|
Grundsätzlich stellt die DMZ die gleiche Funktionalität wie die Anbindung per SMTP zur Verfügung, verfügt aber über eine erhöhte Sicherheit. Eingehende Verbindungen werden nur bis in die DMZ erlaubt, zwischen den Arbeitsstationen und dem Mailserver steht nochmal eine Firewall/Router, der nur Verbindungen in die DMZ zulässt bzw. zurück von der DMZ ins LAN nur bei TCP_ESTABLISHED, also wenn eine Verbindung von dem LAN in die DMZ angefordert wurde (notwendig bei FTP z.B.)
Wird nun der Mailserver angegriffen und dem Angreifer gelingt es, das System in seine Kontrolle zu bringen, dann kann dieser Angreifer nicht bis in das LAN (das lokale Netz) vordringen.
Wir empfehlen eine DMZ Konstellation, wenn Sie schützenswerte Daten in Ihrem Unternehmen haben und sicher vor Angriffen sein möchten und trotzdem direkt per SMTP mit statischer IP angebunden werden sollen. Die DMZ Konfiguration ist auch mit SmartPOP denkbar, aber sicherheitstechnisch eher unnötig. Um eine DMZ wirklich sicher zu gestalten, sind die Netzwerkkabel, Switches etc. komplett von dem LAN Segment separiert.
Die Konfigurationsübersicht entnehmen Sie bitte nebenstehendem Diagramm.
Da der SMTP Server in dieser Konfiguration von aussen erreichbar ist (in der DMZ), darf dieser nicht als offenes Relay konfiguriert sein, um einen Mißbrauch durch Dritte zu vermeiden. Wenn Sie einen offenen Relayserver benötigen, müssen Sie diesen mit einer internen Zwischennetz-IP versehen, um von dem LAN diese IP anzusprechen. (Das Zwischennetz ist im Diagramm nicht eingezeichnet). 
|
