¡Bienvenido! Hoy te contamos cómo realizar la configuración inicial de la puerta de enlace de correo. – Soluciones de seguridad de correo electrónico de Fortinet. Durante el artículo veremos el diseño con el que trabajaremos y realizaremos la configuración. , necesario para recibir y comprobar cartas, y también probaremos su rendimiento. Según nuestra experiencia, podemos decir con seguridad que el proceso es muy simple e incluso después de una configuración mínima puedes ver los resultados.
Comencemos con el diseño actual. Se muestra en la siguiente figura.
A la derecha vemos el ordenador del usuario externo, desde el que enviaremos correo al usuario de la red interna. La red interna contiene la computadora del usuario, un controlador de dominio con un servidor DNS ejecutándose y un servidor de correo. En el borde de la red hay un firewall: FortiGate, cuya característica principal es configurar el reenvío de tráfico SMTP y DNS.
Prestemos especial atención al DNS.
Hay dos registros DNS que se utilizan para enrutar el correo electrónico en Internet: el registro A y el registro MX. Normalmente, estos registros DNS se configuran en un servidor DNS público, pero debido a limitaciones de diseño, simplemente reenviamos DNS a través del firewall (es decir, el usuario externo tiene la dirección 10.10.30.210 registrada como servidor DNS).
El registro MX es un registro que contiene el nombre del servidor de correo que sirve al dominio, así como la prioridad de este servidor de correo. En nuestro caso se ve así: test.local -> mail.test.local 10.
Un registro es un registro que convierte un nombre de dominio en una dirección IP, para nosotros es: mail.test.local -> 10.10.30.210.
Cuando nuestro usuario externo intenta enviar un correo electrónico a [email protected], consultará su servidor DNS MX para obtener el registro de dominio test.local. Nuestro servidor DNS responderá con el nombre del servidor de correo: mail.test.local. Ahora el usuario necesita obtener la dirección IP de este servidor, por lo que vuelve a acceder al DNS para el registro A y recibe la dirección IP 10.10.30.210 (sí, la suya otra vez :)). Puedes enviar una carta. Por lo tanto, intenta establecer una conexión con la dirección IP recibida en el puerto 25. Usando reglas en el firewall, esta conexión se reenvía al servidor de correo.
Comprobemos la funcionalidad del correo en el estado actual del diseño. Para ello utilizaremos la utilidad swaks en el ordenador del usuario externo. Con su ayuda, puede probar el rendimiento de SMTP enviando al destinatario una carta con un conjunto de varios parámetros. Previamente ya se ha creado un usuario con un buzón en el servidor de correo. [email protected]. Intentemos enviarle una carta:
Ahora vayamos a la máquina del usuario interno y asegurémonos de que ha llegado la carta:
La carta realmente llegó (está resaltada en la lista). Esto significa que el diseño funciona correctamente. Ahora es el momento de pasar a FortiMail. Agreguemos a nuestro diseño:
FortiMail se puede implementar en tres modos:
- Gateway: actúa como un MTA completo: recibe todo el correo, lo verifica y luego lo reenvía al servidor de correo;
- Transparente, o en otras palabras, modo transparente. Se instala frente al servidor y verifica el correo entrante y saliente. Después de eso, lo transmite al servidor. No requiere cambios en la configuración de la red.
- Servidor: en este caso, FortiMail es un servidor de correo completo con la capacidad de crear buzones de correo, recibir y enviar correo, así como otras funciones.
Implementaremos FortiMail en modo Gateway. Vayamos a la configuración de la máquina virtual. El inicio de sesión es administrador, no se especifica ninguna contraseña. Cuando inicia sesión por primera vez, debe establecer una nueva contraseña.
Ahora configuremos la máquina virtual para acceder a la interfaz web. También es necesario que la máquina tenga acceso a Internet. Configuremos la interfaz. Sólo necesitamos el puerto1. Con su ayuda nos conectaremos a la interfaz web y también nos servirá para acceder a Internet. Se necesita acceso a Internet para actualizar los servicios (firmas antivirus, etc.). Para la configuración, ingrese los comandos:
interfaz del sistema de configuración
editar puerto 1
establecer IP 192.168.1.40 255.255.255.0
establecer permitir acceso https http ssh ping
final
Ahora configuremos el enrutamiento. Para hacer esto necesitas ingresar los siguientes comandos:
ruta del sistema de configuración
editar 1
establecer puerta de enlace 192.168.1.1
configurar el puerto de interfaz 1
final
Al ingresar comandos, puede usar pestañas para evitar escribirlos completos. Además, si olvida qué comando debe seguir, puede utilizar la tecla “?”.
Ahora revisemos su conexión a Internet. Para hacer esto, hagamos ping al DNS de Google:
Como puede ver, ahora tenemos Internet. Se han completado los ajustes iniciales típicos de todos los dispositivos Fortinet y ahora puede proceder a la configuración a través de la interfaz web. Para hacer esto, abra la página de administración:
Tenga en cuenta que debe seguir el enlace en el formato /administración. De lo contrario, no podrá acceder a la página de administración. De forma predeterminada, la página está en modo de configuración estándar. Para la configuración necesitamos el modo avanzado. Vayamos al menú admin->Ver y cambiemos el modo a Avanzado:
Ahora necesitamos descargar la licencia de prueba. Esto se puede hacer en el menú Información de licencia → VM → Actualizar:
Si no tiene una licencia de prueba, puede solicitar una contactando .
