Καλως ΗΡΘΑΤΕ! Σήμερα θα σας πούμε πώς να κάνετε τις αρχικές ρυθμίσεις της πύλης αλληλογραφίας – Λύσεις ασφάλειας email Fortinet. Κατά τη διάρκεια του άρθρου θα δούμε τη διάταξη με την οποία θα δουλέψουμε και θα εκτελέσουμε τη διαμόρφωση , απαραίτητο για τη λήψη και τον έλεγχο επιστολών και θα δοκιμάσουμε επίσης την απόδοσή του. Με βάση την εμπειρία μας, μπορούμε με σιγουριά να πούμε ότι η διαδικασία είναι πολύ απλή και ακόμη και μετά από ελάχιστη διαμόρφωση μπορείτε να δείτε αποτελέσματα.
Ας ξεκινήσουμε με την τρέχουσα διάταξη. Φαίνεται στο παρακάτω σχήμα.
Στα δεξιά βλέπουμε τον υπολογιστή του εξωτερικού χρήστη, από τον οποίο θα στείλουμε mail στον χρήστη στο εσωτερικό δίκτυο. Το εσωτερικό δίκτυο περιέχει τον υπολογιστή του χρήστη, έναν ελεγκτή τομέα με έναν διακομιστή DNS που εκτελείται σε αυτόν και έναν διακομιστή αλληλογραφίας. Στην άκρη του δικτύου υπάρχει ένα τείχος προστασίας - FortiGate, το κύριο χαρακτηριστικό του οποίου είναι η διαμόρφωση της προώθησης κίνησης SMTP και DNS.
Ας δώσουμε ιδιαίτερη προσοχή στο DNS.
Υπάρχουν δύο εγγραφές DNS που χρησιμοποιούνται για τη δρομολόγηση email στο Διαδίκτυο—η εγγραφή A και η εγγραφή MX. Συνήθως, αυτές οι εγγραφές DNS διαμορφώνονται σε έναν δημόσιο διακομιστή DNS, αλλά λόγω περιορισμών διάταξης, απλώς προωθούμε το DNS μέσω του τείχους προστασίας (δηλαδή, ο εξωτερικός χρήστης έχει τη διεύθυνση 10.10.30.210 καταχωρισμένη ως διακομιστής DNS).
Η εγγραφή MX είναι μια εγγραφή που περιέχει το όνομα του διακομιστή αλληλογραφίας που εξυπηρετεί τον τομέα, καθώς και την προτεραιότητα αυτού του διακομιστή αλληλογραφίας. Στην περίπτωσή μας μοιάζει με αυτό: test.local -> mail.test.local 10.
Μια εγγραφή είναι μια εγγραφή που μετατρέπει ένα όνομα τομέα σε διεύθυνση IP, για εμάς είναι: mail.test.local -> 10.10.30.210.
Όταν ο εξωτερικός μας χρήστης προσπαθεί να στείλει ένα email στο [προστασία μέσω email], θα ζητήσει από τον διακομιστή DNS MX του για την εγγραφή του τομέα test.local. Ο διακομιστής μας DNS θα απαντήσει με το όνομα του διακομιστή αλληλογραφίας - mail.test.local. Τώρα ο χρήστης πρέπει να πάρει τη διεύθυνση IP αυτού του διακομιστή, επομένως αποκτά ξανά πρόσβαση στο DNS για την εγγραφή A και λαμβάνει τη διεύθυνση IP 10.10.30.210 (ναι, πάλι δική του :) ). Μπορείτε να στείλετε ένα γράμμα. Επομένως, προσπαθεί να δημιουργήσει μια σύνδεση με τη ληφθείσα διεύθυνση IP στη θύρα 25. Χρησιμοποιώντας κανόνες στο τείχος προστασίας, αυτή η σύνδεση προωθείται στον διακομιστή αλληλογραφίας.
