[Eisfair] Sicherheit auf Eisfair: Mailserver, Proxy, Virenscanner, Skripte zur Mailsortierung

Marcus Roeckrath marcus.roeckrath at gmx.de
Mi Feb 7 17:50:44 CET 2018 

Hallo Alex,

Alex Busam wrote:

> es geht um ein geschäftliches Umfeld eines Familienunternehmens, 200
> Mitarbeiter, von denen Gott-sei-Dank nur so ca. 20 direkt was an
> diversen PCs zu suchen haben. Allerdings gibt es 3 Punkte, an denen
> mehrere, immer wieder wechselnde Mitarbeiter Zugriff auf EMails brauchen.

Ok und Geld spielt keine Rolle?

> ..... ich glaube die Diskussion über Restriktionen und Erziehung
> fortzuführen macht wenig Sinn. Mir ist dieser Aspekt schon wichtig, aber
> es geht hier um technische Lösungen:-)

Eine wasserdichte technische Lösung wird es IMHO nicht geben; und wenn due
dann verkündest, es sei alles dicht, wird Hirn noch weniger benutzt, nach
dem Motto, was jetzt noch durchkommt ist geprüft und für einwandfrei
befunden.

Das Problem beginnt ja schon damit, dass auch technische Lösungen immer den
aktuellen Bedrohungen hinterherhinken.

Natürlich würde ich auf technische Lösungen nicht verzichten.

Auf den Clients eine angemessene Virenschutzlösung, die Mail, Webzugriffe
unter die Lupe nimmt und natürlich auch einen Echtzeitscanner für Dateien
beinhaltet.

Und das (s. o.) als Bezahllösung, also das Kommerzprodukt eines
Virenschutzherstellers statt des abgespeckten Privatanwender kostenlos
Angebots, und der MS-Schrott ist sowieso außerhalb jeder Überlegung.

Wenn es daran schon scheitert, wäre jede weitere Überlegung obsolet.

In der Schule haben wir uns für Avira entschieden.

Nun noch zum Server:

Web:

Squid/Squidguard mit eine gepflegten Blacklist (ich meine, dass ich zuhause
damals immer die shallalist genommen habe). Erstmal viele Kategorien
schliessen, die in der Regel im Betrieb keine Bedeutung haben. Per
Handarbeit bekannte immer zu erreichende Webadressen in eine Whitelist
eintragen.

Du musst dann aber auch alle Clients mit Proxcy-Einstellungen versehen und
auf dem Router den Clients die Nutzung auf Port 80/443 sperren.

Ich würde im Squidguard auf jeden Fall alle Webmailer (gmx und Co)
verbieten, denn das ist immer eine Gefahrenquelle, wenn man mal schnell den
Anhang von Privatmails anschauen will.

Server:

Auch hier eine kommerzielle Linux-Virenschutzlösung, die von einem anderen
Hersteller sein sollte, als auf den Clients. Welche davon mit exim
zusammenspielt, müsste man gegebenenfalls vorab recherchieren.

-- 
Gruss Marcus

Mehr Informationen über die Mailingliste Eisfair