He visto algunas preguntas relacionadas con DMZ aquí en el pasado, pero quería hacer una directamente relacionada con el correo electrónico. He investigado un poco sobre esto, pero quería preguntarle a los foros.
Sé que es una buena práctica no tener nada externo directamente en la LAN, pero he visto implementaciones en las que se envía un correo externo alojado directamente a la LAN hacia los servidores de correo internos. Mi instinto me dijo que esto estaba mal, pero ¿cómo agregar seguridad adicional al poner un equilibrador de carga externo o un servidor proxy inverso? ¿Es porque está cortando la conexión y volviéndola a iniciar desde este sistema en la DMZ? Estaba teniendo problemas para entender por qué esto sería más seguro, a pesar de que me siento más cómodo con que suceda. ¿Debería haber un filtrado de las solicitudes que se producen aquí?
También, sé que DMZ y LAN nunca deben hablar (en teoría), pero ¿cómo se supone que los recursos internos acceden al correo externo? He leído que es más seguro si hay una DMZ separada para el correo y que los usuarios de la LAN solo deberían tener acceso a la DMZ, no la DMZ a la LAN.