خوش آمدی! امروز به شما می گوییم که چگونه تنظیمات اولیه mail gateway را انجام دهید – راه حل های امنیتی ایمیل Fortinet. در طول مقاله ما به چیدمانی که با آن کار خواهیم کرد و پیکربندی را انجام خواهیم داد نگاه خواهیم کرد ، برای دریافت و بررسی نامه ها لازم است و عملکرد آن را نیز تست خواهیم کرد. بر اساس تجربه ما، به جرات می توان گفت که این فرآیند بسیار ساده است و حتی پس از حداقل تنظیمات می توانید نتایج را مشاهده کنید.
بیایید با طرح فعلی شروع کنیم. در شکل زیر نشان داده شده است.
در سمت راست، رایانه کاربر خارجی را می بینیم که از آن نامه برای کاربر در شبکه داخلی ارسال می کنیم. شبکه داخلی شامل رایانه کاربر، یک کنترل کننده دامنه با یک سرور DNS در حال اجرا بر روی آن و یک سرور ایمیل است. در لبه شبکه یک فایروال - FortiGate وجود دارد که ویژگی اصلی آن پیکربندی انتقال ترافیک SMTP و DNS است.
بیایید به DNS توجه ویژه ای داشته باشیم.
دو رکورد DNS برای مسیریابی ایمیل در اینترنت وجود دارد - رکورد A و رکورد MX. به طور معمول، این رکوردهای DNS روی یک سرور DNS عمومی پیکربندی میشوند، اما به دلیل محدودیتهای طرحبندی، ما به سادگی DNS را از طریق فایروال ارسال میکنیم (یعنی کاربر خارجی آدرس 10.10.30.210 را به عنوان سرور DNS ثبت کرده است).
رکورد MX رکوردی است که شامل نام سرور ایمیلی است که دامنه را ارائه می دهد و همچنین اولویت این میل سرور را شامل می شود. در مورد ما به این صورت است: test.local -> mail.test.local 10.
رکورد رکوردی است که نام دامنه را به آدرس IP تبدیل می کند، برای ما این است: mail.test.local -> 10.10.30.210.
زمانی که کاربر خارجی ما سعی می کند یک ایمیل به [ایمیل محافظت شده]، سرور DNS MX خود را برای رکورد دامنه test.local پرس و جو می کند. سرور DNS ما با نام سرور ایمیل - mail.test.local پاسخ خواهد داد. اکنون کاربر باید آدرس IP این سرور را دریافت کند، بنابراین او دوباره به DNS برای رکورد A دسترسی پیدا می کند و آدرس IP 10.10.30.210 را دریافت می کند (بله، دوباره او :) . می توانید نامه بفرستید. بنابراین سعی می کند با آدرس IP دریافتی در پورت 25 ارتباط برقرار کند. با استفاده از قوانین موجود در فایروال، این اتصال به سرور ایمیل ارسال می شود.
بیایید عملکرد نامه را در وضعیت فعلی طرح بررسی کنیم. برای انجام این کار، ما از ابزار swaks در رایانه کاربر خارجی استفاده می کنیم. با کمک آن، می توانید عملکرد SMTP را با ارسال نامه ای با مجموعه ای از پارامترهای مختلف به گیرنده آزمایش کنید. قبلاً یک کاربر با صندوق پستی قبلاً در سرور ایمیل ایجاد شده است [ایمیل محافظت شده]. بیایید سعی کنیم برای او نامه بفرستیم:
حالا بیایید به دستگاه کاربر داخلی برویم و مطمئن شویم که نامه وارد شده است:
نامه در واقع وارد شد (در لیست مشخص شده است). این به این معنی است که طرح به درستی کار می کند. اکنون زمان آن است که به FortiMail بروید. بیایید به چیدمان خود اضافه کنیم:
FortiMail را می توان در سه حالت مستقر کرد:
- دروازه - به عنوان یک MTA تمام عیار عمل می کند: تمام نامه ها را در اختیار می گیرد، آن را بررسی می کند و سپس آن را به سرور ایمیل ارسال می کند.
- شفاف - یا به عبارت دیگر، حالت شفاف. جلوی سرور نصب می شود و ایمیل های دریافتی و خروجی را بررسی می کند. پس از آن، آن را به سرور منتقل می کند. نیازی به تغییر در پیکربندی شبکه ندارد.
- سرور - در این مورد، FortiMail یک سرور پست الکترونیکی تمام عیار با قابلیت ایجاد صندوق پستی، دریافت و ارسال نامه و همچنین قابلیت های دیگر است.
