pie Mar 14, 2021 at 11:29:13 (UTC)
Goto Top
Zitat von @themuck:

Mir hat man einst gesagt, ein Microsoft Server gehört im KMU Umfeld nicht offen ins Netz. Auch unserem Exchange ist ein Mailgateway vorgeschaltete.
Aha.
Für mein verständnis sollte ein Exchange NIE nackend aus dem WAN erreichbar sein - das gilt aber auch für einen HCL Domino, postfix, Tobit, ... Mail-Server. Da setzt man immer irgendwelche Sicherheitskomponenten zwischen - und dabei egal, ob es ne 10-Mann-Bude oder eine 100.000 Mann-Bude ist (in denen natürlich auch Frauen beschäftigt sein können face-wink)
Gibt ja noch zahlreiche, andere Systeme:
NoSpamProxy
SMTP-Proxies in den UTMs
postfix als Gateway/ "Middleware". ...
...
Member: LordGurke
LordGurke Mar 14, 2021 updated at 19:25:11 (UTC)
Goto Top
So ein Postfix ist eigentlich gut gegen die raue Wildnis des Internets gerüstet, da sehe ich nicht unbedingt die Notwendigkeit, irgendwelche UTM als Durchlauferhitzer dazwischen zu schalten.
Auf denen läuft nicht selten selbst ein modifizierter Postfix, da ergäbe sich also auch kein Sicherheitsgewinn...?
Vor was schützt mich eine UTM da genau?
Member: Gentooist
Gentooist Mar 14, 2021 at 21:01:10 (UTC)
Goto Top
Postfix ist von einem anerkannten Sicherheitsforscher mit gutem Ruf, Wietse Venema, geschrieben worden. Eines der Designziele des Programms ist es von Anfang an möglichen Angreifern wenig Angriffsfläche zu bieten.

Und bis heute hat Postfix im Laufe seines Daseins beeindruckend wenig Sicherheitsprobleme zu verzeichnen gehabt im Vergleich zu anderen MTAs.
Member: ingrimmsch
ingrimmsch Mar 15, 2021 at 15:18:01 (UTC)
Goto Top
Ich möchte noch mal auf deine Nachricht eingehen.

Fakt ist das in unsere UTM von Lancom auch ein SMTP Proxie eingebaut hat und auch Viren und SPAM ganz gut abwehrt.

Aber trotzdem wäre es doch besser z.B. ein Proxmox Mailgateway in die DMZ zu stellen der die Mail entgegen nimmt, diese auf Viren und SPAM prüft und erst dann zum Exchange zustellt oder?

Das schöne bei Proxmox ist, dass es eine fertige ISO Datei ist und die Konfiguration des Mailgateways scheint ganz einfach zu sein. Hat jemand von euch schon Erfahrung damit gemacht?