AonH
Erschreckt mich auch immer wieder! Vor allen Dingen, wie viele große Unternehmen / Mittelständler eine richtig schlechte Konfiguration fahren.
Am Ende wird sich dann gewundert, wenn gefälschte E-Mails im Umlauf sind.
Aber zu faul DKIM zu konfigurieren, damit der Empfänger-Server auch korrekt arbeiten kann.
Ich kann GeioIP Blocking in jedem Fall empfehlen. Gerade, wenn man sieht, wer da so alles normalerweise Last auf den Systemen erzeugt hätte.
Da wir nur regional / europäisch tätig sind brauche ich keine Mails aus Afrika oder Russland.
Vor allen Dingen stehen die meisten großen Serverfarmen nicht dort.
Wir hatten vor Mailcow (ich komme aus der MS Exchange Ecke) alles auf der OPNsense.
Vom MTA, über RspamD, HAProxy, Squid mit SSL Abladung.
Hier geht fast nichts rein oder raus, ohne vorher geprüft worden zu sein. Auch, wenn das hin und wieder Leistungsverluste oder Kompatibilitätsprobleme bedeuetet.
In unserem näheren Umfeld sind mittlerweile so viele von massiven Hacker Attacken und allem, was ein erfolgreicher Angriff mit sich bringt, betroffen. Da ist es mir herzlich egal, ob wir minimal längere Ladezeiten haben.
Seit Mailcow in Betrieb ist haben wir keinen davor geschalteten MTA mehr.
Eingehender Datenverkehr SMTP -> Blacklisting -> Geoblocking -> Mailcow.
Ebenfalls HTTP/S & VPN.
Aber eingehend Port 443, 80 etc. läuft alles über den HAProxy inkl. SSL Abladung und Prüfung.
Es hängen aber auch noch andere Dienste an den Ports, daher ist der HAProxy erforderlich.
Eigentlich wollte ich Mailcow auch nur komplett hinter der OPNSense betreiben.
Geht aber nicht, RspamD kann nicht mit Proxys umgehen und lädt dann nicht mehr.
Eingehend ist “Herr Moo” nur über den SMTP-Port “direkt” erreichbar. MTA-STS läuft ebenfalls über HAProxy an Mailcow.
Was es vielleicht noch etwas erschwert: Sämtliche IPs sind “umgebogen”.
Die im öffenentlichen DNS eingetragenen IPs entsprechen nicht der tatsächlichen des Servers.
Zielt primär alles auf die “Sense”.