Ας ελέγξουμε τη λειτουργικότητα της αλληλογραφίας στην τρέχουσα κατάσταση της διάταξης. Για να γίνει αυτό, θα χρησιμοποιήσουμε το βοηθητικό πρόγραμμα swaks στον υπολογιστή του εξωτερικού χρήστη. Με τη βοήθειά του, μπορείτε να ελέγξετε την απόδοση του SMTP στέλνοντας στον παραλήπτη ένα γράμμα με ένα σύνολο διαφόρων παραμέτρων. Προηγουμένως, ένας χρήστης με γραμματοκιβώτιο είχε ήδη δημιουργηθεί στον διακομιστή αλληλογραφίας [προστασία μέσω email]. Ας προσπαθήσουμε να του στείλουμε ένα γράμμα:
Τώρα ας πάμε στο μηχάνημα του εσωτερικού χρήστη και ας βεβαιωθούμε ότι έχει φτάσει το γράμμα:
Η επιστολή έφτασε στην πραγματικότητα (επισημαίνεται στη λίστα). Αυτό σημαίνει ότι η διάταξη λειτουργεί σωστά. Τώρα είναι η ώρα να προχωρήσουμε στο FortiMail. Ας προσθέσουμε στη διάταξή μας:
Το FortiMail μπορεί να αναπτυχθεί σε τρεις τρόπους:
- Gateway - λειτουργεί ως πλήρες MTA: αναλαμβάνει όλη την αλληλογραφία, την ελέγχει και στη συνέχεια την προωθεί στον διακομιστή αλληλογραφίας.
- Διαφανής - ή με άλλα λόγια, διαφανής λειτουργία. Εγκαθίσταται μπροστά από τον διακομιστή και ελέγχει την εισερχόμενη και την εξερχόμενη αλληλογραφία. Μετά από αυτό, το μεταδίδει στον διακομιστή. Δεν απαιτεί αλλαγές στη διαμόρφωση του δικτύου.
- Διακομιστής - σε αυτήν την περίπτωση, ο FortiMail είναι ένας πλήρης διακομιστής αλληλογραφίας με τη δυνατότητα δημιουργίας γραμματοκιβωτίων, λήψης και αποστολής αλληλογραφίας, καθώς και άλλες λειτουργίες.
Θα αναπτύξουμε το FortiMail σε λειτουργία Gateway. Ας πάμε στις ρυθμίσεις της εικονικής μηχανής. Η σύνδεση είναι διαχειριστής, δεν έχει καθοριστεί κωδικός πρόσβασης. Όταν συνδέεστε για πρώτη φορά, πρέπει να ορίσετε νέο κωδικό πρόσβασης.
Τώρα ας διαμορφώσουμε την εικονική μηχανή για πρόσβαση στη διεπαφή ιστού. Είναι επίσης απαραίτητο το μηχάνημα να έχει πρόσβαση στο Διαδίκτυο. Ας ρυθμίσουμε τη διεπαφή. Χρειαζόμαστε μόνο port1. Με τη βοήθειά του θα συνδεθούμε στη διεπαφή ιστού και θα χρησιμοποιηθεί επίσης για πρόσβαση στο Διαδίκτυο. Απαιτείται πρόσβαση στο Διαδίκτυο για την ενημέρωση των υπηρεσιών (υπογραφές προστασίας από ιούς, κ.λπ.). Για διαμόρφωση, πληκτρολογήστε τις εντολές:
διεπαφή συστήματος διαμόρφωσης
επεξεργασία θύρας 1
ορίστε ip 192.168.1.40 255.255.255.0
ορίστε επιτρεπόμενη πρόσβαση https http ssh ping
τέλος
Τώρα ας διαμορφώσουμε τη δρομολόγηση. Για να το κάνετε αυτό πρέπει να εισάγετε τις παρακάτω εντολές:
διαδρομή συστήματος διαμόρφωσης
επεξεργασία 1
set gateway 192.168.1.1
ορίστε τη θύρα διασύνδεσης 1
τέλος
Κατά την εισαγωγή εντολών, μπορείτε να χρησιμοποιήσετε καρτέλες για να αποφύγετε την πλήρη πληκτρολόγηση τους. Επίσης, εάν ξεχάσετε ποια εντολή πρέπει να ακολουθήσει, μπορείτε να χρησιμοποιήσετε το πλήκτρο «?».
Τώρα ας ελέγξουμε τη σύνδεσή σας στο Διαδίκτυο. Για να γίνει αυτό, ας κάνουμε ping στο Google DNS:
Όπως μπορείτε να δείτε, τώρα έχουμε το Διαδίκτυο. Οι αρχικές ρυθμίσεις τυπικές για όλες τις συσκευές Fortinet έχουν ολοκληρωθεί και τώρα μπορείτε να προχωρήσετε στη διαμόρφωση μέσω της διεπαφής web. Για να το κάνετε αυτό, ανοίξτε τη σελίδα διαχείρισης:
Σημειώστε ότι πρέπει να ακολουθήσετε τον σύνδεσμο στη μορφή /διαχειριστής. Διαφορετικά, δεν θα έχετε πρόσβαση στη σελίδα διαχείρισης. Από προεπιλογή, η σελίδα βρίσκεται σε τυπική λειτουργία διαμόρφωσης. Για ρυθμίσεις χρειαζόμαστε Προηγμένη λειτουργία. Ας πάμε στο μενού admin->View και αλλάξτε τη λειτουργία σε Advanced:
Τώρα πρέπει να κατεβάσουμε τη δοκιμαστική άδεια. Αυτό μπορεί να γίνει στο μενού Πληροφορίες άδειας χρήσης → VM → Ενημέρωση:
Εάν δεν διαθέτετε δοκιμαστική άδεια, μπορείτε να ζητήσετε μια επικοινωνώντας .
