Webmail-Zugang von außen

[mgubler]

Hallo zusammen,

gibt es die Möglichkeit, von einer Webseite auf unseren internen Mailserver zuzugreifen?!?
Bislang geht der Zugriff nur über einen VPN Tunnel.
Aber nett wäre es ja, wenn man über eine Webseite von aussen jederzeit auf seine Mail Zugriff hätte.

Hat schon jemand Erfahrungen damit?

[WernerMo]

Hallo

Aber nett wäre es ja, wenn man über eine Webseite von aussen jederzeit auf seine Mail Zugriff hätte.

= technisch kein Problem, aber wie sieht es mit der Sicherheit aus?
Habt Ihr eine DMZ, dann stelle doch einen (zusätzlichen) Webmail-Server in die DMZ.

Gruß Werner

[MartinG]

  Habt Ihr eine DMZ, dann stelle doch einen (zusätzlichen) Webmail-Server in die DMZ. 

So für die optimale Lösung halte ich das nicht (Aufwand und Sicherheit). Wenn dies unbedingt notwendig ist, dann würde ich SSL-VPN machen.

[WernerMo]

Hallo,

ich hatte den Satz:

wenn man über eine Webseite von aussen jederzeit auf seine Mail Zugriff hätte.

so verstanden, dass es ohne VPN-client und ohne NotesClient von überall und jederzeit funktionieren soll und daher meine Antwort s.o.

Gruß Werner

[MartinG]

SSL-VPN funktioniert ja ohne Client (den Browser würde ich jetzt mal nicht als Client bezeichnen)...

[mgubler]

Wir haben eine DMZ.
Aber ich würde das Ganze gerne ohne VPN machen.
Wir könnte man das denn umsetzen?!?
Hat da jemand eine Idee?

[WernerMo]

Hallo,

einen weiteren Dominoserver für Webmail aufsetzen, der in der DMZ steht.
Evtl. kann man über eine eigene Notesdomäne nachdenken.
Das Verbindungsdokument nur auf der "internen" Seite einrichten.
Auf den Webmailserver nur die benötigten Mailboxen replizieren und vorher die ACLs prüfen.
Http-Task in die notes.ini eintragen.
Anmeldemaske einrichten
vgl.z.B. diesen Fred
http://atnotes.de/index.php/topic,41214.0.html

Gruß Werner

[MrT]

Darf ich mich hier mit meiner Frage anschließen ?


Ist es denn zwingend -notwendig, das man die Mailboxen auf den Webmail Server, welcher in der DMZ steht repliziert ?

Kann man diesen nicht als Durchgangsserver definieren, welcher dann die Mailbox aus dem Domino abruft, welcher im internen Netzwerk steht ?
Ich denke da an den Traveler, der das ja auch macht.

Ich stehe gerade vor dem Problem, das alle Mitarbeiter sich per Webmail einloggen dürfen. Bisher hatte ich nur eine begrenzte Anzahl von Benutzern, wobei ich eine Replik von den Datenbanken hatte. Wenn ich nun alle replizieren müsste, würde es meinen Speicherplatz auf dem DMZ Server sprengen.

Hat jmd einen Tipp für mich, ob und wie man sowas aufsetzt ?

Gruss
Hakan

[eknori]

Kann man diesen nicht als Durchgangsserver definieren, welcher dann die Mailbox aus dem Domino abruft, welcher im internen Netzwerk steht ?

Nein, das funktioniert (leider) nur füpr den Client; bei http(s) geht das nicht.
Alternative: Reverse Proxy

[MrT]

Hallo Ulrich, danke für die Info.

Ich habe folgenden Beitrag in deinem Blog gefunden: http://www.eknori.de/2008-11-23/using-a-reverse-proxy-for-dwa/

Heisst das, mit einem reverse Proxy, brauche ich keinen Domino in der DMZ mehr ?
Auf dem Apache Proxy welcher in der DMZ steht, definiere ich den internen Domino und das wars ?

Wie siehts mit dem DWA Login Page aus, muss der speziell angepasst werden für die Redirection Type ( fixes, dynamic, mailserver ) ?

gruss

[eknori]

Heisst das, mit einem reverse Proxy, brauche ich keinen Domino in der DMZ mehr ?

Richtig

Wie siehts mit dem DWA Login Page aus, muss der speziell angepasst werden für die Redirection Type ( fixes, dynamic, mailserver ) ?

nein

[MrT]

Kurzes Feedback:

Ich habe deine Anleitung befolgt und der reverse Proxy Webserver über SSL funktioniert wie gewünscht.
Jedoch musste ich 2 verschiedene DWA Configs definieren, weil einige User iNotes intern benutzen.

Soweit ich weiß, nutzt du den Traveler auch. Würde das damit auch funktionieren ? Hast du das ggf. getestet und könntest mir die mod_proxy dazu posten ?

Gruss

[crasher-mike]

Hallo, ich habe nach Ulrichs Anleitung einen Reverse Proxy eingerichtet (+https)

Nun habe ich in der Live Umgebung das Problem, dass wenn ich

https://webmail.firma.de/benutzername eingebe ich um eine Authentifizierung gebeten werde, was ja auch in Ordnung ist, und im Anschluss daran auf den gleichen Server (der nicht der Homemailserver ist) redirected werde.

Ein einfaches Beispiel :

https://reverseproxy/pfad/zur/mail/db/db.nsf -> https://INTERNER-MAILserver/pfad/zur/mail/db/db.nsf ->Authentifizierung

Woran kann das liegen ?

Danke im Voraus

Mike

[crasher-mike]

Seltsam, ich habe nun im Serverdokument den redirect von http nach https deaktiviert und nun funktioniert das. Dabei hat die Kommunikation ausschließlich über https stattgefunden......

[crasher-mike]

Hallo, eine Frage noch zu dem Thema.

Kann ich via Policy festlegen ob ein User lediglich den Ultralite Client angezeigt bekommt oder ist das eine Serverseitige Einstellung, welcher Modus beim Verbindungsaufbau via Http(s) dargestellt wird ?

Mein Ziel ist es zu unterbinden, dass einige User in der Lage sind mit mehr Funktionalität zu arbeiten, als der Ultralite Mode liefert. (Genauer gesagt die Iphone User, wenn sie sich per Browser vom PC mit dem Webzugang verbinden)