[LUGA] Mit freundlicher Unterstützung von:
init.at

Mail Thread Index


[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [luga] Re: SPF




das hört sich immer nur in der Theorie so Klasse an. --> wir
tüfteln daran schon seit Jahren

Speziell in der Praxis muß die UNIX Umgebung einen Grad an
Verfügbarkeit bieten und kann daher nicht von einem Windows AD
abhängen, welcher diese Verfügbarkeit nicht garantieren kann.

Dann muß eine andere Lösung her und Win-AD fliegt raus oder wird von
extern befüllt (wenn man Samba als PDC und BDC nicht benützen kann oder
will) - was auch immer einfacher, leichter oder politisch opportuner
ist.


Traumlösung wurde noch nicht gefunden. Falls jemand mit einem Produkt gute Erfahrungen hat, wäre ein Link auf eine entsprechende Seite interessant.

Im Prinzip gleich wie zum Lesen der Mails. Da muss sich der User
ja auch
authentifizieren.

Yup.

Sorry, aber bitte werft jetzt nicht SMTP mit POP3, IMAP, etc... in
das selbe Boot!

Warum?
Weil wir sonst eine Lösung hätten?

Das nicht, aber es ist ein Unterschied ob ich auf einen der über 10 Exchange Server im eigenen Netz (welche teilweise für verschiedene Domains zuständig sind) ein Mail abfrage, oder ob ich einen zentrale SMTP Auth habe.


Bei einem typisch heterogenen Netzwerk ist das absolut nicht
einfach.

Natürlich ist das nicht "einfach" - in heterogenen Netzwerken ist
wenig
"einfach". Dazu sind wir hier schon konzeptionell ein Ebene höher -
bei
"welche User hab ich, welche Benutzer hab ich und wie organisier
ich wer
wo was darf oder nicht darf". Das hat eine Policy (egal, so sie vorher
schriftlich niedergeschrieben wurde oder im Laufe der Zeit durch
"so woa
des imma schon" entstanden ist) und die wird dann im Feld gelebt.
Und da
ist Email nur eines von mehreren Items (auch wenn es vielleicht das
auffälligste und heikelste ist), wo man das Konzept "Benutzer" hat.
Und
damit muß man das nicht für eine Spamfilter-Appliance überlegen
sondern
- in extremen Fällen - für verschiedene Server verschiedener
Hersteller
und Services (mehrere DB-Systeme für mehrere Applikationen,
Homedirectory, Email, Webspacezuständigkeiten, etc.).
Und wenn die Lösung ist: Es gibt ein Master-Spreadsheet, wo das alles
drin steht und daraus mehrere
verschiedene /etc/passwd, /etc/shadow, /etc/group,
/etc/gshadow generieren und verteilen  ist, dann kann es nicht der
Mörderaufwand sein, da das n+1. File zu erzeugen und geeignet zu
verteilen, daß halt die Spam-Appliance versteht.

Ich sag nur der alte Traum von SingleSignOn.   :(

Traum? Ich hab das (ja, inkl. Windows-Domäne).
Ist nur eine Frage der Organisation.

Wie gelöst?


Im schlimmsten Fall muss man den Mail-Account halt händisch anlegen.

Bei größeren Konzernen kann das sogar teilweise unmöglich sein,
da es
eventuell keinen Länderübergreifende Authentifizierung gibt.

Das ist deren Problem und Fehler.
Das kann auch nicht schlaue Lösungen inhaltlich invalidieren, nur weil
eine Organisation (egal ob es ge.com oder die UNO ist) nicht Willens
oder fähig ist, sie umzusetzen.

So etwas lässt sich durchaus durchführen. Aber dafür braucht man
schon mal ein paar 100k Euro, welche nur bei entsprechender

Cool, wo darf ich Angebote schreiben?
Und kannst Du die Grundlagen für die Zahl belegen oder soll sie nur
kleine Kinder abschrecken?

Glaube kaum, daß wir Angebote diesbzgl. annehmen. Aber sollten wir einen zusätzlichen Externen dafür benötigen, komme ich auf Dich zurück (sofern Du entsprechendes nützliches KnowHow besitzt).

Die Summe, eher eine sehr grobe Schätzung und würde SingleSignOn für alle Dienste umfassen (d.h. Softwareanpassungen, etc..). Und ja, sie dient auch zur Kinderabschreckung (man will ja hin und wieder einmal prahlen dürfen). ;)


schweben bei manchen Themen über 15 Jahre hinter der aktuellen
Technik hinterher. Budget gibt es hier übrigens nur für Dinge welche
man unbedingt benötigt. --> das fängt an beim jährlich geplanten IT
Budget und endet im blinden Aktionismus.

V.a. wenn Showmenschen an den falschen Stellen sitzen. Oder der fachlich
ahnungslose Klischee-Manager zu spät irgendwas (letztendlich
chaotisches) macht und verändert, damit er nachher sagen kann "ich hab
alles versucht und es war nicht behebbar und der Termin doch nicht
haltbar".

Security passt ja da immer sehr schön ins Thema.  ;)


   ^^^^^^^^^^^^^
Organisatorische Plug-n-Play-Lösungen gibt es nur, wenn die Organisation sich ans Tool anpaßt (Hat hier wer "SAP" geflüstert?). Sobald das nicht
der Fall ist, ist das "ohne weiteres" sowieso weg.


Das ist in manchen Fällen, das Dümmste was man tun kann.


Würde sagen, wir beenden den Thread für den Moment. Wir sind da schon etwas sehr weit abgerutscht. Wollte nur noch sagen, mit SPF will ich keine derart großen Änderungen argumentieren müssen.

Vielleicht schaut es ja schon in 2-3 Jahren etwas besser aus und wir bringen SingleSignOn für gewisse Bereiche durch.


mfg
Bernd


powered by LINUX the choice of a gnu generation
linux user group austria;
Suche
Suche
Letzte Änderung:
webmaster@luga.at
September 2010