Welcome! Karon sultihan ka namon kung giunsa paghimo ang una nga mga setting sa gateway sa mail - Mga solusyon sa seguridad sa email sa Fortinet. Sa dagan sa artikulo, atong tagdon ang layout diin kita magtrabaho, atong himoon ang configuration , nga gikinahanglan alang sa pagdawat ug pagsusi sa mga sulat, ug usab pagsulay sa performance niini. Pinasukad sa among kasinatian, luwas namong isulti nga ang proseso yano ra kaayo, ug bisan pagkahuman sa gamay nga pagsumpo, makita nimo ang mga resulta.
Magsugod ta sa kasamtangan nga layout. Gipakita kini sa hulagway sa ubos.
Sa tuo, among makita ang kompyuter sa gawas nga tiggamit, diin kami magpadala ug mail sa tiggamit sa internal nga network. Ang kompyuter sa user, usa ka domain controller nga adunay DNS server ug usa ka mail server nahimutang sa internal nga network. Sa ngilit sa network adunay usa ka firewall - FortiGate, ang panguna nga bahin niini mao ang pagsumpo sa pagpasa sa SMTP ug trapiko sa DNS.
Atong hatagan ug espesyal nga pagtagad ang DNS.
Duha ka DNS record ang gigamit sa pag-ruta sa email sa Internet, usa ka A record ug usa ka MX record. Kasagaran, kini nga mga rekord sa DNS gi-configure sa usa ka publiko nga DNS server, apan tungod sa mga pagdili sa layout, gipasa lang namon ang DNS pinaagi sa firewall (nga mao, ang eksternal nga tiggamit adunay adres nga 10.10.30.210 ingon ang DNS server).
MX record - usa ka rekord nga adunay ngalan sa mail server nga nagserbisyo sa domain, ingon man ang prayoridad niini nga mail server. Sa among kaso, ingon niini: test.local -> mail.test.local 10.
Ang usa ka rekord usa ka rekord nga nag-convert sa usa ka domain name ngadto sa usa ka IP address, aduna kita niini: mail.test.local -> 10.10.30.210.
Kung ang among eksternal nga tiggamit mosulay sa pagpadala sa usa ka email sa [protektado sa email], kini mangutana sa iyang DNS MX server alang sa test.local domain record. Ang among DNS server motubag sa ngalan sa mail server - mail.test.local. Karon kinahanglan nga makuha sa user ang IP address niini nga server, mao nga mobalik siya sa DNS alang sa A record ug makuha ang IP address 10.10.30.210 (oo, iya usab :) ). Mahimo kang magpadala ug sulat. Busa, siya naningkamot sa pagtukod sa usa ka koneksyon sa nadawat IP address sa port 25. Uban sa tabang sa mga lagda sa firewall, kini nga koneksyon gipasa ngadto sa mail server.
Atong susihon ang pagpaandar sa mail sa kasamtangan nga kahimtang sa layout. Aron mahimo kini, sa kompyuter sa usa ka eksternal nga tiggamit, among gamiton ang swaks utility. Uban sa tabang niini, mahimo nimong sulayan ang paghimo sa SMTP pinaagi sa pagpadala sa usa ka email sa nakadawat nga adunay usa ka set sa lainlaing mga parameter. Kaniadto, ang usa ka tiggamit nga adunay mailbox na-set up na sa mail server [protektado sa email]. Atong sulayan ang pagpadala kaniya og email:
Karon moadto kita sa makina sa internal nga tiggamit ug siguroha nga ang sulat miabot na:
Ang sulat miabut gayud (kini gipasiugda sa listahan). Busa ang layout nagtrabaho sa husto. Panahon na aron magpadayon sa FortiMail. Atong idugang ang atong layout:
Ang FortiMail mahimong i-deploy sa tulo ka mga mode:
- Gateway - naglihok ingon usa ka hingpit nga MTA: gikuha niini ang tanan nga mail sa iyang kaugalingon, gisusi kini, ug dayon ipasa kini sa mail server;
- Transparent - o kung dili, transparent mode. Gi-install sa atubangan sa server ug gisusi ang umaabot ug paggawas nga mail. Pagkahuman niana, ipadala kini sa server. Wala magkinahanglan og kausaban sa configuration sa network.
