Xoş gəldiniz! Bu gün sizə poçt şlüzünün ilkin parametrlərini necə edəcəyinizi söyləyəcəyik – Fortinet e-poçt təhlükəsizliyi həlləri. Məqalə zamanı işləyəcəyimiz layout-a baxacağıq və konfiqurasiyanı həyata keçirəcəyik , məktubların qəbulu və yoxlanılması üçün zəruridir və biz də onun performansını sınaqdan keçirəcəyik. Təcrübəmizə əsaslanaraq, əminliklə deyə bilərik ki, proses çox sadədir və hətta minimal konfiqurasiyadan sonra da nəticələri görə bilərsiniz.
Cari layout ilə başlayaq. Aşağıdakı şəkildə göstərilir.
Sağda xarici istifadəçinin kompüterini görürük, ondan daxili şəbəkədə istifadəçiyə məktub göndərəcəyik. Daxili şəbəkəyə istifadəçinin kompüteri, üzərində işləyən DNS serveri olan domen nəzarətçisi və poçt serveri daxildir. Şəbəkənin kənarında bir firewall var - FortiGate, onun əsas xüsusiyyəti SMTP və DNS trafik yönləndirməsini konfiqurasiya etməkdir.
DNS-ə xüsusi diqqət yetirək.
İnternetdə e-poçtu yönləndirmək üçün istifadə olunan iki DNS qeydi var - A qeydi və MX qeydi. Tipik olaraq, bu DNS qeydləri ictimai DNS serverində konfiqurasiya edilir, lakin layout məhdudiyyətlərinə görə biz sadəcə olaraq DNS-i firewall vasitəsilə yönləndiririk (yəni xarici istifadəçinin DNS serveri kimi qeydiyyatdan keçmiş 10.10.30.210 ünvanı var).
MX qeydi domenə xidmət edən poçt serverinin adını, eləcə də bu poçt serverinin prioritetini ehtiva edən qeyddir. Bizim vəziyyətimizdə belə görünür: test.local -> mail.test.local 10.
Rekord domen adını IP ünvanına çevirən qeyddir, bizim üçün bu: mail.test.local -> 10.10.30.210.
Xarici istifadəçimiz e-poçt göndərməyə çalışdıqda [e-poçt qorunur], o, test.local domen qeydi üçün DNS MX serverini sorğulayacaq. DNS serverimiz poçt serverinin adı ilə cavab verəcək - mail.test.local. İndi istifadəçi bu serverin IP ünvanını almalıdır, ona görə də o, yenidən A qeydi üçün DNS-ə daxil olur və 10.10.30.210 IP ünvanını alır (bəli, yenə onun :) ). Siz məktub göndərə bilərsiniz. Buna görə də, 25-ci portda qəbul edilmiş IP ünvanına əlaqə yaratmağa çalışır. Firewalldakı qaydalardan istifadə edərək, bu əlaqə poçt serverinə yönləndirilir.
Yerləşdirmənin hazırkı vəziyyətində poçtun funksionallığını yoxlayaq. Bunu etmək üçün xarici istifadəçinin kompüterində swaks yardım proqramından istifadə edəcəyik. Onun köməyi ilə siz alıcıya müxtəlif parametrlər dəsti ilə məktub göndərməklə SMTP-nin işini yoxlaya bilərsiniz. Əvvəllər poçt serverində poçt qutusu olan istifadəçi artıq yaradılmışdır [e-poçt qorunur]. Gəlin ona məktub göndərməyə çalışaq:
İndi daxili istifadəçinin maşınına gedək və məktubun gəldiyinə əmin olun:
Məktub həqiqətən gəldi (siyahıda vurğulanır). Bu, düzənliyin düzgün işləməsi deməkdir. İndi FortiMail-ə keçməyin vaxtıdır. Planımıza əlavə edək:
FortiMail üç rejimdə yerləşdirilə bilər:
- Gateway - tam hüquqlu MTA kimi çıxış edir: bütün poçtu götürür, yoxlayır və sonra onu poçt serverinə yönləndirir;
- Şəffaf - və ya başqa sözlə, şəffaf rejim. O, serverin qarşısında quraşdırılır və daxil olan və gedən məktubları yoxlayır. Bundan sonra onu serverə ötürür. Şəbəkə konfiqurasiyasında dəyişiklik tələb etmir.
- Server - bu halda, FortiMail poçt qutuları yaratmaq, məktubları qəbul etmək və göndərmək, eləcə də digər funksiyaları olan tam hüquqlu poçt serveridir.
