Vítejte! Dnes vám řekneme, jak provést počáteční nastavení poštovní brány – Řešení zabezpečení e-mailů Fortinet. Během článku se podíváme na rozložení, se kterým budeme pracovat a provedeme konfiguraci , nezbytný pro příjem a kontrolu dopisů a také otestujeme jeho výkon. Na základě našich zkušeností můžeme s jistotou říci, že proces je velmi jednoduchý a i po minimální konfiguraci jsou vidět výsledky.
Začněme aktuálním rozložením. Je to znázorněno na obrázku níže.
Vpravo vidíme počítač externího uživatele, ze kterého budeme odesílat poštu uživateli v interní síti. Interní síť obsahuje počítač uživatele, řadič domény, na kterém běží server DNS, a poštovní server. Na okraji sítě je firewall – FortiGate, jehož hlavní funkcí je konfigurace přesměrování SMTP a DNS provozu.
Věnujme zvláštní pozornost DNS.
Ke směrování e-mailů na internetu se používají dva záznamy DNS – záznam A a záznam MX. Obvykle jsou tyto DNS záznamy nakonfigurovány na veřejném DNS serveru, ale kvůli omezením rozvržení DNS jednoduše předáváme přes firewall (to znamená, že externí uživatel má adresu 10.10.30.210 registrovanou jako DNS server).
MX záznam je záznam obsahující název poštovního serveru obsluhujícího doménu a také prioritu tohoto poštovního serveru. V našem případě to vypadá takto: test.local -> mail.test.local 10.
Záznam je záznam, který převádí doménové jméno na IP adresu, pro nás je to: mail.test.local -> 10.10.30.210.
Když se náš externí uživatel pokusí odeslat e-mail na [chráněno e-mailem], zeptá se svého DNS MX serveru na záznam domény test.local. Náš DNS server odpoví jménem poštovního serveru - mail.test.local. Nyní uživatel potřebuje získat IP adresu tohoto serveru, takže znovu přistoupí k DNS pro záznam A a obdrží IP adresu 10.10.30.210 (ano, opět jeho :) ). Můžete poslat dopis. Proto se pokusí navázat spojení s přijatou IP adresou na portu 25. Pomocí pravidel na firewallu je toto spojení předáno poštovnímu serveru.
Pojďme zkontrolovat funkčnost pošty v aktuálním stavu rozložení. K tomu použijeme nástroj swaks na počítači externího uživatele. S jeho pomocí můžete otestovat výkon SMTP zasláním dopisu příjemci se sadou různých parametrů. Dříve byl na poštovním serveru vytvořen uživatel s poštovní schránkou [chráněno e-mailem]. Zkusme mu poslat dopis:
Nyní pojďme k počítači interního uživatele a ujistěte se, že dopis dorazil:
Dopis skutečně dorazil (v seznamu je zvýrazněn). To znamená, že rozložení funguje správně. Nyní je čas přejít na FortiMail. Přidejme k našemu rozložení:
FortiMail lze nasadit ve třech režimech:
- Brána - funguje jako plnohodnotný MTA: přebírá veškerou poštu, kontroluje ji a poté ji předává poštovnímu serveru;
- Transparent - nebo jinými slovy, transparentní režim. Instaluje se před server a kontroluje příchozí a odchozí poštu. Poté jej odešle na server. Nevyžaduje změny v konfiguraci sítě.
- Server - FortiMail je v tomto případě plnohodnotný poštovní server s možností vytváření poštovních schránek, přijímání a odesílání pošty a dalších funkcí.
FortiMail nasadíme v režimu Gateway. Pojďme k nastavení virtuálního stroje. Přihlášení je admin, není zadáno žádné heslo. Při prvním přihlášení musíte nastavit nové heslo.
Nyní nakonfigurujeme virtuální počítač pro přístup k webovému rozhraní. Je také nutné, aby měl stroj přístup k internetu. Pojďme nastavit rozhraní. Potřebujeme pouze port1. S jeho pomocí se připojíme k webovému rozhraní a bude sloužit i pro přístup k internetu. Pro aktualizaci služeb (antivirové signatury atd.) je nutný přístup k internetu. Pro konfiguraci zadejte příkazy:
konfigurační systémové rozhraní
upravit port 1
nastavit IP 192.168.1.40 255.255.255.0
nastavit allowaccess https http ssh ping
konec
Nyní nakonfigurujeme směrování. Chcete-li to provést, musíte zadat následující příkazy:
konfigurace systémové cesty
editovat 1
nastavit bránu 192.168.1.1
nastavit port rozhraní 1
konec
Při zadávání příkazů můžete použít tabulátory, abyste je nemuseli psát celé. Pokud také zapomenete, který příkaz by měl následovat, můžete použít klávesu „?“.
Nyní zkontrolujeme vaše internetové připojení. Chcete-li to provést, odešleme příkaz ping Google DNS:
Jak vidíte, nyní máme internet. Počáteční nastavení typické pro všechna zařízení Fortinet bylo dokončeno a nyní můžete přejít ke konfiguraci přes webové rozhraní. Chcete-li to provést, otevřete stránku správy:
Vezměte prosím na vědomí, že musíte následovat odkaz ve formátu /admin. V opačném případě nebudete mít přístup na stránku správy. Ve výchozím nastavení je stránka ve standardním konfiguračním režimu. Pro nastavení potřebujeme Advanced mode. Pojďme do nabídky admin->Zobrazit a přepněte režim na Advanced:
Nyní musíme stáhnout zkušební licenci. To lze provést v nabídce Informace o licenci → VM → Aktualizace:
Pokud nemáte zkušební licenci, můžete o ni požádat kontaktováním .
