مرحباً! سنخبرك اليوم بكيفية إجراء الإعدادات الأولية لبوابة البريد - حلول أمن البريد الإلكتروني Fortinet. سنلقي نظرة خلال المقالة على التخطيط الذي سنعمل معه ونجري التكوين ، اللازمة لاستلام الرسائل والتحقق منها، وسنقوم أيضًا باختبار أدائها. بناءً على تجربتنا، يمكننا أن نقول بأمان أن العملية بسيطة جدًا، وحتى بعد الحد الأدنى من التكوين يمكنك رؤية النتائج.
لنبدأ بالتخطيط الحالي. هو مبين في الشكل أدناه.
على اليمين نرى جهاز الكمبيوتر الخاص بالمستخدم الخارجي، والذي سنرسل منه البريد إلى المستخدم على الشبكة الداخلية. تحتوي الشبكة الداخلية على جهاز الكمبيوتر الخاص بالمستخدم، ووحدة تحكم المجال مع خادم DNS الذي يعمل عليه، وخادم البريد. يوجد على حافة الشبكة جدار حماية - FortiGate، وتتمثل الميزة الرئيسية له في تكوين إعادة توجيه حركة مرور SMTP و DNS.
دعونا نولي اهتماما خاصا لنظام DNS.
يوجد سجلان لنظام أسماء النطاقات يُستخدمان لتوجيه البريد الإلكتروني على الإنترنت — السجل A وسجل MX. عادةً، يتم تكوين سجلات DNS هذه على خادم DNS عام، ولكن نظرًا لقيود التخطيط، نقوم ببساطة بإعادة توجيه DNS عبر جدار الحماية (أي أن المستخدم الخارجي لديه العنوان 10.10.30.210 مسجل كخادم DNS).
سجل MX هو سجل يحتوي على اسم خادم البريد الذي يخدم المجال، بالإضافة إلى أولوية خادم البريد هذا. في حالتنا يبدو الأمر كما يلي: test.local -> mail.test.local 10.
السجل هو سجل يقوم بتحويل اسم النطاق إلى عنوان IP، وهو بالنسبة لنا: mail.test.local -> 10.10.30.210.
عندما يحاول مستخدمنا الخارجي إرسال بريد إلكتروني إلى [البريد الإلكتروني محمي]، فسوف يقوم بالاستعلام عن خادم DNS MX الخاص به للحصول على سجل المجال test.local. سوف يستجيب خادم DNS الخاص بنا باسم خادم البريد - mail.test.local. الآن يحتاج المستخدم إلى الحصول على عنوان IP لهذا الخادم، لذلك يمكنه الوصول مرة أخرى إلى DNS للسجل A ويتلقى عنوان IP 10.10.30.210 (نعم، عنوانه مرة أخرى :)). يمكنك إرسال بريد إلكتروني. ولذلك، فإنه يحاول إنشاء اتصال بعنوان IP المستلم على المنفذ 25. وباستخدام القواعد الموجودة على جدار الحماية، تتم إعادة توجيه هذا الاتصال إلى خادم البريد.
دعونا نتحقق من وظيفة البريد في الحالة الحالية للتخطيط. للقيام بذلك، سوف نستخدم الأداة المساعدة swaks على جهاز الكمبيوتر الخاص بالمستخدم الخارجي. بمساعدتها، يمكنك اختبار أداء SMTP عن طريق إرسال خطاب إلى المستلم يحتوي على مجموعة من المعلمات المختلفة. في السابق، تم بالفعل إنشاء مستخدم لديه صندوق بريد على خادم البريد [البريد الإلكتروني محمي]. دعنا نحاول أن نرسل له رسالة:
لننتقل الآن إلى جهاز المستخدم الداخلي ونتأكد من وصول الرسالة:
وصلت الرسالة بالفعل (تم تسليط الضوء عليها في القائمة). هذا يعني أن التخطيط يعمل بشكل صحيح. حان الوقت الآن للانتقال إلى FortiMail. دعونا نضيف إلى تخطيطنا:
يمكن نشر FortiMail في ثلاثة أوضاع:
- البوابة - تعمل بمثابة MTA كاملة: فهي تتولى كل البريد، وتفحصه، ثم تعيد توجيهه إلى خادم البريد؛
- شفاف - أو بمعنى آخر، الوضع الشفاف. يتم تثبيته أمام الخادم ويقوم بفحص البريد الوارد والصادر. وبعد ذلك ينقله إلى الخادم. لا يتطلب تغييرات على تكوين الشبكة.
