On 20/08/10 18:21, komar wrote:
> Mohon pencerahannya dan penjelasannya lebih detil mengenai desain dan
> konfigurasi Mdaemon dengan kondisi sbb:
> 1. Jika baru akan Implementasi Mdaemon.
> Misalnya kebutuhan customer adalah mail server (Mdaemon), AD/DNS
> dan File Server, Anti Virus server, dan firewall/proxy server.
> Menurut Pak Syafril, idealnya seperti apa?
Mail server itu untuk melayani public, mirip kantorpos di dunia nyata.
Seperti umumnya layanan publik, yg terbaik mudah dijangkau oleh public
(internet).
File server, Active Directory itu layanan private, yg terbaik mudah
dijangkau oleh legitimate user/LAN.
Dari sini terlihat mestinya keduanya jangan disatukan.
Kalau kita punya kotakpos atau tempat sampah dirumah, maka perlu
diletakkan di luar atau sejajar pintu gerbang (gateway/firewall/tembok),
bukan di letakkan didekat pintu rumah (jauh dibelakang pintu gerbang),
agar Pak Pos atau petugas kebersihan yg akan akses tidak terganggu atau
jadi malas menservice Anda.
Tetapi kalau kita punya kolam renang dirumah, akan lebih baik diletakkan
dibelakang benteng/tembok/firewall, disamping masalah privasi juga untuk
keamanan penghuni rumah yang sedang beraktivasi.
Jadi intinya kegunaan firewall itu untuk menjaga privacy, menjaga
desktop LAN user Anda atau aplikasi-2x yg sifatnya private bukan untuk
menjaga layanan public yg umumnya sudah dirancang untuk mampu menjaga
dirinya sendiri.
> 2. Jika existing network (dengan Mdaemon yang sudah beroperasi)
> Kondisi yang ada adalah:
> - File server merangkap DNS atau AD
> - Mdaemon server di DMZ (kata pak syafril, ini desain yang paling
> buruk)
> - firewall (hardware/appliance) /proxy squid/ISA server
> - antivirus server
> Yang ini, idealnya diapakan?
> Dengan dua kondisi di atas, semoga kami bisa memberikan solusi untuk
> per-emailan yang baik dan benar.
Yang terbaik Mailserver diletakkan sejajar dengan firewall, yg paling
murah menggunakan natural firewall y.i. pasang 2 NIC dimana yg satu
terhubung ke internet sementara yg lain terhubung ke LAN.
Kalau memang kuatir dengan kemungkinan Windows O/S yg (konon) tidak
secure, masih boleh diletakkan di belakang firewall akan tetapi traffic
dari internet maupun dari local LAN user tidak difilter sama sekali.
TCP filter itu makan bandwidth, sementara koneksi mail adalah 2 pihak
dimana kalau salah satunya punya koneksi lambat (bisa karena bandwidth
yg dimiliki atau karena line yg busy) maka saat data transfer yg berlaku
transfer ratenya = kecepatan koneksi terendah dimana kemungkinan terjadi
time out akan lebih besar jika dilakukan tcp filtering.
Tcp filter itu mirip satpam atau gardu check dijalan toll, sebaik apapun
design jalan toll atau sebesar apapun pintu gerbang yg Anda miliki (yg
direpresentasikan dengan bandwidth yg dimiliki) kalau dijalur itu banyak
"pemeriksaan" pasti lalu lintasnya lambat atau sering terjadi antrian.
Untuk antivirus sudah dijelaskan di thread lain.
Mail bervirus, trojan, phising mail, worm mail itu mirip teroris kalau
dibiarkan "masuk" (accept) di queue baru di verify akan merepotkan
karena bisa merembet kemana-mana jika salah penanganan.
Jadi jangan berkompromi dengannya, langsung saja di reject di level smtp.
Rejection mail bervirus yg terbaik adalah menggunakan mail command
(standard Internet mail) bukan asal reject di level tcp/ip yg malah akan
membuat sender retry to send --> menghabiskan bandwidth dengan percuma.
Dulu sebelum MDaemon versi 8.x, antivirus di MDaemon kerjanya mirip
dengan antivirus diluaran (symantec, mcafee, kaspersky dll), mail di
accept dulu baru di scan dampaknya dalam satu hari postmaster account
dipenuhi dengan virus notification message.
Sejak MD 8.x era itu sudah berlalu, virus notification hanya ada jika
sendernya dari local user saja dan sangat sedikit.
> Mohon pencerahannya. Karena kadang 'ngobrol' sama "tukang desain"
> misalnya kita propose desain sesuai rekomendasi pak Syafril, eh malah
> bikin debat dengan "tukang desain" yang kadang tidak saya pahami
> goalnya. Akhirnya Engineerlah yang kelabakan kalo timbul masalah di
> kemudian hari :-(
Kalau bicara dengan "orang network/infrastructure" memang terkadang
susah, mereka maunya segalanya "secure" karena sekolahnya memang begitu
(sama susahnya bicara dengan orang akunting soal mengeluarkan uang,
karena sejak sekolah memang diajarin untuk pelit he..he..he..).
Untuk mail server jauh lebih penting "safe" daripada "secure", lebih
baik terima mail duplicate daripada tidak terima mail sama sekali.
--
syafril
-------
Syafril Hermansyah
Running MDaemon 12.0 beta RC5
The major sin is the sin of being born.
-- Samuel Beckett
--[MDaemon-L]------------------------------------------------
Milis ini untuk Diskusi antar pengguna MDaemon Mail Server.
Netiket: <http://www.netmeister.org/news/learn2quote>
Arsip: <http://mdaemon-l.dutaint.com>
Henti Langgan: Kirim mail ke MDaemon-L-unsubscribe [at] dutaint.com
Berlangganan: kirim mail ke MDaemon-L-subscribe [at] dutaint.com
Versi terakhir MD 11.0.3, SP 4.1.2, OC 2.2.4, SG 2.0.4, PP 2.0.0