FortiMail-i Gateway rejimində yerləşdirəcəyik. Gəlin virtual maşın parametrlərinə keçək. Giriş admindir, parol göstərilməyib. İlk dəfə daxil olduğunuz zaman yeni parol təyin etməlisiniz.
İndi virtual maşını veb interfeysə daxil olmaq üçün konfiqurasiya edək. Maşının İnternetə çıxışı da lazımdır. Gəlin interfeysi quraşdıraq. Bizə yalnız port1 lazımdır. Onun köməyi ilə biz veb-interfeysə qoşulacağıq və ondan internetə daxil olmaq üçün də istifadə olunacaq. Xidmətləri yeniləmək üçün İnternetə çıxış lazımdır (antivirus imzaları və s.). Konfiqurasiya üçün əmrləri daxil edin:
konfiqurasiya sistem interfeysi
redaktə port 1
set ip 192.168.1.40 255.255.255.0
icazə https http ssh ping təyin edin
son
İndi marşrutlaşdırmanı konfiqurasiya edək. Bunu etmək üçün aşağıdakı əmrləri daxil etməlisiniz:
konfiqurasiya sistem marşrutu
redaktə edin 1
192.168.1.1 şlüzünü təyin edin
interfeys portunu təyin edin
son
Əmrləri daxil edərkən, onları tam şəkildə yazmamaq üçün nişanlardan istifadə edə bilərsiniz. Həmçinin, növbəti hansı əmrin gəlməsini unutsanız, “?” düyməsini istifadə edə bilərsiniz.
İndi İnternet bağlantınızı yoxlayaq. Bunun üçün gəlin Google DNS-ə ping edək:
Gördüyünüz kimi, artıq internetimiz var. Bütün Fortinet cihazları üçün xarakterik olan ilkin parametrlər tamamlandı və indi veb-interfeys vasitəsilə konfiqurasiyaya davam edə bilərsiniz. Bunu etmək üçün idarəetmə səhifəsini açın:
Nəzərə alın ki, formatdakı linki izləməlisiniz /admin. Əks halda, siz idarəetmə səhifəsinə daxil ola bilməyəcəksiniz. Varsayılan olaraq, səhifə standart konfiqurasiya rejimindədir. Parametrlər üçün bizə Qabaqcıl rejim lazımdır. Gəlin admin->Görünüş menyusuna gedək və rejimi Qabaqcıl rejimə keçirək:
İndi sınaq lisenziyasını endirməliyik. Bunu Lisenziya Məlumatı → VM → Yeniləmə menyusunda etmək olar:
Əgər sınaq lisenziyanız yoxdursa, əlaqə saxlayaraq onu tələb edə bilərsiniz .
Lisenziyanı daxil etdikdən sonra cihaz yenidən başlamalıdır. Gələcəkdə o, serverlərdən verilənlər bazalarına yeniləmələri çəkməyə başlayacaq. Bu avtomatik olaraq baş vermirsə, siz Sistem → FortiGuard menyusuna keçə və Antivirus, Antispam tablarında İndi Yenilə düyməsini klikləyə bilərsiniz.
Bu kömək etmirsə, yeniləmələr üçün istifadə olunan portları dəyişə bilərsiniz. Adətən bundan sonra bütün lisenziyalar görünür. Sonda bu belə görünməlidir:
Gəlin düzgün vaxt qurşağı quraq, bu, qeydləri araşdırarkən faydalı olacaq. Bunu etmək üçün Sistem → Konfiqurasiya menyusuna keçin:
DNS-i də konfiqurasiya edəcəyik. Biz daxili DNS serverini əsas DNS server kimi konfiqurasiya edəcəyik və Fortinet tərəfindən təmin edilən DNS serverini ehtiyat nüsxə kimi buraxacağıq.
İndi keçək əyləncəli hissəyə. Diqqət etdiyiniz kimi, cihaz standart olaraq Gateway rejiminə qurulub. Ona görə də onu dəyişməyə ehtiyacımız yoxdur. Domen və İstifadəçi → Domen sahəsinə keçək. Qorunması lazım olan yeni bir domen yaradaq. Burada yalnız domen adını və poçt serverinin ünvanını göstərməliyik (siz onun domen adını da göstərə bilərsiniz, bizim vəziyyətimizdə mail.test.local):
İndi poçt şlüzümüz üçün bir ad təqdim etməliyik. Bu, MX və A qeydlərində istifadə ediləcək, sonra onları dəyişdirməli olacağıq:
Host Adı və Yerli Domen Adı nöqtələrindən DNS qeydlərində istifadə olunan FQDN tərtib edilir. Bizim vəziyyətimizdə FQDN = fortimail.test.local.
