SMTP Gateway in der DMZ platzieren

[majoo]

Hallo Zeitgenossen,

ich wollte die erfahrene Admins unter euch mal fragen wie bei euch die Dominowelt strukturiert ist.

Ich habe momentan unsere Notesserver noch in der DMZ plaziert.
Es wird zwar von unserer Netztechnik ein sichere Reklementierung garantiert aber trotzdem habe ich vor die Dominoserver ins interne Netz zu holen und in der DMZ nur noch ein SMTP Server zu platzieren, der dann die Mails nur noch durchschaufeln.

Da ich sehr stark aus der Microsoft-Ecke komme plane ich dafür eine W2003 Server. Nun überlege ich als SMTP Server den von W2003 zu nehmen oder einen Domino zuverwenden. (Ich hoffe auf Tipps)

In Zukunft plane ich auch noch Aufgaben wie Mail-Virenschutz, SPAMfiltering, und Verschlüsselung auf diesem vorgeschalteten Server zu betreiben. Diese Aufgaben werden momentan durch TrendMicro direkt auf dem Server erledigt. (Ausser Verschlüsselung)

Da ich das Rad nicht neu erfinden möchte, wäre ich sehr dankbar, wenn ihr mir Beispielstrukturen aufzeigen könntet.

Danke und Gruß
majoo

[Hoshee]

Yoo,

ich würde mich immer davor scheuen was auch immer für ein M$-System in die DMZ zu stellen. Nimm da lieber ein Linux mit sendmail.

Unser Weg für Mails sieht wie folgt aus:

1. Linux sendmail in der DMZ
2. InterScan VirusWall auf W2K (intern)
3. Lotus Domino mit Group securiQ (TrendMicro Virenscanner)

Der Betrieb von zwei unterschiedlichen Virenscannern hat sich bei uns als Vorteilhaft erwiesen, da bei aktuellen Viren mal der eine und dann der andere Hersteller schneller neue Pattern zur Verfügung stellt.

Gruss ...

Hoshee

[MartinG]

Prinzipiell hast Du schon Recht Hoshee - wenn man allerdings kein Linux KnowHow hat, dann würde ich schon eine WindowsKiste in die DMZ stellen, ausser Port 25 muss ja nichts nach aussen geöffnet werden und hier sehe ich kein sooooo grosses Problem ob das jetzt eine Windows oder eine LinuxKiste ist. Den MS eigenen SMTP Dienst würde ich allerdings nicht verwenden.

Die Erfahrung zeigt immer wieder das man Linux nur einsetzen sollte wenn man auch etwas KnowHow damit gesammelt hat.

Dein grundsätzlicher Weg ist allerdings genau richtig - den Domino intern zu stellen und in der DMZ nur ein ein Relay zu stellen. Allerdings würde ich auf jeden Fall dort auch auf Viren scannen - viel lieber als auf dem Dominoserver. Diese "Last" würde ich auf jeden Fall vom Dominoserver "verlagern".

Wir haben das genauso und in der DMZ läuft auf diesem Rechner die TrendMicro Viruswall - die neue Version 5.0 läuft auch unter Win2k3 und hat sogar noch ContentFilteriung und einen SPAM Filter drin (bin gerade am Testen und das ganze gefällt mir nicht schlecht). Von F-Secure gibt es auch ein sehr gutes Produkt für diesen Anwendungsfall. Ich bin auch ein Freund davon der zwei Virenscanner bevorzugt. Auf den Arbeitsplätzen haben wir F-Secure und im SMTP, HTTP und FTP Verkehr die TrendMicro Viruswall. Für F-Secure gibt es einen sehr guten dt Vertriebspartner - http://www.niit-tech.de/  (Ansprechpartner Bernd Länge oder Frank Müller) mit excellentem Telefon- und Mailsupport.

Gruss
Martin