Velkommen! I dag vil vi fortælle dig, hvordan du laver de indledende indstillinger for mail-gatewayen – Fortinet e-mailsikkerhedsløsninger. I løbet af artiklen vil vi se på det layout, vi vil arbejde med, og udføre konfigurationen , nødvendig for at modtage og kontrollere breve, og vi vil også teste dens ydeevne. Baseret på vores erfaring kan vi roligt sige, at processen er meget enkel, og selv efter minimal konfiguration kan du se resultater.
Lad os starte med det nuværende layout. Det er vist i figuren nedenfor.
Til højre ser vi den eksterne brugers computer, hvorfra vi sender mail til brugeren på det interne netværk. Det interne netværk indeholder brugerens computer, en domænecontroller med en DNS-server kørende på den og en mailserver. På kanten af netværket er der en firewall - FortiGate, hvis hovedfunktion er at konfigurere SMTP- og DNS-trafikvideresendelse.
Lad os være særligt opmærksomme på DNS.
Der er to DNS-poster, der bruges til at dirigere e-mail på internettet – A-posten og MX-posten. Typisk er disse DNS-poster konfigureret på en offentlig DNS-server, men på grund af layoutbegrænsninger videresender vi blot DNS gennem firewallen (det vil sige, at den eksterne bruger har adressen 10.10.30.210 registreret som DNS-serveren).
MX-record er en post, der indeholder navnet på den mailserver, der betjener domænet, samt denne mailservers prioritet. I vores tilfælde ser det sådan ud: test.local -> mail.test.local 10.
En record er en record, der konverterer et domænenavn til en IP-adresse, for os er det: mail.test.local -> 10.10.30.210.
Når vores eksterne bruger forsøger at sende en e-mail til [e-mail beskyttet], vil den forespørge på sin DNS MX-server for domæneposten test.local. Vores DNS-server vil svare med navnet på mailserveren - mail.test.local. Nu skal brugeren få IP-adressen på denne server, så han igen får adgang til DNS for A-posten og modtager IP-adressen 10.10.30.210 (ja, hans igen :) ). Du kan sende et brev. Derfor forsøger den at etablere en forbindelse til den modtagne IP-adresse på port 25. Ved hjælp af regler på firewallen videresendes denne forbindelse til mailserveren.
Lad os tjekke funktionaliteten af e-mail i den aktuelle tilstand af layoutet. For at gøre dette, på en ekstern brugers computer, bruger vi værktøjet swaks. Med dens hjælp kan du teste SMTP's ydeevne ved at sende modtageren et brev med et sæt forskellige parametre. Tidligere er der allerede oprettet en bruger med en postkasse på mailserveren [e-mail beskyttet]. Lad os prøve at sende ham en e-mail:
Lad os nu gå til den interne brugers maskine og sikre os, at brevet er ankommet:
Brevet kom virkelig (det er fremhævet på listen). Så layoutet fungerer korrekt. Det er tid til at gå videre til FortiMail. Lad os tilføje til vores layout:
FortiMail kan implementeres i tre tilstande:
- Gateway - fungerer som en fuldgyldig MTA: den overtager al mail, tjekker den og videresender den derefter til mailserveren;
- Gennemsigtig - eller på anden måde, gennemsigtig tilstand. Installeret foran serveren og tjekker indgående og udgående post. Derefter sender den det til serveren. Kræver ingen netværkskonfigurationsændringer.
- Server – i dette tilfælde er FortiMail en fuldgyldig mailserver med mulighed for at oprette postkasser, modtage og sende mail samt anden funktionalitet.
Vi vil implementere FortiMail i Gateway-tilstand. Lad os gå til indstillingerne for den virtuelle maskine. Login er admin, ingen adgangskode er angivet. Når du logger på første gang, skal du angive en ny adgangskode.
Lad os nu konfigurere den virtuelle maskine til at få adgang til webgrænsefladen. Det er også nødvendigt, at maskinen har internetadgang. Lad os sætte grænsefladen op. Vi mangler kun port1. Med dens hjælp vil vi oprette forbindelse til webgrænsefladen, og den vil også blive brugt til at få adgang til internettet. Internetadgang er nødvendig for at opdatere tjenester (antivirussignaturer osv.). For konfiguration skal du indtaste kommandoerne:
konfigurationssystemgrænseflade
rediger port 1
sæt ip 192.168.1.40 255.255.255.0
sæt tillad adgang https http ssh ping
ende
Lad os nu konfigurere routingen. For at gøre dette skal du indtaste følgende kommandoer:
konfig system rute
rediger 1
sæt gateway 192.168.1.1
sæt interfaceport1
ende
Når du indtaster kommandoer, kan du bruge tabulatorer til at undgå at skrive dem fuldt ud. Hvis du glemmer, hvilken kommando der skal komme næste gang, kan du bruge "?"-tasten.
Lad os nu tjekke din internetforbindelse. For at gøre dette, lad os pinge Google DNS:
Som du kan se, har vi internettet. De indledende indstillinger, der er typiske for alle Fortinet-enheder, er blevet gennemført, og du kan nu fortsætte til konfiguration via webgrænsefladen. For at gøre dette skal du åbne kontrolsiden:
Bemærk venligst, at du skal følge linket i formatet /admin. Ellers vil du ikke kunne få adgang til administrationssiden. Som standard er siden i standard konfigurationstilstand. Til indstillinger har vi brug for Avanceret tilstand. Lad os gå til admin->Vis-menuen og skifte tilstanden til Avanceret:
Nu skal vi downloade prøvelicensen. Du kan gøre dette i menuen Licensoplysninger → VM → Opdater:
Hvis du ikke har en prøvelicens, kan du anmode om en ved at kontakte .
