Postfix AUTH
Radek Tománek
rtomanek at epark.cz
Sun May 6 16:00:17 CEST 2007
No, rozhodl jste se jit tou slozitejsi cestou, OK, je to vase volba. Co se
tyce toho spamu, nevim, jak by muj navrh mohl ohrozit vasi firmu spamem -
server neprijme postu od nikoho, kdo neni autentifikovan, coz by spammer s
vysokou pravdepodobnosti nebyl. Ale vasi situaci asi znate lepe nez ja ( co
jsem schopen si vydedukovat z vaseho popisu problemu).
Pokud byste byl ochoten prijmout jiny scenar, OK, na brane vytvorte
uzivatele (jednoho nebo vice), jehoz pomoci budete autentifikovat klienty na
postxifu (nebude mit nic spolecneho s jakymkoli uzivatelem v domene) a
Exchange muze automaticky postfixu duverovat. Reseni to sice neni optimalni
z hlediska elegance (ale o to vam asi nejde), ale jednoduche na nastaveni a
ucel splni. Nemusite pres LDAP svazovat postfixe s doménou.
Aby fungovala SMTP autentifikace, musite nainstalovat Cyrus SASL. Pak se ale
zase dostavate do sitace, kdy by to chtelo TLS....
RaT.
-----Original Message-----
From: users-l-bounces at freebsd.cz [mailto:users-l-bounces at freebsd.cz] On
Behalf Of Jan Dusatko
Sent: Sunday, May 06, 2007 1:07 PM
To: 'FreeBSD mailing list'
Subject: RE: Postfix AUTH
> No to zalezi na nazoru a na tom, proc to vlastne delate. Ja vychazim z
toho, ze jde o firmu (exchange) a jeji mobilni zamestnance. Pokud to tak je,
myslim, ze chranit svet pred spamem z vlastnich rad az tak moc nemusite,
nehlede na to, ze ten exchange stejne potom postu odesila pres ten postfix,
ktery tedy zrejme vykovana antispamovou a antivirovou kontrolu odesilane
posty, cili stejne ta posta prez nej projde. Vzhledem k pozadovane funcnosti
a narocnosti/jednoduchosti nastaveni a bezpecnosti/nebezpecnosti bych to
udelal tak, jak jsem naznacil v minulem prispevku.
> Co vam tedy brani v tom klientum nastavit VPN spojeni do firemni site?
Potom odesilate stale "zevnitr" a nemusite nic takoveho resit. Bezpecnost by
byla myslim dostatecna.
>
> RaT.
Samozrejmne, VPN by byla idelani. Protoze to jsou ale pouze lidi, kteri radi
pouzivaji co nejjednodussi zalezitosti, primy provoz je pro ne nejjednodussi
(nejmene omezuje jejich praci). Druha zalezitost, nebranim pred spamem z
vlastnich rad, ale branim firmu. To znamena zajistit jeden bod pro pristup
pro snadnejsi spravu, provadet zde jak antispamovou tak antivirovou kontrolu
posty, zablokovat neautentizovany relaying (vcetne anonymous) atd. S
vyjimkou sifrovanych spojeni jako jsou i ostatni sluzby reseny podobne
(napr. kombinace SQUID, HAVP, ClamAV a DansGuardian).
Pokud se lide nauci pouzivat VPN a nebude to omezovat provz spolecnosti, pak
ji mohou vyuzivat. Je jedno jestli OpenVPN nebo MS P2PTP, kazdopadne pro
uzivatele je druha verze pohodlnejsi. Ale jde o to maximalni bezpecnost pri
minimalni sprave a dopadech na provoz firmy.
Vase varianta ma svoje klady, ja osobne jsi ale nejsem ochoten prijmout
prave pro existenci druheho portu, ktery lze zneuzit zpusobem, popsanym v
minulem e-mailu.
--
FreeBSD mailing list (users-l at freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l
More information about the Users-l
mailing list