Re: Securing mail server

Koba:
[...]
>> sistemi per evitare connessioni 'dirette' dal server sulla dmz al
>> mailserver sulla lan...
>
>Esatto, avevo iniziato a guardare qualcosa sulla sintassi dei comandi
>ETRN e TURN disponibili in alcuni MTA ma nel caso di ETRN dovrei
>specificare un dominio (che non capisco se è quello nel DNS o cosa)
>mentre TURN "sveglia" il server che sarà poi quest'ultimo ad effettuare
>una nuova connessione verso l'ip che ha richiesto il TURN, ma questo
>implica ina connessione diretta tra DMZ e lan, a meno che non si possa
>far passare quest'ultima connessione come RELATED a quella che ha
>iniziato il TURN.

Tutti e due "svegliano" il server, che attiva una nuova connessione per
trasferire la coda di posta. La sola differenza tra i due protocolli e'
che TURN fa aprire la connessione verso l'IP da cui arrivava il comando
(che e' il motivo per cui e' stato abbandonato: consentiva a chiunque di
rubare la posta di un dominio) mentre ETRN fa aprire in ogni caso la
connessione verso un indirizzo IP predefinito.
Nessuno dei due, quindi, risolve il problema di non richiedere connessioni
da DMZ a LAN.
Una soluzione sarebbe il comando ATRN (Authenticated TURN), in cui client
e server si autenticano e poi si scambiano i ruoli, restando all'interno
della medesima connessione originata dal client. Ma mentre sono disponibili
alcuni client ATRN di ottima qualita', sono i server che supportano questo
protocollo ad essere molto pochi, per cui il difficile poi sara' scegliere
il piu' sicuro ...

Saluti


--
Tullio Andreatta          Finmatica S.p.A.    http://www.finmatica.com/
          Sede operativa: Via Sorbanella, 30 - I-25100 Brescia ITALY

Disclaimer: "Please treat this email message in a reasonable way, or we
    might get angry" ( http://www.goldmark.org/jeff/stupid-disclaimers )


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List