Manfred hat auf dem Administrationsforum in der Notes/Domino-Gruppe auf xing.com folgende Frage gestellt:

"Ich bin gerade dabei mir den Mailzugriff via Internet auf den Dominoserver näher anzusehen und es würde mich freuen, wenn ihr mir eure Lösungen kurz darstellen könntet.

Die Variante eines direkten Zugriffs über die Firewall auf den Produktivserver stelle ich mir in punkto Security etwas zu gewagt vor.
Ich denke an eine Variante mit einem Domino Server als "Proxy" in der DMZ welcher als Durchgangsserver konfiguriert ist.

Wie sind eure Meinungen und Erfahrungen dazu?"

Quelle: https://www.xing.com/app/forum?op=showarticles;id=9607106

Da meine Antwort etwas länger geworden ist, habe ich ihr einen eigenen Blog-Eintrag gewidmet:

Man könnte auf Netzwerkebene den Port 80 (HTTP) und/oder 443 (HTTPS) durch die Firewall auf den Produktivserver weiterleiten (Port-Forwarding): Auch wenn einige Netzwerker und Sicherheitsbeauftragte wahrscheinlich anderer Meinung sind, halte ich das Risiko dadurch für relativ gering. Man sollte dann aber den Server (Domino, Betriebssystem) natürlich immer so schnell wie möglich aktualisieren, wenn eine sicherheitsrelevante Lücke geschlossen wurde. Zum Beispiel bei der 7.0.3-Version sind wenige Tage nach Erscheinen der englischen Variante Sicherheitslücken veröffentlicht und dokumentiert worden, die durch die neue Version geschlossen wurden. Eigentlich in Ordnung - wenn nicht alle nicht-englischen Versionen mehrere Monate später erschienen wären

Port-Forwarding von 1352 (NRPC): die gleiche (Un-)Bedenklichkeit wie HTTP/HTTPS. Allein die Anzahl der automatisierten Angriffe und Angriffswerkzeuge dürfte wesentlich geringer sein. Auch erinnere ich mich jetzt an keine einzige bekannt gewordene Sicherheitslücke in NRPC.

Weiterer Domino-Server in DMZ: Je nach bisheriger Client-Lizensierung kommen da zusätzliche Lizenzkosten dazu - oder eben nicht (CEO oder Expresslizenzen). Da ja die Mailboxen eigentlich auf einen anderen Server liegen, wäre vielleicht auch der Domino Utility (Express)-Server eine kostengünstige Variante. Dann könnte man auch gleich noch Web-Anwendungen auf den Server legen. Wer möchte nicht seine Kunden, Lieferanten und/oder Partner besser in seine Prozesse einbinden?

Wenn man per Web-Mail (also DWA) auf die E-Mails zugreifen möchte, muss man dann Repliken von den Maildatenbanken auf den Domino-Server in der DMZ legen. Das bedeutet, wenn der Server geknackt wird - z. B. auf OS-Ebene - sind auch die Datenbanken zugreifbar.

Man könnte die Repliken verschlüsselt auf den Server legen. Gegenüber Domino-Anfängern könnte das schon reichen. Leider sollte man bei Sicherheitsthemen immer mit dem Schlimmsten rechnen, hier also den gezielten Angriff von Spezialisten (Industriespionage!), die die Server-ID einfach mit kopieren und setzen sich zuhause den Server neu auf. Um sich dagegen zu schützen, könnte man die Server-ID mit einem Passwort versehen. Dann läuft der Server aber nicht mehr von alleine an - sollte er wirklich mal crashen hilft dann auch die Automatic Fault Recovery nicht. Die übliche Entscheidung steht an: höhere Sicherheit oder Bequemlichkeit?

Grundsätzlich wäre für den Domino-Server in der DMZ ein möglichst sicheres Betriebssystem vorziehen, dass nach dem eventuellen Auftauchen von Sicherheitslücken innerhalb der nächsten Stunden oder Tage automatisch aktualisiert werden kann. Auch sollte man sich überlegen, die Domino-Server-Prozess unter einem niedrig priviligierten Benutzer laufen zu lassen...

Wenn man voraussetzen könnte, dass nicht per DWA auf die E-Mails zugegriffen werden müsste, sondern immer ein Notes-Client vorläge, z. B. weil der Zugriff nur von Notebooks möglich sein soll, dann könnte man die Mail-Datenbanken auf dem Produktivserver liegen lassen und den Domino-Server in der DMZ nur als Durchleitungsserver nutzen. Wäre schon noch ein kleines bißchen sicherer.

Die Kombination macht auch sehr viel Sinn: für die DWA-Nutzer die Mail-Repliken erstellen, für die anderen Durchleitungsserver konfigurieren. Sie können dann natürlich auch auf alle anderen Datenbanken zugreifen!

Weitere Ideen:

• Den DMZ-Server könnte man in eine getrennte eigene Domäne legen. Das erhöht zwar minimal den administrativen Aufwand, erhöht aber gleichzeitig noch ein wenig mehr die Sicherheit.
• Die Replizierung sollte wenn möglich von innen nach außen erfolgen.
• Die Gegenzertifizierung des DMZ-Servers sollte so minimal wie möglich gemacht werden - also nur der DMZ-Server selbst und nur von den Servern, auf die er zugreifen muss.
• Der DMZ-Server sollte nur auf die Datenbanken Zugriff haben, die er replizieren muss.
• Zumindest auf den nach außen gerichteten TCP/IP-Port des DMZ-Servers könnte (sollte?!) man nicht nur die Komprimierung, sondern auch die Verschlüsselung aktivieren. Alle Zugriffe - auch die per Durchleitung - werden dann automatisch kryptographisch geschützt.