Tere tulemast! Täna räägime teile, kuidas teha postilüüsi algsätteid - Fortineti e-posti turvalahendused. Artiklis vaatleme paigutust, millega töötame, ja teostame konfiguratsiooni , vajalik kirjade vastuvõtmiseks ja kontrollimiseks ning testime ka selle toimivust. Oma kogemuse põhjal võime julgelt väita, et protsess on väga lihtne ja isegi pärast minimaalset seadistamist on tulemusi näha.
Alustame praeguse paigutusega. See on näidatud alloleval joonisel.
Paremal näeme väliskasutaja arvutit, kust saadame sisevõrgu kasutajale kirju. Sisevõrk sisaldab kasutaja arvutit, domeenikontrollerit, millel töötab DNS-server, ja meiliserverit. Võrgu servas on tulemüür - FortiGate, mille põhifunktsiooniks on SMTP ja DNS liikluse edastamise seadistamine.
Pöörame erilist tähelepanu DNS-ile.
Internetis meilimarsruutimiseks kasutatakse kahte DNS-kirjet – A-kirjet ja MX-kirjet. Tavaliselt on need DNS-kirjed konfigureeritud avalikus DNS-serveris, kuid paigutuse piirangute tõttu edastame DNS-i lihtsalt tulemüüri kaudu (st väliskasutaja aadress on 10.10.30.210 registreeritud DNS-serverina).
MX-kirje on kirje, mis sisaldab domeeni teenindava meiliserveri nime ja selle meiliserveri prioriteeti. Meie puhul näeb see välja järgmine: test.local -> mail.test.local 10.
Kirje on kirje, mis teisendab domeeninime IP-aadressiks, meie jaoks on see: mail.test.local -> 10.10.30.210.
Kui meie väline kasutaja proovib saata meili aadressile [meiliga kaitstud], küsib see oma DNS-i MX-serverist domeeni test.local kirjet. Meie DNS-server vastab meiliserveri nimega - mail.test.local. Nüüd peab kasutaja saama selle serveri IP-aadressi, nii et ta pääseb uuesti A-kirje DNS-i ja saab IP-aadressi 10.10.30.210 (jah, jälle tema :) ). Võite saata kirja. Seetõttu proovib see luua ühenduse vastuvõetud IP-aadressiga pordis 25. Tulemüüri reegleid kasutades edastatakse see ühendus meiliserverisse.
Kontrollime posti funktsionaalsust praeguse paigutuse olekus. Selleks kasutame välise kasutaja arvutis utiliiti swaks. Selle abiga saate testida SMTP toimivust, saates adressaadile erinevate parameetrite komplektiga kirja. Varem on postkastiga kasutaja meiliserveris juba loodud [meiliga kaitstud]. Proovime saata talle kirja:
Nüüd läheme sisemise kasutaja masina juurde ja veendume, et kiri on kohale jõudnud:
Kiri jõudis tegelikult kohale (nimekirjas on see esile tõstetud). See tähendab, et paigutus töötab õigesti. Nüüd on aeg liikuda edasi FortiMaili juurde. Lisame oma kujundusele:
FortiMaili saab juurutada kolmes režiimis:
- Gateway – toimib täieõigusliku MTA-na: võtab üle kogu kirja, kontrollib seda ja edastab seejärel meiliserverisse;
- Läbipaistev – ehk teisisõnu läbipaistev režiim. See installitakse serveri ette ja kontrollib sissetulevaid ja väljaminevaid kirju. Pärast seda edastab see selle serverisse. Ei nõua võrgukonfiguratsiooni muutmist.
- Server - antud juhul on FortiMail täisväärtuslik meiliserver, millel on võimalus luua postkaste, vastu võtta ja saata kirju ning muid funktsioone.
Juurutame FortiMaili lüüsirežiimis. Läheme virtuaalmasina seadete juurde. Sisselogimine on admin, parooli pole määratud. Esmakordsel sisselogimisel tuleb määrata uus parool.
Nüüd konfigureerime virtuaalse masina veebiliidesele juurdepääsuks. Samuti on vajalik, et masinal oleks Interneti-juurdepääs. Seadistame liidese. Vajame ainult port1. Selle abiga loome ühenduse veebiliidesega ja seda kasutatakse ka Interneti-juurdepääsuks. Teenuste värskendamiseks (viirusetõrjesignatuurid jne) on vaja juurdepääsu Internetile. Konfigureerimiseks sisestage käsud:
konfiguratsioonisüsteemi liides
redigeeri porti 1
määra ip 192.168.1.40 255.255.255.0
määrake juurdepääs https http ssh ping
lõpp
Nüüd seadistame marsruutimise. Selleks peate sisestama järgmised käsud:
konfiguratsioonisüsteemi marsruut
muuta 1
seadke lüüs 192.168.1.1
määra liidese port1
lõpp
Käskude sisestamisel saate kasutada sakke, et vältida nende täielikku tippimist. Kui unustate, milline käsk peaks järgmisena tulema, võite kasutada klahvi "?".
Nüüd kontrollime teie Interneti-ühendust. Selleks pingime Google DNS-i:
Nagu näete, on meil nüüd Internet. Kõigile Fortineti seadmetele tüüpilised algseaded on tehtud ja nüüd saab veebiliidese kaudu konfigureerimisega edasi minna. Selleks avage haldusleht:
Pange tähele, et peate järgima vormingus olevat linki /admin. Vastasel juhul ei pääse te halduslehele juurde. Vaikimisi on leht standardkonfiguratsioonirežiimis. Seadete jaoks vajame täiustatud režiimi. Liigume menüüsse admin->View ja lülitame režiimiks Täpsemalt:
Nüüd peame alla laadima proovilitsentsi. Seda saab teha menüüs Litsentsi teave → VM → Värskendus:
Kui teil pole proovilitsentsi, saate seda taotleda, võttes ühendust .
