PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Risikoeinschätzung bzw. Gefahreneinschätzung für Datenbestand



jalexander
28.07.09, 18:36
Guten Abend,

ich wollte mal in die Runde fragen in wie weit hier bei folgendem Szenario ein Risiko bzw. Gefährdung von Daten bestehen würde.

Es soll ein Linux Server, der im Moment als Fileserver (samba mit User und Gruppenberechtigungen) zur Verfügung steht, zusätzlich als Mailserver fungieren. Da es keine feste IP Adresse von Seiten des Internet her gibt, soll per dyndns der entsprechende MX Eintrag auf eine FritzBox und von hier per Portweiterleitung auf den Mailserver geleitet werden. Die Fritzbox ist ein recht aktuelles Modell mit der neuesten Firmware.

Der Mailserver wäre dann ja über Port 25 direkt im Internet zugänglich.

Und hier dann meine Frage, in wie weit kann oder muss man das als kritisch sehen?

Würde mich sehr über Infos und meinungen freuen.

Vielen dank.

Grüsse alex

asi_dkn
28.07.09, 18:46
Das mit der dynamischen IP ist keine all zu gute Idee. Es gibt einige DNS Blacklists die Blöcke dynamischer IPs listen. Somit kann es sein das deine eMails abgelehnt werden. Zudem stelle ich mir das nicht so doll vor wenn die IP regelmässig ändert und andere Mailserver u.U. noch einen veralteten DNS Eintrag verwenden und die Mails dann je nach dem über Stunden nicht zugestellt werden können.

Ich würde mir eine fixe IP besorgen und wenn das nicht drinn liegt eventuell mal zusehen ob es einen Mailhoster gibt der deinen Ansprüchen genügt, einen (V)Server mieten, was auch immer. Aber von der dynamischen Idee würde ich abraten wenn darüber geschäftliches laufen sollte.

Und wie "kritisch" das ist hängt von vielem ab. Wie wertvoll die Daten des Samba Server sind, wie aktuell die verwendete Software jeweils ist (Update Intervall), ob Schaden entstehen kann wenn Daten manipuliert werden und wie hoch der sein kann etc.. Generell würde ich behaupten gehört ein Samba Server von aussen her nicht ansprechbar, auch nicht via Port 25.

rudelgurke
28.07.09, 20:04
Von den Gefahren abgesehen - Open Relay usw. und natürlich das Ganze in chroot packen und je nach Distro selinux / grsec - generell dürften wohl trotz MX Eintrag diverse Blacklists Probleme machen wenn dort ganze Blöcke gelistet sind, gerade bei dynamischen IP's wird das schnell zum Problem.

Wenn ohnehin eine eigene Domain vorhanden ist, könnte man vielleicht auch anstatt eines vServer / Root einen Account bei einem entsprechenden Anbieter erstellen, einige bieten auch Mail Domains mit an. Der lokale Mailserver kann dann im internen Netz auf Port 25 Mails annehmen und über den Provider versenden.

jalexander
28.07.09, 21:30
Aber das Problem mit den Blacklists kann man doch umgehen, wenn man als relay smtp den SMTP SErver eines Providers angibt?

Wie würdet Ihr denn einen Mailserver aufstellen, dass er vom eigentlichen internen Netz getrennt ist und Sicherheit bietet?

rudelgurke
28.07.09, 22:45
Aber das Problem mit den Blacklists kann man doch umgehen, wenn man als relay smtp den SMTP SErver eines Providers angibt?

Und woher weiß der Mailserver des Providers für eure Domain zuständig zu sein bzw. besser gesagt woher der jeweilige Empfänger weiß dass der MX des Providers für eure Domain zuständig ist ?


Wie würdet Ihr denn einen Mailserver aufstellen, dass er vom eigentlichen internen Netz getrennt ist und Sicherheit bietet?

Nur am Interface lauschen lassen, dass am Internet hängt. Wenn internes und externes Interface gleich sind, außer der Router IP je nachdem wie der Forward funktioniert alle anderen IP's zum Versand sperren.

Nur grundsätzlich wäre es vielleicht der bessere Weg die Domain bei einem Anbieter hosten zu lassen. Ohne Werbung machen zu wollen, einige Anbieter bieten solche Lösungen an.

jalexander
29.07.09, 07:57
Und woher weiß der Mailserver des Providers für eure Domain zuständig zu sein bzw. besser gesagt woher der jeweilige Empfänger weiß dass der MX des Providers für eure Domain zuständig ist ?

Diese Aussage verstehe ich leider nicht.

Aber es ist doch so, wenn ich die DNS Abfrage nach MX starte, ist es folgendermaßen eingestellt:

20 mailserver-des-isp
10 eigener-mailserver-per-dyndns

Es wird also doch sowieso zuerst der Mailserver des ISP abgefragt, der dann die Mails weiterleitet, wenn der eigene Mailserver erreichbar ist.

Der Mailversand erfolgt über den eigenen Mailserver, der als relayhost den SMTP des ISP`s eingetragen hat, mit zugehörender Authentifizierung über smtp_sasl_auth_* usw.