Bonvenon! Hodiaŭ ni rakontos al vi kiel fari la komencajn agordojn de la poŝta enirejo - Fortinet retpoŝtaj sekurecaj solvoj. Dum la artikolo ni rigardos la aranĝon, kun kiu ni laboros kaj plenumos la agordon , necesa por ricevi kaj kontroli leterojn, kaj ni ankaŭ testos ĝian agadon. Surbaze de nia sperto, ni povas sekure diri, ke la procezo estas tre simpla, kaj eĉ post minimuma agordo vi povas vidi rezultojn.
Ni komencu per la nuna aranĝo. Ĝi estas montrita en la suba figuro.
Dekstre ni vidas la komputilon de la ekstera uzanto, de kiu ni sendos poŝton al la uzanto en la interna reto. La interna reto enhavas la komputilon de la uzanto, domajnan regilon kun DNS-servilo funkcianta sur ĝi, kaj poŝtservilon. Ĉe la rando de la reto estas fajroŝirmilo - FortiGate, kies ĉefa trajto estas agordi SMTP kaj DNS-trafiko plusendita.
Ni aparte atentu DNS.
Estas du DNS-rekordoj uzataj por direkti retpoŝton en la Interreto—la A-rekordo kaj la MX-rekordo. Tipe, ĉi tiuj DNS-rekordoj estas agorditaj sur publika DNS-servilo, sed pro aranĝaj limigoj, ni simple plusendas la DNS tra la fajroŝirmilo (tio estas, la ekstera uzanto havas la adreson 10.10.30.210 registrita kiel la DNS-servilo).
MX-rekordo estas rekordo enhavanta la nomon de la poŝtservilo servanta la domajnon, same kiel la prioritaton de ĉi tiu poŝtservilo. En nia kazo ĝi aspektas jene: test.local -> mail.test.local 10.
Rekordo estas rekordo, kiu konvertas domajnan nomon en IP-adreson, por ni ĝi estas: mail.test.local -> 10.10.30.210.
Kiam nia ekstera uzanto provas sendi retmesaĝon al [retpoŝte protektita], ĝi demandos sian DNS MX-servilon pri la test.local domajna rekordo. Nia DNS-servilo respondos per la nomo de la poŝtservilo - mail.test.local. Nun la uzanto bezonas ricevi la IP-adreson de ĉi tiu servilo, do li denove aliras la DNS por la A-rekordo kaj ricevas la IP-adreson 10.10.30.210 (jes, lia denove :) ). Vi povas sendi leteron. Tial ĝi provas establi konekton al la ricevita IP-adreso ĉe la haveno 25. Uzante regulojn pri la fajroŝirmilo, ĉi tiu konekto estas plusendita al la poŝtservilo.
Ni kontrolu la funkciojn de la poŝto en la nuna stato de la aranĝo. Por fari tion, ni uzos la sŭaks-ilaĵon en la komputilo de la ekstera uzanto. Kun ĝia helpo, vi povas testi la agadon de SMTP sendante al la ricevanto leteron kun aro de diversaj parametroj. Antaŭe, uzanto kun leterkesto jam estis kreita sur la poŝtservilo [retpoŝte protektita]. Ni provu sendi al li leteron:
Nun ni iru al la maŝino de la interna uzanto kaj certigu, ke la letero alvenis:
La letero efektive alvenis (ĝi estas reliefigita en la listo). Ĉi tio signifas, ke la aranĝo funkcias ĝuste. Nun estas la tempo por pluiri al FortiMail. Ni aldonu al nia aranĝo:
FortiMail povas esti deplojita en tri reĝimoj:
- Enirejo - funkcias kiel plenrajta MTA: ĝi transprenas ĉiujn poŝtojn, kontrolas ĝin, kaj poste plusendas ĝin al la poŝtservilo;
- Travidebla - aŭ alivorte, travidebla reĝimo. Ĝi estas instalita antaŭ la servilo kaj kontrolas envenantan kaj elirantan poŝton. Post tio, ĝi transdonas ĝin al la servilo. Ne postulas ŝanĝojn al la reto-agordo.
- Servilo - en ĉi tiu kazo, FortiMail estas plenrajta poŝtservilo kun la kapablo krei leterkestojn, ricevi kaj sendi poŝton, same kiel aliajn funkciojn.
Ni deplojos FortiMail en Gateway-reĝimo. Ni iru al la agordoj de la virtuala maŝino. Ensaluto estas administranto, neniu pasvorto estas specifita. Kiam vi ensalutas unuafoje, vi devas agordi novan pasvorton.
Nun ni agordu la virtualan maŝinon por aliri la retan interfacon. Ankaŭ necesas, ke la maŝino havas interretan aliron. Ni agordu la interfacon. Ni bezonas nur port1. Per ĝia helpo ni konektos al la retinterfaco, kaj ĝi ankaŭ estos uzata por aliri la Interreton. Interreta aliro necesas por ĝisdatigi servojn (antivirusaj subskriboj, ktp.). Por agordo, enigu la komandojn:
agorda sistema interfaco
redakti havenon 1
agordu ip 192.168.1.40 255.255.255.0
agordu allowaccess https http ssh ping
fino
Nun ni agordu vojigon. Por fari tion, vi devas enigi la jenajn komandojn:
agorda sistemo itinero
redakti 1
starigis enirejon 192.168.1.1
agordi interfacon pordon1
fino
Dum enigo de komandoj, vi povas uzi langetojn por eviti tajpi ilin tute. Ankaŭ, se vi forgesas, kiu komando devus veni poste, vi povas uzi la klavon "?".
Nun ni kontrolu vian interretan konekton. Por fari tion, ni pingu Google DNS:
Kiel vi povas vidi, ni nun havas Interreton. La komencaj agordoj tipaj por ĉiuj Fortinet-aparatoj estis finitaj, kaj vi nun povas daŭrigi al agordo per la retinterfaco. Por fari tion, malfermu la administradan paĝon:
Bonvolu noti, ke vi devas sekvi la ligilon en la formato /admin. Alie, vi ne povos aliri la administran paĝon. Defaŭlte, la paĝo estas en norma agorda reĝimo. Por agordoj ni bezonas Altnivelan reĝimon. Ni iru al la administranto->Vidi menuo kaj ŝanĝu la reĝimon al Altnivela:
Nun ni devas elŝuti la provan permesilon. Ĉi tio povas esti farita en la menuo License Information → VM → Update:
Se vi ne havas provan permesilon, vi povas peti unu kontaktante .
Post eniri la permesilon, la aparato devus rekomenci. En la estonteco, ĝi komencos tiri ĝisdatigojn al siaj datumbazoj de la serviloj. Se ĉi tio ne okazas aŭtomate, vi povas iri al la menuo Sistemo → FortiGuard kaj en la Antivirusaj, Antispam-langetoj alklaku la butonon Ĝisdatigu Nun.
Se ĉi tio ne helpas, vi povas ŝanĝi la pordojn uzatajn por ĝisdatigoj. Kutime post tio aperas ĉiuj permesiloj. Fine ĝi devus aspekti jene:
Ni agordu la ĝustan horzonon, ĉi tio estos utila dum ekzamenado de protokoloj. Por fari tion, iru al la menuo Sistemo → Agordo:
Ni ankaŭ agordos DNS. Ni agordos la internan DNS-servilon kiel la ĉefan DNS-servilon, kaj lasos la DNS-servilon provizitan de Fortinet kiel la rezerva.
Nun ni transiru al la amuza parto. Kiel vi eble rimarkis, la aparato estas agordita al Gateway-reĝimo defaŭlte. Tial ni ne bezonas ŝanĝi ĝin. Ni iru al la kampo Domajno & Uzanto → Domajno. Ni kreu novan domajnon, kiu devas esti protektita. Ĉi tie ni nur bezonas specifi la domajnan nomon kaj poŝtservila adreson (vi ankaŭ povas specifi ĝian domajnan nomon, en nia kazo mail.test.local):
Nun ni devas provizi nomon por nia poŝta enirejo. Ĉi tio estos uzata en la registroj MX kaj A, kiujn ni devos ŝanĝi poste:
El la Punktoj de Gastiganta Nomo kaj Loka Domajna Nomo, la FQDN estas kompilita, kiu estas uzata en DNS-rekordoj. En nia kazo, FQDN = fortimail.test.local.
Nun ni starigu la ricevan regulon. Ni bezonas ĉiujn retpoŝtojn kiuj venas de ekstere kaj estas asignitaj al uzanto en la domajno por esti plusenditaj al la poŝtservilo. Por fari tion, iru al la menuo Politiko → Alirkontrolo. Ekzempla aranĝo estas montrita sube:
Ni rigardu la langeton pri Politiko de Ricevantoj. Ĉi tie vi povas agordi certajn regulojn por kontroli leterojn: se poŝto venas de la domajno example1.com, vi devas kontroli ĝin per mekanismoj agordis specife por ĉi tiu domajno. Jam ekzistas defaŭlta regulo por ĉiu poŝto, kaj nuntempe ĝi konvenas al ni. Vi povas vidi ĉi tiun regulon en la suba figuro:
Je ĉi tiu punkto, la aranĝo sur FortiMail povas esti konsiderata kompleta. Fakte, estas multaj pli da eblaj parametroj, sed se ni komencu konsideri ilin ĉiujn, ni povus verki libron :) Kaj nia celo estas lanĉi FortiMail en prova reĝimo kun minimuma peno.
Restas du aferoj - ŝanĝu la MX- kaj A-rekordojn, kaj ankaŭ ŝanĝu la regulojn de haveno plusendado sur la fajroŝirmilo.
La MX-rekordo test.local -> mail.test.local 10 devas esti ŝanĝita al test.local -> fortimail.test.local 10. Sed kutime dum pilotoj aldoniĝas dua MX-rekordo kun pli alta prioritato. Ekzemple:
test.local -> mail.test.local 10
test.local -> fortimail.test.local 5
Mi memorigu vin, ke ju pli malalta estas la orda nombro de la prefero de poŝtservilo en la MX-rekordo, des pli alta estas ĝia prioritato.
Kaj la enskribo ne estas ŝanĝita, do ni nur kreos novan: fortimail.test.local -> 10.10.30.210. Ekstera uzanto kontaktos la adreson 10.10.30.210 sur la haveno 25, kaj la fajroŝirmilo plusendos la konekton al FortiMail.
Por ŝanĝi la plusendan regulon ĉe FortiGate, vi devas ŝanĝi la adreson en la responda Virtuala IP-objekto:
Ĉio estas preta. Ni kontrolu. Ni sendu la leteron denove el la komputilo de la ekstera uzanto. Nun ni iru al FortiMail en la menuo Monitoro → Registroj. En la kampo Historio vi povas vidi rekordon, ke la letero estis akceptita. Por pliaj informoj, vi povas dekstre alklaki la eniron kaj elekti Detalojn:
Por kompletigi la bildon, ni kontrolu ĉu FortiMail en sia nuna agordo povas bloki retpoŝtojn enhavantajn spamon kaj virusojn. Por fari tion, ni sendos la eicar-testviruson kaj testleteron trovitan en unu el la spampoŝtaj datumbazoj (http://untroubled.org/spam/). Post ĉi tio, ni reiru al la menuo pri protokolo:
Kiel ni povas vidi, kaj spamo kaj letero kun viruso estis sukcese identigitaj.
Ĉi tiu agordo sufiĉas por provizi bazan protekton kontraŭ virusoj kaj spamado. Sed la funkcieco de FortiMail ne estas limigita al ĉi tio. Por pli efika protekto, vi devas studi la disponeblajn mekanismojn kaj personecigi ilin laŭ viaj bezonoj. En la estonteco, ni planas reliefigi aliajn, pli altnivelajn funkciojn de ĉi tiu poŝta enirejo.
Se vi havas malfacilaĵojn aŭ demandojn pri la solvo, skribu ilin en la komentoj, ni provos respondi ilin rapide.
Vi povas sendi peton por prova permesilo por testi la solvon .
Aŭtoro: Alexey Nikulin. Inĝeniero pri Informa Sekureco Fortiservice.
fonto: www.habr.com