Willkommen! Heute verraten wir Ihnen, wie Sie die ersten Einstellungen des Mail-Gateways vornehmen – E-Mail-Sicherheitslösungen von Fortinet. Im Laufe des Artikels werden wir uns das Layout ansehen, mit dem wir arbeiten werden, und die Konfiguration durchführen , notwendig für den Empfang und die Prüfung von Briefen, und wir werden auch seine Leistung testen. Aufgrund unserer Erfahrung können wir mit Sicherheit sagen, dass der Vorgang sehr einfach ist und Sie bereits nach minimaler Konfiguration Ergebnisse sehen können.
Beginnen wir mit dem aktuellen Layout. Es ist in der folgenden Abbildung dargestellt.
Rechts sehen wir den Computer des externen Benutzers, von dem aus wir E-Mails an den Benutzer im internen Netzwerk senden. Das interne Netzwerk enthält den Computer des Benutzers, einen Domänencontroller, auf dem ein DNS-Server läuft, und einen Mailserver. Am Rand des Netzwerks befindet sich eine Firewall – FortiGate, deren Hauptfunktion darin besteht, die Weiterleitung des SMTP- und DNS-Verkehrs zu konfigurieren.
Lassen Sie uns dem DNS besondere Aufmerksamkeit schenken.
Für die Weiterleitung von E-Mails im Internet werden zwei DNS-Einträge verwendet: der A-Eintrag und der MX-Eintrag. Normalerweise werden diese DNS-Einträge auf einem öffentlichen DNS-Server konfiguriert, aber aufgrund von Layoutbeschränkungen leiten wir DNS einfach über die Firewall weiter (d. h. der externe Benutzer hat die Adresse 10.10.30.210 als DNS-Server registriert).
Der MX-Eintrag ist ein Eintrag, der den Namen des Mailservers enthält, der die Domäne bedient, sowie die Priorität dieses Mailservers. In unserem Fall sieht es so aus: test.local -> mail.test.local 10.
Ein Record ist ein Record, der einen Domainnamen in eine IP-Adresse umwandelt, bei uns ist das: mail.test.local -> 10.10.30.210.
Wenn unser externer Benutzer versucht, eine E-Mail an zu senden [E-Mail geschützt] , fragt es seinen DNS-MX-Server nach dem test.local-Domäneneintrag ab. Unser DNS-Server antwortet mit dem Namen des Mailservers – mail.test.local. Jetzt muss der Benutzer die IP-Adresse dieses Servers erhalten, damit er erneut auf den DNS für den A-Eintrag zugreift und die IP-Adresse 10.10.30.210 erhält (ja, wieder seine :)). Sie können einen Brief senden. Daher wird versucht, eine Verbindung zur empfangenen IP-Adresse auf Port 25 aufzubauen. Über Regeln der Firewall wird diese Verbindung an den Mailserver weitergeleitet.
Lassen Sie uns die Funktionalität der E-Mail im aktuellen Zustand des Layouts überprüfen. Dazu verwenden wir das Dienstprogramm swaks auf dem Computer des externen Benutzers. Mit seiner Hilfe können Sie die Leistung von SMTP testen, indem Sie dem Empfänger einen Brief mit einer Reihe verschiedener Parameter senden. Zuvor wurde bereits ein Benutzer mit einem Postfach auf dem Mailserver angelegt [E-Mail geschützt] . Versuchen wir, ihm einen Brief zu schicken:
Gehen wir nun zum Rechner des internen Benutzers und stellen wir sicher, dass der Brief angekommen ist:
Der Brief ist tatsächlich angekommen (er ist in der Liste markiert). Das bedeutet, dass das Layout korrekt funktioniert. Jetzt ist es an der Zeit, zu FortiMail überzugehen. Fügen wir unserem Layout Folgendes hinzu:
FortiMail kann in drei Modi bereitgestellt werden:
- Gateway – fungiert als vollwertiger MTA: Es übernimmt alle E-Mails, prüft sie und leitet sie dann an den Mailserver weiter;
- Transparent – oder anders gesagt, transparenter Modus. Es wird vor dem Server installiert und prüft ein- und ausgehende E-Mails. Anschließend wird es an den Server übermittelt. Erfordert keine Änderungen an der Netzwerkkonfiguration.
- Server – in diesem Fall ist FortiMail ein vollwertiger Mailserver mit der Möglichkeit, Postfächer zu erstellen, E-Mails zu empfangen und zu senden sowie andere Funktionen.
