Benvingut! Avui us explicarem com fer la configuració inicial de la passarel·la de correu – Solucions de seguretat de correu electrònic de Fortinet. Durant l'article veurem el disseny amb el qual treballarem i realitzarem la configuració , necessari per rebre i comprovar cartes, i també en comprovarem el rendiment. Basant-nos en la nostra experiència, podem dir amb seguretat que el procés és molt senzill i, fins i tot després d'una configuració mínima, podeu veure els resultats.
Comencem amb el disseny actual. Es mostra a la figura següent.
A la dreta veiem l'ordinador de l'usuari extern, des del qual enviarem correu a l'usuari a la xarxa interna. La xarxa interna conté l'ordinador de l'usuari, un controlador de domini amb un servidor DNS que s'executa i un servidor de correu. A la vora de la xarxa hi ha un tallafoc - FortiGate, la característica principal del qual és configurar el reenviament de trànsit SMTP i DNS.
Prestem especial atenció al DNS.
Hi ha dos registres DNS utilitzats per encaminar el correu electrònic a Internet: el registre A i el registre MX. Normalment, aquests registres DNS es configuren en un servidor DNS públic, però a causa de limitacions de disseny, simplement reenviem el DNS a través del tallafoc (és a dir, l'usuari extern té l'adreça 10.10.30.210 registrada com a servidor DNS).
El registre MX és un registre que conté el nom del servidor de correu que serveix el domini, així com la prioritat d'aquest servidor de correu. En el nostre cas es veu així: test.local -> mail.test.local 10.
Un registre és un registre que converteix un nom de domini en una adreça IP, per a nosaltres és: mail.test.local -> 10.10.30.210.
Quan el nostre usuari extern intenta enviar un correu electrònic a [protegit per correu electrònic], demanarà al seu servidor DNS MX el registre de domini test.local. El nostre servidor DNS respondrà amb el nom del servidor de correu: mail.test.local. Ara l'usuari necessita obtenir l'adreça IP d'aquest servidor, així que torna a accedir al DNS per al registre A i rep l'adreça IP 10.10.30.210 (sí, la seva de nou :) ). Podeu enviar una carta. Per tant, intenta establir una connexió amb l'adreça IP rebuda al port 25. Utilitzant regles del tallafoc, aquesta connexió es reenvia al servidor de correu.
Comprovem la funcionalitat del correu en l'estat actual del disseny. Per fer-ho, utilitzarem la utilitat swaks a l'ordinador de l'usuari extern. Amb la seva ajuda, podeu provar el rendiment d'SMTP enviant al destinatari una carta amb un conjunt de diversos paràmetres. Anteriorment, ja s'havia creat un usuari amb bústia al servidor de correu [protegit per correu electrònic]. Intentem enviar-li una carta:
Ara anem a la màquina de l'usuari intern i assegurem-nos que ha arribat la carta:
La carta va arribar realment (es destaca a la llista). Això vol dir que el disseny funciona correctament. Ara és el moment de passar a FortiMail. Afegim al nostre disseny:
FortiMail es pot desplegar de tres maneres:
- Passarel·la: actua com un MTA complet: es fa càrrec de tot el correu, el comprova i després l'envia al servidor de correu;
- Transparent, o en altres paraules, mode transparent. S'instal·la davant del servidor i comprova el correu entrant i sortint. Després d'això, el transmet al servidor. No requereix canvis a la configuració de la xarxa.
- Servidor: en aquest cas, FortiMail és un servidor de correu complet amb la capacitat de crear bústies de correu, rebre i enviar correu, així com altres funcionalitats.
Desplegarem FortiMail en mode Gateway. Anem a la configuració de la màquina virtual. L'inici de sessió és administrador, no s'ha especificat cap contrasenya. Quan inicieu sessió per primera vegada, heu d'establir una nova contrasenya.
Ara configurem la màquina virtual per accedir a la interfície web. També és necessari que la màquina tingui accés a Internet. Configurem la interfície. Només necessitem port1. Amb la seva ajuda ens connectarem a la interfície web, i també servirà per accedir a Internet. Es necessita accés a Internet per actualitzar els serveis (signatures antivirus, etc.). Per a la configuració, introduïu les ordres:
configuració de la interfície del sistema
Edita el port 1
establir ip 192.168.1.40 255.255.255.0
establiu allowaccess https http ssh ping
final
Ara configurem l'encaminament. Per fer-ho, heu d'introduir les ordres següents:
configuració de la ruta del sistema
edició 1
establiu la passarel·la 192.168.1.1
establir el port de la interfície 1
final
Quan introduïu ordres, podeu utilitzar les pestanyes per evitar escriure-les completament. A més, si oblideu quina ordre hauria de venir a continuació, podeu utilitzar la tecla “?”.
Ara comprovem la teva connexió a Internet. Per fer-ho, fem ping a Google DNS:
Com podeu veure, ara tenim Internet. S'han completat els paràmetres inicials típics de tots els dispositius Fortinet i ara podeu procedir a la configuració mitjançant la interfície web. Per fer-ho, obriu la pàgina de gestió:
Tingueu en compte que heu de seguir l'enllaç en el format /admin. En cas contrari, no podreu accedir a la pàgina de gestió. Per defecte, la pàgina està en mode de configuració estàndard. Per a la configuració necessitem el mode avançat. Anem al menú admin->Visualitza i canviem el mode a Avançat:
Ara hem de descarregar la llicència de prova. Això es pot fer al menú Informació de llicència → VM → Actualitzar:
Si no teniu una llicència de prova, podeu sol·licitar-ne una posant-vos en contacte .
