Egy domain alatt több mail szerver, szeparált postafiókok, központi user management

Web, mail, IRC, IM, hálózatok

Sziasztok!

 

Szembe jött egy feladat, aminek nem igazán tudom, hogy kellene jól nekiállni. Azt kellene megoldani, hogy egy eddig csak belső hálózatban elérhető linuxos mail szervert (POP3, IMAP) egyes felhasználóknak (nem mindnek) az internet felől is el kellene tudni érni. 

Az alábbiakon gondolkodom

- VPN:
     + könnyen kivitelezhető, a mail szerveren nem kell állítani.
     - a klienseknek nyűg lehet a folytonos VPN kapcsolódás

- Több szerver, azokon szeparálva a postafiókok attól függően, hogy honnan érhetik el a levelezést:
    + klienseknek kényelmes.
    -  üzemeltetés macerásabb (levelek szétosztása, központi management, stb?)

Nyilván a VPN lenne az egyszerűbb megoldás, de tartok tőle, hogy azt preferálnák a legkevésbé.

A kérdés az, hogy a második opcióra van-e valakinek valami bejáratott, jól működő megoldása amit akár open source cuccokkal össze lehet dobni.
Egyéb ötlet is jöhet, hogy miként lehetne ezt a feladatot megoldani 

Köszönöm a tippeket ötleteket előre is.

( zsirmo v | 2021. 09. 14., k – 11:31 )

Ha windows a kliens, akkor opnevpn, service-ként is tud futni, user észre sem veszi (kivéve mikor nem megy :) )

( n.balazs v | 2021. 09. 14., k – 12:44 )

Nem értem a problémát. Aki 16 éve HUP tag, annak - szerintem - képben kellene lennie.

1. Céges erőforrásokat mindig valamilyen biztonságos (nak hitt) csatornán keresztül érünk el. Távolról a VPN erre a megoldás. Több száz millió ember használ VPN-t - Mancikák is. Nem hiszem, hogy ezt olyan nehéz megvalósítani.

2. A levelezőszervert ugye nem titkosítatlan POP3/IMAP protokollal érik el a kliensek 2021-ben? Így, 2021-ben alapelvárás, hogy a titkosítatlan protokollokat tiltjuk és csak az SSL/TLS fölötti forgalmat engedélyezzük. POP3S-t, IMAPS-t beállítani nem nagy ördöngösség.

Én simán felhúznék SoftEther alapon egy VPN-t vagy Windows Server környezetben Direct Accesst. Így a későbbi távoli elérési kéréseket is (pl: "Szeretnék hozzáférni a fájlokhoz is") sokkal egyszerűbb lesz teljesíteni.

Kedves Balázs!

Köszönöm a konstruktív hozzászólásod. Tény, hogy nem írtam le mindent (ez az én hibám), de hidd el ismerem és alkalmazom is a különböző VPN megoldásokat és a POP3S és IMAPS-t is.

A konkrét esetben a levelezést az elmúlt 20 évben csak házon belülről érték el. A kintről érkező és a kifelé tartó levelek egy spam és virússzűrő gw keresztül jutnak be illetve mennek ki, így nem tűnt létfontosságúnak a POP3S és a IMAPS használata (jelen helyzetben ez hiba volt valóban). 

Egyébként nem én vagyok a rendszergazda a cégnél, csak mint külsős partner időnként tanácsokat adok és ha kell segítek.

Akkor elnézést a letámadásért.

Mindazonáltal ezek tényleg nem új dolgok. A rendszergazdának eddig nem jutott eszébe áttérni titkosított protokollokra? Milyen probléma kupac lehet még ott?
Csak azért kérdem, mert láttam már ilyen "20 éve csináljuk és tök jól működik" helyeket. Aztán ránézve meg voltak sértődve, amikor megmondtam a véleményem.

Ennyi erővel:

  • szerintem jobb ötlet lenne nem odaadni a felhasználók gépére a leveleket --> csak semmi POP3 meg IMAP, inkább egy webmail
  • még jobb ötlet lenne nem a saját szervereinken tárolni a leveleket --> Google/Microsoft levelezés

Olcsóbb és jobb, és még VPN se kell. :-)

Pssszt, ez a 2. lépés. A webmail nem olyan, mint a megszokott levelezőprogram, máshol vannak a gombok. :)

Egyébként igen. Mindenkit át kellene terelni webmailre. Így nem gond egy nagy postafiók kezelése se. Nem zabálja a tárhelyet a user gépén. Menedzselni is sokkal egyszerűbb, olcsóbb.

