Postlagernd lehnen wir beim Kunden begründet ab. Prinzipell senden man große Daten nicht per E-Mail, sondern per Link auf andere geschützte Wege, z.Bsp. über ein geschütztes CloudDrive wieTeamDrive. Durch die "Postlagernd" Funktion musst du wieder diesen Zugriff aus dem Internet auf den David freigeben....und so dreht man sich im Kreis......
Beiträge von FairItKom
-
-
Das David.InfoCenter kommuniziert mit dem David ServiceLayer per Port 267.
Um mobil bzw. von unterwegs das gewohnte David-Infocenter nutzen zu können wird ausschliesslich Port 267 in Richtung David-Server benötigt. Die Webbox ist dafür nicht noitwendig. -
"Es sind nur Port 143 und Webbox Port mit ca. 5 Usern offen (ohne geo-limitierung)"
Zitat -
Bitte hier folgendes bedenken und das Netzwerkdesign überdenken:
a) IMAP Port 143 ist unverschlüsselt, man kann die Kommunikation somit im Klartext mitlesen.
Kommandos, Befehle, Benutzername und Kennwort werden textbasiert im Klartext übertragen.
Daeshalb wird schon viele Jahre über Port 993 SSL/TLS verschlüsselt kommuniziert
b) Webbox ist ein Webserver der auf Port 80 läuft, in der Standardkonfiguration.
http Port 80 ist ebenfalls unverschlüsselt. Deshalb Weserver Port 443 Https verschlüsselt.
Ganz wichtig:
Ein Server hat mehrere Dienste die über Ports zur Verfügung stellen.Geben ich einen Port per einfaches Port forwarding aus dem Internet auf meinen Server frei - was definitiv heutzutage nicht mehr so administriert werden sollte - dann muss ich damit rechnen, dass sich auf Anfragen aus dem Internet nicht nur meine "David" Dienste angesprochen fühlen. Es stehen sozusagen wesentlich mehr Angriffspunkte im Internet.
Bei vielen kleineren Unternehmen finden wir Installationen, wo ein Server alle Funktionalitäten besitzt (Active Directory, DNS, DHCP, diverse Anwendungen, Mailserver etc.). Dieser "All-in-One" Server steht per Port 80 offen im Internet? - Sicherheit by Design - Strategien und Umsetzungen mussen hier neu entwickelt und umgesetzt werden und das egal in welcher Unternehmensgröße.
Den David-Server eigenständig in einem eigenen Netzwerk isoliert, Routing zum AD-Server nur AD-Anfragen und Authentifirierung. Aus dem PC Netzwerk nur Port 267 in Richtig David-Server....etc.
Abhilfe schaffen:
- Netzwerktrennung ein Muss! Wenn Ihr schon nicht PCs, Server und Drucker trennt, das isoliert wenigst den Mailserver in ein eigene Netzwerk!- Wenn Zugriffe von unterwegs (Smartphone etc.) dann per VPN
- Wenn VPN nicht gewünscht, dann für Web-Server Zugriffe inkl. ActiveSync mindets einen Reverse-Proxy verwenden. Eine UTM Firewall dazwischen vermittelt per Reverse Proxy mit Authentifizierung als "Vermittler" zwischen Server und Anfrage aus dem WEB. Im Proxy kann ich die anfragende Stelle einschränken, die angefragte Stelle beschränken und keine Zugriffe ohne Authentifizierung durchlassen.
Einzelkämpfer oder kleine Unternehmen:Ist das Unternehmen zu klein und der Aufwand ist zu groß - dann lagert diesen Dienst aus in eine Cloud oder stellt ein Cloud-Porstfach zur Verfügung. Auch diese gibt es preiswert inkl. Mailarchivierung.
Zum Schutz des Kunden.