Вітаем! Сёння мы раскажам, як зрабіць першасныя налады паштовага шлюза - рашэнні кампаніі Fortinet для абароны электроннай пошты. У ходзе артыкула мы разгледзім макет, з якім будзем працаваць, выканаем канфігурацыю , неабходную для прыёму і праверкі лістоў, а таксама пратэстуемы яе працаздольнасць. Грунтуючыся на нашым досведзе, можам смела сказаць, што працэс вельмі просты, і нават пасля мінімальнай канфігурацыі можна ўбачыць вынікі.
Пачнём з бягучага макета. Ён прадстаўлены на малюнку ніжэй.
Справа мы бачым кампутар вонкавага карыстальніка, з якога мы будзем адсылаць пошту карыстачу ва ўнутраную сетку. Ва ўнутранай сетцы размешчаны кампутар карыстача, кантролер дамена з паднятым на ім DNS серверам і паштовы сервер. На мяжы сеткі стаіць міжсеткавы экран – FortiGate, галоўнай асаблівасцю якога з'яўляецца настройка пракіду SMTP і DNS трафіку.
Надамо асаблівую ўвагу DNS.
Для маршрутызацыі электроннай пошты ў Інтэрнэце выкарыстоўваюцца два DNS запісы - A запіс і MX запіс. Звычайна дадзеныя DNS запісы наладжваюцца на публічным DNS серверы, але з-за абмежаванняў макетавання мы проста пракідваем DNS праз міжсеткавы экран (гэта значыць у вонкавага карыстача ў якасці DNS сервера прапісаны адрас 10.10.30.210).
MX запіс - запіс, якая змяшчае імя паштовага сервера, які абслугоўвае дамен, а таксама прыярытэт дадзенага паштовага сервера. У нашым выпадку яна выглядае так: test.local -> mail.test.local 10.
A запіс - запіс, пераўтваральная даменнае імя ў IP адрас, у нас гэта: mail.test.local -> 10.10.30.210.
Калі наш вонкавы карыстач паспрабуе адправіць ліст на адрас [электронная пошта абаронена], ён запытае ў свайго DNS сервера MX запіс дамена test.local. Наш DNS сервер адкажа імем паштовага сервера - mail.test.local. Цяпер карыстачу неабходна атрымаць IP адрас дадзенага сервера, таму ён зноў звяртаецца да DNS за A запісам і атрымлівае IP адрас 10.10.30.210 (так, зноў яго:) ). Можна дасылаць ліст. Таму ён спрабуе ўсталяваць злучэнне з атрыманым IP адрасам па 25 порце. З дапамогай правіл на міжсеткавым экране гэтае падлучэнне пракідваецца на паштовы сервер.
Праверым працаздольнасць пошты ў бягучым стане макета. Для гэтага на кампутары вонкавага карыстача скарыстаемся ўтылітай swaks. З яе дапамогай можна пратэставаць працаздольнасць SMTP, даслаўшы атрымальніку ліст з наборам розных параметраў. Папярэдне, на паштовым серверы ўжо заведзены карыстач са скрыняй [электронная пошта абаронена]. Паспрабуем даслаць яму ліст:
Цяпер пяройдзем на машыну ўнутранага карыстальніка і пераканаемся, што ліст прыйшоў:
Ліст сапраўды прыйшоў (яно выдзелена ў спісе). Значыць, макет працуе карэктна. Самы час перайсці да FortiMail. Дапоўнім наш макет:
FortiMail можна разгарнуць у трох рэжымах:
- Gateway - дзейнічае як паўнавартасны MTA: прымае ўсю пошту на сябе, правярае яе, а пасля перасылае на паштовы сервер;
- Transparent - ці інакш, празрысты рэжым. Усталёўваецца перад серверам і правярае ўваходную і выходную пошту. Пасля гэтага перадае яе на сэрвер. Не патрабуе змен у канфігурацыі сеткі.
- Server - у дадзеным выпадку FortiMail з'яўляецца паўнавартасным паштовым серверам з магчымасцю ўвядзення паштовых скрынь, прыёму і адпраўкі пошты, а таксама з іншым функцыяналам.
