Mails vom WAN abfragen lassen

[mcdaniels]

Hallo zusammen!
Ich hab eigentlich eine "ganze simple" Frage. Wenn man einen Mailserver hat der eigentlich nur vom Intranet her den Mailabruf (imap/pop) erlaubt, welche Wege gäbe es, um einen Abruf der Emails vom WAN her möglichst sicher zu realisieren.

Bei Clients mit statischer offizieller ip hab ich bislang immer eine entsprechende Rule in der Firewall gesetzt. Bei Clients die mit dynamischer offizieller IP "daherkommen", sieht dies natürlich anders aus.

Hoffe auf eure Tips!

Vielen Dank!

LG
Daniel

[syssi]

Einen VPN-Server aufsetzen und die "Aussendienstmitarbeiter" zwingen dieses zu nutzen. Alles andere traegt nicht wirklich zur Sicherheit bei.

[Huck Fin]

OpenVPN bietet sich hier an.
Es gibt sowohl eine Linux-Version (auch für Debian) als auch eine für Windows.

[uname]

Ich denke openVPN ist eine sehr schöne Lösung. Die Frage ist eigentlich nur ob man diese auch durchsetzen kann. Spätestens wenn die E-Mails auch auf mobilen Geräten wie Smartphones benötigt werden könnte es schwierig werden. Auch kann das "Ziehen" von E-Mails selbst durch openVPN ein Problem darstellen, wenn anschließend die vielleicht vertraulichen E-Mails auf virenverseuchten oder unsicheren Privat-PCs einfach rumliegen.
Privat bin ich zu SSL-Webmail übergegangen. Ich sehe keinen Grund warum E-Mail nicht ein normaler Cloud-Dienst ist. Die Authentifizierung über Benutzer und Passwort ist ein Risiko. Wichtig ist daher, dass SSL-Verschlüsselung zu jedem Zeitpunkt erzwungen wird. Wünschenswert bei SSL-Webmail wären noch zusätzliche SSL-Clientzertifikate bzw. Einmalpasswörter z.B. auf Basis von opiekey (siehe auch opie-server). Vielleicht liest ja ein Hoster mit und baut daraus eine neue Geschäftsidee.

[mcdaniels]

Hallo,
genau - der Knackpunkt sind Smartphones. Somit kann man das Ganze also auf "erzwungenes" SSL "runterbrechen". OpenVPN ist auf Clients sicher auch ein gute Lösung.

LG und Danke!

Daniel

[hec_tech]

Naja ich würde mal sagen das kommt ganz die verwendeten Smartphones an. Manche können OpenVPN und andere nicht.
Du willst hier Sicherheit schaffen aber auf der anderen Seite gibst du den Usern mit eventuell verseuchten Computern mit OpenVPN Zugriff auf das Netzwerk. Alternativ kannst du natürlich den Usern nur Zugriff auf den Mailserver geben.
Ein anderes Problem ist die Authentifizierung mit OpenVPN. Hier würde ich nur Zertifikatsbasierte Auth zulassen mit Passwortgeschützten Privatekey. Denke daran dass Benutzer oft so blöd sind die Zertifikate zu verlieren und ähnliches. Die besonderen Spezialisten haben dann das PW in einer Textdatei beim Zertifikat gespeichert. Auf sowas hat man als Admin leider keinen Einfluss.
Ich würde auch überlegen einfach den Zugriff auf IMAP von extern zulassen. Natürich nur SSL bzw TLS verschlüsselt. Alternativ gibt es auch Webmail. Wenn der Server gut abgesichert ist sollte das eigentlich kein Problem darstellen. Sind die Daten jedoch so sensibel dass jeder Einbruch in den Server zu massiven Problemen führt, würde ich überlegen ob der Luxus von Remotezugriff wirklich zielführend ist.

[mcdaniels]

Hallo,
es handelt sich zwar um keine hochsensiblen Daten, dennoch ist eine entsprechende Absicherung nötig. Ich hab mich bislang immer dagegen gewehrt, den Mailserver (unnötig) nach extern zu öffnen. Die Smartphone-Nutzer schreien jedoch immer lauter nach einer entsprechenden Lösung.

Zur Realisierung sollen möglichst keine Kosten anfallen.

LG
Daniel

[Huck Fin]

Um den Tread nochmal aufzufrischen...

Zum einen würde mich interessieren, wie das mit erzwungenem SSL funktioniert.
Die Smartphones halt...
Gibt es da ein Howto für ?

Zum zweiten würde ich gerne mein VPN verändern.
Meine normale LAN-Karte hat eine IP im Bereich 192.168.22.x
Mein VPN 10.0.0.x
Wenn ich unterwegs bin, möchte ich auf alles zugreifen können.
Momentan erreiche ich den Server von aussen nur über IP 10.0.0.10
Ich würde aber gerne das gesamte Netzwerk erreichen IP 192.168.22.x
Was muss ich denn da in die VPN-Config schreiben ?

[hec_tech]

Also um ssl zu erzwingen setzt du beim imap folgende option:
disable_plaintext_auth = yes
Damit lasst der Server keine Authentifizierung zu solange kein ssl verwendet wird.
Alternativ du deaktivierst überhaupt den imap und lasst du den imaps laufen. Funktioniert aber nur solange wie du keine anderen Auth-Mechs als Plain oder Login hast. Bei CRAM-MD5 usw funktioniert die Einstellung nicht mehr.

