Добре дошли! Днес ще ви кажем как да направите първоначалните настройки на пощенския шлюз – Решения за сигурност на електронната поща на Fortinet. По време на статията ще разгледаме оформлението, с което ще работим и ще извършим конфигурацията , необходим за получаване и проверка на писма, а също така ще тестваме неговата работа. Въз основа на нашия опит можем спокойно да кажем, че процесът е много прост и дори след минимална конфигурация можете да видите резултатите.
Да започнем с текущото оформление. Показано е на фигурата по-долу.
Вдясно виждаме компютъра на външния потребител, от който ще изпращаме поща до потребителя във вътрешната мрежа. Вътрешната мрежа съдържа компютъра на потребителя, домейн контролер с работещ на него DNS сървър и пощенски сървър. В края на мрежата има защитна стена - FortiGate, чиято основна функция е да конфигурира препращането на SMTP и DNS трафик.
Нека обърнем специално внимание на DNS.
Има два DNS записа, използвани за маршрутизиране на имейли в Интернет – записът A и записът MX. Обикновено тези DNS записи са конфигурирани на публичен DNS сървър, но поради ограничения на оформлението, ние просто препращаме DNS през защитната стена (т.е. външният потребител има адрес 10.10.30.210, регистриран като DNS сървър).
MX запис е запис, съдържащ името на мейл сървъра, обслужващ домейна, както и приоритета на този мейл сървър. В нашия случай изглежда така: test.local -> mail.test.local 10.
Записът е запис, който преобразува име на домейн в IP адрес, за нас това е: mail.test.local -> 10.10.30.210.
Когато наш външен потребител се опита да изпрати имейл до [имейл защитен], той ще направи заявка към своя DNS MX сървър за записа на домейн test.local. Нашият DNS сървър ще отговори с името на пощенския сървър - mail.test.local. Сега потребителят трябва да получи IP адреса на този сървър, така че той отново влиза в DNS за A запис и получава IP адрес 10.10.30.210 (да, отново неговия :) ). Можете да изпратите писмо. Следователно, той се опитва да установи връзка с получения IP адрес на порт 25. Използвайки правилата на защитната стена, тази връзка се препраща към пощенския сървър.
Нека проверим функционалността на пощата в текущото състояние на оформлението. За да направим това, ще използваме помощната програма swaks на компютъра на външния потребител. С негова помощ можете да тествате производителността на SMTP, като изпратите на получателя писмо с набор от различни параметри. Преди това потребител с пощенска кутия вече е бил създаден на пощенския сървър [имейл защитен]. Нека се опитаме да му изпратим писмо:
Сега да отидем на машината на вътрешния потребител и да се уверим, че писмото е пристигнало:
Писмото наистина е пристигнало (маркирано е в списъка). Това означава, че оформлението работи правилно. Сега е моментът да преминете към FortiMail. Нека добавим към нашето оформление:
FortiMail може да се внедри в три режима:
- Gateway - действа като пълноправен MTA: поема цялата поща, проверява я и след това я препраща към пощенския сървър;
- Transparent – или с други думи прозрачен режим. Инсталира се пред сървъра и проверява входящата и изходящата поща. След това го предава на сървъра. Не изисква промени в мрежовата конфигурация.
- Сървър – в този случай FortiMail е пълноценен пощенски сървър с възможност за създаване на пощенски кутии, получаване и изпращане на поща, както и други функции.
Ще внедрим FortiMail в режим Gateway. Да преминем към настройките на виртуалната машина. Входът е admin, без посочена парола. Когато влезете за първи път, трябва да зададете нова парола.
Сега нека конфигурираме виртуалната машина за достъп до уеб интерфейса. Също така е необходимо машината да има достъп до Интернет. Нека да настроим интерфейса. Имаме нужда само от порт1. С негова помощ ще се свържем с уеб интерфейса, а също така ще се използва и за достъп до интернет. Необходим е достъп до интернет за актуализиране на услуги (антивирусни подписи и др.). За конфигурация въведете командите:
конфигурационен системен интерфейс
редактиране на порт 1
задайте ip 192.168.1.40 255.255.255.0
задайте разрешен достъп https http ssh ping
край
Сега нека конфигурираме маршрутизирането. За да направите това, трябва да въведете следните команди:
конфигурационен системен маршрут
редактирайте 1
задаване на шлюз 192.168.1.1
задаване на интерфейс порт1
край
Когато въвеждате команди, можете да използвате раздели, за да избегнете въвеждането им изцяло. Освен това, ако забравите коя команда трябва да дойде след това, можете да използвате клавиша „?“.
