Mailserver im LAN absichern... wie?

#1 'n Abend zusammen...

hab Freunden vor ein paar Tagen ein Mini-LAN im Officium gebaut und bin jetzt
dabei, die Sache ein wenig zu optimieren. Dazu gehört auch, dass ich den Mail-
verkehr etwas anders regeln möchte - über einen internen Mailserver. Grund: die
Jungs bekommen sehr viele Mails von wenig oder garnicht abgesicherten Systemen
und damit auch jede Menge Viren/Würmer... was bei denen in den ersten zwei
Tagen reinkam, hatte ich die letzten Jahre nicht

Also: so sieht das LAN aus...



Blau ist das LAN, Rot der Mailverkehr wie er bis jetzt läuft, Grün der Mailverkehr
wie ich ihn mir vorstelle. Server Win2003, Clients alle XPpro, Mailserver Mercury auf Win2k, Router Bintec x1200.

Jetzt die Fragen:
Macht es Sinn, den Mailserver in ein anderes Subnetz zu stellen?
Gibt es eine Möglichkeit, POP/IMAP und SMTP quasi on-demand schon auf dem
Server auf unliebsame Besucher zu prüfen, damit ich mir die Prüfung auf den
Clients sparen kann - meine Idee war sowas wie NAV professional für Server?
Die Konfiguration des Mailservers an sich ist kein Problem... muss ich noch
irgendwas auf der LAN-Seite beachten?
Bin ich mit meiner Planung vielleicht auf dem völlig falschen Weg?

Grüße, dicon
__________
Knie nieder NICHTS und danke der Welt, dass sie dir ein Zuhause gibt und dich am Leben hält.

#2 Dicon,

Du hast da ne Menge Möglichkeiten :-)

Also, wenn der grüne Mailserver, der einzige Mialserver sein soll, also der MX Record auf Ihn zeigt, dann würde ich es NIE so machen. Aber ich glaube, Du möchtest den roten auch stehen lassen - was auch 1000 % Sinn macht! Man holt sich keinen Mailserver ins Netz, maximal in die DMZ, wo er als Relay zum internen fungiert.

Um das ganze sicherer zu machen, hast Du nun verschiedene Varianten:

1. Einsatz eines Mailservers, für den es Virenscanner gibt - mir fallen da auf Anhieb Exchange, Lotus Notes und Groupwise ein. Bei Mecury bin ich mir nicht sicher, aber sollte es doch, oder? Zumindest für Exchange würde ich Sybari empfehlen. Der benutzt 6 unterschiedliche Engines und ist somit seehrr zuverlässig.
Die Lösung hat den Vorteil, daß sowohl interne als auch externe Mails beim Transport über den Server geprüft werden.

2. Schutz auf dem Gateway - Sehr viel Schutz in der IT machen wir doch über das Perimeternetzwerk, warum nicht auch den Schutz vor Viren?

2a. Kompletter Verkehr über ein Gateway - Da habe ich schon Lösungen aufgesetzt, bei denen der Komplette Internetverkehr (Mail, HTTP, FTP, ....) über einen Gateway ging - Produkte wie WebWasher und WinPorxy bieten da auch AntiVirus Engines, die SMTP und POP kontrollieren können.

2b. Mailgateway Lösung - Die andere Möglichkeit ist, daß Du nur einen Mailgateway einrichtest - momentan habe ich zum Beispiel den Mailsweeper von Clearswift im Einsatz. Er wird sozusagen als 2. Mailrelay vor den internen Server gehängt und filtert vieles gnadenlos aus. Dafür gibt es auch eine AntiVirusEngíne - einmal von F-Prot oder auch von NAI. Damit kannst DU dann auch Spam, Badword, Attachments .... Filterung betreiben.

Das sind so mal grundsätzlich die Möglichkeiten, die Du hast. Im besten Fall, wenn genügend Geld da ist, solltest 1 und 2 kombinieren - natürlich mit unterschiedlichen Engines - das bringt die meiste SIcherheit. Dabei aber wie immer den Client nicht vergessen - auch da gehört ein Virenscanner dazu!

Hoffe geholfen zu haben!

Robert
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...