İndi qəbul qaydasını quraq. Bizə kənardan gələn və poçt serverinə yönləndirilmək üçün domendəki istifadəçiyə təyin edilmiş bütün e-poçtlara ehtiyacımız var. Bunun üçün Siyasət → Girişə Nəzarət menyusuna keçin. Misal quraşdırma aşağıda göstərilmişdir:
Gəlin Alıcı Siyasəti sekmesine baxaq. Burada məktubların yoxlanılması üçün müəyyən qaydalar təyin edə bilərsiniz: əgər poçt example1.com domenindən gəlirsə, onu xüsusi olaraq bu domen üçün konfiqurasiya edilmiş mexanizmlərlə yoxlamaq lazımdır. Artıq bütün məktublar üçün standart qayda var və hələlik bu, bizə uyğundur. Bu qaydanı aşağıdakı şəkildə görə bilərsiniz:
Bu nöqtədə FortiMail-də quraşdırma tamamlanmış hesab edilə bilər. Əslində, daha çox mümkün parametrlər var, lakin onların hamısını nəzərdən keçirməyə başlasaq, kitab yaza bilərik :) Və bizim məqsədimiz FortiMail-i minimum səylə test rejimində işə salmaqdır.
İki şey qalır - MX və A qeydlərini dəyişdirin, həmçinin firewallda port yönləndirmə qaydalarını dəyişdirin.
MX qeydi test.local -> mail.test.local 10 test.local -> fortimail.test.local 10 olaraq dəyişdirilməlidir. Lakin adətən pilotlar zamanı daha yüksək prioritetli ikinci MX rekordu əlavə edilir. Misal üçün:
test.local -> mail.test.local 10
test.local -> fortimail.test.local 5
Nəzərinizə çatdırım ki, MX qeydində poçt serveri üstünlüklərinin sıra nömrəsi nə qədər azdırsa, onun prioriteti bir o qədər yüksəkdir.
Giriş dəyişdirilə bilməz, ona görə də biz sadəcə yenisini yaradacağıq: fortimail.test.local -> 10.10.30.210. Xarici istifadəçi port 10.10.30.210-də 25 ünvanı ilə əlaqə saxlayacaq və təhlükəsizlik duvarı əlaqəni FortiMail-ə yönləndirəcək.
FortiGate-də yönləndirmə qaydasını dəyişdirmək üçün müvafiq Virtual IP obyektindəki ünvanı dəyişdirməlisiniz:
Hamısı hazırdır. yoxlayaq. Xarici istifadəçinin kompüterindən məktubu yenidən göndərək. İndi Monitor → Logs menyusunda FortiMail-ə keçək. Tarix sahəsində məktubun qəbul edildiyi qeydini görə bilərsiniz. Ətraflı məlumat üçün girişin üzərinə sağ klikləyib Detallar seçə bilərsiniz:
Şəkli tamamlamaq üçün FortiMail-in hazırkı konfiqurasiyasında spam və viruslar olan e-poçtları bloklaya bilib-bilmədiyini yoxlayaq. Bunun üçün biz eicar test virusunu və spam poçt verilənlər bazalarından birində (http://untroubled.org/spam/) tapılan test məktubunu göndərəcəyik. Bundan sonra jurnala baxış menyusuna qayıdaq:
Gördüyümüz kimi, həm spam, həm də viruslu məktub uğurla müəyyən edildi.
Bu konfiqurasiya viruslara və spamlara qarşı əsas müdafiəni təmin etmək üçün kifayətdir. Lakin FortiMail-in funksionallığı bununla məhdudlaşmır. Daha effektiv mühafizə üçün siz mövcud mexanizmləri öyrənməli və onları ehtiyaclarınıza uyğunlaşdırmalısınız. Gələcəkdə biz bu poçt şlüzünün digər, daha təkmil xüsusiyyətlərini vurğulamağı planlaşdırırıq.
Həll yolu ilə bağlı hər hansı bir çətinlik və ya sualınız varsa, şərhlərdə yazın, biz onlara dərhal cavab verməyə çalışacağıq.
Həllini sınamaq üçün sınaq lisenziyası üçün sorğu göndərə bilərsiniz .
Müəllif: Aleksey Nikulin. İnformasiya Təhlükəsizliyi Mühəndisi Fortiservice.
Mənbə: www.habr.com