Pärast litsentsi sisestamist peaks seade taaskäivitama. Tulevikus hakkab see oma andmebaaside värskendusi serveritest tõmbama. Kui see ei juhtu automaatselt, võite minna menüüsse Süsteem → FortiGuard ja viirusetõrje, rämpspostitõrje vahekaartidel klõpsata nupul Värskenda kohe.
Kui see ei aita, saate värskenduste jaoks kasutatavaid porte muuta. Tavaliselt ilmuvad pärast seda kõik litsentsid. Lõpuks peaks see välja nägema järgmine:
Seadistame õige ajavööndi, see tuleb logide uurimisel kasuks. Selleks minge menüüsse Süsteem → Konfiguratsioon:
Samuti konfigureerime DNS-i. Konfigureerime sisemise DNS-serveri peamise DNS-serveriks ja jätame Fortineti pakutava DNS-serveri varuserveriks.
Liigume nüüd lõbusama osa juurde. Nagu olete märganud, on seade vaikimisi seatud lüüsirežiimile. Seetõttu ei pea me seda muutma. Läheme väljale Domeen ja kasutaja → Domeen. Loome uue domeeni, mida tuleb kaitsta. Siin peame määrama ainult domeeninime ja meiliserveri aadressi (saate määrata ka selle domeeninime, meie puhul mail.test.local):
Nüüd peame andma oma postilüüsile nime. Seda kasutatakse MX- ja A-kirjetes, mida peame hiljem muutma:
Hostinime ja kohaliku domeeninime punktidest koostatakse FQDN, mida kasutatakse DNS-kirjetes. Meie puhul FQDN = fortimail.test.local.
Nüüd seadistame vastuvõtureegli. Meil on vaja, et kõik väljastpoolt pärit meilid, mis on määratud domeeni kasutajale, edastataks meiliserverisse. Selleks minge menüüsse Poliitika → Juurdepääsukontroll. Seadistuse näide on näidatud allpool:
Vaatame vahekaarti Saajapoliitika. Siin saab määrata teatud reeglid kirjade kontrollimiseks: kui kiri pärineb domeenist example1.com, tuleb seda kontrollida spetsiaalselt selle domeeni jaoks konfigureeritud mehhanismidega. Kõigi kirjade jaoks on juba vaikereegel ja praegu see meile sobib. Seda reeglit näete alloleval joonisel:
Siinkohal võib FortiMaili seadistamise lugeda lõpetatuks. Tegelikult on võimalikke parameetreid palju rohkem, aga kui neid kõiki kaaluma hakata, siis võiks raamatu kirjutada :) Ja meie eesmärk on FortiMail minimaalse vaevaga testrežiimis käivitada.
Jääb üle kaks asja - muuta MX ja A kirjeid ning muuta ka tulemüüri pordi suunamise reegleid.
MX-kirje test.local -> mail.test.local 10 tuleb muuta väärtuseks test.local -> fortimail.test.local 10. Kuid tavaliselt lisatakse pilootide ajal teine kõrgema prioriteediga MX-kirje. Näiteks:
test.local -> mail.test.local 10
test.local -> fortimail.test.local 5
Tuletan meelde, et mida väiksem on MX-kirjes oleva meiliserveri eelistuse järjekorranumber, seda kõrgem on selle prioriteet.
Ja kirjet ei saa muuta, seega loome lihtsalt uue: fortimail.test.local -> 10.10.30.210. Väline kasutaja võtab ühendust pordis 10.10.30.210 aadressil 25 ja tulemüür edastab ühenduse FortiMaili.
FortiGate'i edastamisreegli muutmiseks peate muutma vastava virtuaalse IP-objekti aadressi:
Kõik on valmis. Kontrollime. Saadame kirja uuesti välise kasutaja arvutist. Nüüd läheme FortiMaili menüüs Monitor → Logid. Väljal Ajalugu näete kirjet selle kohta, et kiri võeti vastu. Lisateabe saamiseks paremklõpsake kirjel ja valige Üksikasjad:
Pildi täiendamiseks kontrollime, kas FortiMail oma praeguses konfiguratsioonis suudab blokeerida rämpsposti ja viiruseid sisaldavad meilid. Selleks saadame eicari testviiruse ja ühest rämpsposti andmebaasist leitud testkirja (http://untroubled.org/spam/). Pärast seda läheme tagasi logi vaatamise menüüsse:
Nagu näeme, tuvastati edukalt nii rämpspost kui ka viirusega kiri.
Sellest konfiguratsioonist piisab, et pakkuda elementaarset kaitset viiruste ja rämpsposti vastu. Kuid FortiMaili funktsionaalsus ei piirdu sellega. Tõhusama kaitse tagamiseks peate tutvuma olemasolevate mehhanismidega ja kohandama neid vastavalt oma vajadustele. Tulevikus plaanime esile tõsta selle meilivärava muid täiustatud funktsioone.
Kui teil on lahendusega seoses raskusi või küsimusi, kirjutage need kommentaaridesse, proovime neile kiiresti vastata.
Lahenduse testimiseks saate esitada proovilitsentsi taotluse .
Autor: Aleksei Nikulin. Infoturbe insener Fortiservice.
Allikas: www.habr.com