AD a neten

Microsoft Windows

Sziasztok!

A véleményetekre lennék kíváncsi. Biztonsági résnek számít ha a szerver amin az AD fut elérhető a net felől. Jobb lenne DMZben?

  • 10106 megtekintés

( n.balazs v | 2012. 09. 29., szo – 17:34 )

Alapértelmezés szerint nem ajánlott konfiguráció. Ha az AD-t támadják és találnak rajta valamilyen rést - 99%-ban üzemeltetési hiba miatt, akkor könnyen hazavághatják a teljes infrastrukturát.
Ha megoldható, akkor tedd át mihamarabb belső hálózatra. Amúgy mi indokolja, hogy a DMZ-ben fusson nálatok?

( W3ber | 2012. 09. 29., szo – 18:33 )

Ez nagyban függ attól hogy hogyan van kiengedve szerver a netre.Router tűzfal stb stb.

( hrgy84 | 2012. 09. 29., szo – 18:40 )

Hat, mit ertunk AD alatt ugye.

Az AD alapvetoen ket reszbol tevodik ossze: van egy LDAP szerverunk, es van egy, a Windowsba beepitett RPC kiszolgaloba beepulo szolgaltatascsomagunk.
Ha az LDAP vege (foleg mondjuk az SSL-es) kilatszik a net fele, az nem olyan gaz. Persze, gaz, ha sebezheto, feltorhetik, de ez kb. mindenre igaz, ami a netre nez. De korulbelul akkora kockazat, mint egy netre nezo mysql - ha jol meg van hatarozva, ki ferhet hozza, a tobbieket pedig meg IP szinten elhajtjuk a fenebe, az nagyban csokkenti a kockazatot. Es szerintem van proxy is LDAP-hoz.

Ami cinkesebb, az az RPC szerver, ehhez ugyanis se proxy, se mas alkalmazasszintu vedelem nem igazan letezik, SSL altal nem vedett, igy kb. a legjobb, ha rejtve marad. Az IP szintu hozzaferes is azert cinkes, mert mig az LDAP-hoz lehet mondani, hogy user/pass vagy kuss, itt mar vannak anonim szolgaltatasok is - ami problemas lehet.

Szoval, mondd meg mit szeretnel valojaban, es megmondjuk, okes-e.
-- 

Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal

Igazából azért fontos mert van egy Small Business szero amihez járt az exchange. S ha használni akarom a levelezőt ki kell raknom a netre. Az AD is rajta lenne ugye. Ha csak a szükséges portok jönnek be az minimalizalja picit a problemat, de jobban orultem volna, ha teljesen el tudom szigetelni. A koltsegevetes meg eleg szukos meg 1 szerver + OPrendszer vasarlashoz. S probalom felmerni a kockazati tenyezoket.

Az Exchange MAPI portot (talán az is https-en szeret lenni vagy van ilyen MAPI over https csoda) ereszd csak be rá, azzal fogadni és küldeni is tudnak az exchange juzerek. Opcionálisan PPTP VPN-t ereszed csak be és azon keresztül engedd az Exchange hozzáférést. (Az okostelefonok nagyrésze gyárilag tud PPTP VPN kliensként menni.) Az SBS-t eleve hasonló célra szánják, de persze ettől még rendesen be kell állítani. Az az igazán húzós, ha úgy fullosan natúrban kirakod netre tűzfalazás nélkül... :)

+1 az előző bejegyzésekhez. Az alternatívákat kicsit kifejtem:
1. Csak a mailt(25-ös port) engeded ki. Minimálisan szükséges megoldás.
2. Azt akarod, hogy a felhasználók elérjék távolról a leveleiket - mail(25) és https(443) portokat engeded ki, a felhasználók OWA-n keresztül érik el a leveleket. Elég stabil és biztonságos megoldás.
3. Az OWA kevés, a felhasználók Outlookból akarnak teljes Exchange hozzáférést(+ esetleg távmunka). Ekkor ugyanúgy mail(25), https(443) portokat engeded ki, továbbá csinálsz egy l2tp vpn-t.
Természetesen mindhárom esetben kötelező a tűzfal.

