Ongi etorri! Gaur esango dizugu nola egin posta-atebidearen hasierako ezarpenak β Fortinet posta elektronikoko segurtasun irtenbideak. Artikuluan zehar lan egingo dugun diseinua aztertuko dugu eta konfigurazioa egingo dugu , gutunak jaso eta egiaztatzeko beharrezkoak, eta bere errendimendua ere probatuko dugu. Gure esperientzian oinarrituta, seguru esan dezakegu prozesua oso erraza dela, eta konfigurazio minimoaren ondoren ere emaitzak ikus ditzakezula.
Has gaitezen egungo diseinuarekin. Beheko irudian ageri da.
Eskuinean kanpoko erabiltzailearen ordenagailua ikusiko dugu, eta bertatik mezuak bidaliko dizkiogu erabiltzaileari barne sarean. Barne sareak erabiltzailearen ordenagailua, DNS zerbitzari bat exekutatzen duen domeinu-kontrolatzailea eta posta zerbitzaria ditu. Sarearen ertzean suebaki bat dago - FortiGate, eta horren ezaugarri nagusia SMTP eta DNS trafikoaren birbidalketa konfiguratzea da.
Arreta berezia jarri diezaiogun DNSri.
Posta elektronikoa Interneten bideratzeko bi DNS erregistro erabiltzen dira: A erregistroa eta MX erregistroa. Normalean, DNS erregistro hauek DNS zerbitzari publiko batean konfiguratzen dira, baina diseinuaren mugak direla eta, DNS suebakiaren bidez birbidaltzen dugu besterik gabe (hau da, kanpoko erabiltzaileak 10.10.30.210 helbidea DNS zerbitzari gisa erregistratuta dauka).
MX erregistroa domeinua zerbitzatzen duen posta-zerbitzariaren izena eta posta-zerbitzari honen lehentasuna dituen erregistroa da. Gure kasuan honelakoa da: test.local -> mail.test.local 10.
Erregistro bat domeinu-izen bat IP helbide bihurtzen duen erregistroa da, guretzat hau da: mail.test.local -> 10.10.30.210.
Gure kanpoko erabiltzailea mezu elektroniko bat bidaltzen saiatzen denean [posta elektroniko bidez babestua], bere DNS MX zerbitzariari galdetuko dio test.local domeinuaren erregistroa. Gure DNS zerbitzariak posta zerbitzariaren izenarekin erantzungo du - mail.test.local. Orain erabiltzaileak zerbitzari honen IP helbidea lortu behar du, beraz, berriro A erregistrorako DNSra sartzen da eta 10.10.30.210 IP helbidea jasotzen du (bai, berea :) ). Gutun bat bidali dezakezu. Hori dela eta, 25 atakan jasotako IP helbidearekin konexio bat ezartzen saiatzen da. Suebakiko arauak erabiliz, konexio hau posta zerbitzarira birbidaltzen da.
Egiaztatu dezagun postaren funtzionaltasuna diseinuaren uneko egoeran. Horretarako, swaks utilitatea erabiliko dugu kanpoko erabiltzailearen ordenagailuan. Haren laguntzarekin, SMTP-ren errendimendua probatu dezakezu hartzaileak hainbat parametro dituen gutun bat bidaliz. Aurretik, postontzi bat duen erabiltzaile bat sortu da posta zerbitzarian [posta elektroniko bidez babestua]. Saia gaitezen gutun bat bidaltzen:
Orain joan gaitezen barne erabiltzailearen makinara eta ziurtatu gutuna iritsi dela:
Eskutitza benetan iritsi da (zerrendan nabarmenduta dago). Horrek esan nahi du diseinuak behar bezala funtzionatzen duela. Orain FortiMail-era pasatzeko unea da. Gehi diezaiogun gure diseinuari:
FortiMail hiru modutan zabaldu daiteke:
- Gateway - erabateko MTA gisa jokatzen du: posta guztia hartzen du, egiaztatzen du eta, ondoren, posta zerbitzarira bidaltzen du;
- Gardena - edo bestela esanda, modu gardena. Zerbitzariaren aurrean instalatzen da eta sarrerako eta irteerako posta egiaztatzen du. Horren ostean, zerbitzariari transmititzen dio. Ez du sarearen konfigurazioan aldaketarik behar.