Мы будзем разгортваць FortiMail у рэжыме Gateway. Зойдзем у наладкі віртуальнай машыны. Лагін - admin, пароль не зададзены. Пры першым уваходзе неабходна задаць новы пароль.
Цяпер сканфігуруем віртуальную машыну для доступу да вэб інтэрфейсу. Таксама неабходна, каб машына мела доступ у Інтэрнет. Наладзім інтэрфейс. Нам неабходны толькі port1. З яго дапамогай мы будзем падлучацца да вэб-інтэрфейсу, а таксама ён будзе выкарыстоўвацца для выхаду ў Інтэрнет. Вынахад у Інтэрнэт патрэбен для абнаўлення сэрвісаў (сігнатур антывіруса і г.д). Для канфігурацыі ўвядзем каманды:
config system interface
edit port 1
set ip 192.168.1.40 255.255.255.0
set allowaccess https http ssh ping
канец
Цяпер наладзім маршрутызацыю. Для гэтага неабходна ўвесці наступныя каманды:
config system route
рэдагаваць 1
set gateway 192.168.1.1
set interface port1
канец
Уводзячы каманды, можна выкарыстоўваць табуляцыю, каб не друкаваць іх цалкам. Таксама, калі вы забыліся, якая каманда павінна ісці наступнай, можна скарыстацца клавішай "?".
Цяпер праверым падлучэнне да Інтэрнэту. Для гэтага прапінгуем гуглоўскі DNS:
Як бачым, Інтэрнет у нас з'явіўся. Першапачатковыя наладкі, характэрныя для ўсіх прылад Fortinet выкананы, зараз можна пераходзіць да канфігурацыі праз вэб-інтэрфейс. Для гэтага адкрыем старонку кіравання:
Звярніце ўвагу, пераходзіць трэба па спасылцы ў фармаце /admin. Інакш вы не зможаце патрапіць на старонку кіравання. Па змаўчанні старонка знаходзіцца ў стандартным рэжыме канфігуравання. Для налад нам спатрэбіцца Advanced рэжым. Пяройдзем у меню admin->View і пераключым рэжым на Advanced:
Цяпер нам неабходна загрузіць трыяльную ліцэнзію. Зрабіць гэта можна ў меню License Information → VM → Update:
Калі ў вас няма трыяльнай ліцэнзіі, вы можаце запытаць яе, звярнуўшыся да .
Пасля ўводу ліцэнзіі прылада павінна перазагрузіцца. У далейшым яно пачне падцягваць абнаўленні сваіх баз з сервераў. Калі гэтага не адбываецца аўтаматычна, можна перайсці ў меню System → FortiGuard і ва ўкладках Antivirus, Antispam націснуць на кнопку Update Now.
Калі гэта не дапамагае, можна памяняць парты, якія выкарыстоўваюцца для абнаўленняў. Звычайна пасля гэтага ўсе ліцэнзіі з'яўляюцца. У выніку гэта павінна выглядаць так:
Наладзім правільны гадзінны пояс, гэта спатрэбіцца пры даследаванні логаў. Для гэтага пяройдзем у меню System → Configuration:
Таксама наладзім DNS. У якасці асноўнага DNS сервера мы наладзім унутраны DNS сервер, а ў якасці рэзервовага - пакінем DNS сервер, які падае Fortinet.
Цяпер пяройдзем да самага цікавага. Як вы, мусіць, заўважылі, па змаўчанні ў прылады ўсталяваны рэжым Gateway. Таму нам мяняць яго не трэба. Пяройдзем у поле Domain & User → Domain. Створым новы дамен, які неабходна абараняць. Тут нам трэба пазначыць толькі назву дамена і адрас паштовага сервера (можна таксама пазначыць яго даменнае імя, у нашым выпадку mail.test.local):
Цяпер нам трэба пазначыць імя для для нашага паштовага шлюза. Яно будзе выкарыстоўвацца ў MX і A запісах, якія нам трэба будзе памяняць пазней:
З пунктаў Host Name і Local Domain Name складаецца FQDN, якое выкарыстоўваецца ў запісах DNS. У нашым выпадку FQDN = fortimail.test.local.