Nem vagyok Windows guru, sőt..., de az IMAP, POP3 és SMTP portok teljesen okafogyottak Exchange esetén. A https portot kell rá beereszteni és az access oldala remekül ellesz vele, ezen megy a web app (régen web access) és az Outlook-ok is tudnak a MAPI interfészen keresztül levelet szinkronizálni. (Szinkronizálni, tehát fogadni és küldeni is.)

szerk: Hja, mivel SBS, illetve általában a privát Exchange installok adott cégre vonatkoznak, ezért nincs nemfelelmeg, meg egyéb juzer hasfájások. Exchange van és kész. Ugyanez igaz fordítva is, ha valaki IMAP + SMTP-t használ a céges levelezésre. A POP3 már csak azért is problémás, mert gyakorlatilag lehetetlen központilag menteni.

Mert ha a juzer nem állítja be, hogy levelek megtartása a szerveren és épp az otthoni vagy bármilyen gépen észnélkül beállítja, akkor lezúzza cakkumpakk a szerveren levő fiókját. Ezt pedig általában nem állítják be, tehát kb. heti probléma lesz. Természetesen észnélkül bármelyik opciónál beletörölhet a levelezésbe, az ellen nincs orvosság, csak mentés.

Most a központilag archivált témára kár rámenni, mert tudom, hogy ez jön most... :) Egyrészt SBS-ről lenne szó itt, másrészt pedig egy archívból visszapakolászni a fiókot nem olyan vidám szerintem, mint a megfelelő mentésből.

A másik, hogy az Exchange 25-ös portja elé egy megfelelően beállított postfixet vagy eximet tennék, ami legalább minimálisan megfogja a virnyákokat és a spameket.

Természetesen észnélkül bármelyik opciónál beletörölhet a levelezésbe, az ellen nincs orvosság, csak mentés.

haat, valamennyire valoban orvossag, ha addigra nem irtad felul azt a mentest, ami pont azokat a leveleket tartalmazza. De meg igy is sok sikert a bogaraszashoz.

Most a központilag archivált témára kár rámenni, mert tudom, hogy ez jön most... :) Egyrészt SBS-ről lenne szó itt, másrészt pedig egy archívból visszapakolászni a fiókot nem olyan vidám szerintem, mint a megfelelő mentésből.

miert lenne kar? Egy SBS-en levo levelek talan nem fontosak? Mondjuk azt nem vagom, hogy miert SBS XOR archivalas? Az archivumnak az az egyik nagy elonye a mentessel szemben, hogy ott garantaltan megvan az osszes level, tovabba az oktondi user sajat maganak vissza tudja allitani a szukseges leveleket - ha valoban ez szukseges (szerintem nem feltetlen). Bar egy bulk visszaallitas valoban egyszerubb a parancssorbol. Nekem mindenesetre vidamabb lenne egy mailbox restore helyett azt mondani a usernek, keresd meg az archivumban magad...

Miert kell nekem sajnalnom a Klubradiot?

A szajmanteknek remek exchange mentő bigyulája van. Sokkk levélnél az jön szóba, kevésnél meg az exchange saját mentése, amihez ugyan valahova fullosan vissza kell tölteni, de működik. Egyébként van egy "titkos" exchange feature, ami a tényleges törlést X nappal elhalasztja.

Minden levél fontos, de az SBS-t tipikusan nem azok választják, akik még százezreket vagy milliókat akarnak speckóbb szoftverekre költeni. :)

Minden levél fontos, de az SBS-t tipikusan nem azok választják, akik még százezreket vagy milliókat akarnak speckóbb szoftverekre költeni. :)

komprende, de szerencse, hogy nem kell, ha nem akarnak (thanks to fsf.hu). Az meg nem csak agitacio, hogy az emailek archivalasa egy picit tobbet ad, mintha a mailboxok-bol valahova keszitesz egy 'tar.gz'-t, igy egy SBS melle is melegen ajanlott az emailek archivalasa.