Μετά την εισαγωγή της άδειας χρήσης, η συσκευή θα πρέπει να επανεκκινήσει. Στο μέλλον, θα αρχίσει να αντλεί ενημερώσεις στις βάσεις δεδομένων της από τους διακομιστές. Εάν αυτό δεν συμβεί αυτόματα, μπορείτε να μεταβείτε στο μενού System → FortiGuard και στις καρτέλες Antivirus, Antispam κάντε κλικ στο κουμπί Update Now.
Εάν αυτό δεν βοηθήσει, μπορείτε να αλλάξετε τις θύρες που χρησιμοποιούνται για ενημερώσεις. Συνήθως μετά από αυτό εμφανίζονται όλες οι άδειες. Στο τέλος θα πρέπει να μοιάζει με αυτό:
Ας ρυθμίσουμε τη σωστή ζώνη ώρας, αυτό θα είναι χρήσιμο κατά την εξέταση των αρχείων καταγραφής. Για να το κάνετε αυτό, μεταβείτε στο μενού Σύστημα → Διαμόρφωση:
Θα ρυθμίσουμε επίσης το DNS. Θα διαμορφώσουμε τον εσωτερικό διακομιστή DNS ως τον κύριο διακομιστή DNS και θα αφήσουμε τον διακομιστή DNS που παρέχεται από τη Fortinet ως εφεδρικό.
Τώρα ας περάσουμε στο διασκεδαστικό κομμάτι. Όπως ίσως έχετε παρατηρήσει, η συσκευή έχει ρυθμιστεί στη λειτουργία Gateway από προεπιλογή. Επομένως, δεν χρειάζεται να το αλλάξουμε. Ας πάμε στο πεδίο Domain & User → Domain. Ας δημιουργήσουμε έναν νέο τομέα που πρέπει να προστατεύεται. Εδώ χρειάζεται μόνο να καθορίσουμε το όνομα τομέα και τη διεύθυνση του διακομιστή αλληλογραφίας (μπορείτε επίσης να καθορίσετε το όνομα τομέα του, στην περίπτωσή μας mail.test.local):
Τώρα πρέπει να δώσουμε ένα όνομα για την πύλη αλληλογραφίας μας. Αυτό θα χρησιμοποιηθεί στις εγγραφές MX και A, τις οποίες θα χρειαστεί να αλλάξουμε αργότερα:
Από τα σημεία Host Name και Local Domain Name, γίνεται μεταγλώττιση του FQDN, το οποίο χρησιμοποιείται σε εγγραφές DNS. Στην περίπτωσή μας, FQDN = fortimail.test.local.
Τώρα ας ρυθμίσουμε τον κανόνα λήψης. Χρειαζόμαστε όλα τα μηνύματα ηλεκτρονικού ταχυδρομείου που προέρχονται από έξω και έχουν εκχωρηθεί σε έναν χρήστη στον τομέα για να προωθηθούν στον διακομιστή αλληλογραφίας. Για να το κάνετε αυτό, μεταβείτε στο μενού Πολιτική → Έλεγχος πρόσβασης. Ένα παράδειγμα ρύθμισης φαίνεται παρακάτω:
Ας δούμε την καρτέλα Πολιτική παραληπτών. Εδώ μπορείτε να ορίσετε ορισμένους κανόνες για τον έλεγχο των γραμμάτων: εάν η αλληλογραφία προέρχεται από τον τομέα example1.com, πρέπει να το ελέγξετε με μηχανισμούς που έχουν διαμορφωθεί ειδικά για αυτόν τον τομέα. Υπάρχει ήδη ένας προεπιλεγμένος κανόνας για όλα τα μηνύματα και προς το παρόν μας ταιριάζει. Μπορείτε να δείτε αυτόν τον κανόνα στο παρακάτω σχήμα:
Σε αυτό το σημείο, η εγκατάσταση στο FortiMail μπορεί να θεωρηθεί ολοκληρωμένη. Στην πραγματικότητα, υπάρχουν πολλές περισσότερες πιθανές παράμετροι, αλλά αν αρχίσουμε να τις εξετάζουμε όλες, θα μπορούσαμε να γράψουμε ένα βιβλίο :) Και στόχος μας είναι να ξεκινήσουμε το FortiMail σε δοκιμαστική λειτουργία με ελάχιστη προσπάθεια.
