Alforno 10 Geschrieben 6. März 2011 Melden Teilen Geschrieben 6. März 2011 Hallo, wir haben bei uns im Unternehmen einen Mailserver (hmailserver) stehen, der die Mails per pop3 vom ISP abholt. Wir haben eine fest IP Adresse, als Router verwenden wir einen Lancom 1711+. Wir haben uns bewusst gegen einen Exchange entschieden, da sämtliche Groupware Funktionen über unsere ERP Lösung abgedeckt werden. Unser Mailserver ist von außen derzeit nicht zugänglich. Nun gibt es zunehmend Mitarbeiter, die mit Smartphones unterwegs sind und Ihre Mails auch von Außen einsehen möchten. An dieser Stelle stößt der Ist-Zustand an seine Grenzen. Jetzt möchte ich den Abruf per pop einstampfen und auf SMTP umstellen. Zusätzlich soll IMAP mit ssl von außen möglich sein. Jetzt taucht die Frage auf, ob es sicherheitstechnisch ausreichend ist die entsprechenden Ports einfach auf den Server weiterzuleiten. Wie würdet Ihr das lösen? Würde mich über ein paar Anregungen freuen. Danke im Voraus. mfg Alforno Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 6. März 2011 Melden Teilen Geschrieben 6. März 2011 Was heißt schon "sicherheitstechnisch ausreichend"? ;) Für die einen ja, für die anderen nicht. Da für mich hmailserver erstmal ein Fremdwort ist, kann ich noch nicht mal abschätzen, ob es dort einen Unterschied zu bspw. Exchange in dieser Hinsicht gibt. Eventuell solltest du ganz einfach mal euren Sicherheitsbedarf qualifizieren und dann die Kriterien anhand deiner Möglichkeiten abhaken. Bye Norbert Zitieren Link zu diesem Kommentar
Alforno 10 Geschrieben 6. März 2011 Autor Melden Teilen Geschrieben 6. März 2011 Hallo Norbert, vielen Dank für Deine schnelle Antwort. Dann will ich mal anders fragen, stell Dir vor ich hätte einen Exchange und nun stellt sich die Frage ob ich die Ports einfach weiterleite oder doch größere Geschütze auffahre. Welche Möglichkeiten gibt es? Mir ging es ja eher um Anregungen, wie man bzw. Ihr sowas löst. Ich kann mir kaum vorstellen, das gerade bei kleineren Unternehmen auch immer ein Reverse Proxy eingerichtet wird. mfg Alforno Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 6. März 2011 Melden Teilen Geschrieben 6. März 2011 Hallo Norbert, vielen Dank für Deine schnelle Antwort. Dann will ich mal anders fragen, stell Dir vor ich hätte einen Exchange und nun stellt sich die Frage ob ich die Ports einfach weiterleite oder doch größere Geschütze auffahre. 1. Die Vorstellung ist aber unnütz, da ihr euch gegen Exchange entschieden habt, was würde es dir da helfen, wenn ich dir meine Überlegungen dazu aufschreibe? Möglicherweise bietet dein Mailserver ja ganz andere Funktionen um sowas abzusichern. Ich kann mir kaum vorstellen, das gerade bei kleineren Unternehmen auch immer ein Reverse Proxy eingerichtet wird. 1. Die Größe einer Firma sagt erstmal genau 0 (Null) über ihre Sicherheitsanfragen. 2. Ein Reverseproxy für POP3 und IMAP4 wäre mir zumindest für Exchange nicht bekannt. 3. Wenn man Exchange im Einsatz hätte, würde man ohne POP3 und IMAP4 usw. arbeiten können, da alles über https möglich ist. Und https läßt sich hervorragend mittels Reverseproxy absichern. Also was genau hilft dir jetzt Punkt 3 bei deinen Überlegungen? ;) Du wirst nicht drum herumkommen, erstmal deine Überlegungen hier darzustellen, denn sonst hat man kaum Argumente Für und Wider. ;) Bye Norbert Zitieren Link zu diesem Kommentar
Alforno 10 Geschrieben 6. März 2011 Autor Melden Teilen Geschrieben 6. März 2011 Ach, ist das kompliziert hier. ;) Meine Idee wäre den Mailserver durch weiterleiten der Ports für smtp und imap von außen zugänglich zu machen. Den Datenaustausch per IMAP würde ich durch Einsatz von SSL absichern. Ich bin auch prinzipiell nicht abgeneigt den Exchange einzusetzen. Wir haben uns damals dagegen entschieden. Wenn die Anforderungen nun einen Exchange erfordern, dann wird der auch gekauft. Ich hoffe jetzt eine konkrete Antwort von Dir zu bekommen. Es geht mir um Ideen / Anregungen und nicht um ein Tutorial wie ich was zu machen habe. Danke Dir. mfg Alforno Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 6. März 2011 Melden Teilen Geschrieben 6. März 2011 Ach, ist das kompliziert hier. ;) Nö, eigentlich total einfach. Jemand stellt eine Frage und bekommt entsprechende Antworten. Je besser die Frage gestellt ist, umso besser sind meist auch die Antworten. ;) Meine Idee wäre den Mailserver durch weiterleiten der Ports für smtp und imap von außen zugänglich zu machen.Den Datenaustausch per IMAP würde ich durch Einsatz von SSL absichern. Und warum genau tust du das nicht? :) Ich bin auch prinzipiell nicht abgeneigt den Exchange einzusetzen. Einfach mal so, oder weil du möglicherweise anhand von "Anforderungen" entscheiden kannst, dass das eine sinnvolle Lösung ist? Wir haben uns damals dagegen entschieden. Ist ja auch legitim. Wenn die Anforderungen nun