LINUX.ORG.RU
ФорумAdmin

Организация почты для мобильных клиентов

 , ,


0

1

Всем доброго времени суток. Есть задача организовать доступ пользователей к их корпоративным ящикам в то время когда они находятся за пределами предприятия. Доступ нужен как в разрезе Web-мордочки так и для iphone, andriod и прочего заосада.

В качестве сервера будет юзатся Postfix + Dovecot

На данный момент рассматриваю несколько вариантов:

1. OpenVPN для телефонов, ноутбуков и прочего + какае-то вебморда. Из плюсов для телефонов, компьютеров это конечно простота и гибкость решения на ВПН ну и естественно надежность с точки зрения взломостойкости. Из минусов есть мнение что клиент круто садит батарею если его держать постоянно запущенным скажем на телефоне, а на вариант запустил получил выключит косо смотрят пользователи.

2. Проброс портов через файрвол с шифрованием + вебморда. Плюсы еще проще в настройке пользователям и менее напряжно для мобилок. Минусы может то я такой, но как по мне даже при наличии шифрования как то очень не хочется просто открывать порты на почтовом сервере.

3. Вариант 2 доработанный с поднятием еще одного почтового сервера в ДМЗ, копированием на него только ящиков пользователей которым нужен доступ к ящику из вне и который не или не может использовать ВПН и проброс портов в мир уже из этого второго пользователя. Плюсы вроде бы как бы и более защищенная система но тут сразу и минус обычно таким доступом пользуются самые так сказать высокопоставленные лица фирмы и как правила именно у них в ящиках и храниться самая ценная информация.

Собственно прошу совета и Ваших мнений как более правильно организовать решение проблемы. Может быть и скорее всего есть какой-то 4-й, 5-й и так далее вариант решения проблемы их бы тоже очень хотелось услышать.

А второй вопрос собственно по поводу надежной вебмордочки для доступа к почте, кто что может посоветовать?

Минусы может то я такой, но как по мне даже при наличии шифрования как то очень не хочется просто открывать порты на почтовом сервере.

Почитай историю уязвимостей того что будет торчать наружу, на основании этого делай выводы.

MrClon ★★★★★
()

Из минусов есть мнение что клиент круто садит батарею если его держать постоянно запущенным скажем на телефоне

Проверь. Заряди телефон, запусти на нём openvpn и imap клиент, оставь лежать на столе, засеки когда сядет батарея (можно написать скрипт который будет раз в n минут записывать в файл текущее время, что-бы не пропустить момент выключения).
Потом повтори то-же самое без openvpn.
Сравни время работы.

Есть смысл провести такой эксперимент и с андроидом и с айфоном.

MrClon ★★★★★
()
Ответ на: комментарий от MrClon

Есть смысл провести такой эксперимент и с андроидом и с айфоном.

Юзал в варианте постоянно запущен и правда фиговенько во многом виноват Сам OpenVPN он не дает заснуть телефону так как раз в заданый промежуток времени пингует шлюз если нет трафика если пинг не прошел то пытается переподключится и тут уже зависит от телефона либо батарею выжирает wifi/3g/gprs и т.д. либо телефон засыпает соединение иногда залипает и лечиться только выкл. вкл. впн после пробуждения ну либо не засыпает так как его будет впн пытаясь переподключится потом будится связь ну и смотреть выше. Андроид имею скаже у меня батарею в 4000 такое переживает легко, а вот яблочкам как то мало такое нравиться.

kosticik
() автор топика

Проброс портов через файрвол с шифрованием + вебморда

Вот это.
Пробить postfix/dovecot затруднительно, исправления критичных помню два за 4 года, всё оперативно.
Заворачивай соединение в TLS целиком. Веб-морду можешь убрать на нестандартный порт и/или прибавить авторизацию средствами веб-сервера.

Yustas ★★★★
()
Последнее исправление: Yustas (всего исправлений: 1)

Вероятно самое простое - это внедрение сертификатов и авторизация по ним по TLS.

Atlant ★★★★★
()

Ну если так страшно, то roundcube + ssl, imap+smpt засунуть в dmz. Но я бы нативный клиент юзал + ssl, это ж круче и быстрее.

invokercd ★★★★
()

Здравствуйте, на мой взгляд, вариант № 3 (почтовый сервер в DMZ) - самый правильный. У меня, например, с 1998 г работает такая схема. Сейчас стоят sendmail/dovecot/horde, никаких неприятных инцидентов со взломом не было. Кстати, копирование почтовых ящиков - не самая удачная идея (проблемы синхронизации). Гораздо оптимальнее либо засунуть ящики в базу данных, либо, если поток почты небольшой, организовать к ним доступ по NFS.

С уважением, Сергей.

anonymous
()
Ответ на: комментарий от Yustas

Веб-морду можешь убрать на нестандартный порт и/или прибавить авторизацию средствами веб-сервера

Спасибо за ответы, а какую веб мордочку посоветуете посмотреть? Просто не очень ориентируюсь что есть на данный момент из хорошего?

kosticik
() автор топика
Ответ на: комментарий от kosticik

Я уже много лет пользуюсь horde. Сравнительный анализ с другими web-интерфейсами провести не могу, но к horde серьезных претензий нет. Есть мобильная версия интерфейса.

anonymous
()
Ответ на: комментарий от anonymous

Я уже много лет пользуюсь horde

Интересная вещь спасибо за направление. А не подскажите по ней ответы на пару вопросов как постоянно использующий: Я тут ее демо глянул там есть еще и файл менеджер не пробовали его натравить на какой-то внешний дисковый массив что бы еще и доступ к файлам через веб раздать? А как обстоит дело с тем что бы вытянуть адресную книгу из домена виндового?

kosticik
() автор топика
Ответ на: комментарий от kosticik

Я тут ее демо глянул там есть еще и файл менеджер не пробовали его натравить на какой-то внешний дисковый массив что бы еще и доступ к файлам через веб раздать?

Да, это вполне реально. Мне неактуально, так что сам не настраивал.

А как обстоит дело с тем что бы вытянуть адресную книгу из домена виндового?

Есть стандартные средства взаимодействия Turba (компонент horde, отвечающий за адресную книгу) c LDAP:

http://www.horde.org/apps/turba/docs/LDAP

А вот описание того, что Вам надо:

https://www.skelleton.net/2013/05/12/installing-horde-5-and-configuring-it-fo...

Так что все вполне реально :).

Удачи!

anonymous
()
Ответ на: комментарий от kosticik

какую веб мордочку посоветуете посмотреть?

Роундкьюб

Yustas ★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.