SMTP

SMTP nie daje zbyt wielu możliwości wyboru w żadnej konfiguracji. Chcemy, aby wszystkie zewnętrzne połączenia SMTP zmierzały do jednego komputera z zabezpieczonym serwerem SMTP, i nie liczymy na to, że w którymkolwiek komputerze wewnętrznym działa bezpieczny serwer SMTP. Oznacza to, że musimy umieścić zabezpieczony serwer SMTP w hoście bastionowym i użyć rekordów MX DNS, aby skierować całą pocztę przychodzącą do hosta bastionowego, który następnie przekaże ją do jednego, zabezpieczonego, wewnętrznego serwera SMTP.

Czy mamy inne opcje? Moglibyśmy umieścić zabezpieczony serwer SMTP w wewnętrznym serwerze pocztowym i kierować do niego pocztę przychodzącą, ale jeśli napastnik przejmie kontrolę nad serwerem SMTP, zagrozi całej sieci wewnętrznej. Host bastionowy mógłby także rozsyłać pocztę bezpośrednio do komputerów w sieci wewnętrznej, ale w ten sposób również zwiększylibyśmy naszą podatność na atak w razie przejęcia kontroli nad serwerem SMTP w hoście bastionowym. Zdobyty host bastionowy porozumiewałby się z niegodnymi zaufania wewnętrznymi serwerami SMTP, co w krótkim czasie doprowadziłoby do naruszenia bezpieczeństwa sieci wewnętrznej. Jeśli host bastionowy może się porozumiewać tylko z wewnętrznym serwerem pocztowym, zawęża to jego możliwości ataku w serwerze wewnętrznym może działać zabezpieczony serwer SMTP. Ponadto, jeśli dokonamy takiego wyboru, będziemy mogli wykonywać żmudne czynności konfiguracyjne nie w stale zagrożonym hoście bastionowym, ale w mniej narażonym na ataki wewnętrznym serwerze pocztowym.

A co z pocztą wychodzącą? Moglibyśmy całkiem bezpiecznie pozwolić komputerom wewnętrznym na wysyłanie poczty bezpośrednio do świata zewnętrznego, ale znacznie utrudnilibyśmy sobie zarządzanie siecią (musielibyśmy pilnować konfiguracji pocztowych we wszystkich komputerach wewnętrznych).