13
Update für interner Mailserver sinnvoll?
Hallo Leute!
ich betreibe einen internen Mailserver (Ubuntu, Postfix, Dovecot, Fetchmail), der Nachrichten von öffentlichen Mailservern abholt und dort einliefert.
Das heißt, der interne Mailserver ist von außerhalb des Netzwerks (also vom Internet aus) nicht erreichbar und kann per Firewall-Regeln nur mit den öffentlichen Mailservern kommunizieren und zu sonst keiner Adresse.
Bisher läuft der interne Server noch mit der Erstkonfiguration wunderbar stabil, ohne dass ich jemals Updates der Programme (Ubuntu, Postfix, Dovecot, Fetchmail) durchgeführt habe.
Was ist eure Empfehlung und warum: Sollten auch bei einem internen Mailserver die Programme (Ubuntu, Postfix, Dovecot, Fetchmail) regelmäßig aktualisiert werden? Denn jedes Update birgt eben die Gefahr, dass etwas nicht mehr funktioniert. Und vor allem ist - wie gesagt - der Mailserver ja nicht exponiert.
Danke für eure Meinungen!
ich betreibe einen internen Mailserver (Ubuntu, Postfix, Dovecot, Fetchmail), der Nachrichten von öffentlichen Mailservern abholt und dort einliefert.
Das heißt, der interne Mailserver ist von außerhalb des Netzwerks (also vom Internet aus) nicht erreichbar und kann per Firewall-Regeln nur mit den öffentlichen Mailservern kommunizieren und zu sonst keiner Adresse.
Bisher läuft der interne Server noch mit der Erstkonfiguration wunderbar stabil, ohne dass ich jemals Updates der Programme (Ubuntu, Postfix, Dovecot, Fetchmail) durchgeführt habe.
Was ist eure Empfehlung und warum: Sollten auch bei einem internen Mailserver die Programme (Ubuntu, Postfix, Dovecot, Fetchmail) regelmäßig aktualisiert werden? Denn jedes Update birgt eben die Gefahr, dass etwas nicht mehr funktioniert. Und vor allem ist - wie gesagt - der Mailserver ja nicht exponiert.
Danke für eure Meinungen!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 3051079078
Url: https://administrator.de/contentid/3051079078
Printed on: April 26, 2024 at 21:04 o'clock
13 Comments
Latest comment
Kein Update bei einem System mit Internetzugriff zu machen (und wenns nur einige ips sind, kann ja auch durch andere interne Geräte infiziert werden) ist grob fahrlässig.
"Braucht mein Auto TÜV? Ich fahr doch nur zum Bäcker"
VG
"Braucht mein Auto TÜV? Ich fahr doch nur zum Bäcker"
VG
1
Die Systeme verarbeiten doch E-Mails, die von irgendwo aus dem Internet kommen.
Und so könnte eine Sicherheitslücke getriggert werden, auch wenn die Mail über Umwege eingeliefert wurde.
Und so könnte eine Sicherheitslücke getriggert werden, auch wenn die Mail über Umwege eingeliefert wurde.
Hallo,
Bitte die Namen der involvierten Programme ablesen und vor dem Antworten schauen, was die so machen.
Ich denke, ein Angriff wäre schon sehr „speziell“.
Gruß,
Jörg
Bitte die Namen der involvierten Programme ablesen und vor dem Antworten schauen, was die so machen.
Ich denke, ein Angriff wäre schon sehr „speziell“.
Gruß,
Jörg
Zitat von @Mr.IT.Sec:
Hallo Leute!
Was ist eure Empfehlung und warum: Sollten auch bei einem internen Mailserver die Programme (Ubuntu, Postfix, Dovecot, Fetchmail) regelmäßig aktualisiert werden?
Hallo Leute!
Was ist eure Empfehlung und warum: Sollten auch bei einem internen Mailserver die Programme (Ubuntu, Postfix, Dovecot, Fetchmail) regelmäßig aktualisiert werden?
Moin,
Ja, man sollte den Mailserver auf dem aktuellen halten. Auch wenn er nicht mit Gott und der Welt kommuniziert, so greifen dich Clients, die befallen oder einfach nur bösartig sein könnten auf 8hn zu. Es gab schon gravierende SSL-Bugs, die remote code execution zugelassen haben. Auch die externen Mailserver können irgendwann bösartig sein, wenn sie von jemandem übernommen werden.
Denn jedes Update birgt eben die Gefahr, dass etwas nicht mehr funktioniert.
Genau deswegen hat man eine Backupstrategie, mit der man ein Rollback machen kann.
Und vor allem ist - wie gesagt - der Mailserver ja nicht exponiert.
Doch ist er. Gegenüber den Clients und den externen Mailservern ist er exponiert. İhr handelt also grob fahrlässig, wenn ihr kein Updatekonzept habt.
lks
2Zitat von @117471:
Hallo,
Ich denke, ein Angriff wäre schon sehr „speziell“.
Hallo,
Ich denke, ein Angriff wäre schon sehr „speziell“.
Nicht unbedingt. İn allen dieser Programme gab es schon Bugs, die sich ausnutzen ließen.