Wir werden FortiMail im Gateway-Modus bereitstellen. Gehen wir zu den Einstellungen der virtuellen Maschine. Der Login ist admin, es ist kein Passwort angegeben. Wenn Sie sich zum ersten Mal anmelden, müssen Sie ein neues Passwort festlegen.
Jetzt konfigurieren wir die virtuelle Maschine für den Zugriff auf die Weboberfläche. Außerdem ist es notwendig, dass die Maschine über einen Internetzugang verfügt. Lassen Sie uns die Schnittstelle einrichten. Wir brauchen nur Port1. Mit seiner Hilfe stellen wir eine Verbindung zum Webinterface her und es wird auch für den Zugriff auf das Internet verwendet. Für die Aktualisierung von Diensten (Antivirensignaturen usw.) ist ein Internetzugang erforderlich. Geben Sie zur Konfiguration die Befehle ein:
Systemschnittstelle konfigurieren
Bearbeiten Sie Port 1
IP 192.168.1.40 255.255.255.0 einstellen
Legen Sie den HTTP-SSH-Ping für den Zugriff auf https fest
Ende
Jetzt konfigurieren wir das Routing. Dazu müssen Sie folgende Befehle eingeben:
Systemroute konfigurieren
bearbeiten 1
Gateway 192.168.1.1 einstellen
Stellen Sie den Schnittstellenport1 ein
Ende
Bei der Eingabe von Befehlen können Sie Tabulatoren verwenden, um die vollständige Eingabe zu vermeiden. Wenn Sie vergessen haben, welcher Befehl als nächstes kommen soll, können Sie auch die Taste „?“ verwenden.
Lassen Sie uns nun Ihre Internetverbindung überprüfen. Um dies zu tun, pingen wir Google DNS an:
Wie Sie sehen, haben wir jetzt das Internet. Die für alle Fortinet-Geräte typischen Grundeinstellungen sind abgeschlossen und Sie können nun mit der Konfiguration über die Weboberfläche fortfahren. Öffnen Sie dazu die Verwaltungsseite:
Bitte beachten Sie, dass Sie dem Link im Format folgen müssen /Administrator. Andernfalls können Sie nicht auf die Verwaltungsseite zugreifen. Standardmäßig befindet sich die Seite im Standardkonfigurationsmodus. Für die Einstellungen benötigen wir den erweiterten Modus. Gehen wir zum Menü „Admin“ -> „Ansicht“ und stellen den Modus auf „Erweitert“ um:
Jetzt müssen wir die Testlizenz herunterladen. Dies kann im Menü Lizenzinformationen → VM → Update erfolgen:
Wenn Sie keine Testlizenz haben, können Sie diese bei uns anfordern .
Nach Eingabe der Lizenz sollte das Gerät neu starten. In Zukunft wird es damit beginnen, Aktualisierungen seiner Datenbanken von den Servern abzurufen. Wenn dies nicht automatisch geschieht, können Sie zum Menü „System“ → „FortiGuard“ gehen und in den Registerkarten „Antivirus“ und „Antispam“ auf die Schaltfläche „Jetzt aktualisieren“ klicken.
Wenn dies nicht hilft, können Sie die für Updates verwendeten Ports ändern. Normalerweise werden danach alle Lizenzen angezeigt. Am Ende sollte es so aussehen:
Lassen Sie uns die richtige Zeitzone einrichten. Dies wird bei der Untersuchung von Protokollen nützlich sein. Gehen Sie dazu in das Menü System → Konfiguration:
Wir werden auch DNS konfigurieren. Wir konfigurieren den internen DNS-Server als Haupt-DNS-Server und belassen den von Fortinet bereitgestellten DNS-Server als Backup-Server.
Kommen wir nun zum spaßigen Teil. Wie Sie vielleicht bemerkt haben, ist das Gerät standardmäßig auf den Gateway-Modus eingestellt. Deshalb müssen wir es nicht ändern. Gehen wir zum Feld Domäne & Benutzer → Domäne. Lassen Sie uns eine neue Domäne erstellen, die geschützt werden muss. Hier müssen wir nur den Domänennamen und die Adresse des Mailservers angeben (Sie können auch seinen Domänennamen angeben, in unserem Fall mail.test.local):
Jetzt müssen wir einen Namen für unser Mail-Gateway vergeben. Dies wird in den MX- und A-Datensätzen verwendet, die wir später ändern müssen:
Aus den Punkten „Hostname“ und „Lokaler Domänenname“ wird der FQDN zusammengestellt, der in DNS-Einträgen verwendet wird. In unserem Fall ist FQDN = fortimail.test.local.