Цяпер наладзім правіла атрымання. Нам неабходна, каб усе лісты, якія прыходзяць звонку і прызначаюцца карыстачу ў дамене, перасылаліся на паштовы сервер. Для гэтага пяройдзем у меню Policy → Access Control. Прыклад наладкі прыведзены ніжэй:
Паглядзім на ўкладку Recipient Policy. Тут можна ўсталёўваць пэўныя правілы праверкі лістоў: калі пошта прыходзіць з дамена example1.com, трэба правяраць яе механізмамі, настроенымі спецыяльна пад гэты дамен. Там ужо ўсталявана правіла па змаўчанні для ўсёй пошты, і на дадзены момант яно нас уладкоўвае. Азнаёміцца з дадзеным правілам можна на малюнку ніжэй:
На гэтым наладу на FortiMail можна лічыць скончанай. Насамрэч магчымых параметраў нашмат больш, але калі мы пачнем разглядаць іх усё - можна будзе напісаць кнігу:) А наша мэта - з мінімальнымі намаганнямі запусціць FortiMail у тэставым рэжыме.
Засталося дзве рэчы – змяніць MX і A запісы, а таксама змяніць правілы пракіду партоў на міжсеткавым экране.
MX запіс test.local -> mail.test.local 10 неабходна памяняць на test.local -> fortimail.test.local 10. Але звычайна падчас пілотаў дадаецца другі MX запіс з больш высокім прыярытэтам. Напрыклад:
test.local -> mail.test.local 10
test.local -> fortimail.test.local 5
Нагадаю, што чым менш парадкавы нумар перавагі паштовага сервера ў MX запісы, тым вышэй яе прыярытэт.
A запіс змяніць нельга, таму проста створым новую: fortimail.test.local -> 10.10.30.210. Вонкавы карыстач будзе звяртацца на адрас 10.10.30.210 па 25 порце, і міжсеткавы экран будзе пракідваць злучэнне на FortiMail.
Для таго, каб памяняць правіла пракіду на FortiGate, неабходна змяніць адрас у адпаведным аб'екце Virtual IP:
Усё гатова. Давайце праверым. Зноў дашлем ліст з кампутара вонкавага карыстача. Цяпер пяройдзем на FortiMail у меню Monitor → Logs. У полі History можна ўбачыць запіс аб тым, што ліст быў прыняты. Для атрымання дадатковай інфармацыі можна клікнуць на запіс правай кнопкай мышы і выбраць пункт Details:
Для паўнаты карціны праверым, ці можа FortiMail у бягучай канфігурацыі блакаваць лісты, якія змяшчаюць спам і вірусы. Для гэтага адправім тэставы вірус eicar і тэставы ліст, знойдзенае ў адной з баз спам лістоў (http://untroubled.org/spam/). Пасля гэтага зноў пяройдзем у меню прагляду логаў:
Як бачым, і спам, і ліст з вірусам былі паспяхова апазнаны.
Дадзенай канфігурацыі дастаткова для таго, каб забяспечыць базавую абарону ад вірусаў і ад спаму. Але на гэтым функцыянал FortiMail не абмяжоўваецца. Для больш эфектыўнай абароны неабходна вывучыць наяўныя механізмы і наладзіць іх пад свае патрэбы. У далейшым мы плануем асвятліць іншыя, больш прасунутыя магчымасці дадзенага паштовага шлюза.
Калі ў вас узніклі складанасці або пытанні па рашэнні, пішыце іх у каментарах, мы пастараемся аператыўна на іх адказаць.
Заяўку на запыт трыяльнай ліцэнзіі для тэсціравання рашэння вы можаце пакінуць .
Аўтар: Аляксей Нікулін. Інжынер па інфармацыйнай бяспецы Fortiservice.
Крыніца: habr.com