- Server - sa kini nga kaso, ang FortiMail usa ka bug-os nga mail server nga adunay katakus sa paghimo og mga mailbox, pagdawat ug pagpadala sa mail, ingon man sa uban pang mga gamit.
Atong i-deploy ang FortiMail sa Gateway mode. Adto ta sa mga setting sa virtual machine. Ang pag-login mao ang admin, ang password wala gitakda. Sa una ka nga pag-log in, kinahanglan ka magbutang usa ka bag-ong password.
Karon atong i-configure ang virtual machine aron ma-access ang web interface. Kinahanglan usab nga ang makina adunay access sa Internet. Atong i-set up ang interface. Kinahanglan lang namo ang port1. Uban niini, magkonektar kami sa web interface, ug magamit usab kini sa pag-access sa Internet. Ang pag-access sa Internet gikinahanglan aron ma-update ang mga serbisyo (mga pirma sa antivirus, ug uban pa). Aron ma-configure, isulod ang mga sugo:
config interface sa sistema
usba ang port 1
ibutang ang ip 192.168.1.40 255.255.255.0
ibutang allowaccess https http ssh ping
katapusan
Karon atong i-set up ang routing. Aron mahimo kini, pagsulod sa mosunod nga mga sugo:
config nga sistema sa ruta
edit 1
ibutang ang ganghaan 192.168.1.1
ibutang ang interface port1
katapusan
Kung mosulod sa mga sugo, mahimo nimong gamiton ang mga tab aron malikayan ang pag-type niini sa hingpit. Usab, kung nakalimot ka kung unsang sugo ang kinahanglan nga sunod, mahimo nimong gamiton ang yawe nga "?".
Karon atong susihon ang imong koneksyon sa internet. Aron mahimo kini, i-ping ang Google DNS:
Sama sa imong nakita, kami adunay Internet. Ang mga inisyal nga setting nga espesipiko sa tanan nga mga aparato sa Fortinet nahuman na, karon mahimo ka magpadayon sa pag-configure pinaagi sa web interface. Aron mahimo kini, ablihi ang control page:
Palihug timan-i nga kinahanglan nimong sundon ang link sa format /admin. Kung dili, dili ka makaadto sa control page. Sa kasagaran, ang panid naa sa standard configuration mode. Alang sa mga setting, kinahanglan namon ang Advanced mode. Adto ta sa admin-> View menu ug ibalhin ang mode sa Advanced:
Karon kinahanglan namong i-download ang lisensya sa pagsulay. Mahimo nimo kini sa menu nga Impormasyon sa Lisensya → VM → Pag-update:
Kung wala kay lisensya sa pagsulay, mahimo kang mohangyo og usa pinaagi sa pagkontak .
Pagkahuman sa pagsulod sa lisensya, ang aparato kinahanglan nga mag-reboot. Sa umaabot, magsugod kini sa pagkuha sa mga update sa mga database niini gikan sa mga server. Kung dili kini awtomatiko nga mahitabo, mahimo kang moadto sa System → FortiGuard menu ug i-klik ang Update Now button sa Antivirus, Antispam tabs.
Kung dili kini makatabang, mahimo nimong usbon ang mga pantalan nga gigamit alang sa mga update. Kasagaran human niana ang tanan nga mga lisensya makita. Sa katapusan kini kinahanglan nga tan-awon sama niini:
Atong ibutang ang husto nga time zone, kini magamit sa pag-usisa sa mga troso. Aron mahimo kini, adto sa System → Configuration menu:
Atong i-configure usab ang DNS. Isip nag-unang DNS server, mag-set up kami og internal DNS server, ug isip backup, biyaan namo ang DNS server nga gihatag sa Fortinet.
Karon magpadayon kita sa labing makapaikag. Sama sa imong namatikdan, sa default ang aparato gitakda sa Gateway mode. Busa dili na nato kini kinahanglang usbon. Adto ta sa Domain & User → Domain field. Magbuhat ta ug bag-ong domain nga kinahanglang protektahan. Dinhi kinahanglan ra namon nga ipiho ang ngalan sa domain ug adres sa mail server (mahimo usab nimo ipiho ang ngalan sa domain niini, sa among kaso mail.test.local):
Karon kinahanglan namong maghatag ug ngalan para sa among mail gateway. Kini gamiton sa MX ug A nga mga rekord, nga kinahanglan natong usbon sa ulahi:
Ang Host Name ug Local Domain Name nga mga butang nagporma sa FQDN, nga gigamit sa DNS records. Sa among kaso, FQDN = fortimail.test.local.