ما FortiMail را در حالت Gateway مستقر خواهیم کرد. بیایید به تنظیمات ماشین مجازی برویم. ورود به سیستم ادمین است، رمز عبور مشخص نشده است. هنگامی که برای اولین بار وارد سیستم می شوید، باید یک رمز عبور جدید تعیین کنید.
حال اجازه دهید ماشین مجازی را برای دسترسی به رابط وب پیکربندی کنیم. همچنین لازم است دستگاه به اینترنت دسترسی داشته باشد. بیایید رابط را تنظیم کنیم. ما فقط به port1 نیاز داریم. با کمک آن به رابط وب متصل می شویم و همچنین برای دسترسی به اینترنت از آن استفاده می شود. دسترسی به اینترنت برای به روز رسانی خدمات (امضای آنتی ویروس و غیره) مورد نیاز است. برای پیکربندی، دستورات را وارد کنید:
رابط سیستم پیکربندی
ویرایش پورت 1
تنظیم IP 192.168.1.40 255.255.255.0
پینگ مجاز دسترسی https http ssh را تنظیم کنید
پایان
حال اجازه دهید مسیریابی را پیکربندی کنیم. برای این کار باید دستورات زیر را وارد کنید:
مسیر سیستم پیکربندی
ویرایش 1
دروازه تنظیم 192.168.1.1
تنظیم پورت رابط 1
پایان
هنگام وارد کردن دستورات، می توانید از برگه ها استفاده کنید تا از تایپ کامل آنها اجتناب کنید. همچنین، اگر فراموش کردید که کدام دستور بعدی باید بیاید، می توانید از کلید “؟” استفاده کنید.
حالا بیایید اتصال اینترنت شما را بررسی کنیم. برای انجام این کار، بیایید Google DNS را پینگ کنیم:
همانطور که می بینید، ما اکنون اینترنت داریم. تنظیمات اولیه معمولی برای همه دستگاه های Fortinet تکمیل شده است، و اکنون می توانید از طریق رابط وب به پیکربندی ادامه دهید. برای انجام این کار، صفحه مدیریت را باز کنید:
لطفاً توجه داشته باشید که باید پیوند را در قالب دنبال کنید /مدیر. در غیر این صورت نمی توانید به صفحه مدیریت دسترسی داشته باشید. به طور پیش فرض، صفحه در حالت پیکربندی استاندارد است. برای تنظیمات به حالت پیشرفته نیاز داریم. بیایید به منوی admin->View برویم و حالت را به Advanced تغییر دهیم:
اکنون باید مجوز آزمایشی را دانلود کنیم. این را می توان در منوی اطلاعات مجوز → VM → به روز رسانی انجام داد:
اگر مجوز آزمایشی ندارید، می توانید از طریق تماس با آن درخواست دهید .
پس از وارد کردن مجوز، دستگاه باید راه اندازی مجدد شود. در آینده، بهروزرسانیهای پایگاه داده خود را از سرورها بیرون میکشد. اگر این کار به صورت خودکار انجام نشد، می توانید به منوی System → FortiGuard بروید و در تب Antivirus, Antispam بر روی دکمه Update Now کلیک کنید.
اگر این کمکی نکرد، می توانید پورت های مورد استفاده برای به روز رسانی را تغییر دهید. معمولاً پس از این همه مجوزها ظاهر می شوند. در پایان باید به این صورت باشد:
بیایید منطقه زمانی درست را تنظیم کنیم، این در هنگام بررسی گزارش ها مفید خواهد بود. برای انجام این کار، به منوی System → Configuration بروید:
ما همچنین DNS را پیکربندی خواهیم کرد. ما سرور DNS داخلی را به عنوان سرور اصلی DNS پیکربندی می کنیم و سرور DNS ارائه شده توسط Fortinet را به عنوان پشتیبان می گذاریم.
حالا بیایید به قسمت سرگرم کننده آن برویم. همانطور که ممکن است متوجه شده باشید، دستگاه به طور پیش فرض روی حالت Gateway تنظیم شده است. بنابراین، ما نیازی به تغییر آن نداریم. بیایید به قسمت Domain & User → Domain برویم. بیایید یک دامنه جدید ایجاد کنیم که باید محافظت شود. در اینجا فقط باید نام دامنه و آدرس سرور ایمیل را مشخص کنیم (همچنین می توانید نام دامنه آن را در مورد ما mail.test.local مشخص کنید):
اکنون باید یک نام برای دروازه ایمیل خود ارائه کنیم. این در رکوردهای MX و A استفاده خواهد شد که بعداً باید آنها را تغییر دهیم:
از نقاط Host Name و Local Domain Name، FQDN کامپایل می شود که در رکوردهای DNS استفاده می شود. در مورد ما، FQDN = fortimail.test.local.
