DMZ上へのメールサーバ(SMTPとPOP)構築について

現在メールサーバはASPを利用しており、社内に環境はありません。
今回、社内に設置してあるFWに、DMZを新設して、
そこにメールサーバを設置しようとしています。

通常なら、DMZにはSMTPサーバ(メールリレーサーバ)のみ設置し、
POPサーバ(Exchange等)は社内LANに設置する方法がセキュリティ的にも
妥当かと思いますが、今回の用件としては、どうしてもインターネット上からの、
メール参照が必須となります。
(インターネット上からDMZ上のPOPサーバにPOPしに来る)
要は、自宅からメールが見たいということになります。

そこで、FWに空ける穴としては、下記追加を想定しておりますが、
問題等あればご指摘願いますでしょうか。

Untrust⇒DMZ　・・・SMTP(25)、POP3(110)を許可
Trust⇒DMZ　・・・SMTP(25)、POP3(110)を許可

※なお、SMTPサーバ、POPサーバはPostfixでの構築です。

No.2 回答者： Wr5 回答日時： 2009/04/25 11:04

複数からのアクセスがある状態で、自前で置くのならばIMAPという方法もありますが…。

クライアントソフトがイマイチということが多いですかね。

>※なお、SMTPサーバ、POPサーバはPostfixでの構築です。

postfixではPOPサーバになりませんのでご注意を。
ありがちなのとして、postfixではMaildirに配信してPOPサーバがmboxを参照(あるいはその逆)してして、メールが受信できない。なんてのも。

ポートに関しては#1さんが回答されていますし。
他ドメインへの中継の際にOP25Bに引っかかることもあります。
その場合は契約されているISPなどで中継用のサーバが用意されていると思われますので、問い合わせしてみてください。

No.1 回答者： mtaka2 回答日時： 2009/04/25 10:03

最近は、「Outbound port25 blocking」といって、そういう目的で25番が使えなくなっているプロバイダが多いです。

「自宅」のプロバイダがOP25Bをしている場合、ポート25番宛のままではメールが送信できなくなります。
http://bb.watch.impress.co.jp/cda/special/14369. …

SMTPの方は、自宅からのメール送信用に Submission ポート(587)も使うようにした方がよいでしょう。
SMTPサーバ側で、
25番: 認証なし。自ドメイン宛のメールのみ受け取る
587番: 認証あり。他ドメイン宛のメール中継を受け付ける
ようにし、メーラ側では、メール送信設定をポート587番宛にします。

あとは、可能なら、POP3S/SMTPSの導入も検討すべきでしょう。
http://www.atmarkit.co.jp/fwin2k/win2ktips/973ma …
独自のポート(POP3S:995/SMTPS:465)を使うことも出来ますし、
既存のポート(POP3:110/SMTP:587)のまま、TLSによって途中から暗号化する方法もあります。
どちらを使うかはクライアント次第です。