Dovecot als IMAP-Proxy vor Exchange-Server?

Rainer Wiesenfarth Rainer_Wiesenfarth at trimble.com
So Jul 26 07:41:51 CEST 2015 

Hallo,

ich habe (nicht hier in der Firma :-) ) folgendes Szenario:

- Exchange-Server im internen Netz (leider "gesetzt" :-( )
- Linux-Firewall davor
- Clients (iPhone etc.), die intern und extern per IMAP auf ihre E-Mail
   zugreifen (gleicher Account auf dem Client, geregelt über DNS; plain
   password über TLS)

Was mich jetzt stört ist, dass von außen massenweise 
IMAP-Einbruchsversuche über die Firewall auf den Exchange einprasseln.

Ich hätte daher gerne auf Linux-Seite ein fail2ban davor. Da das direkt 
ja nicht geht, war die Idee, Dovecot als Nur-Proxy vor den Exchange zu 
setzen. Mailstore und (eigentliche) Authentisierung also auf dem 
Exchange, aber Dovecot-Meldungen über failed login im Linux-Log, damit 
ich fail2ban darauf los lassen kann.

Frage: Hat jemand von Euch da ein How-To zu? Der Dovecot-Doku entnehme 
ich, dass das prinzipiell gehen sollte, es bleiben aber offene Fragen, z.B.

- wegen SSL: dann müssen die Clients generell über den Proxy, weil sonst 
ja das Zertifikat wechselt?
- werden Passwort-Wechsel auf Exchange Seite zuverlässig erkannt?
- erscheinen failed logins auf Linux Seite in diesem Fall so im Log, 
dass ich fail2ban darauf ansetzen kann?

In Summe viele Fragen, die mich bislang davon abhalten, das 
umzusetzen... :-)

Best Regards / Mit freundlichen Grüßen
Rainer Wiesenfarth

-- 
Software Engineer | Trimble Imaging Division
Rotebühlstraße 81 | 70178 Stuttgart | Germany
Office +49 711 22881 0 | Fax +49 711 22881 11
http://www.trimble.com/imaging/ | http://www.inpho.de/

Trimble Germany GmbH, Am Prime Parc 11, 65479 Raunheim
Eingetragen beim Amtsgericht Darmstadt unter HRB 83893,
Geschäftsführer: Dr. Frank Heimberg, Hans-Jürgen Gebauer

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 4275 bytes
Beschreibung: S/MIME Cryptographic Signature
URL         : <https://listen.jpberlin.de/pipermail/dovecot/attachments/20150726/68b102d1/attachment.p7s>

Mehr Informationen über die Mailingliste Dovecot