Re: Sichere Mailserverumgebung

From: Oliver Fromme <olli(at)lurza.secnetix.de>
Date: Thu, 27 Jan 2005 16:36:19 +0100 (CET)



Marian Hettwer <MH(at)kernel32.de> wrote:


 > Markus Oestreicher wrote:


 > > Marian Hettwer schrieb:


 > > > > ich realisiere gerade eine möglichst sichere Mailserverumgebung für


 > > > > vertrauenswürdige Menschen:-) unter 4.10. Dabei soll die Umgebung


 > > > > folgende Zugriffsmethoden abdecken: IMAP-S, mutt via Shelllogin,



BTW:  Die Shell-Logins gehen hoffentlich in ein oder mehrere


jails.  Ansonsten sollte man das Konzept nochmal überdenken.



 > > > > remote mutt via IMAP-S und Squirrelmail . Die Anzahl der Domains ist


 > > > > limitiert, ca 10 Stück.


 > > > 


 > > > hm, ich könnte mich irren, aber Squirrelmail will laut Konfiguration auf


 > > > einen IMAP Server zugreifen und ich konnte ihn nicht überreden auf einen


 > > > IMAPs server zuzugreifen. Was ärgerlich war ;)


 > > 


 > > In seinem Fall laufen Webmail und IMAP-Server ja auf der gleichen


 > > Maschine. Von daher ist das unkritisch.


 > 


 > nicht wirklich. Ich kann dem dovecot scheinbar nicht sagen, imaps auf 


 > fxp0 und imap auf lo0.



Doch, kannst Du.  Du kannst dovcot sagen, es soll IMAP nur


auf 127.0.0.1 machen (oder auf einer anderen IP-Adresse,


die Du auf lo0 konfiguriert hast).  IMAPS kannst Du dann


ja überall zulassen (»*«); ich wüßte zumindest nicht, warum


man das auf fxp0 einschränken sollte.



 > Wenn ich das könnte wäre es für mich akzeptabel.


 > So müsste ich mit Hilfe von ipfw / pf den Zugriff auf imap von aussen 


 > blocken. Ist in meinem Verständnis unsauber.



Das kannst Du _zusätzlich_ machen, und ich finde das durch-


aus sehr sauber.  Je mehr unterschiedliche Türen ein poten-


tieller Angreifer aufbrechen muß, desto besser.



Wenn Du magst, kannst Du auch noch tcpwrapper benutzen.  :-)



Gruß


   Olli



-- 
Oliver Fromme, secnetix GmbH & Co KG, Oettingenstr. 2, 80538 München
Any opinions expressed in this message may be personal to the author
and may not necessarily reflect the opinions of secnetix in any way.
"C++ is the only current language making COBOL look good."
        -- Bertrand Meyer
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message


Received on Thu 27 Jan 2005 - 16:37:08 CET













search this site