Anzeige:
Ergebnis 1 bis 6 von 6

Thema: Risikoeinschätzung bzw. Gefahreneinschätzung für Datenbestand

  1. #1
    Registrierter Benutzer
    Registriert seit
    Apr 2009
    Beiträge
    36

    Risikoeinschätzung bzw. Gefahreneinschätzung für Datenbestand

    Guten Abend,

    ich wollte mal in die Runde fragen in wie weit hier bei folgendem Szenario ein Risiko bzw. Gefährdung von Daten bestehen würde.

    Es soll ein Linux Server, der im Moment als Fileserver (samba mit User und Gruppenberechtigungen) zur Verfügung steht, zusätzlich als Mailserver fungieren. Da es keine feste IP Adresse von Seiten des Internet her gibt, soll per dyndns der entsprechende MX Eintrag auf eine FritzBox und von hier per Portweiterleitung auf den Mailserver geleitet werden. Die Fritzbox ist ein recht aktuelles Modell mit der neuesten Firmware.

    Der Mailserver wäre dann ja über Port 25 direkt im Internet zugänglich.

    Und hier dann meine Frage, in wie weit kann oder muss man das als kritisch sehen?

    Würde mich sehr über Infos und meinungen freuen.

    Vielen dank.

    Grüsse alex

  2. #2
    Registrierter Benutzer Avatar von asi_dkn
    Registriert seit
    Oct 2006
    Beiträge
    489
    Das mit der dynamischen IP ist keine all zu gute Idee. Es gibt einige DNS Blacklists die Blöcke dynamischer IPs listen. Somit kann es sein das deine eMails abgelehnt werden. Zudem stelle ich mir das nicht so doll vor wenn die IP regelmässig ändert und andere Mailserver u.U. noch einen veralteten DNS Eintrag verwenden und die Mails dann je nach dem über Stunden nicht zugestellt werden können.

    Ich würde mir eine fixe IP besorgen und wenn das nicht drinn liegt eventuell mal zusehen ob es einen Mailhoster gibt der deinen Ansprüchen genügt, einen (V)Server mieten, was auch immer. Aber von der dynamischen Idee würde ich abraten wenn darüber geschäftliches laufen sollte.

    Und wie "kritisch" das ist hängt von vielem ab. Wie wertvoll die Daten des Samba Server sind, wie aktuell die verwendete Software jeweils ist (Update Intervall), ob Schaden entstehen kann wenn Daten manipuliert werden und wie hoch der sein kann etc.. Generell würde ich behaupten gehört ein Samba Server von aussen her nicht ansprechbar, auch nicht via Port 25.
    Ich glaube übrigens, dass das gesamte Universum mitsamt allen unseren Erinnerungen, Theorien und Religionen vor 20 Minuten vom Gott Quitzlipochtli erschaffen wurde. Wer kann mir das Gegenteil beweisen? (Bertrand Russell)

  3. #3
    Cucumis Sativus Avatar von rudelgurke
    Registriert seit
    Jul 2002
    Ort
    localhost
    Beiträge
    269
    Von den Gefahren abgesehen - Open Relay usw. und natürlich das Ganze in chroot packen und je nach Distro selinux / grsec - generell dürften wohl trotz MX Eintrag diverse Blacklists Probleme machen wenn dort ganze Blöcke gelistet sind, gerade bei dynamischen IP's wird das schnell zum Problem.

    Wenn ohnehin eine eigene Domain vorhanden ist, könnte man vielleicht auch anstatt eines vServer / Root einen Account bei einem entsprechenden Anbieter erstellen, einige bieten auch Mail Domains mit an. Der lokale Mailserver kann dann im internen Netz auf Port 25 Mails annehmen und über den Provider versenden.
    There's no place like 127.0.0.1

  4. #4
    Registrierter Benutzer
    Registriert seit
    Apr 2009
    Beiträge
    36
    Aber das Problem mit den Blacklists kann man doch umgehen, wenn man als relay smtp den SMTP SErver eines Providers angibt?

    Wie würdet Ihr denn einen Mailserver aufstellen, dass er vom eigentlichen internen Netz getrennt ist und Sicherheit bietet?

  5. #5
    Cucumis Sativus Avatar von rudelgurke
    Registriert seit
    Jul 2002
    Ort
    localhost
    Beiträge
    269
    Zitat Zitat von jalexander Beitrag anzeigen
    Aber das Problem mit den Blacklists kann man doch umgehen, wenn man als relay smtp den SMTP SErver eines Providers angibt?
    Und woher weiß der Mailserver des Providers für eure Domain zuständig zu sein bzw. besser gesagt woher der jeweilige Empfänger weiß dass der MX des Providers für eure Domain zuständig ist ?

    Zitat Zitat von jalexander Beitrag anzeigen
    Wie würdet Ihr denn einen Mailserver aufstellen, dass er vom eigentlichen internen Netz getrennt ist und Sicherheit bietet?
    Nur am Interface lauschen lassen, dass am Internet hängt. Wenn internes und externes Interface gleich sind, außer der Router IP je nachdem wie der Forward funktioniert alle anderen IP's zum Versand sperren.

    Nur grundsätzlich wäre es vielleicht der bessere Weg die Domain bei einem Anbieter hosten zu lassen. Ohne Werbung machen zu wollen, einige Anbieter bieten solche Lösungen an.
    There's no place like 127.0.0.1

  6. #6
    Registrierter Benutzer
    Registriert seit
    Apr 2009
    Beiträge
    36
    Und woher weiß der Mailserver des Providers für eure Domain zuständig zu sein bzw. besser gesagt woher der jeweilige Empfänger weiß dass der MX des Providers für eure Domain zuständig ist ?
    Diese Aussage verstehe ich leider nicht.

    Aber es ist doch so, wenn ich die DNS Abfrage nach MX starte, ist es folgendermaßen eingestellt:

    20 mailserver-des-isp
    10 eigener-mailserver-per-dyndns

    Es wird also doch sowieso zuerst der Mailserver des ISP abgefragt, der dann die Mails weiterleitet, wenn der eigene Mailserver erreichbar ist.

    Der Mailversand erfolgt über den eigenen Mailserver, der als relayhost den SMTP des ISP`s eingetragen hat, mit zugehörender Authentifizierung über smtp_sasl_auth_* usw.

Ähnliche Themen

  1. Antworten: 34
    Letzter Beitrag: 20.08.02, 12:35
  2. kde bzw gnome starten
    Von martin139 im Forum Windowmanager
    Antworten: 4
    Letzter Beitrag: 13.08.02, 00:14
  3. Antworten: 0
    Letzter Beitrag: 10.04.02, 14:08
  4. mounten bzw. unmounten von Disketten-LW bzw. CD-ROM
    Von ArneE im Forum Linux als Server
    Antworten: 4
    Letzter Beitrag: 07.04.02, 15:49
  5. ps bzw. pdf dateien
    Von krabat im Forum Anwendungen Allgemein, Software
    Antworten: 0
    Letzter Beitrag: 11.10.01, 16:44

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •