Добрый день!
Прошу направить, куда копать. Необходимо организовать максимально безопасный доступ к внутреннему почтовому серверу организации(smtp,imap) из Интернет. Ну чтобы клиенты могли подключиться именно почтовыми клиентами, а не через web. Кто как делает? какие варианты возможны кроме банального прокидывания портов через NAT?

• безопасный доступ из Инернет к внутреннему почтовмому сервису,user, 16:36 , 25-Окт-12
  • безопасный доступ из Инернет к внутреннему почтовмому сервису,Владимир, 18:23 , 25-Окт-12
    • безопасный доступ из Инернет к внутреннему почтовмому сервису,user, 18:32 , 25-Окт-12
      • безопасный доступ из Инернет к внутреннему почтовмому сервису,Aleks305, 22:47 , 25-Окт-12
        • безопасный доступ из Инернет к внутреннему почтовмому сервису,user, 01:18 , 26-Окт-12
• безопасный доступ из Инернет к внутреннему почтовмому сервису,Аноним, 04:33 , 26-Окт-12
  • безопасный доступ из Инернет к внутреннему почтовмому сервису,ALex_hha, 15:55 , 27-Окт-12
    • безопасный доступ из Инернет к внутреннему почтовмому сервису,PavelR, 16:21 , 27-Окт-12
    • безопасный доступ из Инернет к внутреннему почтовмому сервису,Аноним, 05:53 , 28-Окт-12

> Добрый день!
> Прошу направить, куда копать. Необходимо организовать максимально безопасный доступ к
> внутреннему почтовому серверу организации(smtp,imap) из Интернет. Ну чтобы клиенты могли
> подключиться именно почтовыми клиентами, а не через web. Кто как делает?
> какие варианты возможны кроме банального прокидывания портов через NAT?

А чем вам банальный проброс портов не подходит? Только правила фаервола создайте что б не
110 - 110, а 11100 - 110 или что то того.
Я как то тоже заморачивался по этому поводу. Внутри был MS Exchange, хотел что бы Dovecot  был как бы шлюзом pop3/imap4, но там не все так тривиально как кажеться.

>[оверквотинг удален]
>> Прошу направить, куда копать. Необходимо организовать максимально безопасный доступ к
>> внутреннему почтовому серверу организации(smtp,imap) из Интернет. Ну чтобы клиенты могли
>> подключиться именно почтовыми клиентами, а не через web. Кто как делает?
>> какие варианты возможны кроме банального прокидывания портов через NAT?
> А чем вам банальный проброс портов не подходит? Только правила фаервола создайте
> что б не
>  110 - 110, а 11100 - 110 или что то того.
> Я как то тоже заморачивался по этому поводу. Внутри был MS Exchange,
> хотел что бы Dovecot  был как бы шлюзом pop3/imap4, но
> там не все так тривиально как кажеться.

Если внутри Exchange то для него есть Роль пограничного транспортного сервера
(с версии 2007)

>[оверквотинг удален]
>>> подключиться именно почтовыми клиентами, а не через web. Кто как делает?
>>> какие варианты возможны кроме банального прокидывания портов через NAT?
>> А чем вам банальный проброс портов не подходит? Только правила фаервола создайте
>> что б не
>>  110 - 110, а 11100 - 110 или что то того.
>> Я как то тоже заморачивался по этому поводу. Внутри был MS Exchange,
>> хотел что бы Dovecot  был как бы шлюзом pop3/imap4, но
>> там не все так тривиально как кажеться.
> Если внутри Exchange то для него есть Роль пограничного транспортного сервера
> (с версии 2007)

Я в курсе. Я о 2003 говорил.

>[оверквотинг удален]
>>>> какие варианты возможны кроме банального прокидывания портов через NAT?
>>> А чем вам банальный проброс портов не подходит? Только правила фаервола создайте
>>> что б не
>>>  110 - 110, а 11100 - 110 или что то того.
>>> Я как то тоже заморачивался по этому поводу. Внутри был MS Exchange,
>>> хотел что бы Dovecot  был как бы шлюзом pop3/imap4, но
>>> там не все так тривиально как кажеться.
>> Если внутри Exchange то для него есть Роль пограничного транспортного сервера
>> (с версии 2007)
> Я в курсе. Я о 2003 говорил.

нет, внутри exim и dovecot. Банальным увеличением номером порта для NAT уже никого не удивишь и тем более не остановишь от того же самого брут-форса или перебора паролей по словарю, или использования каких-либо уязвимостей

>[оверквотинг удален]
>>>>  110 - 110, а 11100 - 110 или что то того.
>>>> Я как то тоже заморачивался по этому поводу. Внутри был MS Exchange,
>>>> хотел что бы Dovecot  был как бы шлюзом pop3/imap4, но
>>>> там не все так тривиально как кажеться.
>>> Если внутри Exchange то для него есть Роль пограничного транспортного сервера
>>> (с версии 2007)
>> Я в курсе. Я о 2003 говорил.
> нет, внутри exim и dovecot. Банальным увеличением номером порта для NAT уже
> никого не удивишь и тем более не остановишь от того же
> самого брут-форса или перебора паролей по словарю, или использования каких-либо уязвимостей

Ну тогда и ничего не надо городить. Пробрасывайте порты, только фаер настройте хорошо. На FreeBSD/PF используйте source tracking.

>  Необходимо организовать максимально безопасный доступ к  внутреннему [...] серверу

В таком случае забей на всё что сверху насоветовали и поднимай VPN.

> В таком случае забей на всё что сверху насоветовали и поднимай VPN.

т.е. настраивать VPN каждому надомнику по вашему хорошая идея?

>> В таком случае забей на всё что сверху насоветовали и поднимай VPN.
> т.е. настраивать VPN каждому надомнику по вашему хорошая идея?

безопасность и удобство - находятся на противоположных сторонах.

Но, "обычный" pptp, на мой взгляд, добавит мало безопасности, особенно при доступе ко внутреннему почтовому сервису. Хотя, всё зависит от грамотности и реальных целей.

ИМХО, надо остановиться на SSL-соединениях при доступе, не SSL - не предоставлять.

>> В таком случае забей на всё что сверху насоветовали и поднимай VPN.
> т.е. настраивать VPN каждому надомнику по вашему хорошая идея?

По моему - да.
Ибо потом всё равно захотят доступ к внутреннему хранилищу\CRM\ERP\surviliance\телефонии\конференциям\хрена_лысого. Если перец квалифицирован как ремотный, сразу ему на лаптоп клиента выбранного vpn.