Nun richten wir die Empfangsregel ein. Wir benötigen alle E-Mails, die von außerhalb kommen und einem Benutzer in der Domäne zugeordnet sind, um diese an den Mailserver weiterzuleiten. Gehen Sie dazu in das Menü Richtlinie → Zugriffskontrolle. Ein Beispiel-Setup ist unten dargestellt:
Schauen wir uns die Registerkarte „Empfängerrichtlinie“ an. Hier können Sie bestimmte Regeln für die Prüfung von Briefen festlegen: Wenn E-Mails von der Domäne example1.com stammen, müssen Sie sie mit speziell für diese Domäne konfigurierten Mechanismen überprüfen. Es gibt bereits eine Standardregel für alle E-Mails, und im Moment passt sie zu uns. Sie können diese Regel in der folgenden Abbildung sehen:
An diesem Punkt kann die Einrichtung von FortiMail als abgeschlossen betrachtet werden. Tatsächlich gibt es noch viel mehr mögliche Parameter, aber wenn wir anfangen, sie alle zu berücksichtigen, könnten wir ein Buch schreiben :) Und unser Ziel ist es, FortiMail mit minimalem Aufwand im Testmodus zu starten.
Es bleiben noch zwei Dinge übrig: Ändern Sie die MX- und A-Einträge und ändern Sie auch die Portweiterleitungsregeln in der Firewall.
Der MX-Eintrag test.local -> mail.test.local 10 muss in test.local -> fortimail.test.local 10 geändert werden. Normalerweise wird jedoch während Piloten ein zweiter MX-Eintrag mit einer höheren Priorität hinzugefügt. Zum Beispiel:
test.local -> mail.test.local 10
test.local -> fortimail.test.local 5
Ich möchte Sie daran erinnern, dass die Priorität umso höher ist, je niedriger die Ordnungszahl der Mailserverpräferenz im MX-Eintrag ist.
Und der Eintrag kann nicht geändert werden, also erstellen wir einfach einen neuen: fortimail.test.local -> 10.10.30.210. Ein externer Benutzer kontaktiert die Adresse 10.10.30.210 auf Port 25 und die Firewall leitet die Verbindung an FortiMail weiter.
Um die Weiterleitungsregel auf FortiGate zu ändern, müssen Sie die Adresse im entsprechenden virtuellen IP-Objekt ändern:
Alles ist fertig. Lass uns das Prüfen. Lassen Sie uns den Brief erneut vom Computer des externen Benutzers senden. Gehen wir nun zu FortiMail im Menü Monitor → Protokolle. Im Feld „Verlauf“ sehen Sie den Eintrag, dass der Brief angenommen wurde. Für weitere Informationen können Sie mit der rechten Maustaste auf den Eintrag klicken und Details auswählen:
Um das Bild zu vervollständigen, prüfen wir, ob FortiMail in seiner aktuellen Konfiguration E-Mails mit Spam und Viren blockieren kann. Dazu senden wir den Eicar-Testvirus und einen Testbrief aus einer der Spam-Mail-Datenbanken (http://untroubled.org/spam/). Danach kehren wir zum Protokollanzeigemenü zurück:
Wie wir sehen, wurden sowohl Spam als auch ein Brief mit einem Virus erfolgreich identifiziert.
Diese Konfiguration reicht aus, um einen grundlegenden Schutz vor Viren und Spam zu bieten. Doch die Funktionalität von FortiMail ist nicht darauf beschränkt. Für einen wirksameren Schutz müssen Sie die verfügbaren Mechanismen studieren und sie an Ihre Bedürfnisse anpassen. In Zukunft planen wir, weitere, erweiterte Funktionen dieses Mail-Gateways hervorzuheben.
Sollten Sie Schwierigkeiten oder Fragen zur Lösung haben, schreiben Sie diese in die Kommentare, wir versuchen diese zeitnah zu beantworten.
Sie können eine Anfrage für eine Testlizenz stellen, um die Lösung zu testen .
Autor: Alexey Nikulin. Informationssicherheitsingenieur Fortiservice.
Source: habr.com