Re: [ml] Re: postfix ed exchange

On Wed, Feb 02, 2005 at 12:07:04PM +0100, Mimmus wrote:

> Scusatemi tutti ma, per quello che ne so, l' approccio "splittato" e' 
> comunemente usato dappertutto: un relay in DMZ ed un server Exchange 

Of course. Si stava dibattendo su "e'  meglio che sia il server in dmz a
connettersi  (tcp) al  server  in  lan direttamente  con  quello che  ne
consegue a livello  di politiche di filtro, oppure e'  meglio che sia il
server in lan a conettersi al  server in dmz ad intervalli periodici per
scaricarsi i nuovi messaggi?"

E' un dibattito ovviamente sterile (la parte di teoria, intendo). Per la
parte pratica  il succo sembra  essere: "non  c'e' niente di  comodo per
utilizzare la seconda opzione (lan -> dmz) con l'architettura che citi".

A quel  punto la  domanda e':  posso accettare il  rischio di  avere una
singola connessione  "controllata" (posso restringere con  certezza ip e
porta da  contattare sulla  lan, posso  sapere che  eventuali attaccanti
devono provenire  dalla dmz, dal  server di posta  o da una  macchina l2
compromessa  con privilegi  elevati)  dalla dmz  alla  lan? La  risposta
spesso e' si, almeno stando alle opinioni passate in lista.

Se  la risposta  fosse  ancora  no, si  possono  fare  degli acrocchi  e
ottenere cmq la seconda soluzione, rendendo piu' complicata la faccenda,
con  quello  che comporta  in  termini  di affidabilita',  linearita'  e
conseguentemente sicurezza.

[Questo   significa   anche:  salvo   novita'/metodi/etc.   tecnicamente
rilevanti per risolvere il "problema" di Daniele, fine del thread]

thnx
Koba (moderazione)