ISA и Kerio MailServer
 

Здравствуйте!
Прошу совета, очень важно для меня.

Средняя школа. Сервер на Вин 2003, АД, ДНС. На этом же сервере стоит ISA 2006 EE и поднята корпоративная почта на Kerio MailServer 6.6.2. Домен вида xxx.local. Почта работает только внутри домена, ее активно используют сотрудники школы и ученики.

Есть идея "расширить границы" общения в школе, то бишь создать сайт, опубликовать его в ИСЕ и сделать доступ к корпоратике из интернета. Т.е чтобы ученики и сотрудники из дома через интернет могли работать со школьным почтовым сервером через вэб-интерфейс.

В Керио авторизация LDAP, т.е база почтовых пользователей связана с AD. Домен в Керио school.mail. В ИСЕ так же настроена авторизация. Созданы правила во внешнюю сеть для http, https, pop3, smtp, 53 порт.

Создан домен 3 уровня вида school.xxx.ru
Очень волнует безопасность этого хозяйства с поправкой на бедность в смысле финансов школы.

Для почты рассматриваю 2 варианта:
1. сообщения могут отправлять\получать только внутри школьного домена;
2. сообщения могут отправлять как внутри сети, так и внешним пользователям, так же получать почту из вне.
Подскажите какой вариант более приемлем. Как грамотно защитить с помощью ИСЫ сервер и внутреннюю сеть (в общих словах, на что обратить внимание).

Не повлияет ли на безопасность связь Керио с AD. Ведь ученики входят в почту под доменными учетками (стоят права пользователь домена, и локальные группы).

Спасибо

YDen,

Простите какая ещё безопасность!? У Вас же маил сервер стоит на той же машине что и фаервол/шлюз! А это уже такая дыра в безопасности, что обо всём остальном можно забыть. ;)

Вам просто нужно опубликовать маил и веб сервер на исе. И не парится по поводу каких то двух вариантов.

Никоим образом, ведь идёт только чтение (запрос) данных от AD.

P.S. В идеале на исе не должны быть никаких посторонних служб и приложений, это рекомендует мелкософт и этим я с ними полностью согласен.

Anton04,

Спасибо за разъяснения.

Вот про установку одном сервере ИСЫ и Керио я и волновался.
Если поставить Керио на другую машину в сети - это схема жизнеспособна в плане безопасности? И туда же перенести сайт.

Спасибо.

YDen, вообще, крайне не рекомендуется даже почтовик ставить на контроллер домена, не говоря уже о совмещении контроллера, почтовика, маршрутизатора и прочего....
В вашем случае, лучше всего:
1. Домен на одном сервере(учитывая, что пользователей не много, справится простая машина)
2. маршрутизатор с ISA на второй
3. Почта на третьей.
Все это дело связываете, отстраиваете. После этого настраиваете VPN на ISA, и по защищенному соединению цепляетесь с дома в вашу сеть. Таким образом, вся ваша сеть будет видна только после подключения к VPN.

Спасибо всем за советы.

Поставил Керио МайлСервер на машину внутри сети. Опубликовал почтовик для доступа из Интернета по pop3,smtp протоколам. Доступ к почте по вэб оставил только в пределах внутренней сети (т.е из интернета вэб морда керио недоступна).

Столкнулся с проблемой. Керио стоит на рабочей станции с Вин ХР. У меня в интернет ИСОй ходят только определенных группы пользователей. Почта работает только тогда, когда на машине с почтовиком произведен вход с учеткой, которой открыт интернет.

Подскажите пожалуйста, как можно организовать возможность работы с указанным почтовым сервером без привязки к входу под определенными учетными записями. То бишь pop и smtp на эту машину из интернета был доступ всегда, и по http доступ всегда в пределах внутренней сети.

Спасибо.

Мне кажется, будет достаточно в оснастке "Службы" в свойствах служб почтовика, SMTP и POP протоколов выставить запуск не от системной учетной записи, а от имени нужного пользователя.