Für dein VPN brauchst du in der Serverkonfiguration den Befehl
push "route 192.168.22.0 255.255.255.0"; vorausgesetzt dass du ein /24 Netz verwendest.
Die Clients sollten pull in der Config haben.
Allerdings musst du noch das Routing bzw Nat am VPN Host aktivieren. Das ganze funkttioniert mit IPTables.
Dazu solltest du im Forum genug dazu finden.

[Huck Fin]

Hi,
ich habe in der /ect/dovecot.conf
disable_plaintext_auth = yes
so eingestellt.

Wie kann ich das denn nun testen ?
Mein Client (thunderbird) verbindet sich mit- und ohne verschlüsselung.
Kann ich das irgendwie testen, ob es nun so richtig eingestellt ist ???

[hec_tech]

Schau doch einfach in die logs bzw stell deinen thunderbird auf no ssl
Dann solltest du keine Verbindung bekommen

[Huck Fin]

In der Log steht plain text
nanu
aber ich hab noch nen Punkt gefunden in der dovecot.conf

mechanism = plain text
muss ich das auch umstellen ?

[hec_tech]

Mach doch den Test so wie ich es geschrieben habe:
Deaktiviere SSL bzw TLS im Thunderbird und schau ob du eine Verbindung zusammenbekommst.
Die mechanism options lass bitte in Ruhe. Wobei was hat da bitte text verloren. Da sollte wenn plain login stehen.

[Huck Fin]

Ist etwas schwierig mit Testen, da Avast installiert ist.
Muss mal schauen, ob man das abschalten kann.

nachtrag:
Also... scheint zu gehen.
Ich bekomme nen Fehler im t-bird wenn ich kein TLS verwende
Reicht das als Schutz aus, wenn ich den Port 143 + 25 nun im Router freischalte ?
Der Server hat eine no-ip Adresse.
Nicht, dass ich die Büchse der Pandora öffne

[hec_tech]

Nachdem ich die komplette Konfiguration nicht kenne kann ich dir dazu nichts sagen.
Auf jeden Fall gehört so ein Mailsystem mit Nagios überwacht. Überwach die mailq usw.
Ja genau außer den 2 Ports alles zu.
Schau dass dein Postfix ja nicht als open relay arbeitet. Schau dir noch mal die smtp bwz smtpd restrictions an.
Aja und falls du was gegen Spamschleudern hast so wie ich installiere auch jeden Fall Postgrey. Damit haltest du ca. 90% ab.

[Huck Fin]

Ich sehe schon, ich muss mich noch etwas mit dem Thema beschäftigen.
Der Mailserver läuft schon ne Zeit lang.
Aber wie gesagt will ich den Clients und Smartphones ermöglichen von aussen auf die Mails zuzugreifen.
Aber Sicherheit geht vor.
HTTPS und VPN Ports habe ich schon lange im Router offen.
Aber Mailserver ist schon etwas komplexer.

[Huck Fin]

So,
habe mal ne Frage.
Ich habe in der /etc/postfix/main.cf

Code: Alles auswählen

postconf -e smtpd_sasl_type=dovecot
postconf -e smtpd_sasl_path=private/auth
postconf -e smtpd_sasl_auth_enable=yes
postconf -e smtpd_recipient_restrictions=" \
  permit_mynetworks \
  permit_sasl_authenticated \
  reject_unauth_destination"

und in der /ect/dovecot.conf

Code: Alles auswählen

disable_plaintext_auth = yes

eingestellt.

Nun habe ich den Port 993 + 587 in der Firewall geöffnet und es funzt soweit.

Kann ich irgendwie testen, ob ich richtig abgesichert bin ?
Gibt es da einen onlinetest für meine no-ip adresse ???

[hec_tech]

Welche Firewall setzt du ein? Etwas was ich dir ans Herz legen kann gegen unbeliebte Leute heißt snort. Ist zwar auch kein Wunderwerk für den 100%igen Schutz aber hilft recht gut. Logs analysieren und Nagios checks sind die Grundregeln um schnell eingreifen zu können. Mailq auf alle Fälle überwachen. Ich hatte erst vorgestern so einen Spaßvogel der per bruteforce alle möglichen Passwörter probiert hatte an meinem Postfix. Solange das nur von einer IP passiert kann man solche Leute recht einfach mit der FW sperren. Aja und noch ein kleiner tipp: sperr folgende ip netze: 218.90.0.0/16, 218.91.0.0/16, 218.92.0.0/16, 218.93.0.0/16, 218.94.0.0/16. Damit haltest du dir die Chinesen vom Hals. Die bereiten dir sonst nur Arbeit!

Aja ich gib dir mal meine alten smtpd_recipient_restrictions:
smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_non_fqdn_hostname, reject_non_fqdn_sender, reject_non_fqdn_recipient, reject_unauth_destination, reject_unauth_pipelining, reject_invalid_hostname, reject_unknown_sender_domain, reject_rbl_client zen.spamhaus.org, reject_rbl_client list.dsbl.org, reject_rhsbl_sender dsn.fc-ignorant.org, check_policy_service inet:127.0.0.1:60000, permit

Installier dir postgrey das haltet dir 90% des spams ab. Ist das policy service am ende!

[Huck Fin]

Hi,
also postgrey bringt mir nichts.
Ich habe nen lokalen Mailserver.
Der holt Mails bei einem einzigen Provider ab und sendet auch nur über einen Provider.
Wenn ich diverse Mails nicht abhole, läuft das Postfach voll.

Nach extern absichern werde ich mit ossec oder fail2ban.
Ich ziehe mir mal noch ein paar Howtos rein.
Dann melde ich mich wieder.