Efter indtastning af licensen bør enheden genstarte. I fremtiden vil den begynde at trække opdateringer til sine databaser fra serverne. Hvis dette ikke sker automatisk, kan du gå til menuen System → FortiGuard og i Antivirus, Antispam-fanerne klikke på knappen Opdater nu.
Hvis dette ikke hjælper, kan du ændre de porte, der bruges til opdateringer. Normalt vises alle licenser efter dette. Til sidst skulle det se sådan ud:
Lad os indstille den korrekte tidszone, dette vil være nyttigt, når vi undersøger logfilerne. For at gøre dette skal du gå til menuen System → Konfiguration:
Vi vil også konfigurere DNS. Vi vil konfigurere den interne DNS-server som den primære DNS-server og lade den DNS-server, der leveres af Fortinet, være backup-serveren.
Lad os nu gå videre til det mest interessante. Som du måske har bemærket, er enheden som standard indstillet til Gateway-tilstand. Så vi behøver ikke at ændre det. Lad os gå til feltet Domæne og bruger → Domæne. Lad os skabe et nyt domæne, der skal beskyttes. Her skal vi kun angive domænenavnet og mailserveradressen (du kan også angive dets domænenavn, i vores tilfælde mail.test.local):
Nu skal vi give et navn til vores mail-gateway. Dette vil blive brugt i MX- og A-posterne, som vi bliver nødt til at ændre senere:
Værtsnavnet og det lokale domænenavn udgør FQDN, som bruges i DNS-poster. I vores tilfælde er FQDN = fortimail.test.local.
Lad os nu opsætte modtagelsesreglen. Vi skal have alle e-mails, der kommer udefra og er tildelt en bruger på domænet, for at blive videresendt til mailserveren. For at gøre dette skal du gå til menuen Politik → Adgangskontrol. Et eksempel på opsætning er vist nedenfor:
Lad os se på fanen Modtagerpolitik. Her kan du angive visse regler for kontrol af breve: Hvis mail kommer fra domænet example1.com, skal du kontrollere det med mekanismer, der er konfigureret specifikt til dette domæne. Der er allerede en standardregel for al post, og indtil videre passer det os. Du kan se denne regel i figuren nedenfor:
På dette tidspunkt kan opsætningen på FortiMail betragtes som afsluttet. Faktisk er der mange flere mulige parametre, men hvis vi begynder at overveje dem alle, kunne vi skrive en bog :) Og vores mål er at starte FortiMail i testtilstand med minimal indsats.
Der er to ting tilbage - skift MX- og A-posterne, og skift også portvideresendelsesreglerne på firewallen.
MX-posten test.local -> mail.test.local 10 skal ændres til test.local -> fortimail.test.local 10. Men normalt under piloter tilføjes en anden MX-post med en højere prioritet. For eksempel:
test.local -> mail.test.local 10
test.local -> fortimail.test.local 5
Lad mig minde dig om, at jo lavere ordensnummeret på mailserverpræferencen i MX-posten er, jo højere er dens prioritet.
Og indtastningen kan ikke ændres, så vi opretter bare en ny: fortimail.test.local -> 10.10.30.210. En ekstern bruger vil kontakte adressen 10.10.30.210 på port 25, og firewallen videresender forbindelsen til FortiMail.
For at ændre videresendelsesreglen på FortiGate skal du ændre adressen i det tilsvarende virtuelle IP-objekt:
Alt er klar. Lad os tjekke. Lad os sende brevet igen fra den eksterne brugers computer. Lad os nu gå til FortiMail i menuen Monitor → Logs. I feltet Historik kan du se en registrering af, at brevet blev accepteret. For mere information kan du højreklikke på posten og vælge Detaljer:
For at fuldende billedet, lad os tjekke, om FortiMail i sin nuværende konfiguration kan blokere e-mails, der indeholder spam og vira. For at gøre dette sender vi eicar-testvirussen og et testbrev fundet i en af spammail-databaserne (http://untroubled.org/spam/). Efter dette, lad os gå tilbage til logvisningsmenuen:
Som vi kan se, blev både spam og et brev med en virus identificeret med succes.
Denne konfiguration er tilstrækkelig til at give grundlæggende beskyttelse mod vira og spam. Men funktionaliteten af FortiMail er ikke begrænset til dette. For mere effektiv beskyttelse skal du studere de tilgængelige mekanismer og tilpasse dem, så de passer til dine behov. I fremtiden planlægger vi at fremhæve andre, mere avancerede funktioner i denne mail-gateway.
Hvis du har problemer eller spørgsmål vedrørende løsningen, så skriv dem i kommentarerne, vi vil forsøge at besvare dem med det samme.
Du kan indsende en anmodning om en prøvelicens for at teste løsningen .
Forfatter: Alexey Nikulin. Informationssikkerhedsingeniør Fortiservice.
Kilde: www.habr.com