Απομένουν δύο πράγματα - αλλάξτε τις εγγραφές MX και A και επίσης αλλάξτε τους κανόνες προώθησης θυρών στο τείχος προστασίας.
Η εγγραφή MX test.local -> mail.test.local 10 πρέπει να αλλάξει σε test.local -> fortimail.test.local 10. Συνήθως όμως κατά τη διάρκεια των πιλότων προστίθεται μια δεύτερη εγγραφή MX με υψηλότερη προτεραιότητα. Για παράδειγμα:
test.local -> mail.test.local 10
test.local -> fortimail.test.local 5
Να σας υπενθυμίσω ότι όσο χαμηλότερος είναι ο τακτικός αριθμός της προτίμησης διακομιστή αλληλογραφίας στην εγγραφή MX, τόσο μεγαλύτερη είναι η προτεραιότητά του.
Και η καταχώριση δεν μπορεί να αλλάξει, επομένως θα δημιουργήσουμε απλώς μια νέα: fortimail.test.local -> 10.10.30.210. Ένας εξωτερικός χρήστης θα επικοινωνήσει με τη διεύθυνση 10.10.30.210 στη θύρα 25 και το τείχος προστασίας θα προωθήσει τη σύνδεση στο FortiMail.
Για να αλλάξετε τον κανόνα προώθησης στο FortiGate, πρέπει να αλλάξετε τη διεύθυνση στο αντίστοιχο αντικείμενο Virtual IP:
Όλα είναι έτοιμα. Ας ελέγξουμε. Ας στείλουμε ξανά το γράμμα από τον υπολογιστή του εξωτερικού χρήστη. Τώρα ας πάμε στο FortiMail στο μενού Monitor → Logs. Στο πεδίο Ιστορικό μπορείτε να δείτε μια εγγραφή ότι η επιστολή έγινε αποδεκτή. Για περισσότερες πληροφορίες, μπορείτε να κάνετε δεξί κλικ στην καταχώρηση και να επιλέξετε Λεπτομέρειες:
Για να ολοκληρώσουμε την εικόνα, ας ελέγξουμε αν το FortiMail στην τρέχουσα διαμόρφωσή του μπορεί να αποκλείσει μηνύματα ηλεκτρονικού ταχυδρομείου που περιέχουν ανεπιθύμητα μηνύματα και ιούς. Για να γίνει αυτό, θα στείλουμε τον ιό δοκιμής eicar και μια δοκιμαστική επιστολή που βρίσκεται σε μία από τις βάσεις δεδομένων ανεπιθύμητης αλληλογραφίας (http://untroubled.org/spam/). Μετά από αυτό, ας επιστρέψουμε στο μενού προβολής αρχείων καταγραφής:
Όπως μπορούμε να δούμε, τόσο το spam όσο και ένα γράμμα με ιό εντοπίστηκαν με επιτυχία.
Αυτή η διαμόρφωση είναι επαρκής για να παρέχει βασική προστασία από ιούς και ανεπιθύμητα μηνύματα. Αλλά η λειτουργικότητα του FortiMail δεν περιορίζεται σε αυτό. Για πιο αποτελεσματική προστασία, πρέπει να μελετήσετε τους διαθέσιμους μηχανισμούς και να τους προσαρμόσετε στις ανάγκες σας. Στο μέλλον, σκοπεύουμε να επισημάνουμε άλλες, πιο προηγμένες δυνατότητες αυτής της πύλης αλληλογραφίας.
Εάν έχετε οποιεσδήποτε δυσκολίες ή ερωτήσεις σχετικά με τη λύση, γράψτε τις στα σχόλια, θα προσπαθήσουμε να τις απαντήσουμε άμεσα.
Μπορείτε να υποβάλετε ένα αίτημα για δοκιμαστική άδεια για να δοκιμάσετε τη λύση .
Συγγραφέας: Alexey Nikulin. Μηχανικός Ασφάλειας Πληροφοριών Fortiservice.
Πηγή: www.habr.com