форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Открытые системы на сервере (Почта / Linux)
Изначальное сообщение		[ Отслеживать ]

"безопасный доступ из Инернет к внутреннему почтовмому сервису"	+/–
Сообщение от Aleks305 (ok) on 25-Окт-12, 16:04
Добрый день! Прошу направить, куда копать. Необходимо организовать максимально безопасный доступ к внутреннему почтовому серверу организации(smtp,imap) из Интернет. Ну чтобы клиенты могли подключиться именно почтовыми клиентами, а не через web. Кто как делает? какие варианты возможны кроме банального прокидывания портов через NAT?
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "безопасный доступ из Инернет к внутреннему почтовмому сервису"	+/–
Сообщение от user (??) on 25-Окт-12, 16:36
> Добрый день! > Прошу направить, куда копать. Необходимо организовать максимально безопасный доступ к > внутреннему почтовому серверу организации(smtp,imap) из Интернет. Ну чтобы клиенты могли > подключиться именно почтовыми клиентами, а не через web. Кто как делает? > какие варианты возможны кроме банального прокидывания портов через NAT? А чем вам банальный проброс портов не подходит? Только правила фаервола создайте что б не 110 - 110, а 11100 - 110 или что то того. Я как то тоже заморачивался по этому поводу. Внутри был MS Exchange, хотел что бы Dovecot  был как бы шлюзом pop3/imap4, но там не все так тривиально как кажеться.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "безопасный доступ из Инернет к внутреннему почтовмому сервису"	+/–
	Сообщение от Владимир (??) on 25-Окт-12, 18:23
	>[оверквотинг удален] >> Прошу направить, куда копать. Необходимо организовать максимально безопасный доступ к >> внутреннему почтовому серверу организации(smtp,imap) из Интернет. Ну чтобы клиенты могли >> подключиться именно почтовыми клиентами, а не через web. Кто как делает? >> какие варианты возможны кроме банального прокидывания портов через NAT? > А чем вам банальный проброс портов не подходит? Только правила фаервола создайте > что б не >  110 - 110, а 11100 - 110 или что то того. > Я как то тоже заморачивался по этому поводу. Внутри был MS Exchange, > хотел что бы Dovecot  был как бы шлюзом pop3/imap4, но > там не все так тривиально как кажеться. Если внутри Exchange то для него есть Роль пограничного транспортного сервера (с версии 2007)
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "безопасный доступ из Инернет к внутреннему почтовмому сервису"	+/–
	Сообщение от user (??) on 25-Окт-12, 18:32
	>[оверквотинг удален] >>> подключиться именно почтовыми клиентами, а не через web. Кто как делает? >>> какие варианты возможны кроме банального прокидывания портов через NAT? >> А чем вам банальный проброс портов не подходит? Только правила фаервола создайте >> что б не >>  110 - 110, а 11100 - 110 или что то того. >> Я как то тоже заморачивался по этому поводу. Внутри был MS Exchange, >> хотел что бы Dovecot  был как бы шлюзом pop3/imap4, но >> там не все так тривиально как кажеться. > Если внутри Exchange то для него есть Роль пограничного транспортного сервера > (с версии 2007) Я в курсе. Я о 2003 говорил.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "безопасный доступ из Инернет к внутреннему почтовмому сервису"	+/–
	Сообщение от Aleks305 (ok) on 25-Окт-12, 22:47
	>[оверквотинг удален] >>>> какие варианты возможны кроме банального прокидывания портов через NAT? >>> А чем вам банальный проброс портов не подходит? Только правила фаервола создайте >>> что б не >>>  110 - 110, а 11100 - 110 или что то того. >>> Я как то тоже заморачивался по этому поводу. Внутри был MS Exchange, >>> хотел что бы Dovecot  был как бы шлюзом pop3/imap4, но >>> там не все так тривиально как кажеться. >> Если внутри Exchange то для него есть Роль пограничного транспортного сервера >> (с версии 2007) > Я в курсе. Я о 2003 говорил. нет, внутри exim и dovecot. Банальным увеличением номером порта для NAT уже никого не удивишь и тем более не остановишь от того же самого брут-форса или перебора паролей по словарю, или использования каких-либо уязвимостей
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "безопасный доступ из Инернет к внутреннему почтовмому сервису"	+/–
	Сообщение от user (??) on 26-Окт-12, 01:18
	>[оверквотинг удален] >>>>  110 - 110, а 11100 - 110 или что то того. >>>> Я как то тоже заморачивался по этому поводу. Внутри был MS Exchange, >>>> хотел что бы Dovecot  был как бы шлюзом pop3/imap4, но >>>> там не все так тривиально как кажеться. >>> Если внутри Exchange то для него есть Роль пограничного транспортного сервера >>> (с версии 2007) >> Я в курсе. Я о 2003 говорил. > нет, внутри exim и dovecot. Банальным увеличением номером порта для NAT уже > никого не удивишь и тем более не остановишь от того же > самого брут-форса или перебора паролей по словарю, или использования каких-либо уязвимостей Ну тогда и ничего не надо городить. Пробрасывайте порты, только фаер настройте хорошо. На FreeBSD/PF используйте source tracking.
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "безопасный доступ из Инернет к внутреннему почтовмому сервису"	+/–
Сообщение от Аноним (??) on 26-Окт-12, 04:33
>  Необходимо организовать максимально безопасный доступ к  внутреннему [...] серверу В таком случае забей на всё что сверху насоветовали и поднимай VPN.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	7. "безопасный доступ из Инернет к внутреннему почтовмому сервису"	+/–
	Сообщение от ALex_hha (ok) on 27-Окт-12, 15:55
	> В таком случае забей на всё что сверху насоветовали и поднимай VPN. т.е. настраивать VPN каждому надомнику по вашему хорошая идея?
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	8. "безопасный доступ из Инернет к внутреннему почтовмому сервису"	+/–
	Сообщение от PavelR (ok) on 27-Окт-12, 16:21
	>> В таком случае забей на всё что сверху насоветовали и поднимай VPN. > т.е. настраивать VPN каждому надомнику по вашему хорошая идея? безопасность и удобство - находятся на противоположных сторонах. Но, "обычный" pptp, на мой взгляд, добавит мало безопасности, особенно при доступе ко внутреннему почтовому сервису. Хотя, всё зависит от грамотности и реальных целей. ИМХО, надо остановиться на SSL-соединениях при доступе, не SSL - не предоставлять.
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	9. "безопасный доступ из Инернет к внутреннему почтовмому сервису"	+/–
	Сообщение от Аноним (??) on 28-Окт-12, 05:53
	>> В таком случае забей на всё что сверху насоветовали и поднимай VPN. > т.е. настраивать VPN каждому надомнику по вашему хорошая идея? По моему - да. Ибо потом всё равно захотят доступ к внутреннему хранилищу\CRM\ERP\surviliance\телефонии\конференциям\хрена_лысого. Если перец квалифицирован как ремотный, сразу ему на лаптоп клиента выбранного vpn.
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема