Avem majoritatea lucrurilor noastre în spatele Cloudflare.
Cu toate acestea, unele servicii precum e-mail (de exemplu: mail.mydomain.com MX record) nu pot fi transmise prin cloudflare și expun IP-ul serverului nostru de e-mail, ceea ce face ușor de descoperit unde se află infrastructura noastră, deoarece toate împărtășesc același bloc și organizație. nume (după ARIN whois).
Deoarece serverele noastre de e-mail și VM-urile sunt la aceeași facilitate de culoare, cunoașterea IP-ului serverului de e-mail expune blocul IP și mărește suprafața noastră de atac. Ne găzduim propriul server de e-mail folosind postfix/dovecot și nu este practic să-l mutați la un furnizor public de e-mail precum Gmail.
Așadar, ceea ce aș dori să fac este să configurez un tip de proxy, un fel de ceea ce face Cloudflare cu porturile web 80/443, pe o instanță de cloud public, de exemplu: AWS, și ca înregistrarea noastră MX să indice asta, apoi acceptați conexiuni de e-mail primite pe portul 25 și transmiteți/proxy/tuneleți orice vine prin acel port către serverul de origine reală.
Sunt sigur că așa ceva trebuie să existe. Și dacă nu, are cineva indicii despre cum să configurați un simplu tunel sau un proxy securizat ca acesta?
Mulțumiri!