Miert kell nekem sajnalnom a Klubradiot?

Meg jo, hogy az Exchange oldalan is le lehet tiltani a POP3-as torlesre vonatkozo _valodi_ torlest.

Postfix: en meg nem. Egyreszt az Exchange 2010 ota eleg jo spam- es virusszuro mechanizmus all rendelkezesre, masfelol pedig egy plusz gep, egy plusz pont amit kezelni, karbantartani kell. Nem azert vesznek emberek SBS-t, mert Linuxot szeretnenek hasznalni es szivni vele, hanem azert, mert nekik csak egy darab rendszer kell, de az mukodjon.

-- 

Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal

az Exchange 2010 ota eleg jo spam- es virusszuro mechanizmus all rendelkezesre

mondjuk kerdes, hogy csak ezert ki upgrade-el 2003/7-rol 2010-re. Akinek ugyanis van egy korabbi verzioja, azok - ide a bokot - ele tettek valamilyen biztonsagi megoldast (akar linuxot, akar barmi mast), ami megvedi az exchange usereket a malware-ektol. Szoval az MS termekek sosem errol voltak hiresek, es azt is ketlem, hogy az exchange 2010 felveszi a versenyt ar/teljesitmeny kerdesben egy erre specializalt 3rd party tool-lal.

Ami pedig egy eloszuro linux/postfix kombot illeti (amit fentebb javasoltak), ez kb. a felteszed, aztan neha (pl. minden 2. patchy Tuesday-n) kiadsz egy apt-get update/upgrade kombot, oszt csokolom szivasigenyt jelent.

Miert kell nekem sajnalnom a Klubradiot?

Asszem mar 2007-ben is letezett a beepitett spam megoldas, most, hogy utanagondoltam.

Na igen, meg amikor a postfix ugy dont, hogy te nem akarsz leveleket kapni... tudnek meselni, de ez most mindegy. Ha valaki Windows-t valaszt, jo esellyel azert teszi, mert ehhez ert. Viszont egy frontend szervernel pont a "felteszed" resz maceras, nem csak azert, mert ismerni kell a postfixet a normalis routinghoz, hanem azert is, mert egy frontend gepet biztonsagosra _kell_ csinalni, amit egy nem-Linuxos emberke nem biztos, hogy olyan fajan megold, mint aki ezzel fekszik es kell (like you).
-- 

Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal

Na igen, meg amikor a postfix ugy dont, hogy te nem akarsz leveleket kapni...

nem ertem ezt a mondatot...

amit egy nem-Linuxos emberke nem biztos, hogy olyan fajan megold, mint aki ezzel fekszik es kell

igen, ebben igazad van. Bar ebben az esetben is van alternativa: vegzel egy gyors kockazat, ar-ertek, stb. elemzest a lehetseges megoldasokra, es meg az is kijohet, hogy te ugyan nem ertesz a linux+postfix kombohoz, de ha megbizol valakit, hogy tegye fel neked, meg mindig olcsobb es biztonsagosabb a vegeredmeny.

Szoval a lenyeg az, hogy van valasztasod.

Miert kell nekem sajnalnom a Klubradiot?

Az egyik problema a telepites, tapasztalatbol tudom, hogy a "megbizok valakit" ritkan sul el jol, mert az illeto inkabb az ismerosi koret keresi meg, semmint egy olyan embert, aki ert is hozza - az ugyanis tobbe kerul.

A masik, hogy nekem van eleg sok tapasztalatom Postfix uzemeltetessel, altalaban nincs gond vele, de ha megmakacsolja magat, akkor bizony meg en is eluldogelek egy kicsit felette, mire meg tudom oldani.