  • szerintem jobb ötlet lenne nem odaadni a felhasználók gépére a leveleket --> csak semmi POP3 meg IMAP, inkább egy webmail

Akkor már hasogatnám egy kicsit a szőrszálakat, és remote desktop. A webmail odaadja a leveleket a kliens gépnek, csak kevésbé strukturált formában. :D

( Tom | 2021. 09. 14., k – 13:45 )

Szerkesztve: 2021. 09. 14., k – 13:53

Ment a +1 a VPN-es megoldásra.

Anno ezt egyszer megoldottam exim-mel, 2 helyen voltak a postafiókok ugyanazon domain alatt, akinek kellett az állandó postafiók elérés az kapott a kintin fiókot, akinek nem az a bentin.

Sok macera volt vele, pl amikor valakit költöztetni kellet ki vagy be, bentről mindenkinek tudtál levelet küldeni, de kintről már macerásabb volt (catch all fiók = sok spam, ki is lett kapcsolva / speciális fiók sok álnévvel, ez se gondozás mentes), fetchmail-el töltöttem le a leveleket a speciális fiókból.

Exim manualroute-al oldotam meg a local_user után.

remote_mail:
  driver = manualroute
  route_list = * DCsmarthost
  transport = remote_smtp_sparthost
  domain = +local_domains
  ignore_target_hosts = 0.0.0.0 : 127.0.0.0/8
  debug_print = "R: non-local for $local_part@$domain
  no_more

ez nem oldja meg az el akarom érni a fájljaimat is problémát.

Csatlakozom, az SSL nem ördögtől való, ha nem lehet nagyon rá költeni, akkor ott az LSE vagy a cacert.org vagy saját CA (a sorrend egyben tükrözi macera mennyiséget növekvően)

Lehet nálatok nem lehet home-offiszolni, de szerintem a VPN dolognak a pandémia miatt már elő kellett volna jönnie ettől függetlenül is.

a VPN Telefonon lehet nem annyira kezes bárány, mert kell pár lépes míg elérik a leveleket.

A központi Felhasználó kezelés csak akkor megy a mindkét szerver a kezedben van (de mail szervert üzemeltetni nem egyszerű feladat), itt lehet LDAP szervert feltenni, akkor viszont mindkettőnek el kell érni az LDAP szervert.

Van már központi Felhasználó kezelés? Ha nincs vagy nem AD akkor a FreeIPA-t láttam erre a célra, lehet van más is, csak az nem jött még szembe.

( gelei v | 2021. 09. 14., k – 14:21 )

Linuxon még nem üzemeltettem mailszervert, de a másodikat biztos nem csinálnám. Mi van, ha lesz egy harmadik role, ami csak a munkahelyről és otthonról érheti el a levelezést, majd egy negyedik, ami csak otthonról, és évente egy hónapot nyaralás közben, stb.? Vesztek még gépet? :)

( royal v | 2021. 09. 14., k – 16:12 )

Ahonnan authentikálnak az userek, oda tenni egy flag-et, és ennek megfelelően csinálni az authentikációt? Exim, Dovecot tud pl. SQL-ből virtual usereket authentikálni, pillanatok alatt megcsinálható benne, de ha fizikai userek vannak, akkor pam és group is megoldás lehet.

Vagy a nagyon primitív megoldás r=1 felhasználók esetében: olyan hostnevet beállítani a levelezőprogramban IMAP/POP/SMTP szervernek, ami localnetes IP címre resolvol a csak belső usereknek, és egy publikus IP címre feloldhatót a külső usereknek. Értelemszerűen ez nem véd semmitől ha valaki tudja mire állítsa át a szerver nevét, de Mancikák esetében tökéletes :)

Vagy a külső elérés nem levelezőprogram, hanem tetszőleges webmail (pl. roundcube), ami elé teszel egy basic auth-ot.

https://eVIR.hu
Elektronikus Vállalatirányítási Információs Rendszer

Postfix, Dovecot páros van és virtuális userek. A felhasználó adminisztrációt PostfixAdminnal oldják meg.Erről a flag dologról tudnál kicsit bővebben írni?

 

Egyébként közben felmerült bennem, hogy ha átállnak POP3S/IMAPS-re, valamint SMTP AUTH-ra és megnyitják kintről is a szervert, akkor esetleg két faktoros authtentikációval biztonságosabbá tehető-e a hozzáférés? (Feltételezve, hogy a belső hálózaton működő szerveren a több száz postafiók jelszava is olyan, amilyen)

Levelező kliensek és a dovecot mennyire támogatja ezt (virtuális userek esetében nem találtam erről pontos leírást)