[linux] mail+firewall

[Jarry guru]

Stanislav Poljovka wrote:

>> co je vyhodnejsie (z hladiska bezpecnosti na jednej strane a konfiguracie
>> na  druhej):
>> 1. mat na firewalle port forwarding na druhy stroj
>> 2. mat na fw nejaky okliesteny mail server, co by kazdy prichodziu postu 
>> smeroval dalej  na mail server
>
> Nebudem odporucat taky a taky MTA, ale bezpecnostu koncepciu.
> 
> Z bezpecnostneho hladiska by bolo vyhodnejsie:
> 1. postavit na ten FW nejaky mail server, ktory by preposielal iba
> Vasu(e) domenu(y). To by zabezpecilo to, ze si z Vas neurobia Open
> Relay server. 

Hm, nechcem sa hadat, ale vazne si myslis, ze spravit na firewalle (!)
mail server je bezpecnejsie, ako port forwarding???

BTW, dnes uz kazdy mail server (aj ten tolko krat preklinany
sendmail) je standartne nastaveny tak, ze mail-relying funguje
len pre lokalnu domenu.

> 2. Dalej by si mohol urobit nastavenia na zamedzenie prijimania
> od serverov uvedenych v SPAM listoch na Internete.
> 3. Nainstalovat nejaky antivir spolupracujuci so zvolenym mail serverom.

K tomu len taka poznamka:
Nieco podobne som si nastavil pre svoj sendmail s tymi tzv. "check_"
rutinami, ale ten spamlist mi tak narastol, ze zacal spomalovat
spracovavanie posty. Na vytazeny mail-server by som to neodporucal
a uz vobec nie nejaku antivirovu kontrolu (AMaViS, Inflex, atd.).
Hrozi DoS... (nie ten MS- :-)

BTW, kdesi som cital o nebezpecenstve takehoto scanovania:
Totizto nazov suboru (attachementu) moze byt napriklad aj
"-j -y -p filename" (myslene ako jeden retazec). Tymto sposobom sa
da unpakovacu aj scanneru kadeco podstrcit, pretoze to mozu pochopit
tak, ze -j -y -p su prepinace. Dalej asi ani netreba rozvadzat...

Nezavrhujem mta+scanner, chcem len povedat ze to ma svoje + aj -

Jarry


-- 
Sent through GMX FreeMail - http://www.gmx.net