Aller au contenu

Messages recommandés

Posté(e)

Bonjour,

Je suis en train d'essayer la fonction mail server du syno, plus pour le fun que par réel besoin, mais je me pose une question fondamentale : est-ce vraiment intelligent d'ouvrir un NAS sur l'Internet, avec des données dessus, plus ou moins importantes ? Je pensais éventuellement acheter un petit syno pour le placer en DMZ et le dédier au service mail et autres partages. Comment avez-vous fait de votre côté ?

B.

Posté(e)

Installe le paquet Mail Server et regarde si les options de sécurité te conviennent.

Utilise les connexions sécurisées uniquement pour les clients (POPS sur tcp/995, IMAPS sur tcp/993, SMTPS sur tcp/465 ou tcp/587).

Pour ma part les serveurs faisant des tentatives douteuses sur le port tcp/25 se font bloquer automatiquement par DSM.

Posté(e)

J’avais testé MailStation il y a quelques années, mais j'ai préféré revenir sur un serveur dédié dont je maitrise la configuration de bout en bout, mais dans mes souvenir ce n'était pas mal niveau conf postfix.

Si tu sais ce que tu fais (que tu sais comment fonctionne un mta, ce qu'est un mx, que tu utilises des mots de passe fort), alors c'est faisable pour un usage particulier.

En usage pro, ça peut vite devenir insuffisant.

Par contre il y a plusieurs points à surveiller, en particulier :

  • ton FAI l'autorise t'il ?
  • ton nas risque de travailler 24h/24 (si les bots détectent que ton port 25 est ouvert et que la sécurité est faible, il vont tenter de s'en servir)

Tu peux déjà tenter de voir si ça te convient en terme de fonctionnement (webmail, imaps, smtps) en passant par un relai pour la réception et l'envoi vers l’extérieur.

Posté(e)

Merci pour vos retours respectifs.

Honnêtement, je pense partir sur un NAS dédié finalement et placé dans une DMZ, car si la machine devait être compromise les dégâts seraient confinés.

 

B.

Posté(e)

DMZ....

ma foi, c'est vous qui voyez. Si ça vous fait plaisir d'avoir un nas open bar, pourquoi pas. Plus il y a de ports ouverts et plus il y a d'animation (et de courants d'air). Vous aurez certainement beaucoup de clients, mais pas sûr qu'ils paieront tous leurs consommations.

Oubliez le dmz et faites les ouvertures de ports adéquates pour avoir un bar qui sélectionne un peu sa clientèle.

Posté(e) (modifié)

Oubliez le dmz et faites les ouvertures de ports adéquates

​ce n'est pas parce que peu de ports sont ouvert qu'une DMZ est inutile, je suis d'accord que monter une dmz pour un particulier est peut être un peu "too much", mais dans un cadre professionnel, s'il y a déjà le matériel adéquat installé, il serait dommage de s'en priver

Exemple simple : une appli mal codée peut facilement permettre à un attaquant de se servir du Syno comme passerelle pour attaquer le reste du réseau, même si le Syno lui même est sécurisé, rien ne dit que le reste des machines du réseau l'est

--

edit : attention au terme DMZ

Modifié par Fenrir
Posté(e)

Le problème des DMZ proposées sur les box du marché c'est que la machine qui y est placée est également adressée sur le réseau local, difficile de faire pire (machine compromise = réseau local compromis).

Dans le cadre professionnel on utilise un pare-feu digne de ce nom, des VLANs, et le subnet fourni par l'opérateur pour rendre quelques machines uniquement accessibles depuis le réseau public (machine comprise = aucun impact sur le reste du réseau).

Posté(e)

Le problème des DMZ proposées sur les box du marché c'est que la machine qui y est placée est également adressée sur le réseau local, difficile de faire pire (machine compromise = réseau local compromis).

​à oui c'est vrai, jamais oublié que les box appelaient DMZ le fait d'ouvrir tous les ports

Dans le cadre professionnel on utilise un pare-feu digne de ce nom, des VLANs, et le subnet fourni par l'opérateur pour rendre quelques machines uniquement accessibles depuis le réseau public (machine comprise = aucun impact sur le reste du réseau).

​je parlais effectivement de ce type de DMZ

 

@BHuck67 : si ta DMZ c'est le bouton DMZ d'une box, suit les recommandations de Mic13710

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.