Сега нека проверим вашата интернет връзка. За да направите това, нека изпратим ping на Google DNS:
Както виждате, вече имаме интернет. Първоначалните настройки, типични за всички устройства на Fortinet, са завършени и вече можете да продължите към конфигурацията през уеб интерфейса. За да направите това, отворете страницата за управление:
Моля, имайте предвид, че трябва да следвате връзката във формата /админ. В противен случай няма да имате достъп до страницата за управление. По подразбиране страницата е в режим на стандартна конфигурация. За настройки се нуждаем от Разширен режим. Нека отидем в менюто admin->View и превключим режима на Advanced:
Сега трябва да изтеглим пробния лиценз. Това може да стане в менюто Информация за лиценз → VM → Актуализация:
Ако нямате пробен лиценз, можете да поискате такъв, като се свържете с .
След въвеждане на лиценза устройството трябва да се рестартира. В бъдеще ще започне да изтегля актуализации на своите бази данни от сървърите. Ако това не се случи автоматично, можете да отидете в менюто Система → FortiGuard и в разделите Antivirus, Antispam да щракнете върху бутона Update Now.
Ако това не помогне, можете да промените портовете, използвани за актуализации. Обикновено след това се появяват всички лицензи. В крайна сметка трябва да изглежда така:
Нека да настроим правилната часова зона, това ще бъде полезно при разглеждане на регистрационни файлове. За да направите това, отидете в менюто Система → Конфигурация:
Ще конфигурираме и DNS. Ще конфигурираме вътрешния DNS сървър като основен DNS сървър и ще оставим DNS сървъра, предоставен от Fortinet, като резервен.
Сега да преминем към забавната част. Както може би сте забелязали, устройството е настроено на режим Gateway по подразбиране. Следователно не е необходимо да го променяме. Нека отидем в полето Домейн и потребител → Домейн. Нека създадем нов домейн, който трябва да бъде защитен. Тук трябва само да посочим името на домейна и адреса на имейл сървъра (можете също да посочите името на домейна му, в нашия случай mail.test.local):
Сега трябва да предоставим име за нашия пощенски шлюз. Това ще се използва в MX и A записите, които ще трябва да променим по-късно:
От точките име на хост и име на локален домейн се компилира FQDN, който се използва в DNS записи. В нашия случай FQDN = fortimail.test.local.
Сега нека настроим правилото за получаване. Имаме нужда от всички имейли, които идват отвън и са присвоени на потребител в домейна, за да бъдат препратени към пощенския сървър. За да направите това, отидете в менюто Политика → Контрол на достъпа. Примерна настройка е показана по-долу:
Нека да разгледаме раздела Правила за получатели. Тук можете да зададете определени правила за проверка на писма: ако пощата идва от домейна example1.com, трябва да го проверите с механизми, конфигурирани специално за този домейн. Вече има правило по подразбиране за цялата поща и засега ни устройва. Можете да видите това правило на фигурата по-долу:
На този етап настройката на FortiMail може да се счита за завършена. Всъщност има много повече възможни параметри, но ако започнем да ги разглеждаме всички, можем да напишем книга :) И нашата цел е да стартираме FortiMail в тестов режим с минимални усилия.
Остават две неща - промяна на MX и A записите, както и промяна на правилата за препращане на портове на защитната стена.
MX записът test.local -> mail.test.local 10 трябва да се промени на test.local -> fortimail.test.local 10. Но обикновено по време на пилотни програми се добавя втори MX запис с по-висок приоритет. Например:
test.local -> mail.test.local 10
test.local -> fortimail.test.local 5
Нека ви напомня, че колкото по-нисък е поредният номер на предпочитанието на мейл сървъра в MX записа, толкова по-висок е неговият приоритет.
И записът не може да бъде променен, така че просто ще създадем нов: fortimail.test.local -> 10.10.30.210. Външен потребител ще се свърже с адреса 10.10.30.210 на порт 25 и защитната стена ще препрати връзката към FortiMail.
За да промените правилото за пренасочване на FortiGate, трябва да промените адреса в съответния виртуален IP обект:
Всичко е готово. Да проверим. Нека изпратим писмото отново от компютъра на външния потребител. Сега нека отидем на FortiMail в менюто Монитор → Регистри. В полето История можете да видите запис, че писмото е прието. За повече информация можете да щракнете с десния бутон върху записа и да изберете Подробности:
За да завършим картината, нека проверим дали FortiMail в текущата си конфигурация може да блокира имейли, съдържащи спам и вируси. За целта ще изпратим тестовия вирус eicar и тестово писмо, намерено в една от базите данни със спам (http://untroubled.org/spam/). След това нека се върнем към менюто за преглед на журнала:
Както виждаме, спамът и писмото с вирус бяха идентифицирани успешно.
Тази конфигурация е достатъчна, за да осигури основна защита срещу вируси и спам. Но функционалността на FortiMail не се ограничава до това. За по-ефективна защита трябва да проучите наличните механизми и да ги персонализирате според нуждите си. В бъдеще планираме да подчертаем други, по-разширени функции на този пощенски портал.
Ако имате затруднения или въпроси относно решението, напишете ги в коментарите, ние ще се опитаме да им отговорим своевременно.
Можете да изпратите заявка за пробен лиценз, за да тествате решението .
Автор: Алексей Никулин. Инженер по информационна сигурност Fortiservice.
Източник: www.habr.com