Es ist grob fahrlässig da keine Updates zu machen, ohne vorher eine echte Risikoanalyse und -Abwägung zu machen.
lks
Naja-das ein update bei einem Mailserver dazu führt das grad die Urgesteine (Postfix, Fetchmail,...) nicht mehr gehen ist schon arg unwahrscheinlich. Ich würde da wenig Sorgen haben da solche Fehler mit sehr grosser Chance deutlich früher bei deutlich grösseren Systemen ausgefallen wären.
Weiterhin solltest du ja generell eh ein Backup deines Servers haben - was im Zweifelsfall ja auch den Ausfall eher überschaubar hält. Wenn es ein komplett kritisches System wäre würde ich eh z.B. als VM das ganze im Cluster betreiben - schon hast du noch weniger Sorgen (und da es bei den Programmen Lizenzmässig keine Kosten sind wäre das jetzt nicht der ganz üble Aufwand).
Zum Schluss würde ich mir einfach die Frage stellen: Wenn du Angst vorm Update hast weil etwas dann nicht mehr laufen KÖNNTE - wie sicherst du das System bei einem Hardwaremässigen Ausfall oder sonst einer Fehlfunktion? Gar nicht updaten würde für mich auch nicht unbedingt die beste Option sein - auch weil du ja vermutlich an den Clients auch Updates einspielst. Blöd wenn du da dann irgendwelche Probleme hast (z.B. Chrome der plötzlich Zertifikate nicht mehr akzeptiert) und dein Server aber die wg. alter Software gar nicht "in neu" ausliefern kann.
Weiterhin solltest du ja generell eh ein Backup deines Servers haben - was im Zweifelsfall ja auch den Ausfall eher überschaubar hält. Wenn es ein komplett kritisches System wäre würde ich eh z.B. als VM das ganze im Cluster betreiben - schon hast du noch weniger Sorgen (und da es bei den Programmen Lizenzmässig keine Kosten sind wäre das jetzt nicht der ganz üble Aufwand).
Zum Schluss würde ich mir einfach die Frage stellen: Wenn du Angst vorm Update hast weil etwas dann nicht mehr laufen KÖNNTE - wie sicherst du das System bei einem Hardwaremässigen Ausfall oder sonst einer Fehlfunktion? Gar nicht updaten würde für mich auch nicht unbedingt die beste Option sein - auch weil du ja vermutlich an den Clients auch Updates einspielst. Blöd wenn du da dann irgendwelche Probleme hast (z.B. Chrome der plötzlich Zertifikate nicht mehr akzeptiert) und dein Server aber die wg. alter Software gar nicht "in neu" ausliefern kann.
Moin,
ich empfehle mittlerweile grundsätzlich und umfassend Updates zu installieren (natürlich mit entsprechender Strategie) und auch die Firmware (in der Peripherie) dabei nicht außer Acht zu lassen.
Aktueller Hintergrund: auf den Infrastrukturswitschen soll ein Sicherheitsfeature aktiviert werden, da die aber seit laaanger Zeit keiner mehr angefasst hat, muss da jetzt mit Zwischenpatches und was weiß ich noch was alles gearbeitet werden, bis das aktiviert werden kann.
Lange Rede kurzer Sinn, abwägen und im Zweifel für das Update.
Viele Grüße
ich empfehle mittlerweile grundsätzlich und umfassend Updates zu installieren (natürlich mit entsprechender Strategie) und auch die Firmware (in der Peripherie) dabei nicht außer Acht zu lassen.
Aktueller Hintergrund: auf den Infrastrukturswitschen soll ein Sicherheitsfeature aktiviert werden, da die aber seit laaanger Zeit keiner mehr angefasst hat, muss da jetzt mit Zwischenpatches und was weiß ich noch was alles gearbeitet werden, bis das aktiviert werden kann.
Lange Rede kurzer Sinn, abwägen und im Zweifel für das Update.
Viele Grüße
ist dir klar das ein Browser, und damit jeder Client in deinem Netzwerk der eine "böse" Website ansurft, oder auch nur eine gehackte Werbeanzeige einblendet, dein internes Netz abscannen und entsprechend exploiten kann?
"Nur intern erreichbar" ist nur marginal sicherer als exposed.
Teste, Patche. Immer.
"Nur intern erreichbar" ist nur marginal sicherer als exposed.
Teste, Patche. Immer.
Danke euch allen für die Anmerkungen.
Ich denke es ist tatsächlich sinnvoll das Update zu fahren.
Das Update läuft bereits. Dauert aber ein wenig.
Ich denke es ist tatsächlich sinnvoll das Update zu fahren.
Das Update läuft bereits. Dauert aber ein wenig.
Wenn er mit den öffentlichen Mailservern kommuniziert, dann kann er sich genauso infizieren.
Wenn du die Gefahr als "arg unwahrscheinlich" definierst, dann ist immer noch eine prozentuale Restchance, dass es ihn doch erwischt.
Und somit wäre die Frage nach Updates bereits erklärt.
Sollte einem aber auch selbst auffallen.
Wenn du die Gefahr als "arg unwahrscheinlich" definierst, dann ist immer noch eine prozentuale Restchance, dass es ihn doch erwischt.