- Zerbitzaria - kasu honetan, FortiMail posta-zerbitzari oso bat da, postontziak sortzeko, posta jasotzeko eta bidaltzeko, baita beste funtzionalitate batzuk ere.
FortiMail atebide moduan zabalduko dugu. Goazen makina birtualeko ezarpenetara. Saioa administratzailea da, ez dago pasahitzik zehaztu. Lehen aldiz saioa hasten duzunean, pasahitz berri bat ezarri behar duzu.
Orain konfigura dezagun makina birtuala web interfazera sartzeko. Halaber, beharrezkoa da makinak Interneterako sarbidea izatea. Konfigura dezagun interfazea. Port1 bakarrik behar dugu. Bere laguntzarekin web interfazera konektatuko gara, eta Internetera sartzeko ere erabiliko da. Interneterako sarbidea behar da zerbitzuak eguneratzeko (birusen aurkako sinadurak, etab.). Konfiguratzeko, idatzi komandoak:
konfiguratu sistemaren interfazea
editatu ataka 1
ezarri ip 192.168.1.40 255.255.255.0
ezarri allowaccess https http ssh ping
amaiera
Orain konfigura dezagun bideraketa. Horretarako komando hauek sartu behar dituzu:
konfiguratu sistemaren ibilbidea
editatu 1
ezarri atebidea 192.168.1.1
ezarri interfazearen ataka 1
amaiera
Komandoak sartzerakoan, fitxak erabil ditzakezu osorik ez idazteko. Gainera, hurrengo komandoa zein den ahazten bazaizu, β?β tekla erabil dezakezu.
Orain egiaztatu dezagun zure Interneteko konexioa. Horretarako, egin dezagun ping Google DNS:
Ikusten duzuenez, orain Internet dugu. Fortinet gailu guztietan ohikoak diren hasierako ezarpenak osatu dira, eta web interfazearen bidez konfiguraziora jarrai dezakezu. Horretarako, ireki kudeaketa orria:
Kontuan izan formatuan dagoen esteka jarraitu behar duzula /admin. Bestela, ezin izango zara kudeaketa orrira sartu. Lehenespenez, orria konfigurazio modu estandarrean dago. Ezarpenak egiteko modu aurreratua behar dugu. Goazen admin->Ikusi menura eta alda gaitezen modua Aurreratura:
Orain probako lizentzia deskargatu behar dugu. Lizentzia informazioa β VM β Eguneratu menuan egin daiteke:
Ez baduzu probako lizentziarik, kontaktuan jarriz eska dezakezu .
Lizentzia sartu ondoren, gailua berrabiarazi beharko litzateke. Etorkizunean, zerbitzarietatik bere datu-baseen eguneraketak ateratzen hasiko da. Hau automatikoki gertatzen ez bada, Sistema β FortiGuard menura joan zaitezke eta Antibirusa, Antispam fitxak Eguneratu orain botoia sakatu.
Horrek laguntzen ez badu, eguneratzeetarako erabiltzen diren atakak alda ditzakezu. Normalean honen ondoren lizentzia guztiak agertzen dira. Azkenean, honelakoa izan beharko luke:
Konfigura dezagun ordu-zona zuzena, hau erabilgarria izango da erregistroak aztertzerakoan. Horretarako, joan Sistema β Konfigurazioa menura:
DNS ere konfiguratuko dugu. Barneko DNS zerbitzaria DNS zerbitzari nagusi gisa konfiguratuko dugu, eta Fortinetek emandako DNS zerbitzaria ordezko gisa utziko dugu.
Orain pasa gaitezen parte dibertigarrira. Konturatuko zinen bezala, gailua Gateway moduan ezarrita dago lehenespenez. Horregatik, ez dugu aldatu behar. Goazen Domeinua eta Erabiltzailea β Domeinua eremura. Sortu dezagun babestu beharreko domeinu berri bat. Hemen domeinu-izena eta posta-zerbitzariaren helbidea soilik zehaztu behar ditugu (bere domeinu-izena ere zehaztu dezakezu, gure kasuan mail.test.local):
Orain gure posta-pasabideari izen bat eman behar diogu. Hau MX eta A erregistroetan erabiliko da, geroago aldatu beharko ditugunak:
Ostalari-izena eta tokiko domeinu-izena puntuetatik, FQDNa konpilatzen da, DNS erregistroetan erabiltzen dena. Gure kasuan, FQDN = fortimail.test.local.
