將 IMAP 伺服器暴露於 Internet:DMZ 或埠轉發?
目前,我們所有的電子郵件都儲存在內部網路中的 Dovecot IMAP 伺服器上。網路上的客戶端機器能夠連接和訪問他們的電子郵件。
現在我們希望允許某些使用者能夠使用 IMAP 從外部連接並查看他們的電子郵件。我們目前有一個帶有專用(未使用)DMZ 埠的防火牆/路由器。在我看來,我們有兩種選擇:
- 在路由器上設置埠轉發,將埠 585 或 993 上的任何 IMAP 請求轉發到伺服器;然後伺服器可以驗證使用者。
- 將反向代理 IMAP 伺服器連接到路由器的 DMZ;這反過來可以將 IMAP 請求轉發到內部網路上的伺服器(可以選擇在這樣做之前驗證使用者名)。
有沒有人對這兩種方法的優點有任何建議/評論?
我發現很難想到在三足防火牆的 DMZ 中擁有額外的反向代理有任何讀取優勢,因為它幾乎只是有效地進行埠轉發。…或者我錯過了什麼?
將 IMAP 從 Internet 埠轉發到 LAN 意味著添加一個非常有選擇性的轉發規則。您不會在伺服器端發生動態埠分配等醜陋的事情(就像您使用 FTP 或 MSRPC 等協議一樣)。在我看來,對 LAN 的暴露是最小的。您依靠 IMAP 伺服器上的 IP 堆棧不做任何愚蠢的事情(因為您向伺服器提供未經請求的入站 IP 訪問),並且您依靠 IMAP 伺服器軟體本身不做任何愚蠢的事情。
在您描述的 DMZ 方案中,您限制了 IMAP 伺服器到 Internet 的直接 IP 連接,並且您限制了 IMAP 伺服器做一些愚蠢的事情可能使您面臨風險的程度。您正在用與 IMAP 代理伺服器的直接 IP 連接來交換與 IMAP 伺服器的直接 IP 連接的風險,並且您依靠 IMAP 代理伺服器軟體不做任何愚蠢的事情。在這種情況下,IMAP 伺服器中的漏洞仍有可能通過 IMAP 代理被利用,這取決於 IMAP 代理的“狀態”程度以及它的“健全性檢查”程度。
在我看來,DMZ 方法是增加移動元件和復雜性,而不會增加太多真正的安全性。我認為您最好將埠轉發到 LAN 並使用您在 DMZ / IMAP 代理方法上花費的精力,確保您有良好的 IMAP 伺服器日誌記錄、密碼/鎖定策略抵制暴力破解密碼,以及一種警報機制,讓您知道您是否看到到 IMAP 伺服器的意外流量(“從未見過”分析)。