Po zadání licence by se zařízení mělo restartovat. V budoucnu začne stahovat aktualizace svých databází ze serverů. Pokud se tak nestane automaticky, můžete přejít do nabídky Systém → FortiGuard a na kartách Antivirus, Antispam kliknout na tlačítko Aktualizovat nyní.
Pokud to nepomůže, můžete změnit porty používané pro aktualizace. Obvykle se poté objeví všechny licence. Nakonec by to mělo vypadat takto:
Pojďme nastavit správné časové pásmo, bude to užitečné při zkoumání protokolů. Chcete-li to provést, přejděte do nabídky Systém → Konfigurace:
Nakonfigurujeme také DNS. Nakonfigurujeme interní DNS server jako hlavní DNS server a DNS server poskytovaný Fortinetem ponecháme jako záložní.
Nyní přejdeme k zábavnější části. Jak jste si mohli všimnout, zařízení je standardně nastaveno na režim Brána. Proto ji nemusíme měnit. Přejdeme do pole Doména a uživatel → Doména. Pojďme vytvořit novou doménu, kterou je třeba chránit. Zde potřebujeme pouze zadat název domény a adresu poštovního serveru (můžete také zadat název jeho domény, v našem případě mail.test.local):
Nyní musíme zadat název naší poštovní brány. Toto bude použito v záznamech MX a A, které budeme muset později změnit:
Z bodů Host Name a Local Domain Name se sestaví FQDN, které se používá v DNS záznamech. V našem případě FQDN = fortimail.test.local.
Nyní nastavíme pravidlo příjmu. Potřebujeme, aby všechny e-maily, které přicházejí zvenčí a jsou přiřazeny uživateli v doméně, byly přeposlány na poštovní server. Chcete-li to provést, přejděte do nabídky Zásady → Řízení přístupu. Příklad nastavení je zobrazen níže:
Podívejme se na záložku Recipient Policy. Zde můžete nastavit určitá pravidla pro kontrolu dopisů: pokud pošta přichází z domény example1.com, musíte ji zkontrolovat pomocí mechanismů nakonfigurovaných speciálně pro tuto doménu. Pro veškerou poštu již existuje výchozí pravidlo a zatím nám vyhovuje. Toto pravidlo můžete vidět na obrázku níže:
V tomto okamžiku lze nastavení na FortiMail považovat za dokončené. Ve skutečnosti je možných parametrů mnohem více, ale pokud je všechny začneme zvažovat, mohli bychom napsat knihu :) A naším cílem je spustit FortiMail v testovacím režimu s minimálním úsilím.
Zbývají dvě věci – změnit záznamy MX a A a také změnit pravidla přesměrování portů na firewallu.
MX záznam test.local -> mail.test.local 10 musí být změněn na test.local -> fortimail.test.local 10. Ale obvykle během pilotování je přidán druhý MX záznam s vyšší prioritou. Například:
test.local -> mail.test.local 10
test.local -> fortimail.test.local 5
Dovolte mi připomenout, že čím nižší je pořadové číslo preference poštovního serveru v záznamu MX, tím vyšší je její priorita.
A záznam nelze změnit, takže vytvoříme nový: fortimail.test.local -> 10.10.30.210. Externí uživatel bude kontaktovat adresu 10.10.30.210 na portu 25 a firewall předá spojení na FortiMail.
Chcete-li změnit pravidlo přesměrování na FortiGate, musíte změnit adresu v odpovídajícím virtuálním IP objektu:
Vše je připraveno. Pojďme zkontrolovat. Odešleme dopis znovu z počítače externího uživatele. Nyní přejdeme na FortiMail v nabídce Monitor → Protokoly. V poli Historie vidíte záznam, že dopis byl přijat. Chcete-li získat další informace, můžete kliknout pravým tlačítkem na záznam a vybrat Podrobnosti:
Aby byl obrázek úplný, zkontrolujme, zda FortiMail ve své aktuální konfiguraci dokáže blokovat e-maily obsahující spam a viry. Za tímto účelem zašleme testovací virus eicar a testovací dopis nalezený v jedné z databází nevyžádané pošty (http://untroubled.org/spam/). Poté se vraťme do nabídky zobrazení protokolu:
Jak vidíme, podařilo se identifikovat spam i dopis s virem.
Tato konfigurace je dostatečná pro zajištění základní ochrany proti virům a spamu. Ale funkčnost FortiMail není omezena na toto. Pro účinnější ochranu si musíte prostudovat dostupné mechanismy a upravit je tak, aby vyhovovaly vašim potřebám. V budoucnu plánujeme upozornit na další, pokročilejší funkce této poštovní brány.
Pokud máte nějaké potíže nebo dotazy týkající se řešení, napište je do komentářů, pokusíme se na ně rychle odpovědět.
Chcete-li řešení otestovat, můžete odeslat žádost o zkušební licenci .
Autor: Alexey Nikulin. Inženýr informační bezpečnosti Fortiservice.
Zdroj: www.habr.com