No to zalezi na nazoru a na tom, proc to vlastne delate. Ja vychazim z toho, ze jde o firmu (exchange) a jeji mobilni zamestnance. Pokud to tak je, myslim, ze chranit svet pred spamem z vlastnich rad az tak moc nemusite, nehlede na to, ze ten exchange stejne potom postu odesila pres ten postfix, ktery tedy zrejme vykovana antispamovou a antivirovou kontrolu odesilane posty, cili stejne ta posta prez nej projde. Vzhledem k pozadovane funcnosti a narocnosti/jednoduchosti nastaveni a bezpecnosti/nebezpecnosti bych to udelal tak, jak jsem naznacil v minulem prispevku. Co vam tedy brani v tom klientum nastavit VPN spojeni do firemni site? Potom odesilate stale "zevnitr" a nemusite nic takoveho resit. Bezpecnost by byla myslim dostatecna.
RaT. -----Original Message----- From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] On Behalf Of Jan Dusatko Sent: Sunday, May 06, 2007 12:26 PM To: 'FreeBSD mailing list' Subject: RE: Postfix AUTH > Aha. TAkze vy chcete, aby autentifikaci udelal postfix a informaci o tom, ze je klient autentifikovan predal exchangi. To je podle me zbytecne slozite, ale asi by to take nejak slo. Osobne bych to udelal tak,ze autentifikaci smtp provadi exchange, takze tam vubec nemusite zatahovat postfixe. Prave ze Postfix do toho zatahovat musim. Pokud mi dela postfix antispamovou kontrolu, posazeni SMTP Exchange na jiny port pro "relay" posty nic neresi. Ze zhruba 20 nebo 21 znamych moznosti se SMTP Exchange dokaze branit jenom 15 (nekdy si zkuste sice trivialni, ale ucinny "telnet relay-test.mail-abuse.org"), to znamena moznost jak se ze serveru zakaznika muze stat Open Relay. Navic, otevreny port a "druha" nehlidana cesta je podle meho nazoru nejcastejsi a zakladni provineni se proti pravidlum bezpecnosti. To znamena jedna kontrolovana cesta, pripadne dve cesty se stejnymi pravidly a jednou spravou. Nerad delam kompromisy, zvlast v teto otazce. Nutnost verifikovat existenci uzivatelu a jejich authentizaci nakonec budu muset patrne resit pres LDAP a scripty, jak se zda, prime SASL spojeni Postfix a Exchange je nerealne. Honza -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