Tipikus hiba pl. amikor az Amavis-Postfix kapcsolat nem igazan szazas, es a queue csak no-no-no, de nem megy ki. Ezen pl. egy ertelmes monitoring tud segiteni, plusz egy olyan embernek, aki sokat latott ilyet, masfel perc megoldani, am aki csak Windowssal foglalkozik, bizony ido, mire rajon, hol a nyug. Mar ha rajon.

De vannak ennel durvabb hibak is, aminek a megoldasa nekem se ot perc, egy olyannak, aki nem ert hozza, meg tobb.
Tudom, hogy small businessrol beszelgetunk, de ettol meg nem szabad elfelejteni, hogy ma a cegek levelezes nelkul nem elnek, tehat ha valaminek, akkor ennek folyamatosan menni kell. Ahhoz, hogy ez meglegyen, kell egy olyan ember, aki ert is hozza - meg ha csak egy gep is van ilyen a halozatban.
-- 

Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal

igy a nap vegere elveszitettem a fonalat, hogy most egy (kb. faek egyszerusegu) postfix eloszurorol beszelunk, vagy egy full blown anti-malware megoldasrol? Ha az elobbi, akkor az egyszerusege miatt kevesse sanszos a no-no-no queue, ha meg az utobbirol, akkor be kell valljam, hogy nincs tapasztalatom az amavis-szal, de egy nem a reklam helye spamszuro jo eve gond nelkul elvisz egy atlag small business-nel jelentosen nagyobb levelezest, es a queue merete kb. zero.

De OK, alairom, barmivel lehet gubanc, ami bonyolultabb a "hello world!"-nel. Ha a kicsi biznisz ceo-ja annak ellenere a havert bizza meg (es az el is vallalja), hogy az nem igazan ert hozza, akkor az ne a postfix, whatever hibaja legyen, hanem az kokemeny PEBKABC (a BC az itt most a 'boss chair')

Miert kell nekem sajnalnom a Klubradiot?

Hat amavis nelkul az eloszures kb. csak a postgrey-t jelentene, az meg eleg karcsu, tekintve, hogy pont virusok ellen nemigen ved. Minden mashoz meg valami kulso megoldas kell.

A clapf meg biztos jo, de azt is be kell allitani, es gondolom nem aruljak meg kesz appliance-ban, egy kis p3-as gepbe bezarva, mint pl. a Barracuda termekeket. Es raadasul ott is bejon a forward effektus, vagyis ha a clapf valamiert bemondja az unalmast, akkor ott is varakozni fognak a levelek a sorban. Raadasul amavis-re van egy csomo "hogyan oldd meg a ... -szeru problemat", clapf-ra meg nincs.
-- 

Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal

_és_spamassassin_...

Egyéb iránt egy erősebb openwrt-s (vagy bármilyen más hasonló OS-el ellátható) routert talán be lehet tenni elé egy greylistes szigorú postfixel és talán clamav+SA párostól se hal meg. A tapasztalat az, hogy spamassassin-on (a szigorú eximen után) és clamavon bőven jön át a szemét és sokszor még a szajmantek csoda sem fogja meg.

De ha van egy postgrey is a tortenetben, akkor utana mar szinte semmi szemet nem jon. A SA+ClamAV tenyleg keves.

En meg mondjuk megkockaztatnam a SA elhagyasat is, ha routerrol van szo, de egy ClamAV mindenkepp kell a rendszerbe.
-- 

Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal

Ha patkolast jelent az, hogy van par explicit feherlistasom, meg valami ket feketelistasom, akkor patkoltam.