حالا بیایید قانون دریافت را تنظیم کنیم. ما به تمام ایمیل هایی که از خارج می آیند و به یک کاربر در دامنه اختصاص داده می شوند نیاز داریم تا به سرور ایمیل ارسال شوند. برای این کار به منوی Policy → Access Control بروید. نمونه ای از تنظیمات در زیر نشان داده شده است:
بیایید به تب Recipient Policy نگاه کنیم. در اینجا می توانید قوانین خاصی را برای بررسی حروف تنظیم کنید: اگر نامه از دامنه example1.com می آید، باید آن را با مکانیسم هایی که به طور خاص برای این دامنه پیکربندی شده اند بررسی کنید. در حال حاضر یک قانون پیش فرض برای همه نامه ها وجود دارد و در حال حاضر برای ما مناسب است. این قانون را در شکل زیر مشاهده می کنید:
در این مرحله، راه اندازی در FortiMail را می توان کامل در نظر گرفت. در واقع، پارامترهای احتمالی بسیار بیشتری وجود دارد، اما اگر همه آنها را در نظر بگیریم، میتوانیم یک کتاب بنویسیم :) و هدف ما این است که FortiMail را در حالت آزمایشی با حداقل تلاش راهاندازی کنیم.
دو چیز باقی مانده است - تغییر رکوردهای MX و A و همچنین تغییر قوانین ارسال پورت در فایروال.
رکورد MX test.local -> mail.test.local 10 باید به test.local -> fortimail.test.local 10 تغییر کند. اما معمولاً در خلبانها یک رکورد MX دوم با اولویت بالاتر اضافه میشود. مثلا:
test.local -> mail.test.local 10
test.local -> fortimail.test.local 5
اجازه دهید یادآوری کنم که هرچه تعداد ترتیبی ترجیح سرور ایمیل در رکورد MX کمتر باشد، اولویت آن بیشتر است.
و ورودی قابل تغییر نیست، بنابراین ما فقط یک ورودی جدید ایجاد می کنیم: fortimail.test.local -> 10.10.30.210. یک کاربر خارجی با آدرس 10.10.30.210 در پورت 25 تماس می گیرد و فایروال اتصال را به FortiMail ارسال می کند.
برای تغییر قانون حمل و نقل در FortiGate، باید آدرس را در شیء IP مجازی مربوطه تغییر دهید:
همه آماده است. بیایید بررسی کنیم. بیایید نامه را دوباره از رایانه کاربر خارجی ارسال کنیم. حالا بیایید در منوی Monitor → Logs به FortiMail برویم. در قسمت History می توانید رکوردی مبنی بر پذیرش نامه را مشاهده کنید. برای اطلاعات بیشتر، می توانید روی ورودی کلیک راست کرده و جزئیات را انتخاب کنید:
برای تکمیل تصویر، اجازه دهید بررسی کنیم که آیا FortiMail در پیکربندی فعلی خود می تواند ایمیل های حاوی هرزنامه و ویروس را مسدود کند یا خیر. برای انجام این کار، ویروس آزمایش eicar و نامه آزمایشی موجود در یکی از پایگاههای ایمیل هرزنامه (http://untroubled.org/spam/) را ارسال میکنیم. پس از این، اجازه دهید به منوی مشاهده گزارش برگردیم:
همانطور که می بینیم، هر دو هرزنامه و نامه دارای ویروس با موفقیت شناسایی شدند.
این پیکربندی برای محافظت اولیه در برابر ویروس ها و هرزنامه ها کافی است. اما عملکرد FortiMail به این محدود نمی شود. برای محافظت موثرتر، باید مکانیسم های موجود را مطالعه کرده و آنها را مطابق با نیازهای خود سفارشی کنید. در آینده، ما قصد داریم سایر ویژگیهای پیشرفتهتر این دروازه پستی را برجسته کنیم.
اگر مشکل یا سوالی در مورد راه حل دارید، آن را در نظرات بنویسید، ما سعی خواهیم کرد به سرعت به آنها پاسخ دهیم.
برای آزمایش راه حل می توانید درخواست مجوز آزمایشی ارسال کنید .
نویسنده: الکسی نیکولین. مهندس امنیت اطلاعات Fortiservice.
منبع: www.habr.com