Архив форумов ЦИТФорума

[delon]

Приветствую всех.

Прошу неравнодушных покритиковать варианты размещения корпоративного почтового сервера с точки зрения безопасности.

Вариант А. Почтовый сервер размещен внутри сети (intranet), выгребает у провайдера почту по POP3, шлет по SMTP. Юзеры ходят на сервер по SMTP/POP3 внутри intranet, все они внутренние (их доступ внутрь из internet не нужен).

Вариант Б. Почтовый сервер размещен в DMZ, шлет и принимает по SMTP (от кого-попало?). Юзеры ходят на сервер по SMTP/POP3 через канал на прокси, все они внутренние (их доступ внутрь из internet не нужен).

Насколько проигрывает безопасность при варианте Б из-за открытия портов в internet? Других причин светить себя в инете вроде нет.

Структура сетей:
-------------------------
Между intranet и internet стоят прокси-сервер (напр. WinGate) и firewall (напр. CheckPoint FW-1 или нечто аппаратное).

Internet --> Firewall --> Proxy --> Intranet
Internet --> Firewall --> DMZ
-------------------------

Спасибо откликнувшимся.

[and3008]

Если вы новичек в сетях, то проще вариант А.
Если вы хорошо разбираетесь в сетях, то вариант Б.

Безопасность и в том и в другом случае напрямую зависит от вашей квалификации. Во всех учебниках и руководствах рекомендуют вариант Б.

Замечания по варианту А:
Забирать почту будете по протоколу RPOP. Прямая зависимость от провайдера. Если у него почтовый сервер навернется, то потеряеете почту и вы. "Соскочить" с провайдера в случае неудовлетворения его услугами будет сложнее. Могут возникруть проблемы с масштабируемостью.

Замечания по варианту Б:
Ваш почтовый сервер будет уязвим откуда угодно. На него очень просто устроить DOS-атаку, но у вас гораздо больше свободы действий. Можете провайдера поменять в любой момент, можете кластер почтовый сделать, если надо. В общем полная свобода действий.