Benvenuti! Oghje vi diceremu cumu fà i paràmetri iniziali di a porta di mail - Soluzioni di sicurezza di e-mail Fortinet. Duranti l'articulu, fighjemu u layout chì avemu da travaglià è eseguisce a cunfigurazione , necessariu per riceve è cuntrollà e lettere, è testeremu ancu a so prestazione. Basatu nantu à a nostra sperienza, pudemu dì sicuru chì u prucessu hè assai simplice, è ancu dopu a cunfigurazione minima pudete vede risultati.
Cuminciamu cù u layout attuale. Hè mostratu in a figura sottu.
À a diritta, vedemu l'urdinatore di l'utilizatore esternu, da quale manderemu mail à l'utilizatore nantu à a reta interna. A reta interna cuntene l'urdinatore di l'utilizatore, un controller di duminiu cù un servitore DNS chì curreghja nantu à questu, è un servitore di mail. À a riva di a reta ci hè un firewall - FortiGate, a funzione principale di quale hè di cunfigurà u trafficu SMTP è DNS.
Prestemu una attenzione particulari à DNS.
Ci hè dui registri DNS utilizati per indirizzà e-mail in Internet - u record A è u record MX. Di genere, sti registri DNS sò cunfigurati in un servitore DNS publicu, ma per via di limitazioni di layout, simpricimenti trasmettemu DNS attraversu u firewall (vale à dì, l'utilizatore esternu hà l'indirizzu 10.10.30.210 registratu cum'è u servitore DNS).
MX record hè un registru chì cuntene u nome di u servitore di mail chì serve u duminiu, è ancu a priorità di stu servitore di mail. In u nostru casu, pare cusì: test.local -> mail.test.local 10.
Un registru hè un registru chì cunverta un nome di duminiu in un indirizzu IP, per noi hè: mail.test.local -> 10.10.30.210.
Quandu u nostru utilizatore esternu prova di mandà un email à [email prutettu], dumandarà u so servitore DNS MX per u registru di duminiu test.local. U nostru servitore DNS risponde cù u nome di u servitore di mail - mail.test.local. Avà l'utilizatore hà bisognu di ottene l'indirizzu IP di stu servore, cusì accede à u DNS per u record A è riceve l'indirizzu IP 10.10.30.210 (sì, u so novu :) ). Pudete mandà una lettera. Dunque, prova di stabilisce una cunnessione cù l'indirizzu IP ricevutu in u portu 25. Utilizendu e regule nantu à u firewall, sta cunnessione hè trasmessa à u servitore di mail.
Cuntrollamu a funziunalità di u mail in u statu attuale di u layout. Per fà questu, useremu l'utilità swaks in l'urdinatore di l'utilizatori esterni. Cù u so aiutu, pudete pruvà a prestazione di SMTP mandendu à u destinatariu una lettera cù un settore di diversi parametri. Nanzu, un utilizatore cù una cassetta postale hè statu digià creatu in u servitore di mail [email prutettu]. Pruvemu di mandà li una lettera :
Avà andemu à a macchina di l'utilizatori internu è assicuratevi chì a lettera hè ghjunta:
A lettera hè veramente ghjunta (hè evidenziata in a lista). Questu significa chì u layout funziona bè. Avà hè u tempu di passà à FortiMail. Aghjunghjemu à u nostru layout:
FortiMail pò esse implementatu in trè modi:
- Gateway - agisce cum'è un MTA full-fledged: ripiglià tutte e mail, verifica, è poi trasmette à u servitore di mail;
- Trasparente - o in altre parolle, modalità trasparente. Hè stallatu davanti à u servitore è verifica u mail entrante è in uscita. Dopu questu, u trasmette à u servitore. Ùn richiede micca cambiamenti à a cunfigurazione di a rete.
- Servitore - in questu casu, FortiMail hè un servitore di mail cumpletu cù a capacità di creà mailboxes, riceve è mandà mail, è ancu altre funziunalità.
Implegheremu FortiMail in modu Gateway. Andemu à i paràmetri di a macchina virtuale. U login hè amministratore, nisuna password hè specificata. Quandu accede per a prima volta, duvete stabilisce una nova password.
Avà cunfiguremu a macchina virtuale per accede à l'interfaccia web. Hè ancu necessariu chì a macchina hà accessu à Internet. Stallà l'interfaccia. Avemu bisognu solu u portu 1. Cù u so aiutu, avemu da cunnette à l'interfaccia web, è serà ancu utilizatu per accede à Internet. L'accessu à Internet hè necessariu per aghjurnà i servizii (signature antivirus, etc.). Per a cunfigurazione, entre i cumandamenti:
cunfigurazione di l'interfaccia di u sistema
edità u portu 1
set ip 192.168.1.40 255.255.255.0
set allowaccess https http ssh ping
fine
Avà cunfiguremu u routing. Per fà questu, avete bisognu di entre i seguenti cumandamenti:
cunfigurà a strada di u sistema
edit 1
set gateway 192.168.1.1
stabilisce u portu di l'interfaccia 1
fine
Quandu si inserisce cumandamenti, pudete aduprà tabulazioni per evità di scrive in tuttu. Inoltre, se vi scurdate di quale cumanda deve vene dopu, pudete aduprà a chjave "?".
Avà andemu à verificà a vostra cunnessione Internet. Per fà questu, fate un ping di Google DNS:
Comu pudete vede, avemu avà l'Internet. I paràmetri iniziali tipici per tutti i dispositi Fortinet sò stati cumpletati, è pudete avà passà à a cunfigurazione via l'interfaccia web. Per fà questu, apre a pagina di gestione:
Per piacè nutate chì avete bisognu à seguità u ligame in u furmatu /admin. Altrimenti, ùn puderete micca accede à a pagina di gestione. Per automaticamente, a pagina hè in modu di cunfigurazione standard. Per i paràmetri avemu bisognu di u Modu Avanzatu. Andemu à u menù admin->Vedi è cambia u modu à Avanzate:
Avà avemu bisognu di scaricà a licenza di prova. Questu pò esse fattu in u menù License Information → VM → Update:
Se ùn avete micca una licenza di prova, pudete dumandà una cuntattendu .
