Wie sicherheitsrelevant / -kritisch sind Portweiterleitungen zu sehen?

[bodensee]

Hallo,

ich überlege mir gerade, wie sicherheitskritisch eine Portweiterleitung auf einen Mailserver zu sehen ist.
Das Szenario ist eine AVM FritzBox 7390 oder 7490 als Verbindung zum Internet, dahinter ein Synology NAS auf der ein Mailserver betrieben werden soll. Bei einer vorhandenen Domain kann der MX Eintrag auf DynDNS oder MyFritz geändert werden. Somit landet man ja "vor" der FB. Nun setzt man entsprechende eine Portweiterleitung z.B. für port 25 auf das Sysnology NAS und die Mails landen dann auf dem Mailserver.

Nun steht aber die Synology z.B. im Netzwerk einer kleinen Bürogemeinschaft, also keine private Nutzung. Wie würden die Experten hier das Sicherheitsrisiko einschätzen?

Um ehrlich zu sein, bin ich mir selbst recht unschlüssig. Normalerweise kenne ich Mailserver so, dass einer über das Internet erreichbar in der DMZ der Firewall steht und Mails annimmt oder auch nciht und sie dann ggf. an den internen Mailserver weiterleitet.
So etwas ist natürlich etwas zu groß für ein Büro mit fünf Arbeitsplaätzen - oder doch besser, weil sicherer?

Ich würde mich sehr über Infos und Meinungen freuen. Schon jetzt vielen Dank.

Da ich kein passenderes Unterforum gefunden habe, poste ich den Beitrag hier. Sollte ich ein Forum zum Thema Sicherheit übersehen haben, bitte verschieben.

sonnige grüsse
vom bodensee

 

[Frogman]

...ich überlege mir gerade, wie sicherheitskritisch eine Portweiterleitung auf einen Mailserver zu sehen ist.

Keine Weiterleitung, keine Mails bekommen - so einfach ist das. Und wenn der Server soweit korrekt konfiguriert ist, ist eine Weiterleitung von Port 25 auch nicht sonderlich bedenklich im Vergleich zu anderen Diensten.

 

[bodensee]

Keine Weiterleitung, keine Mails bekommen - so einfach ist das. Und wenn der Server soweit korrekt konfiguriert ist, ist das auch nicht sonderlich bedenklich im Vergleich zu anderen Diensten.

Danke für die Info. Die Alternative wäre eben die Mails beim Provider zu lassen. Der Nachteil ist aber, dass man dort kein Backup hat, was man mit der Synology einfacher konfigurieren könnte.
Würdest Du so einen mailserver außer bei Dir selbst, irgendwo im geschäftlichen Umfeld einsetzen?

 

[Frogman]

Nun ja, im geschäftlichen Umfeld gelten hohe Hürden - jedenfalls dann, wenn es in Richtung Rechtssicherheit bzw. Belegfähigkeit geht. Dein Provider hat ja meist schon ein Backup, da dort sicherlich für die Datenhaltung redundante Systeme eingesetzt werden. Letztlich ist es eine Frage, wie vertraulich die Daten im geschäftlichen Umfeld sind und was Du sicherstellen musst - wenn es denn in den eigenen 4 Wänden sein soll und Du da unerfahren bist, solltest Du Dir kompetente Unterstützung holen. Technisch gesehen kann aber der Synology-Mailserver für Grundbelange schon ausreichen.

 

[bodensee]

Nun ja, im geschäftlichen Umfeld gelten hohe Hürden - jedenfalls dann, wenn es in Richtung Rechtssicherheit bzw. Belegfähigkeit geht. Dein Provider hat ja meist schon ein Backup, da dort sicherlich für die Datenhaltung redundante Systeme eingesetzt werden.

Sollte man meinen. Nur schliesst das z.B. eine mutwillige Löschung von Mailkonten aus. Ich habe hier einen Fall gehabt, Business Service des rosa Riesen und man sollte meinen, dass Business Service nicht einfach nur mehr kostet, sondern auch mehr Service bietet. jedenfalls gibt es aus Anwendersicht keine Option zur Sicherhung von Mails. Eine unbekannte Person löschte hier also kürzlich alle Mailkonten. Das komplette Mailarchiv futsch.