einen Exchange erfordern, dann wird der auch gekauft. Gut, dann mußt du ja nur noch eure Anforderungen definieren. ;) Ich hoffe jetzt eine konkrete Antwort von Dir zu bekommen. Wie denn? Du hast ja noch keine weiteren Infos geschrieben. Es geht mir um Ideen / Anregungen und nicht um ein Tutorial wie ich was zu machen habe. Ja, das ist ja auch ok, nur da die Verbreitung von hmailserver möglicherweise etwas weniger stark ist, als die von Exchange Servern, dürfte es auch etwas komplizierter werden, hier im Forum entsprechendes Know How zu finden. ;) Und über die Möglichkeiten von Exchange zu sprechen, nur damit man mal drüber nachgedacht hat, ist jetzt auch nicht unbedingt so sinnvoll, wenn ihr keine Anforderungen habt, die den Einsatz von Exchange gegenüber Hmailserver rechtfertigen, oder siehst du das anders? Bye Norbert Zitieren Link zu diesem Kommentar
Userle 145 Geschrieben 7. März 2011 Melden Teilen Geschrieben 7. März 2011 Jetzt taucht die Frage auf, ob es sicherheitstechnisch ausreichend ist die entsprechenden Ports einfach auf den Server weiterzuleiten. Wie würdet Ihr das lösen? Würde mich über ein paar Anregungen freuen. Danke im Voraus. mfg Alforno Mir scheint, der Punkt mit den Ports war Dir wichtig. Sollst Du also darauf eine Antwort haben :D. Ich sage NEIN das reicht nicht. In dem Moment, wo Du Server - egal jetzt welchen oder welcher Art - von Außen erreichbar machst, begibst Du Dich in ein Minenfeld der Sicherheit, da theoretisch Angriffe nun eine größere Fläche haben. Eine FW mit Mail-Proxy sollte IMHO hier schon Pflicht sein. Mehr als eine feste IP wäre auch gut. Leider scheinst Du nicht Willens zu sein (aus welchen Gründen auch immer), nähere Details zu Deiner Umgebung preiszugeben. Wie NorbertFe schon sagte ist eine qualifizierte Aussage bzw. Empfehlung zur Vorgehensweise nicht möglich. Daher auch nur die recht allgemeine Aussage von mir zum Thema. Greetings Ralf Zitieren Link zu diesem Kommentar
Alforno 10 Geschrieben 7. März 2011 Autor Melden Teilen Geschrieben 7. März 2011 @Userle Mir scheint, der Punkt mit den Ports war Dir wichtig. Sollst Du also darauf eine Antwort haben :D. Vielen Dank, dann bekomme ich ja nun doch noch Anregungen, das hilft mir sehr. ;) Eine FW mit Mail-Proxy sollte IMHO hier schon Pflicht sein. Mehr als eine feste IP wäre auch gut. Mir ist nicht ganz klar, was du mit "Mail-Proxy" meinst, könntest du hierfür ein konkretes Beispiel nennen? Nehmen wir mal an, man würde die entsprechenden Ports einfach auf den Mailserver weiterleiten. Nach außen wäre nun der Dienst des Mailservers erreichbar, solange dieser keine Sicherheitslücken aufweist, sollte es doch kein Sicherheitsproblem geben, oder? Sichere Passwörter und aktuelle Patches vorausgesetzt. Wenn man der Sache nicht traut, was wäre dann die Alternative? Vielen Dank. mfg Alforno Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 7. März 2011 Melden Teilen Geschrieben 7. März 2011 Nehmen wir mal an, man würde die entsprechenden Ports einfach auf den Mailserver weiterleiten. Nach außen wäre nun der Dienst des Mailservers erreichbar, solange dieser keine Sicherheitslücken aufweist, sollte es doch kein Sicherheitsproblem geben, oder? Sichere Passwörter und aktuelle Patches vorausgesetzt. Ich weiß ich reite drauf rum, aber so wirst du zu keinem sinnvollen Ergebnis kommen. 1. Woher weißt du, wer welche Sicherheitslücken aufweist und wer nicht? 2. Woher weißt du, ob das für euch sicher genug ist? Möglicherweise will ich ja nicht erst am Server wissen, wer sich bei mir anmeldet, sondern schon vorher? Wenn man der Sache nicht traut, was wäre dann die Alternative? Die Alternative wozu denn? Zu deinem mailserver, zum Reverseproxy, zum Mailproxy, zu IMAP4s oder was? Ich wiederhole mich: Definiere deine Anforderungen und dann suche die Lösung. Nicht andersherum. Bye Norbert Zitieren Link zu diesem Kommentar
nerd 28 Geschrieben 8. März 2011 Melden Teilen Geschrieben 8. März 2011 Hi Alforno! Norbert hat recht, du solltest zuerst deine Anforderungen definieren. Sonst wirst du hier nie eine vernünftige Antwort bekommen jeder hat ein anderes Schutzbedürfnis und andere Skills. ... nur als Beispiel - ich würde so eine Umgebung in meinem Umfeld wie folgt aufbauen: Externe Firewall Hersteller A - Mailproxy (z. B. Edge Transport Server von MS) - Interne Firewall Hersteller B - Interne Mailserver. Das ganze würde ich dann noch auf zwei Rechenzentren verteilen (clustern) um eine Ausfallsicherheit zu haben. Auf die Edge Rolle würde ich einen Virenscanner uns Spam Filter werfen etc. Da du derzeit jedoch nur ein Lancom Router am Perimenter-edge einsetzt, gehe ich mal davon aus, dass diese Lösung eure Sicherheitsanforderungen übersteigt. Damit wären wir wieder am Anfang: Definiere wie euer Sicherheitsbedürfnis ist. Viele Grüße Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.