Orain ezarri dezagun jasotzeko araua. Kanpotik datozen eta domeinuko erabiltzaile bati esleitutako mezu elektroniko guztiak behar ditugu posta zerbitzarira birbidaltzeko. Horretarako, joan Politika β Sarbide-kontrola menura. Behean konfigurazio adibide bat erakusten da:
Ikus dezagun Hartzailearen Politika fitxa. Hemen letrak egiaztatzeko zenbait arau ezarri ditzakezu: posta example1.com domeinutik badator, domeinu honetarako berariaz konfiguratutako mekanismoekin egiaztatu behar duzu. Dagoeneko lehenetsitako arau bat dago posta guztientzat, eta oraingoz egokitzen zaigu. Arau hau beheko irudian ikus dezakezu:
Une honetan, FortiMail-en konfigurazioa amaitutzat jo daiteke. Izan ere, parametro posible gehiago daude, baina denak kontuan hartzen hasten bagara, liburu bat idatzi genezake :) Eta gure helburua FortiMail proba moduan abian jartzea da ahalegin minimoarekin.
Bi gauza geratzen dira: aldatu MX eta A erregistroak eta aldatu ere suebakian portuak birbidaltzeko arauak.
Test.local -> mail.test.local 10 MX erregistroa test.local -> fortimail.test.local 10-era aldatu behar da. Baina normalean pilotuetan lehentasun handiagoa duen bigarren MX erregistro bat gehitzen da. Adibidez:
test.local -> mail.test.local 10
test.local -> fortimail.test.local 5
Gogorarazten dizut MX erregistroan posta-zerbitzariaren hobespenaren zenbaki ordinala zenbat eta txikiagoa izan, orduan eta lehentasun handiagoa izango duela.
Eta sarrera ezin da aldatu, beraz, berri bat sortuko dugu: fortimail.test.local -> 10.10.30.210. Kanpoko erabiltzaile bat 10.10.30.210. atakako 25 helbidearekin harremanetan jarriko da eta suebakiak FortiMail-era birbidaliko du konexioa.
FortiGate-n birbidaltze-araua aldatzeko, dagokion IP birtualeko objektuan helbidea aldatu behar duzu:
Dena prest dago. Egiazta dezagun. Bidal dezagun gutuna berriro kanpoko erabiltzailearen ordenagailutik. Orain goazen FortiMail-era Monitorea β Erregistroak menuan. Historia eremuan gutuna onartu izanaren erregistro bat ikus dezakezu. Informazio gehiago lortzeko, egin klik eskuineko botoiarekin sarreran eta hautatu Xehetasunak:
Irudia osatzeko, egiaztatu dezagun FortiMail-ek bere uneko konfigurazioan spama eta birusak dituzten mezu elektronikoak blokeatu ditzakeen. Horretarako, eicar test birusa eta spam posta datu-baseetako batean (http://untroubled.org/spam/) aurkitutako test gutuna bidaliko ditugu. Honen ondoren, itzul gaitezen erregistroak ikusteko menura:
Ikus dezakegunez, spam-a eta birus bat zuen gutun bat ongi identifikatu ziren.
Konfigurazio hau nahikoa da birusen eta spamaren aurkako oinarrizko babesa emateko. Baina FortiMail-en funtzionaltasuna ez da horretara mugatzen. Babes eraginkorragoa lortzeko, eskuragarri dauden mekanismoak aztertu eta zure beharretara egokitu behar dituzu. Etorkizunean, posta-atebide honen beste ezaugarri aurreratuagoak nabarmendu nahi ditugu.
Konponbideari buruzko arazorik edo galderarik baduzu, idatzi iruzkinetan, berehala erantzuten saiatuko gara.
Soluzioa probatzeko proba-lizentzia eskaera aurkez dezakezu .
Egilea: Alexey Nikulin. Fortiservice Informazioaren Segurtasuneko ingeniaria.
Iturria: www.habr.com