Letztlich ist es eine Frage, wie vertraulich die Daten im geschäftlichen Umfeld sind und was Du sicherstellen musst - wenn es denn in den eigenen 4 Wänden sein soll und Du da unerfahren bist, solltest Du Dir kompetente Unterstützung holen. Technisch gesehen kann aber der Synology-Mailserver für Grundbelange schon ausreichen.

In dem Fall meiner Anfrage läuft seit drei Jahren ein Postfix Mailser auf Linux - bisher hinter einer Firewall (ipCop). Das Konstrukt ist veraltet und soll eben nun ersetzt werden. Firewall und Router durch eine große FritzBox ersetzt werden, ebenso der Server durch eine Synology. Stromsparen ist hier der Punkt ;-)
Jedenfalls ist ja ein "durchreichen" durch eine Firewall letztendlich auch nichts anderes, wie eine Portweiterleitung des entsprechenden Protokolls - vereinfacht ausgedrückt. Nur leider kann man an einer FritzBox keine Filter setzen bei der Portweiterleitung, so dass man z.B. hätte sagen können, dass nur Mails vom Provider über Port 25 weitergereicht werden dürfen.

 

[g202e]

Eine unbekannte Person löschte hier also kürzlich alle Mailkonten.

Wo hat der gelöscht? Wohl kaum auf den Mailservern der Telekom!

Mailser auf Linux - bisher hinter einer Firewall (ipCop). Das Konstrukt ist veraltet......Stromsparen ist hier der Punkt

Naja, man muss halt die richtigen Prioritäten setzen. Warum Linux/ipCop veraltet sein soll, ist nur schwer nachzuvollziehen; es geht NUR ums Stromsparen...

ist ja ein "durchreichen" durch eine Firewall letztendlich auch nichts anderes, wie eine Portweiterleitung des entsprechenden Protokolls

Naja, mit einer Firewall kann man schon ein wenig mehr veranstalten, als nur Ports durchleiten.

Nur leider kann man an einer FritzBox keine Filter setzen bei der Portweiterleitung, ...dass nur Mails vom Provider über Port 25 weitergereicht werden dürfen.

Dafür gibt es doch wohl Filter auf dem Mailserver. Es gehört nicht zu den Aufgaben einer Router-Firewall, Emails nach Inhalt oder Absender zu filtern. Wie soll das auch funktionieren?
Sowieso, wieso willst du nur Mails von deinem Provider empfangen? Habt ihr eine soo intensive Kommunikation untereinander?

 

[bodensee]

Wo hat der gelöscht? Wohl kaum auf den Mailservern der Telekom!

Doch über die webpages.

Warum Linux/ipCop veraltet sein soll, ist nur schwer nachzuvollziehen; es geht NUR ums Stromsparen...

Sorry, da habe ich mich wohl missverständlich ausgedrückt. Die Maschinen sind veraltet und es ist eben die Frage ob man neue Rechner für Server und Firewall anschaffen will oder es einfacher löst und eben hier kommt der Gedanke bezüglich des Stromsparens.

Naja, mit einer Firewall kann man schon ein wenig mehr veranstalten, als nur Ports durchleiten.

Das ist mir klar, darum schrieb ich auch vereinfacht ;-)

Wie soll das auch funktionieren?

Dass zum Beispiel nur eine bestimmte IP Adresse oder -range einliefern darf. Hier nur die vom Provider.

Sowieso, wieso willst du nur Mails von deinem Provider empfangen? Habt ihr eine soo intensive Kommunikation untereinander?

Einmal wegen dem Backup. Gut, da gäbe es auch noch andere Möglichkeiten, dass man den einzelnen Client sichert. Aber dann ist die Internetanbindung ein Problem. Es macht einen Unterschied ob der Client bei großen Mailanhängen seine zeit benötigt um zu senden oder empfangen vom oder zum Provider oder ob man einen mailserver hat, der sich darum kümmert. Und ja, die Zeit bleibt die gleiche, jedoch wäre der Client nicht blockiert - darum geht es.