Después de ingresar la licencia, el dispositivo debería reiniciarse. En el futuro, comenzará a extraer actualizaciones de sus bases de datos desde los servidores. Si esto no sucede automáticamente, puede ir al menú Sistema → FortiGuard y en las pestañas Antivirus, Antispam hacer clic en el botón Actualizar ahora.
Si esto no ayuda, puede cambiar los puertos utilizados para las actualizaciones. Normalmente después de esto aparecen todas las licencias. Al final debería verse así:
Configuremos la zona horaria correcta, esto será útil al examinar los registros. Para hacer esto, vaya al menú Sistema → Configuración:
También configuraremos DNS. Configuraremos el servidor DNS interno como servidor DNS principal, y dejaremos el servidor DNS proporcionado por Fortinet como de respaldo.
Ahora pasemos a la parte divertida. Como habrás notado, el dispositivo está configurado en modo Puerta de enlace de forma predeterminada. Por lo tanto, no necesitamos cambiarlo. Vayamos al campo Dominio y Usuario → Dominio. Creemos un nuevo dominio que necesita ser protegido. Aquí solo necesitamos especificar el nombre de dominio y la dirección del servidor de correo (también puede especificar su nombre de dominio, en nuestro caso mail.test.local):
Ahora necesitamos proporcionar un nombre para nuestra puerta de enlace de correo. Esto se utilizará en los registros MX y A, que necesitaremos cambiar más adelante:
A partir de los puntos Nombre de host y Nombre de dominio local, se compila el FQDN, que se utiliza en los registros DNS. En nuestro caso, FQDN = fortimail.test.local.
Ahora configuremos la regla de recepción. Necesitamos que todos los correos electrónicos que provienen del exterior y están asignados a un usuario en el dominio sean reenviados al servidor de correo. Para hacer esto, vaya al menú Política → Control de acceso. A continuación se muestra un ejemplo de configuración:
Veamos la pestaña Política de destinatarios. Aquí puede establecer ciertas reglas para verificar las cartas: si el correo proviene del dominio example1.com, debe verificarlo con mecanismos configurados específicamente para este dominio. Ya existe una regla predeterminada para todo el correo y por ahora nos conviene. Puedes ver esta regla en la siguiente figura:
En este punto, la configuración de FortiMail puede considerarse completa. De hecho, hay muchos más parámetros posibles, pero si empezamos a considerarlos todos, podríamos escribir un libro :) Y nuestro objetivo es ejecutar FortiMail en modo de prueba con el mínimo esfuerzo.
Quedan dos cosas: cambiar los registros MX y A, y también cambiar las reglas de reenvío de puertos en el firewall.
El registro MX test.local -> mail.test.local 10 debe cambiarse a test.local -> fortimail.test.local 10. Pero normalmente durante las pruebas piloto se agrega un segundo registro MX con una prioridad más alta. Por ejemplo:
prueba.local -> correo.prueba.local 10
prueba.local -> fortimail.prueba.local 5
Permítame recordarle que cuanto menor sea el número ordinal de la preferencia del servidor de correo en el registro MX, mayor será su prioridad.
Y la entrada no se puede cambiar, así que simplemente crearemos una nueva: fortimail.test.local -> 10.10.30.210. Un usuario externo se comunicará con la dirección 10.10.30.210 en el puerto 25 y el firewall reenviará la conexión a FortiMail.
Para cambiar la regla de reenvío en FortiGate, necesita cambiar la dirección en el objeto IP virtual correspondiente:
Todo está listo. Vamos a revisar. Enviemos la carta nuevamente desde la computadora del usuario externo. Ahora vayamos a FortiMail en el menú Monitor → Registros. En el campo Historial puede ver un registro de que la carta fue aceptada. Para obtener más información, puede hacer clic derecho en la entrada y seleccionar Detalles:
Para completar el cuadro, verifiquemos si FortiMail en su configuración actual puede bloquear correos electrónicos que contienen spam y virus. Para ello, enviaremos el virus de prueba eicar y una carta de prueba que se encuentra en una de las bases de datos de correo no deseado (http://untroubled.org/spam/). Después de esto, volvamos al menú de visualización del registro:
Como podemos ver, se identificaron con éxito tanto spam como una carta con virus.
Esta configuración es suficiente para proporcionar protección básica contra virus y spam. Pero la funcionalidad de FortiMail no se limita a esto. Para una protección más eficaz, es necesario estudiar los mecanismos disponibles y personalizarlos según sus necesidades. En el futuro, planeamos resaltar otras características más avanzadas de este portal de correo.
Si tienes alguna dificultad o duda respecto a la solución escríbela en los comentarios, intentaremos responderla lo antes posible.
Puede enviar una solicitud de licencia de prueba para probar la solución. .
Autor: Alexey Nikulin. Ingeniero de Seguridad de la Información Fortiservice.
Fuente: habr.com