Dovecot als IMAP-Proxy vor Exchange-Server?

[Ralf Hildebrandt]

* Rainer Wiesenfarth <Rainer_Wiesenfarth at trimble.com>:
> Hallo,
> 
> ich habe (nicht hier in der Firma :-) ) folgendes Szenario:
> 
> - Exchange-Server im internen Netz (leider "gesetzt" :-( )
> - Linux-Firewall davor
> - Clients (iPhone etc.), die intern und extern per IMAP auf ihre E-Mail
>   zugreifen (gleicher Account auf dem Client, geregelt über DNS; plain
>   password über TLS)
> 
> Was mich jetzt stört ist, dass von außen massenweise IMAP-Einbruchsversuche
> über die Firewall auf den Exchange einprasseln.
> 
> Ich hätte daher gerne auf Linux-Seite ein fail2ban davor. Da das direkt ja
> nicht geht, war die Idee, Dovecot als Nur-Proxy vor den Exchange zu setzen.
> Mailstore und (eigentliche) Authentisierung also auf dem Exchange, aber
> Dovecot-Meldungen über failed login im Linux-Log, damit ich fail2ban darauf
> los lassen kann.
> 
> Frage: Hat jemand von Euch da ein How-To zu? Der Dovecot-Doku entnehme ich,
> dass das prinzipiell gehen sollte, es bleiben aber offene Fragen, z.B.

Ich habe das aktuell laufen
 
> - wegen SSL: dann müssen die Clients generell über den Proxy, weil sonst ja
> das Zertifikat wechselt?

Nein. Der Proxy kann sein eigenes Certificat haben (muss er auch, denn
er hat einen eigenen Hostnamen)

> - werden Passwort-Wechsel auf Exchange Seite zuverlässig erkannt?

Ja

> - erscheinen failed logins auf Linux Seite in diesem Fall so im Log, dass
> ich fail2ban darauf ansetzen kann?

Ja

-- 
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  ralf.hildebrandt at charite.de | http://www.charite.de