Und somit wäre die Frage nach Updates bereits erklärt.
Sollte einem aber auch selbst auffallen.
Hallo,
ich persönlich wurde auch sehr empfehlen alle Systeme auf den aktuellen Stand zu halten. Das Risiko, dass nach einem Update nichts mehr funktioniert, ist eher gering, wenn man regelmäßig und ordentlich Backups macht. Und wenn es mal zu Problemfällen kommt, dann ist das ja die Aufgabe eines Admins sich darum zu kümmern. Ich würde sogar so weit gehen und sagen, dass aktuellere Systeme grundsätzlich stabiler sind und man auch einen deutlich besseren Support erhält.
Was die Sicherheit betrifft. Der Mailserver muss ja nicht mal zwingend mit Systemen auserhalb des Unternehmens kommunizieren, um dennoch ein Sicherheitsproblem (falls eine bekannte Lücke bei der alten Version vorhanden sein sollte) zu sein. Stell dir vor, dass ein Mitarbeiter eine Schadsoftware einfängt. Die Schadsoftware verschlüsselt nicht nur die Daten des Mitarbeiters sondern scannt nebenbei auch noch das interne Netzwerk. Wenn nun also bei dem internen Mailserver nun eine (inzwischen bekannte) Lücke vorhanden sein sollte, dann kann sich die Schadsoftware über diesen sich nun tiefer in das Netzwerk bohren.
MfG
ich persönlich wurde auch sehr empfehlen alle Systeme auf den aktuellen Stand zu halten. Das Risiko, dass nach einem Update nichts mehr funktioniert, ist eher gering, wenn man regelmäßig und ordentlich Backups macht. Und wenn es mal zu Problemfällen kommt, dann ist das ja die Aufgabe eines Admins sich darum zu kümmern. Ich würde sogar so weit gehen und sagen, dass aktuellere Systeme grundsätzlich stabiler sind und man auch einen deutlich besseren Support erhält.
Was die Sicherheit betrifft. Der Mailserver muss ja nicht mal zwingend mit Systemen auserhalb des Unternehmens kommunizieren, um dennoch ein Sicherheitsproblem (falls eine bekannte Lücke bei der alten Version vorhanden sein sollte) zu sein. Stell dir vor, dass ein Mitarbeiter eine Schadsoftware einfängt. Die Schadsoftware verschlüsselt nicht nur die Daten des Mitarbeiters sondern scannt nebenbei auch noch das interne Netzwerk. Wenn nun also bei dem internen Mailserver nun eine (inzwischen bekannte) Lücke vorhanden sein sollte, dann kann sich die Schadsoftware über diesen sich nun tiefer in das Netzwerk bohren.
MfG
Hallo,
damit Lücken nicht ausgenutzt werden können? Kann man dann aber auch wieder rückgängig machen!
Dobby
ich betreibe einen internen Mailserver (Ubuntu, Postfix, Dovecot, Fetchmail), der Nachrichten von
öffentlichen Mailservern abholt und dort einliefert.
Wenigstens mal über ClamAV plus AmavisD und SpamAssassin nachgedacht?öffentlichen Mailservern abholt und dort einliefert.
Das heißt, der interne Mailserver ist von außerhalb des Netzwerks (also vom Internet aus) nicht erreichbar
und kann per Firewall-Regeln nur mit den öffentlichen Mailservern kommunizieren und zu sonst keiner Adresse.
Kann ja alles sein, und was spricht gegen ein Backup des ganzen Servers und dann die Updates einspielenund kann per Firewall-Regeln nur mit den öffentlichen Mailservern kommunizieren und zu sonst keiner Adresse.
damit Lücken nicht ausgenutzt werden können? Kann man dann aber auch wieder rückgängig machen!
Bisher läuft der interne Server noch mit der Erstkonfiguration wunderbar stabil, ohne dass ich jemals Updates der
Programme (Ubuntu, Postfix, Dovecot, Fetchmail) durchgeführt habe.
So baut man eins A Virenschleudern!Programme (Ubuntu, Postfix, Dovecot, Fetchmail) durchgeführt habe.
Dobby
Zitat von @108012:
Wenigstens mal über ClamAV plus AmavisD und SpamAssassin nachgedacht?
Wenigstens mal über ClamAV plus AmavisD und SpamAssassin nachgedacht?
Warum? Das greift erst, wenn die einzige (passive) Schnittstelle in Richtung Internet (fetchmail) bereits zugegriffen hat.
In Bezug auf die hier dargestellten Bedenken ist das absolut irrelevant.
Kann ja alles sein, und was spricht gegen ein Backup des ganzen Servers und dann die Updates einspielen
Was spricht für diesen unnötigen Aufwand?
So baut man eins A Virenschleudern!
Nein. Absolut nicht. Im Gegenteil - selbst wenn der Server kompromittiert ist, kann er nur schwerlich zum Versand genutzt werden, da ihm schlichtweg die Erreichbarkeit fehlt.
Aber vielleicht weißt Du auch "einfach nur" nicht, was für ein Programm fetchmail ist
Gruß,
Jörg