ForumFriday: Webmail - aber sicher

von Thomas Bahn,
assono GmbH, Standort Kiel,

Manfred hat auf dem Administrationsforum in der Notes/Domino-Gruppe auf xing.com folgende Frage gestellt:

"Ich bin gerade dabei mir den Mailzugriff via Internet auf den Dominoserver näher anzusehen und es würde mich freuen, wenn ihr mir eure Lösungen kurz darstellen könntet.

Die Variante eines direkten Zugriffs über die Firewall auf den Produktivserver stelle ich mir in punkto Security etwas zu gewagt vor.
Ich denke an eine Variante mit einem Domino Server als "Proxy" in der DMZ welcher als Durchgangsserver konfiguriert ist.

Wie sind eure Meinungen und Erfahrungen dazu?"

Quelle: https://www.xing.com/app/forum?op=showarticles;id=9607106

Da meine Antwort etwas smile.gif  länger geworden ist, habe ich ihr einen eigenen Blog-Eintrag gewidmet:

Man könnte auf Netzwerkebene den Port 80 (HTTP) und/oder 443 (HTTPS) durch die Firewall auf den Produktivserver weiterleiten (Port-Forwarding): Auch wenn einige Netzwerker und Sicherheitsbeauftragte wahrscheinlich anderer Meinung sind, halte ich das Risiko dadurch für relativ gering. Man sollte dann aber den Server (Domino, Betriebssystem) natürlich immer so schnell wie möglich aktualisieren, wenn eine sicherheitsrelevante Lücke geschlossen wurde. Zum Beispiel bei der 7.0.3-Version sind wenige Tage nach Erscheinen der englischen Variante Sicherheitslücken veröffentlicht und dokumentiert worden, die durch die neue Version geschlossen wurden. Eigentlich in Ordnung - wenn nicht alle nicht-englischen Versionen mehrere Monate später erschienen wären sad.gif

Port-Forwarding von 1352 (NRPC): die gleiche (Un-)Bedenklichkeit wie HTTP/HTTPS. Allein die Anzahl der automatisierten Angriffe und Angriffswerkzeuge dürfte wesentlich geringer sein. Auch erinnere ich mich jetzt an keine einzige bekannt gewordene Sicherheitslücke in NRPC.

Weiterer Domino-Server in DMZ: Je nach bisheriger Client-Lizensierung kommen da zusätzliche Lizenzkosten dazu - oder eben nicht (CEO oder Expresslizenzen). Da ja die Mailboxen eigentlich auf einen anderen Server liegen, wäre vielleicht auch der Domino Utility (Express)-Server eine kostengünstige Variante. Dann könnte man auch gleich noch Web-Anwendungen auf den Server legen. Wer möchte nicht seine Kunden, Lieferanten und/oder Partner besser in seine Prozesse einbinden? smile.gif

Wenn man per Web-Mail (also DWA) auf die E-Mails zugreifen möchte, muss man dann Repliken von den Maildatenbanken auf den Domino-Server in der DMZ legen. Das bedeutet, wenn der Server geknackt wird - z. B.  auf OS-Ebene -  sind auch die Datenbanken zugreifbar.

Man könnte die Repliken verschlüsselt auf den Server legen. Gegenüber Domino-Anfängern könnte das schon reichen. Leider sollte man bei Sicherheitsthemen immer mit dem Schlimmsten rechnen, hier also den gezielten Angriff von Spezialisten (Industriespionage!), die die Server-ID einfach mit kopieren und setzen sich zuhause den Server neu auf. Um sich dagegen zu schützen, könnte man die Server-ID mit einem Passwort versehen. Dann läuft der Server aber nicht mehr von alleine an - sollte er wirklich mal crashen hilft dann auch die Automatic Fault Recovery nicht. Die übliche Entscheidung steht an: höhere Sicherheit oder Bequemlichkeit?  sad.gif

Grundsätzlich wäre für den Domino-Server in der DMZ ein möglichst sicheres Betriebssystem vorziehen, dass nach dem eventuellen Auftauchen von Sicherheitslücken innerhalb der nächsten Stunden oder Tage automatisch aktualisiert werden kann. Auch sollte man sich überlegen, die Domino-Server-Prozess unter einem niedrig priviligierten Benutzer laufen zu lassen...

Wenn man voraussetzen könnte, dass nicht per DWA auf die E-Mails zugegriffen werden müsste, sondern immer ein Notes-Client vorläge, z. B.  weil der Zugriff nur von Notebooks möglich sein soll, dann könnte man die Mail-Datenbanken auf dem Produktivserver liegen lassen und den Domino-Server in der DMZ nur als Durchleitungsserver nutzen. Wäre schon noch ein kleines bißchen sicherer.

Die Kombination macht auch sehr viel Sinn: für die DWA-Nutzer die Mail-Repliken erstellen, für die anderen Durchleitungsserver konfigurieren. Sie können dann natürlich auch auf alle anderen Datenbanken zugreifen!

Weitere Ideen:

Fachbeitrag IBM Domino Administration

Sie haben Fragen zu diesem Artikel? Kontaktieren Sie uns gerne: blog@assono.de

Sie wollen eine individuelle Lösung? Kontaktieren Sie uns

Weitere interessante Artikel

JUNIOR-Landeswettbewerb

JUNIOR-Landeswettbewerb

In der Schule erste Gründungsideen umsetzen - Die bundesweiten JUNIOR-Programme bieten Schülern die Möglichkeit, ihr eigenes Startup … Mehr

von
Katharina Adam
,

Sie haben Fragen? Wir sind für Sie da.

Wenn Sie mehr über unsere Angebote erfahren möchten, können Sie uns jederzeit kontaktieren. Sie können uns auf verschiedene Weisen für eine unverbindliche Erstberatung erreichen:

assono GmbH

Standort Kiel (Zentrale)
assono GmbH
Lise-Meitner-Straße 1–7
24223 Schwentinental

Standort Hamburg
assono GmbH
Bornkampsweg 58
22761 Hamburg

Telefonnummern:
Zentrale: +49 4307 900 407
Techn. Hotline: +49 4307 900 403
Vertrieb: +49 4307 900 402

E-Mail-Adressen:
kontakt@assono.de
bewerbung@assono.de