 

[Frogman]

Doch über die webpages.

Kannst Du das mal näher erläutern?

...Die Maschinen sind veraltet und es ist eben die Frage ob man neue Rechner für Server und Firewall anschaffen will oder ...

Wo doch aber die HW-Anforderungen dafür sehr übersichtlich sind... Wie alt sind die denn?

...Dass zum Beispiel nur eine bestimmte IP Adresse oder -range einliefern darf. Hier nur die vom Provider.

Das kann jede gute Firewall ohnehin - und auch die DS-Firewall kann das inzwischen leisten.

 

[g202e]

Doch über die webpages.

Kannst Du das mal näher erläutern?

Würde mich auch interessieren, wie man über Webpages Mailkonten bei der Telekom löschen kann...

 

[bodensee]

Kannst Du das mal näher erläutern?

Obwohl es ja eigentlich egal ist, weil es nicht zum Thema gehört, über die benutzerverwaltung von webpage.t-com.de
ich schrieb bereits, business Service, nicht die Hausfrauentarife ;-)

Wo doch aber die HW-Anforderungen dafür sehr übersichtlich sind... Wie alt sind die denn?

Server lief jetzt vier Jahre non stop durch, ist auch abgeschrieben und da tauscht man normalerweise aus. Es macht keinen Sinn, wenn in einem halben jahr der Raidkontroller die Grätsche macht.

Das kann jede gute Firewall ohnehin - und auch die DS-Firewall kann das inzwischen leisten.

Dann würde aber alles auf einem Gerät laufen, was auch nciht unbedingt gewünscht ist.

 

[Frogman]

Obwohl es ja eigentlich egal ist, weil es nicht zum Thema gehört, über die benutzerverwaltung von webpage.t-com.de
ich schrieb bereits, business Service, nicht die Hausfrauentarife ;-)

Na, auch wenn's nicht zum Thema gehört... - Du willst uns jetzt sagen, dass "Jemand" unberechtigt über die Benutzerverwaltung Deine ganzen Mailkonten gelöscht hat?

Dann würde aber alles auf einem Gerät laufen, was auch nciht unbedingt gewünscht ist.

Was aber Deinem Ansatz nach Stromsparen ziemlich entgegensteht, wenn Du jetzt jede Komponente über separate Geräte abbildest... - so viel hat sich da nicht getan in den 4 Jahren, seit Dein "altes" Equipment in Dienst ging.

 

[bodensee]

Na, auch wenn's nicht zum Thema gehört... - Du willst uns jetzt sagen, dass "Jemand" unberechtigt über die Benutzerverwaltung Deine ganzen Mailkonten gelöscht hat?

Unberechtigt in dem Sinn, als dass er nichts mit der Administration zu tun hat und sich die Zugangsdaten angeeignet hat. Der springende Punkt ist aber, dass es über webpage keine Möglichkeit zum Backup gibt.

 

[Frogman]

Unberechtigt in dem Sinn, als dass er nichts mit der Administration zu tun hat und sich die Zugangsdaten angeeignet hat.

Mit admin-Zugangsdaten kann Dir das auch mit jedem anderen Mailserver passieren, auch auf der DS.

 

[bodensee]

Mit admin-Zugangsdaten kann Dir das auch mit jedem anderen Mailserver passieren, auch auf der DS.

Das ist schon klar. Wie gesagt darum geht es auch nicht. Aber z.B. versehentlich gelöschte Mails oder rechtliche Anforderungen usw.

 

[Ameisentaetowierer]

Da ich persönlich auch kein Freund davon bin, meine DS direkt aus dem Internet zugänglich zu machen, habe ich mir noch einen Banana-PI zugelegt.
Das macht die Angelegenheit zwar grundsätzlich aufwendiger, aber Sicherheit ist nie ohne Geld/Aufwand zu bekommen.
Und nebenbei macht's auch noch Spaß