- الخادم - في هذه الحالة، FortiMail هو خادم بريد كامل مع القدرة على إنشاء صناديق بريد، واستقبال وإرسال البريد، بالإضافة إلى وظائف أخرى.
سنقوم بنشر FortiMail في وضع البوابة. دعنا ننتقل إلى إعدادات الجهاز الظاهري. تسجيل الدخول هو المشرف، لم يتم تحديد كلمة المرور. عند تسجيل الدخول لأول مرة، يجب عليك تعيين كلمة مرور جديدة.
لنقم الآن بتكوين الجهاز الظاهري للوصول إلى واجهة الويب. ومن الضروري أيضًا أن يكون لدى الجهاز إمكانية الوصول إلى الإنترنت. لنقم بإعداد الواجهة. نحن بحاجة فقط إلى المنفذ 1. بمساعدتها، سنتصل بواجهة الويب، وسيتم استخدامها أيضًا للوصول إلى الإنترنت. هناك حاجة إلى الوصول إلى الإنترنت لتحديث الخدمات (توقيعات مكافحة الفيروسات، وما إلى ذلك). للتكوين، أدخل الأوامر:
واجهة نظام التكوين
تحرير المنفذ 1
تعيين الملكية الفكرية 192.168.1.40 255.255.255.0
تعيين السماح بالوصول https http ssh ping
النهاية
الآن دعونا نقوم بتكوين التوجيه. للقيام بذلك تحتاج إلى إدخال الأوامر التالية:
طريق نظام التكوين
تحرير 1
تعيين البوابة 192.168.1.1
تعيين منفذ الواجهة1
النهاية
عند إدخال الأوامر، يمكنك استخدام علامات التبويب لتجنب كتابتها بالكامل. وأيضًا، إذا نسيت الأمر الذي يجب أن يأتي بعد ذلك، فيمكنك استخدام المفتاح "؟".
الآن دعنا نتحقق من اتصالك بالإنترنت. للقيام بذلك، دعونا نجري اختبار اتصال DNS لـ Google:
كما ترون، لدينا الآن الإنترنت. تم الانتهاء من الإعدادات الأولية النموذجية لجميع أجهزة Fortinet، ويمكنك الآن متابعة التكوين عبر واجهة الويب. للقيام بذلك، افتح صفحة الإدارة:
يرجى ملاحظة أنك بحاجة إلى اتباع الرابط بالتنسيق /مسؤل. وإلا فلن تتمكن من الوصول إلى صفحة الإدارة. بشكل افتراضي، تكون الصفحة في وضع التكوين القياسي. للإعدادات نحتاج إلى الوضع المتقدم. دعنا نذهب إلى admin->قائمة العرض ونقوم بتبديل الوضع إلى متقدم:
الآن نحن بحاجة إلى تنزيل الترخيص التجريبي. يمكن القيام بذلك في القائمة معلومات الترخيص → VM → تحديث:
إذا لم يكن لديك ترخيص تجريبي، يمكنك طلب واحد عن طريق الاتصال .
بعد إدخال الترخيص، يجب إعادة تشغيل الجهاز. وفي المستقبل، سيبدأ في سحب التحديثات إلى قواعد بياناته من الخوادم. إذا لم يحدث هذا تلقائيًا، فيمكنك الانتقال إلى قائمة النظام → FortiGuard وفي علامات تبويب مكافحة الفيروسات، انقر فوق الزر "تحديث الآن".
إذا لم يساعد ذلك، يمكنك تغيير المنافذ المستخدمة للتحديثات. عادة بعد ذلك تظهر جميع التراخيص. في النهاية يجب أن يبدو مثل هذا:
فلنقم بإعداد المنطقة الزمنية الصحيحة، وسيكون ذلك مفيدًا عند فحص السجلات. للقيام بذلك، انتقل إلى قائمة النظام → التكوين:
سنقوم أيضًا بتكوين DNS. سنقوم بتكوين خادم DNS الداخلي باعتباره خادم DNS الرئيسي، ونترك خادم DNS المقدم من Fortinet كخادم احتياطي.
الآن دعنا ننتقل إلى الجزء الممتع. كما لاحظت، يتم ضبط الجهاز على وضع البوابة افتراضيًا. ولذلك، لا نحتاج إلى تغييره. دعنا نذهب إلى المجال والمستخدم → مجال المجال. لنقم بإنشاء مجال جديد يحتاج إلى الحماية. نحتاج هنا فقط إلى تحديد اسم المجال وعنوان خادم البريد (يمكنك أيضًا تحديد اسم المجال الخاص به، في حالتنا mail.test.local):
نحتاج الآن إلى تقديم اسم لبوابة البريد الخاصة بنا. سيتم استخدام هذا في سجلات MX وA، والتي سنحتاج إلى تغييرها لاحقًا:
من نقطتي اسم المضيف واسم المجال المحلي، يتم تجميع FQDN، والذي يُستخدم في سجلات DNS. في حالتنا، FQDN = fortimail.test.local.
