Mail-Server über Management IP laufen lassen

[ST 2005 W]

Hallo, ich würde meinen Mail-Server (Postfix und Dovecot) gerne auf die Management IP beschränken. Als Hostname bei den Mail-Clients würde ich dann bei Posteingang- und Ausgangsserver die IP Adresse statt einer Domain eingeben.

Würde das funktionieren und Sinn machen? Falls ja, würde es dann keine Probleme z.B. mit dem SMTP-Banner o.ä. geben?

Danke für Antworten!

 

[danton]

Für die Clients ginge das, macht aber wenig Sinn. Wenn du auf einen anderen Server umziehst, müßtest du auf allen Clients die IP-Adresse ändern.
Was den Mail-Empfang von anderen Servern betrifft, muß beim MX-Record ein FQDN eingetragen sein, eine IP ist nicht erlaubt. Auch beim HELO muß IIRC ein FQDN drin stehen und dieser muß auch per A-Record zur IP auflösen.
Also für deine "Management-IP" einen A-Record erstellen, z.B. mail.hauptdomain.tld. Wenn die IP auch ausgehend für den Mailversand verwendet werden soll, muß auch ein PTR für die IP existieren, der sich ebenfalls per A-Record wieder zur IP auflösen läßt (HELO und PTR müssen verifizierbar sein).

 

[ST 2005 W]

Ok, die Idee dazu kam mir, um evtl. unautorisierte Login-Versuche auf die Mail-Accouts zu vermeinen/einzuschränken. Weil die Management IP ja sozusagen nicht öffentlich ist. Das ganze dann natürlich ohne Domain. Daher würde ich dann auch beim Posteingang- und Ausgangsserver in den Clients (Outlook ect.) die IP Adresse statt einer Domain eingeben. Ein Serverumzug ist in Zukunft nicht vorgesehen.

Vielleicht stelle ich mir das auch falsch vor. Daher ja auch die Frage ob das funktionieren würde und Sinn machen würde.

 

[danton]

Ok, die Idee dazu kam mir, um evtl. unautorisierte Login-Versuche auf die Mail-Accouts zu vermeinen/einzuschränken.

Das ist reine Augenwischerei und kein wirklicher Sicherheitsgewinn. Sichere Kennwörter verwenden, Logs begutachten und auffällige IPs ggfl. aussperren (ob von Hand oder automatisiert mit fail2ban o.ä. liegt dann in deinem Ermessen).
Gegen die Verwendung einer IP spricht außerdem, dass du ein SSL-Zertifikat nicht auf eine IP, sondern immer nur auf einen FQDN ausstellen lassen kannst. Damit bekommst du regelmäßig eine Warnung für ein ungültiges Zertifikat.

 

[jeddix]

Weil die Management IP ja sozusagen nicht öffentlich ist.

Wenn die Management-IP nicht öffentlich ist, dann greifst Du über ein VPN auf diese IP zu? Oder was verstehst Du unter öffentlich?

Falls nur Du auf den Mailserver zugreifst, dann kannst Du ja vielleicht über statische IP die Zugriffe einschränken. Von unterwegs dann via VPN, um statische IP zu haben. Da gibt es auch Angriffsvektoren via Spoofing, aber halt reduzierte Angriffsfläche.

Je nach Provider sind alle IP-Ranges bekannt. Und alles was am WAN hängt, wird gescannt und attakiert. IP-Verstecken lohnt sich hier nicht.

danton liegt mit seinem Ratschlag völlig richtig.