Annyi extram meg van, hogy HELO elott van egy, asszem 3 v. 5 sec-es delay a postfixnel, ha elotte szol be valaki, akkor automatikusan el van kuldve a francba. Kiveve mynetworks (aka. localhost), mert ha telnetelek, akkor turelmetlen vagyok.
-- 

Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal

ilyen allat: http://www.postfix.org/POSTSCREEN_README.html

a te megkozeliteseddel az a nam annyira optimalis, hogy az smtpd processzeidnek +3 sec egy level feldolgozasa, mig a postscreen 1 processzben megoldja a feladatot, az smtpd processzek meg nyaralhatnak....

Miert kell nekem sajnalnom a Klubradiot?

Errol a postscreen-rol blogolhatnal, erdekelne melyebben, hogy mik a tapasztalatok vele, illetve te hogyan hasznalod... A postfixes oldal jo, csak gyakorlati peldat nem sokat latok benne, hogy hogy erdemes konfigolni.
-- 

Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal

nalam az eloszures az kulonfele domainnev validalas, postscreen greetings delay, (ha valaki ragaszkodik hozza, akkor esetleg meg 1 rbl) + egy patkolt postgrey. Ez nem azert van, hogy mindentol megvedjen, hanem hogy kis eroforrasigennyel elvereztesd a szemet egy reszet (ami sokat szamit egy nagyforgalmu gepen), SMTP-szinten kb. ezt lehet megtenni. Ami ezen atjut, azt meg egy statisztikai szuro + clamav (esetleg nemi sanesecurity patkolassal) cincalja szet. Nekem ez mar evek ota bevalt. Bar nalam annyira megritkitotta csak a fenti smtp-szinten valo szures a szemetet, hogy kenytelen voltam kikapcsolni, hogy jojjon rendesen a spam (mert szeressuk), de ami megmaradt, az is boven jol fogja a ganet.

A clapf meg biztos jo, de azt is be kell allitani, es gondolom nem aruljak meg kesz appliance-ban, egy kis p3-as gepbe bezarva, mint pl. a Barracuda termekeket.

valoban nem aruljak, de ha megbizol vele valakit, aki ert hozza, az a barracuda doboz aranak toredekert egy olyan cuccot rittyent belole, ami also hangon legalabb olyan jo, mint a harapos hal kek doboza.

ha a clapf valamiert bemondja az unalmast

ilyet meg senki nem jelentett, de igen, ha egyszer ez megtortenne, akkor itt is varakoznanak a levelek. Bar ez kb. olyan HA, minthogy ha a magyar foci valogatott kijutna a VB-re... ;-)

Raadasul amavis-re van egy csomo "hogyan oldd meg a ... -szeru problemat", clapf-ra meg nincs.

ezt tudjuk be a nagy arcomnak, meg hogy keso van, de ez kb. az amavis problemak vs. clapf problemak szamaval lehet aranyos...

Miert kell nekem sajnalnom a Klubradiot?

Megmondom neked oszinten, hogy hosszu evekig uzemeltettem amaivs rendszereket, mire lattam egy olyat, hogy az amavis kifekudte magat. Szoval nem hiszem hogy az amavis ilyen szempontbol jobb vagy rosszabb lenne a clapfnal.

" ha megbizol vele valakit, aki ert hozza" - utalnek a szal fentebbi reszeire, egyebkent no comment. En biztos olyat biznek meg, aki ert hozza, de sokan nem igy vannak ezzel.

A domainnev validalas alatt mit ertesz? Feher/fekete listat?
-- 

Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal

Miert lenne okafogyott? Ha valaki tortenetesen nem Outlookot hasznal levelezesre, akkor az IMAP/SSL remek megoldas a problemara.
Sajnos az opensource MAPI implementaciok egyelore meg mindig sok sebbol vereznek ahhoz, hogy ceges kornyezetbe batran lehessen ajanlani.
-- 

Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal

Tehát újra. Az SBS-t egy szervezet veszi meg, azzal a céllal, hogy a juzerek Exchange-eljenek (is). Ebből következik, hogy lesz ott Office is vagy Outlook ha kell és egy Android-os vagy iOS-es berendezés remekül boldogul a MAPI-val. Minden más hozzáférés fölösleges és okafogyott, ha a céges policy az hogy Exchange+MAPI van és kész. A cég persze bizotsítja megfelelő eszközöket és akinek nagyon nincs épp semmi a keze ügyében az tud OWA-t használni. Ez nem pont a juzer oldali eldönthető kérdéskör. :)

Betuzzuk: Small Business Server. Nem minden kis cegnel letezik olyan, hogy ceges policy.