الآن لنقم بإعداد قاعدة الاستلام. نحتاج إلى إعادة توجيه جميع رسائل البريد الإلكتروني الواردة من الخارج والمخصصة لمستخدم في المجال إلى خادم البريد. للقيام بذلك، انتقل إلى القائمة سياسة → التحكم في الوصول. يظهر مثال الإعداد أدناه:
دعونا نلقي نظرة على علامة التبويب سياسة المستلمين. هنا يمكنك تعيين قواعد معينة للتحقق من الرسائل: إذا كان البريد يأتي من المجال example1.com، فأنت بحاجة إلى التحقق منه باستخدام الآليات التي تم تكوينها خصيصًا لهذا المجال. توجد بالفعل قاعدة افتراضية لجميع رسائل البريد، وهي الآن تناسبنا. يمكنك رؤية هذه القاعدة في الشكل أدناه:
عند هذه النقطة، يمكن اعتبار الإعداد على FortiMail مكتملاً. في الواقع، هناك العديد من المعلمات الممكنة، ولكن إذا بدأنا في النظر فيها جميعًا، فيمكننا كتابة كتاب :) وهدفنا هو إطلاق FortiMail في وضع الاختبار بأقل جهد.
يتبقى شيئان - تغيير سجلات MX وA، وكذلك تغيير قواعد إعادة توجيه المنفذ على جدار الحماية.
يجب تغيير سجل MX test.local -> mail.test.local 10 إلى test.local -> fortimail.test.local 10. ولكن عادةً ما تتم إضافة سجل MX ثانٍ ذي أولوية أعلى أثناء البرامج التجريبية. على سبيل المثال:
test.local -> mail.test.local 10
test.local -> fortimail.test.local 5
اسمحوا لي أن أذكرك أنه كلما انخفض الرقم الترتيبي لتفضيل خادم البريد في سجل MX، زادت أولويته.
ولا يمكن تغيير الإدخال، لذلك سنقوم فقط بإنشاء إدخال جديد: fortimail.test.local -> 10.10.30.210. سيتصل مستخدم خارجي بالعنوان 10.10.30.210 على المنفذ 25، وسيقوم جدار الحماية بإعادة توجيه الاتصال إلى FortiMail.
من أجل تغيير قاعدة إعادة التوجيه في FortiGate، تحتاج إلى تغيير العنوان في كائن Virtual IP المقابل:
كل شيء جاهز. دعونا تحقق. لنرسل الرسالة مرة أخرى من كمبيوتر المستخدم الخارجي. الآن دعنا نذهب إلى FortiMail في قائمة المراقبة → السجلات. في حقل التاريخ، يمكنك رؤية سجل بقبول الرسالة. لمزيد من المعلومات، يمكنك النقر بزر الماوس الأيمن على الإدخال وتحديد التفاصيل:
لإكمال الصورة، دعونا نتحقق مما إذا كان FortiMail في تكوينه الحالي يمكنه حظر رسائل البريد الإلكتروني التي تحتوي على البريد العشوائي والفيروسات. للقيام بذلك، سوف نرسل فيروس اختبار eicar ورسالة اختبارية موجودة في إحدى قواعد بيانات البريد العشوائي (http://untroubled.org/spam/). بعد ذلك، دعنا نعود إلى قائمة عرض السجل:
كما نرى، تم بنجاح التعرف على البريد العشوائي والرسالة التي تحتوي على فيروس.
يعد هذا التكوين كافيًا لتوفير الحماية الأساسية ضد الفيروسات والبريد العشوائي. لكن وظيفة FortiMail لا تقتصر على هذا. للحصول على حماية أكثر فعالية، تحتاج إلى دراسة الآليات المتاحة وتخصيصها لتناسب احتياجاتك. وفي المستقبل، نخطط لتسليط الضوء على ميزات أخرى أكثر تقدمًا لبوابة البريد هذه.
إذا واجهتك أية صعوبات أو أسئلة بخصوص الحل، فاكتبها في التعليقات، وسنحاول الرد عليها فورًا.
يمكنك تقديم طلب للحصول على ترخيص تجريبي لاختبار الحل .
المؤلف: أليكسي نيكولين. مهندس أمن المعلومات فورتيسيرفيس.
المصدر: www.habr.com