Després d'introduir la llicència, el dispositiu s'hauria de reiniciar. En el futur, començarà a treure actualitzacions a les seves bases de dades des dels servidors. Si això no passa automàticament, podeu anar al menú Sistema → FortiGuard i, a les pestanyes Antivirus, Antispam, feu clic al botó Actualitza ara.
Si això no ajuda, podeu canviar els ports utilitzats per a les actualitzacions. Normalment, després d'això apareixen totes les llicències. Al final hauria de quedar així:
Configurem la zona horària correcta, això serà útil a l'hora d'examinar els registres. Per fer-ho, aneu al menú Sistema → Configuració:
També configurarem el DNS. Configurarem el servidor DNS intern com a servidor DNS principal, i deixarem el servidor DNS proporcionat per Fortinet com a còpia de seguretat.
Ara passem a la part divertida. Com haureu notat, el dispositiu està configurat en mode de passarel·la de manera predeterminada. Per tant, no hem de canviar-ho. Anem al camp Domini i usuari → Domini. Creem un nou domini que cal protegir. Aquí només hem d'especificar el nom de domini i l'adreça del servidor de correu (també podeu especificar el seu nom de domini, en el nostre cas mail.test.local):
Ara hem de proporcionar un nom per a la nostra passarel·la de correu. Això s'utilitzarà als registres MX i A, que haurem de canviar més endavant:
A partir dels punts Nom d'amfitrió i Nom de domini local, es compila el FQDN, que s'utilitza als registres DNS. En el nostre cas, FQDN = fortimail.test.local.
Ara configurem la regla de recepció. Necessitem que tots els correus electrònics que vinguin de fora i estiguin assignats a un usuari del domini siguin reenviats al servidor de correu. Per fer-ho, aneu al menú Política → Control d'accés. A continuació es mostra un exemple de configuració:
Vegem la pestanya Política de destinataris. Aquí podeu establir certes regles per comprovar les cartes: si el correu prové del domini example1.com, heu de comprovar-ho amb mecanismes configurats específicament per a aquest domini. Ja hi ha una regla per defecte per a tot el correu, i de moment ens convé. Podeu veure aquesta regla a la figura següent:
En aquest punt, la configuració a FortiMail es pot considerar completa. De fet, hi ha molts més paràmetres possibles, però si comencem a considerar-los tots, podríem escriure un llibre :) I el nostre objectiu és llançar FortiMail en mode de prova amb el mínim esforç.
Queden dues coses: canviar els registres MX i A i també canviar les regles de reenviament de ports al tallafoc.
El registre MX test.local -> mail.test.local 10 s'ha de canviar per test.local -> fortimail.test.local 10. Però normalment durant els pilots s'afegeix un segon registre MX amb una prioritat més alta. Per exemple:
test.local -> mail.test.local 10
test.local -> fortimail.test.local 5
Us recordo que com més baix sigui el número ordinal de la preferència del servidor de correu al registre MX, més alta serà la seva prioritat.
I l'entrada no es pot canviar, així que només en crearem una de nova: fortimail.test.local -> 10.10.30.210. Un usuari extern es posarà en contacte amb l'adreça 10.10.30.210 al port 25 i el tallafoc reenviarà la connexió a FortiMail.
Per canviar la regla de reenviament a FortiGate, cal canviar l'adreça a l'objecte IP virtual corresponent:
Tot a punt. Comprovem. Tornem a enviar la carta des de l'ordinador de l'usuari extern. Ara anem a FortiMail al menú Monitor → Registres. Al camp Historial podeu veure un registre que la carta va ser acceptada. Per obtenir més informació, podeu fer clic amb el botó dret a l'entrada i seleccionar Detalls:
Per completar la imatge, comprovem si FortiMail en la seva configuració actual pot bloquejar correus electrònics que contenen correu brossa i virus. Per fer-ho, enviarem el virus de prova eicar i una carta de prova que es troba en una de les bases de dades de correu brossa (http://untroubled.org/spam/). Després d'això, tornem al menú de visualització del registre:
Com podem veure, tant el correu brossa com una carta amb un virus es van identificar amb èxit.
Aquesta configuració és suficient per proporcionar una protecció bàsica contra virus i correu brossa. Però la funcionalitat de FortiMail no es limita a això. Per a una protecció més eficaç, cal estudiar els mecanismes disponibles i personalitzar-los segons les vostres necessitats. En el futur, tenim previst destacar altres funcions més avançades d'aquesta passarel·la de correu.
Si tens alguna dificultat o pregunta sobre la solució, escriu-les als comentaris, intentarem respondre-les ràpidament.
Podeu enviar una sol·licitud per obtenir una llicència de prova per provar la solució .
Autor: Alexey Nikulin. Enginyer de Seguretat de la Informació Fortiservice.
Font: www.habr.com