Dopu avè intrutu in a licenza, u dispusitivu deve reboot. In u futuru, hà da cumincià à tirà l'aghjurnamenti à e so basa di dati da i servitori. Se questu ùn succede micca automaticamente, pudete andà à u menù Sistema → FortiGuard è in l'Antivirus, tabulazioni Antispam cliccate nant'à u buttone Update Now.
Se questu ùn aiuta micca, pudete cambià i porti utilizati per l'aghjurnamenti. Di solitu dopu à questu tutte e licenze appariscenu. À a fine, deve esse cusì:
Stabilitemu u fusu orariu currettu, questu serà utile quandu esaminà i logs. Per fà questu, andate à u menù Sistema → Configurazione:
Avemu ancu cunfigurà DNS. Cunfiguremu u servitore DNS internu cum'è u servitore DNS principale, è lasciate u servitore DNS furnitu da Fortinet cum'è a copia di salvezza.
Avà andemu à a parte divertente. Comu pudete avè nutatu, u dispusitivu hè stallatu in modu Gateway per difettu. Dunque, ùn avemu micca bisognu di cambià. Andemu à u duminiu Domain & User → Domain. Creemu un novu duminiu chì deve esse prutettu. Eccu solu bisognu di specificà u nome di duminiu è l'indirizzu di u servitore di mail (pudete ancu specificà u so nome di duminiu, in u nostru casu mail.test.local):
Avà avemu bisognu di furnisce un nome per a nostra porta di mail. Questu serà utilizatu in i registri MX è A, chì avemu bisognu di cambià dopu:
Da i punti di u nome di l'ospite è u nome di u duminiu locale, u FQDN hè compilatu, chì hè utilizatu in i registri DNS. In u nostru casu, FQDN = fortimail.test.local.
Avà stallà a regula di ricezione. Avemu bisognu di tutti i email chì venenu da l'esternu è sò assignati à un utilizatore in u duminiu per esse trasmessi à u servitore di mail. Per fà questu, andate à u menù Politica → Control d'accessu. Un esempiu di stallazione hè mostratu quì sottu:
Fighjemu a tabulazione Politica di u destinatariu. Quì pudete stabilisce certe regule per verificà e lettere: se u mail vene da u duminiu example1.com, avete bisognu di verificà cù miccanismi cunfigurati apposta per questu duminiu. Ci hè digià una regula predeterminata per tutti i mail, è per avà ci cunvene. Pudete vede sta regula in a figura sottu:
À questu puntu, a cunfigurazione in FortiMail pò esse cunsiderata cumpleta. In fatti, ci sò assai più paràmetri pussibuli, ma si cuminciamu à cunsiderà tutti, pudemu scrive un libru :) È u nostru scopu hè di lancià FortiMail in modu di prova cù u minimu sforzu.
Ci sò duie cose restate - cambià i registri MX è A, è ancu cambià e regule di spedizione di portu nantu à u firewall.
U record MX test.local -> mail.test.local 10 deve esse cambiatu in test.local -> fortimail.test.local 10. Ma di solitu durante i piloti un secondu record MX cù una priorità più altu hè aghjuntu. Per esempiu:
test.local -> mail.test.local 10
test.local -> fortimail.test.local 5
Permette di ricurdà chì u più bassu u numeru ordinale di a preferenza di u servitore di mail in u record MX, a più alta a so priorità.
È l'entrata ùn pò esse cambiata, cusì avemu da creà una nova: fortimail.test.local -> 10.10.30.210. Un utilizatore esternu cuntattà l'indirizzu 10.10.30.210 in u portu 25, è u firewall trasmetterà a cunnessione à FortiMail.
Per cambià a regula di spedizione in FortiGate, avete bisognu di cambià l'indirizzu in l'ughjettu IP Virtual currispundente:
Tuttu hè prontu. Cuntrollamu. Mandemu a lettera di novu da l'urdinatore di l'utilizatori esterni. Avà andemu à FortiMail in u menù Monitor → Logs. In u campu Storia pudete vede un registru chì a lettera hè stata accettata. Per più infurmazione, pudete cliccà dritta nantu à l'entrata è selezziunate Dettagli:
Per compie a stampa, verificate se FortiMail in a so cunfigurazione attuale pò bluccà e-mail chì cuntenenu spam è virus. Per fà questu, manderemu u virus di prova eicar è una lettera di prova truvata in una di e basa di dati di mail spam (http://untroubled.org/spam/). Dopu questu, vultemu à u menù di visualizazione di log:
Comu pudemu vede, sia u puzzicheghju è una lettera cù un virus sò stati identificati cù successu.
Sta cunfigurazione hè abbastanza per furnisce una prutezzione di basa contr'à virus è spam. Ma a funziunalità di FortiMail ùn hè micca limitata à questu. Per una prutezzione più efficace, avete bisognu di studià i miccanismi dispunibili è persunalizà per adattà à i vostri bisogni. In u futuru, pensemu à mette in risaltu altre caratteristiche più avanzate di questa porta di mail.
Sì avete qualchì difficultà o dumande in quantu à a suluzione, scrivite in i cumenti, pruveremu di risponde immediatamente.
Pudete mandà una dumanda per una licenza di prova per pruvà a suluzione .
Autore: Alexey Nikulin. Ingegnere di Sicurezza di l'Informazione Fortiservice.
Source: www.habr.com