Re: [ml] Re: postfix ed exchange

> > Se il principale rischio che s'individua e' legato all'accesso a layer 3
> > a _exchange_ in lan dalla dmz, e non all'accesso ad un _servizio_ in lan
> > dalla dmz, una possibile via potrebbe essere di mettere un secondo relay
> > smtp in lan. Dalla dmz, il postfix inviera' la posta a un (per es) qmail
> > (per dire un MTA diverso da quello nella dmz) in lan, e quest'ultimo poi
> 
> Brrr  :) 3  diversi sistemi/3  diversi softwarei/3  diversi pof?  Non mi
> convince molto.
[...]

<versione breve>

Questo commento varrebbe pure per tutte le altre soluzioni proposte (ATRN,
software fetchmail-like e UUCP) tranne quella che non soddisfa nessuno dei 
requisiti richiesti (ETRN) e che, quindi, non e' una soluzione, a rigor di
termini :-)

Il post non era per proporre la Migliore(TM) soluzione per usare exchange,
ma solo una possibile alternativa all'accesso diretto dalla DMZ.

Poi ognuno...

</versione breve>

<versione lunga>

IMHO, a naso, il maggiore aumento della complessita' e dei costi lo si ha,
di gran lunga, con la scelta di mettere exchange in lan ed un'altro MTA in
dmz. Aggiungerne un terzo mi parrebbe il meno, soprattutto se si considera
che dovra' avere una configurazione assai banale. Sempre che inviare posta
da dmz a lan sia una esigenza e non un gioco.

Come dicevo nella parte di post che non hai quotato :-P ci sarebbe aumento
di complessita' e di costi e una diminuzione di affidabilita', rispetto al
caso della consegna da dmz a exchange direttamente. Valutare se, e quanto,
queste variazioni sian piu' o meno preferibili rispetto all'alternativa e'
una cosa che puo' fare solo chi conosca piu' nel dettaglio la realta' dove
dovranno essere implementate le misure e sappia dare un peso ai vantaggi e
agli svantaggi. Altrimenti anche mettere un firewall che divida lan, dmz e
internet comporta un aumento della complessita' e introduce un pof. Non si
dovrebbe fare, quindi? :-)

Inoltre il servizio di posta non ha soltanto questi tre pof. Aggiungere un
MTA aumenta si' i pof, ma non ne aumenta certo il numero del 50%. E un MTA
che faccia solo da relay e che lavori in un ambiente (per lo piu') trusted
penso che abbia un'availability cosi' elevata che mi chiedo quale decimale
della disponibilita' totale subisca variazioni con la sua introduzione :-)

> Senza contare che  se possiamo coinvolgere un  terzo sistema posizionato
> sulla lan, diventa  molto piu' semplice adottare la politica  del "e' la
> lan che si connette alla dmz", per esempio (ma ci sono altri 90 maniere)
> con  un fetchmail  o simile  che  scarica la  posta  dalla dmz  e fa  il
> delivery sul  server reale in  lan 

Intanto non son molto sicuro che sia piu' semplice installare, configurare
e manutenere fetchmail al posto di un MTA che debba fare solo relay. E poi
la scelta non puo' dipendere soltanto da considerazioni sulla semplicita':
e se fosse necessario mantenere funzionale la BCc:? Se ci fosse l'esigenza
di ricevere mailing list? Che peso hanno queste ed altre limitazioni? Solo
chi lo deve implementare lo puo' sapere.

> account,  ma si  puo'  fare), oppure  un etrn  con  una connessione  ssh
> "reverse", etc. etc. etc. etc. etc.

Uhmmm... non mi sembra che ETRN, anche usato in questo modo, cambi le cose:
a tunnel ssh instaurato, il server exchange e' raggiungibile dalla macchina
che esegue postfix. O mi sbaglio? E anche i nquesto caso ci sarebbero delle
osservazioni da fare in tema di complessita, altri software da installare e
configurare ecc ecc, se proprio volessimo essere pignoli :-)

</versione lunga (urka, quant'e' venuta lunga!)>


Fabio