Reverse proxy voor mail?

Gebruikersavatar
devilkin
Elite Poster
Elite Poster
Berichten: 1746
Lid geworden op: 17 Mei 2006
Twitter: jdeluyck
Locatie: Gent
Bedankt: 57 keer
Recent bedankt: 2 keer
Uitgedeelde bedankjes: 130 keer
Contact:

Reverse proxy voor mail?

Berichtdoor devilkin » 17 Jul 2018, 11:08

Hoi,

Ik ben wat aan't spelen met wat zaken op een vps te hosten, en zou daar toch enige levels van security willen rond zetten.

Dingen die ik erop wil gooien:
- website(s): hier zou ik cloudflare voor zetten, zodat dit niet 'open en bloot' op het internet staat (+ firewalling en enkel traffic toelaten van CF)
- mail: hier heb ik nog niks voor gevonden qua oplossing om dit iets minder open en bloot te zetten. Gaat zowel over smtp (incoming / outgoing) als imap access voor een aantal aliassed domains.
- vpn endpoint

Het enige wat ik zelf nog bedacht is om een service zoals AWS SES te gebruiken voor outgoing mail, maar incoming mail is dan weer een andere zaak.
Andere optie zou zijn om een extra lightweight VPS ervoor te plaatsen, en daarop nginx als reverse proxy. En dan de feitenlijke host enkel traffic laten accepteren van deze jumphost.

Enige andere ideeën?
Telenet Whoppa -- using Ubiquiti USG-3
Mobile Vikings & Proximus-- Using OnePlus 6 (ROM: Stock)

ITnetadmin
Elite Poster
Elite Poster
Berichten: 6735
Lid geworden op: 28 Jan 2012
Bedankt: 512 keer
Recent bedankt: 6 keer
Uitgedeelde bedankjes: 104 keer

Re: Reverse proxy voor mail?

Berichtdoor ITnetadmin » 17 Jul 2018, 17:07

Outgoing mail relays zijn makkelijk en vrij goedkoop te vinden, incoming kosten handenvol geld.
Als ge geen fixed IP hebt, raad ik een outgoing relay overigens ook aan; sommige mailservers hebben ni graag dat een connecterende mailserver te veel van IP wisselt.

Gebruikersavatar
r2504
Deel van't meubilair
Deel van't meubilair
Berichten: 29374
Lid geworden op: 28 Okt 2003
Bedankt: 1939 keer
Recent bedankt: 14 keer
Uitgedeelde bedankjes: 413 keer

Re: Reverse proxy voor mail?

Berichtdoor r2504 » 17 Jul 2018, 19:46

ITnetadmin schreef:incoming kosten handenvol geld.


0.25$ per mailbox... https://mxguarddog.com/pricing/ (geen idee of het goed is of niet).

ITnetadmin
Elite Poster
Elite Poster
Berichten: 6735
Lid geworden op: 28 Jan 2012
Bedankt: 512 keer
Recent bedankt: 6 keer
Uitgedeelde bedankjes: 104 keer

Re: Reverse proxy voor mail?

Berichtdoor ITnetadmin » 17 Jul 2018, 20:09

Ik denk niet dat we het over hetzelfde product hebben; ik had het over een incoming relay die mails forward naar een eigen mailserver; wordt vaak gebruikt om geblokkeerde port 25 issues te omzeilen (en is dan spijtig genoeg absoluut nodig omdat DNS vooralsnog en spijtig genoeg geen layer 4 port data kan meegeven).

CCatalyst
Elite Poster
Elite Poster
Berichten: 1601
Lid geworden op: 20 Jun 2016
Bedankt: 142 keer
Recent bedankt: 4 keer
Uitgedeelde bedankjes: 1 keer

Re: Reverse proxy voor mail?

Berichtdoor CCatalyst » 17 Jul 2018, 21:18

Ietwat deftige VPS-providers gaan geen poort 25 blokkeren. Natuurlijk als je een open relay laat draaien daarop gaat het niet lang duren voor je buiten ligt.

Inkomende email is iets dat je eigenlijk beter uitbesteedt. Tenzij je zelf wil bezighouden met ervoor te zorgen dat je server continu bereikbaar is, dat je zelf spamfilters beheert, etc.

Je kan dit ook heel gemakkelijk bereiken via MX-records.

Er zijn heel mature en goede prijs/kwaliteits oplossingen voorhanden, vb FastMail en afaik heeft Google ook iets.

Uitgaande mail moet je helaas min of meer verplicht uitbesteden, wil je niet dat al je mail in de spamfolders belandt (zelfs met een vast IP, DKIM, SPF, DMARC enz).

Gebruikersavatar
r2504
Deel van't meubilair
Deel van't meubilair
Berichten: 29374
Lid geworden op: 28 Okt 2003
Bedankt: 1939 keer
Recent bedankt: 14 keer
Uitgedeelde bedankjes: 413 keer

Re: Reverse proxy voor mail?

Berichtdoor r2504 » 17 Jul 2018, 21:20

Toch wel... dit is exact wat jij beschrijft (inclusief spam en virus filtering). Concept is dat je MX record naar hen verwijst en hun service de mail forward naar jou server (welke je dan ook kan dicht timmeren zodat hij enkel nog connecties toelaat van hun IP adres).

Er zijn trouwens tal van dergelijke services... de ene al wat duurder dan de andere.


Terug naar “Netwerken en Security”

Wie is er online

Gebruikers op dit forum: Geen geregistreerde gebruikers en 1 gast