Illetve nem ertem, mi ez a retteges az IMAP-tol. De most komolyan. Mindenki ugy tamad ram, amikor azt mondom, hogy az IMAP nem az ordogtol valo, mintha legalabbis azt mondanam, hogy nyissuk ki az RPC portot is. Mi a gond vele? Tenyleg erdekel.

A josaga egyertelmu: nem kell esetleg kolteni Office licencre. Hiszen IMAP-ot akar Thunderbird-bol / Windows Live Mail-bol is lehet hasznalni, az meg ingyenes. Es egy kisvallalat eseteben szinte biztos, hogy ha van ra lehetoseg, nem is akarnak kolteni.
-- 

Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal

:) Nem tűnik logikusnak egy 3-4 fős céghez SBS-t venni, sokkal inkább egy gmail vagy vmi hoszting szolgáltatónál előfizetni. Az SBS 75 főig jó (ha jól tudom), az pedig már itthon bőven nem kis cég, de az amcsi léptékkel még a 100 fő is small business és ez számít. Ha már kliensre sem akar költeni, a calendar és sok már exchange funkcióról lemond ugye..., akkor mi a túrónak venne egy SBS-t? :) Jó persze előfordulnak az észnélküli vásárlások, de talán nem jellemző. Ahol pedig N darab főállású embert fizetnek ÉS felszerelnek egy irodát, ott talán lesz pénz kliensre is. (Remekül megy a Mac Mail is Exchange kliensként, tehát nem kell mindenképp külön Office-t venni, a 2007+ Exchange az elvárás.)

Miert kellene a calendarrol lemondani? Ha emlekeim nem csalnak, van iCalendar support az Exchange-ban, szoval ez igy megint csusztatas. A cimjegyzek meg ugye alapvetoen LDAP, tehat az is vezerelheto szinte barmilyen kliensbol, sot, tovabbmegyek, van olyan nyiltforrasu kliens is, ami irni is tud bele.

A mai fogalmak kozt meg az iroda is kerdojeles. Siman el tudok kepzelni egy olyan ceget, ahol az irodaban dolgozik 5 ember, 25 meg otthonrol, vagy epp a tereprol. 5 embernek pedig nem kunszt irodat berelni, kb. barmilyen nagyobb luk megteheti.

Meg mindig nem latom az erveket az IMAP _ellen_. Ellenben mindenfele maszlaggal jossz, ami egyreszt megkerdojelezheto, masreszt pedig ezek ugyis cegenkent valtoznak, hogy mikor mire akarnak kolteni. En nem tartom elkepzelhetetlennek hogy egy 15-20 fos iroda SBS-t vegyen maganak, es ez meg boven az a meret, ahol nem biztos, hogy feltetlen kobe vesett ceges policy-k kellenek.
-- 

Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal

Mert nem olvasod amit írok, csak az IMAP-ot mantrázod. Az IMAP-pal nincs bajom, azzal van bajom, ha az Exchange-et direkt IMAP szervernek veszik. Egyszerűen értelmetlen szerintem. Ha IMAP kell, akkor fel kell dobni egy dovecot+courier párost egy szimpatikus MTA-val és jónapot, még a Samba is elfér ugyanazon a gépen. Az SBS azért magával hozza a tartomány használatot is, tehát nem lehet csak-IMAP-legyen, szinten vizsgálni a kérdést. Persze vizsgálhatod, meg lehet mindenkinek mindent adni, de ahogy a cég nő ezek csak nyűgök lesznek az (akár az egy személyes) IT vállán.

