SMTP Proxy/relay on ASG

@balfson: no I'm not necessarily talking about a second external interface, though if you think about doing the one service one box thing in your DMZ you should have more than one uplink, it doesn't make much sense to eliminate one single point of failure and leave another big one open.

@andy.l: I don't know how any smtp software responds to any kind of potentially unknown vulnerability.
You never know what can be done. For example the current v8 beta smtp can be permanently crashed by some emails. It's not impossible that v7 is also vulnerable in some way - software is never perfect.

Point is, with so much going on on one box, every one of those services is potentially vulnerable in some way, either by DOS so the firewall can't service clients any more, or by cracking it open to compromise your network security.
That's the reasons why traditionally firewalls do run alone on one box with no services exposed except routing traffic, so whatever happens, maybe even someone cracking open one of the boxes in the DMZ, they will still be limited by what the firewall lets through.
Now if you have services running on your firewall, you risk the firewall being compromised by the vulnerabilites of those services.

Astaro tries to minimize that risk by compartmentalizing services by chroots and such, but the risk remains.

So, what I'm saying, ASG is about tradeoffs: it's one box doing everything, providing easy administration and low costs, but not providing the ultimate in security, at least if you do all your stuff on one of them. Thus, it's best suited to small and medium size networks, but if you want to secure a big network in the best possible way and cost and space are not as important, it may not be your best option.

Additionally astaro is pushing virtualization, which is even more problematic, because you add the vulnerabilities of the hypervisor to your own, and if the box is compromised and the hypervisor is not secure, then the whole server with all clients running on it is lost.
To my mind, virtualizing firewalls is a big step in the wrong direction, but it seems to be the big hype at the moment. IMO it's only interesting for home use and testing, I wouldn't use a virtualized firewall even for a small company.

Don't get me wrong here, it's a great product, but you always need to think about what fits you best.

By the way, all that is the reason why there is a partner network, an astaro partner should be able to find the right solution for you. Just because it looks all colorful and friendly and stuff doesn't mean it's easy to setup right.

@balfson: no I'm not necessarily talking about a second external interface, though if you think about doing the one service one box thing in your DMZ you should have more than one uplink, it doesn't make much sense to eliminate one single point of failure and leave another big one open.

@andy.l: I don't know how any smtp software responds to any kind of potentially unknown vulnerability.
You never know what can be done. For example the current v8 beta smtp can be permanently crashed by some emails. It's not impossible that v7 is also vulnerable in some way - software is never perfect.

Point is, with so much going on on one box, every one of those services is potentially vulnerable in some way, either by DOS so the firewall can't service clients any more, or by cracking it open to compromise your network security.
That's the reasons why traditionally firewalls do run alone on one box with no services exposed except routing traffic, so whatever happens, maybe even someone cracking open one of the boxes in the DMZ, they will still be limited by what the firewall lets through.
Now if you have services running on your firewall, you risk the firewall being compromised by the vulnerabilites of those services.

Astaro tries to minimize that risk by compartmentalizing services by chroots and such, but the risk remains.

So, what I'm saying, ASG is about tradeoffs: it's one box doing everything, providing easy administration and low costs, but not providing the ultimate in security, at least if you do all your stuff on one of them. Thus, it's best suited to small and medium size networks, but if you want to secure a big network in the best possible way and cost and space are not as important, it may not be your best option.

Additionally astaro is pushing virtualization, which is even more problematic, because you add the vulnerabilities of the hypervisor to your own, and if the box is compromised and the hypervisor is not secure, then the whole server with all clients running on it is lost.
To my mind, virtualizing firewalls is a big step in the wrong direction, but it seems to be the big hype at the moment. IMO it's only interesting for home use and testing, I wouldn't use a virtualized firewall even for a small company.

Don't get me wrong here, it's a great product, but you always need to think about what fits you best.

By the way, all that is the reason why there is a partner network, an astaro partner should be able to find the right solution for you. Just because it looks all colorful and friendly and stuff doesn't mean it's easy to setup right.