Postfix AUTH
Radek Tománek
rtomanek at epark.cz
Sun May 6 12:54:51 CEST 2007
No to zalezi na nazoru a na tom, proc to vlastne delate. Ja vychazim z toho,
ze jde o firmu (exchange) a jeji mobilni zamestnance. Pokud to tak je,
myslim, ze chranit svet pred spamem z vlastnich rad az tak moc nemusite,
nehlede na to, ze ten exchange stejne potom postu odesila pres ten postfix,
ktery tedy zrejme vykovana antispamovou a antivirovou kontrolu odesilane
posty, cili stejne ta posta prez nej projde.
Vzhledem k pozadovane funcnosti a narocnosti/jednoduchosti nastaveni a
bezpecnosti/nebezpecnosti bych to udelal tak, jak jsem naznacil v minulem
prispevku.
Co vam tedy brani v tom klientum nastavit VPN spojeni do firemni site? Potom
odesilate stale "zevnitr" a nemusite nic takoveho resit. Bezpecnost by byla
myslim dostatecna.
RaT.
-----Original Message-----
From: users-l-bounces at freebsd.cz [mailto:users-l-bounces at freebsd.cz] On
Behalf Of Jan Dusatko
Sent: Sunday, May 06, 2007 12:26 PM
To: 'FreeBSD mailing list'
Subject: RE: Postfix AUTH
> Aha. TAkze vy chcete, aby autentifikaci udelal postfix a informaci o tom,
ze je klient autentifikovan predal exchangi. To je podle me zbytecne
slozite, ale asi by to take nejak slo. Osobne bych to udelal tak,ze
autentifikaci smtp provadi exchange, takze tam vubec nemusite zatahovat
postfixe.
Prave ze Postfix do toho zatahovat musim. Pokud mi dela postfix antispamovou
kontrolu, posazeni SMTP Exchange na jiny port pro "relay" posty nic neresi.
Ze zhruba 20 nebo 21 znamych moznosti se SMTP Exchange dokaze branit jenom
15 (nekdy si zkuste sice trivialni, ale ucinny "telnet
relay-test.mail-abuse.org"), to znamena moznost jak se ze serveru zakaznika
muze stat Open Relay. Navic, otevreny port a "druha" nehlidana cesta je
podle meho nazoru nejcastejsi a zakladni provineni se proti pravidlum
bezpecnosti. To znamena jedna kontrolovana cesta, pripadne dve cesty se
stejnymi pravidly a jednou spravou. Nerad delam kompromisy, zvlast v teto
otazce. Nutnost verifikovat existenci uzivatelu a jejich authentizaci
nakonec budu muset patrne resit pres LDAP a scripty, jak se zda, prime SASL
spojeni Postfix a Exchange je nerealne.
Honza
--
FreeBSD mailing list (users-l at freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l
More information about the Users-l
mailing list