Karon atong i-set up ang receive rule. Kinahanglan namon ang tanan nga mga email nga gikan sa gawas ug gi-assign sa usa ka tiggamit sa domain aron ipasa sa mail server. Aron mahimo kini, adto sa menu Policy → Access Control. Ang usa ka pananglitan sa pag-setup gipakita sa ubos:
Atong tan-awon ang tab sa Recipient Policy. Dinhi mahimo nimong itakda ang pipila ka mga lagda alang sa pagsusi sa mga mensahe: kung ang mail gikan sa domain sa example1.com, kinahanglan nimo nga susihon kini gamit ang mga mekanismo nga piho nga gi-configure para sa kini nga domain. Adunay na usa ka default nga lagda nga gitakda alang sa tanan nga mail, ug sa pagkakaron kini angay kanamo. Imong makita kini nga lagda sa hulagway sa ubos:
Nakompleto niini ang pag-setup sa FortiMail. Sa tinuud, adunay daghan pa nga posible nga mga parameter, apan kung sugdan naton ang pagkonsiderar sa tanan niini, makasulat kita usa ka libro :) Ug ang among katuyoan mao ang pagpadagan sa FortiMail sa mode sa pagsulay nga adunay gamay nga paningkamot.
Adunay duha ka butang nga nahabilin - usba ang MX ug A nga mga rekord, ug usba usab ang mga lagda sa pagpasa sa pantalan sa firewall.
Ang MX record test.local -> mail.test.local 10 kinahanglan nga usbon ngadto sa test.local -> fortimail.test.local 10. Apan kasagaran usa ka ikaduha nga mas taas nga prayoridad nga MX record ang idugang sa panahon sa mga piloto. Pananglitan:
test.local -> mail.test.local 10
test.local -> fortimail.test.local 5
Pahinumdumi ko nimo nga kon mas ubos ang preference number sa mail server sa MX record, mas taas ang prayoridad niini.
Dili mausab ang usa ka rekord, busa maghimo na lang ta ug bag-o: fortimail.test.local -> 10.10.30.210. Ang eksternal nga tiggamit motubag sa 10.10.30.210 sa port 25 ug ang firewall ipasa ang koneksyon sa FortiMail.
Aron mabag-o ang pagmando sa pagpasa sa FortiGate, kinahanglan nimo nga usbon ang adres sa katugbang nga butang nga Virtual IP:
Andam na ang tanan. Atong susihon. Magpadala kita og email gikan sa kompyuter sa gawas nga tiggamit pag-usab. Karon adto ta sa FortiMail sa Monitor → Logs menu. Diha sa History field, imong makita ang usa ka rekord nga ang sulat gidawat. Alang sa dugang nga impormasyon, mahimo nimong i-right-click ang usa ka entry ug pilia ang Detalye:
Aron makompleto ang hulagway, atong susihon kung ang FortiMail sa kasamtangan nga configuration maka-block sa mga email nga adunay spam ug mga virus. Aron mahimo kini, magpadala ta ug test eicar virus ug test email nga makita sa usa sa spam databases (http://untroubled.org/spam/). Human niana, mobalik kita sa menu sa log view:
Sama sa imong makita, ang spam ug usa ka sulat nga adunay virus malampuson nga giila.
Kini nga configuration igo na aron makahatag og batakang proteksyon batok sa mga virus ug spam. Apan ang pagpaandar sa FortiMail dili limitado niini. Para sa mas epektibong panalipod, kinahanglan nimong tun-an ang anaa nga mga mekanismo ug ipasibo kini sa imong mga panginahanglan. Sa umaabot, nagplano kami sa pagtabon sa uban pa, mas abante nga mga bahin niining mail gateway.
Kung adunay ka mga kalisud o pangutana bahin sa solusyon, isulat kini sa mga komento, sulayan namon nga tubagon dayon.
Mahimo nimong ibilin ang usa ka hangyo alang sa usa ka lisensya sa pagsulay aron masulayan ang solusyon .
Awtor: Alexey Nikulin. Fortiservice information security engineer.
Source: www.habr.com