15-20 fő esetén tényleg nem kell semmit se kőbe vésni, de bőven az a méret, ahol ha akarják jut Office licenszre (vagy valami almás gépre ha az az igény) és lehet natívan használni. A tetszőleges normális okostelefon vagy tabletpc pedig gyárilag tud szinkronizálni MAPI-val, sőt ilyenkor még az SMTP-vel se kell külön bíbelődni és izgulni, hogy a 25-ös port hol lesz letiltva, amiért a 465-ös vagy egyedi portra kerül az SMTP és ennek folyományaként újabb izgalom jön, hogy az hol lesz letiltva.

Iroda: a hangsúly azon van, hogy a cég biztosítja a munkaeszközt. Ha ez csak egy Office licensz, akkor azt. Ha pedig nem ad Office-t, akkor dógozó eléri az OWA-t ami a 2010-es Exchangeben már Firefoxban is szépen megy és teljesen Outlook feelinges. Ha a cég nagyrésze nem is a telephelyen dolgozik, akkor máris felmerül a hosted exchange opció, ami sokkal kedvezőbb lehet, mint egy helyi szerver, már ha az Exchange-hez ragaszkodnak. :) Mert ilyen esetben egy szimpatikus szolgáltató IMAP-os szolúciója jobb vagy mégolcsóbb lehet. :)

(Én személy szerint LibreOffice-ozok Ubuntu/Xubuntu 12.04-en vagy 10.04-en és Thunderbird-el IMAP-ozok a saját szerveremmel. Munkahelyen viszont Exchange van és remekül tudok Linux alól Firefox-ból OWA-t használni, az új teljesen kényelmes és jó.)

De korulbelul akkora kockazat, mint egy netre nezo mysql

juj! How about this? Legyen az exchange dmz-ben (egy smtp-t is beszelo tuzfal mogott), amire csak a 25-os portot engedik ra. Ha pedig egy user kivulrol szeretne igenybe venni a szolgaltatasokat, akkor jojjon be egy megfelelo vpn megoldassal, es hasznalhat, amit akar, owa, imap, whatever, nem kell kinyitni semmit...

Miert kell nekem sajnalnom a Klubradiot?

Aztán amikor Kínából/USA-ból/Kazahsztánból felhív valamelyik szenior menedzser vagy esetleg a tulajdonos éjjel 1 és 5 között, hogy rohadtul nem megy a VPN, akkor leizzadsz 1000-el. A normál http beeresztését nem fogod tudni megkerülni és ráadásul a 80-as portra sem árt egy sima redirectet előadó valami cucc.

Még csak ilyen messzire se kell menni, sok szállóban észnélkül korlátozzák a netet csak az általuk ismert és "hátbiztoselégleszmindenkinek" portokra. Ahogy már írtam, a https-el a okosteló és a kitekintő is remekül el fog boldogulni.

Még az SMTP-vel is lehet gond, mert az meg a spamzombik miatt lövik ki, tehát ha SMTP-t is adsz, akkor a 465-ös smtps portot sem árt bedrótozni.

Nem kell ehhez sator. Tenyleg van olyan - egyebkent sokcsillagos - hotel, ahol a net korlatozva van, eppen azert, mert a CEO-szeru embereknek nem biztos, hogy van informatikai tudatossaguk, ok meg nem vallaljak a kockazatot - mert az a ceg hirnevebe kerulne.

Nem tudom, miert feltek egy IMAP kinyitasatol. Jo, a titkositatlantol valoban kell felni, azt csak akkor erdemes kinyitni, ha a ceg nem kepes ertelmes tanusitvanyt venni, ami manapsag mar egyre ritkabb dolog. De egy SSL-es IMAP van olyan biztonsagos, mint a - szinten SSL-es - OWA.

Egyebkent meg nem kell redirector - az OWA csak https-sen megy.
-- 

Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal