Tervetuloa! Tänään kerromme sinulle, kuinka sähköpostiyhdyskäytävän alkuasetukset tehdään – Fortinet sähköpostin tietoturvaratkaisut. Artikkelin aikana tarkastelemme asettelua, jonka kanssa työskentelemme, ja suoritamme kokoonpanon , tarvitaan kirjeiden vastaanottamiseen ja tarkistamiseen, ja testaamme myös sen toimivuuden. Kokemuksemme perusteella voimme turvallisesti sanoa, että prosessi on hyvin yksinkertainen, ja jopa minimaalisen konfiguroinnin jälkeen voit nähdä tuloksia.
Aloitetaan nykyisestä asettelusta. Se näkyy alla olevassa kuvassa.
Oikealla näkyy ulkoisen käyttäjän tietokone, josta lähetämme postia sisäisen verkon käyttäjälle. Sisäinen verkko sisältää käyttäjän tietokoneen, toimialueen ohjaimen, jossa on DNS-palvelin, sekä sähköpostipalvelimen. Verkon reunassa on palomuuri - FortiGate, jonka pääominaisuus on määrittää SMTP- ja DNS-liikenteen edelleenohjaus.
Kiinnitämme erityistä huomiota DNS:ään.
Sähköpostin reitittämiseen Internetissä käytetään kahta DNS-tietuetta – A-tietuetta ja MX-tietuetta. Tyypillisesti nämä DNS-tietueet määritetään julkisella DNS-palvelimella, mutta asettelun rajoitusten vuoksi yksinkertaisesti välitämme DNS-palvelimen palomuurin kautta (eli ulkoisen käyttäjän osoite 10.10.30.210 on rekisteröity DNS-palvelimeksi).
MX-tietue on tietue, joka sisältää toimialuetta palvelevan sähköpostipalvelimen nimen sekä tämän postipalvelimen prioriteetin. Meidän tapauksessamme se näyttää tältä: test.local -> mail.test.local 10.
Tietue on tietue, joka muuntaa verkkotunnuksen IP-osoitteeksi, meille se on: mail.test.local -> 10.10.30.210.
Kun ulkoinen käyttäjämme yrittää lähettää sähköpostia osoitteeseen [sähköposti suojattu], se kysyy DNS MX -palvelimeltaan test.local domaintietuetta. DNS-palvelimemme vastaa sähköpostipalvelimen nimellä - mail.test.local. Nyt käyttäjän on saatava tämän palvelimen IP-osoite, jotta hän pääsee taas A-tietueen DNS:ään ja saa IP-osoitteen 10.10.30.210 (kyllä, taas hänen :) ). Voit lähettää kirjeen. Siksi se yrittää muodostaa yhteyden vastaanotettuun IP-osoitteeseen portissa 25. Palomuurin sääntöjä käyttäen tämä yhteys välitetään sähköpostipalvelimelle.
Tarkastetaan sähköpostin toimivuus asettelun nykyisessä tilassa. Tätä varten käytämme ulkoisen käyttäjän tietokoneessa olevaa swaks-apuohjelmaa. Sen avulla voit testata SMTP:n suorituskykyä lähettämällä vastaanottajalle kirjeen, jossa on joukko erilaisia parametreja. Aiemmin sähköpostipalvelimelle on jo luotu käyttäjä, jolla on postilaatikko [sähköposti suojattu]. Yritetään lähettää hänelle kirje:
Siirrytään nyt sisäisen käyttäjän koneelle ja varmistetaan, että kirje on saapunut:
Kirje todella saapui (se on korostettuna luettelossa). Tämä tarkoittaa, että asettelu toimii oikein. Nyt on aika siirtyä FortiMailiin. Lisätään asetteluamme:
FortiMail voidaan ottaa käyttöön kolmessa tilassa:
- Yhdyskäytävä - toimii täysimittaisena MTA:na: se ottaa haltuunsa kaiken postin, tarkistaa sen ja lähettää sen sitten edelleen postipalvelimelle;
- Transparent - tai toisin sanoen läpinäkyvä tila. Se asennetaan palvelimen eteen ja tarkistaa saapuvan ja lähtevän postin. Sen jälkeen se lähettää sen palvelimelle. Ei vaadi muutoksia verkkokokoonpanoon.
- Palvelin - tässä tapauksessa FortiMail on täysimittainen sähköpostipalvelin, jolla on mahdollisuus luoda postilaatikoita, vastaanottaa ja lähettää postia sekä muita toimintoja.
Otamme FortiMailin käyttöön yhdyskäytävätilassa. Siirrytään virtuaalikoneen asetuksiin. Kirjautuminen on admin, salasanaa ei ole määritetty. Kun kirjaudut sisään ensimmäistä kertaa, sinun on asetettava uusi salasana.
Määritetään nyt virtuaalikone käyttämään verkkokäyttöliittymää. On myös välttämätöntä, että koneessa on Internet-yhteys. Asetetaan käyttöliittymä. Tarvitsemme vain portti1. Sen avulla muodostamme yhteyden verkkokäyttöliittymään, ja sitä käytetään myös Internetiin pääsyyn. Internet-yhteys tarvitaan palvelujen päivittämiseen (virustentorjuntatunnisteet jne.). Määrityksiä varten anna komennot:
konfigurointijärjestelmän käyttöliittymä
muokkaa porttia 1
aseta ip 192.168.1.40 255.255.255.0
aseta käyttöoikeus https http ssh ping
loppu
Nyt määritetään reititys. Tätä varten sinun on syötettävä seuraavat komennot:
konfigurointijärjestelmän reitti
muokkaa 1
aseta yhdyskäytävä 192.168.1.1
aseta liitäntäportti 1
loppu
Kun annat komentoja, voit käyttää välilehtiä välttääksesi niiden kirjoittamisen kokonaan. Lisäksi, jos unohdat, minkä komennon pitäisi tulla seuraavaksi, voit käyttää “?”-näppäintä.
Nyt tarkistetaan Internet-yhteytesi. Tee tämä ping-kutsumalla Google DNS:
Kuten näet, meillä on nyt Internet. Kaikille Fortinet-laitteille tyypilliset alkuasetukset on tehty, ja nyt voit siirtyä konfigurointiin web-käyttöliittymän kautta. Voit tehdä tämän avaamalla hallintasivun:
Huomaa, että sinun on seurattava muodossa olevaa linkkiä /admin. Muuten et pääse hallintasivulle. Oletusarvoisesti sivu on vakiomääritystilassa. Asetuksia varten tarvitsemme edistyneen tilan. Siirrytään admin->View-valikkoon ja vaihdataan tilaksi Advanced:
Nyt meidän on ladattava kokeiluversio. Tämä voidaan tehdä valikosta Lisenssitiedot → VM → Päivitä:
Jos sinulla ei ole koekäyttölupaa, voit pyytää sellaisen ottamalla yhteyttä .
Lisenssin antamisen jälkeen laitteen pitäisi käynnistyä uudelleen. Jatkossa se alkaa hakea päivityksiä tietokantoihinsa palvelimilta. Jos tämä ei tapahdu automaattisesti, voit siirtyä Järjestelmä → FortiGuard -valikkoon ja napsauttaa Virustentorjunta, Roskapostin välilehdissä Päivitä nyt -painiketta.
Jos tämä ei auta, voit vaihtaa päivityksissä käytettyjä portteja. Yleensä tämän jälkeen kaikki lisenssit tulevat näkyviin. Lopulta sen pitäisi näyttää tältä:
Asetetaan oikea aikavyöhyke, tästä on hyötyä lokeja tutkiessa. Voit tehdä tämän siirtymällä Järjestelmä → Asetukset -valikkoon:
Määritämme myös DNS:n. Määritämme sisäisen DNS-palvelimen pää-DNS-palvelimeksi ja jätämme Fortinetin tarjoaman DNS-palvelimen varapalvelimeksi.
Siirrytään nyt hauskaan osaan. Kuten olet ehkä huomannut, laite on oletusarvoisesti asetettu Gateway-tilaan. Siksi meidän ei tarvitse muuttaa sitä. Siirrytään kenttään Domain & User → Domain. Luodaan uusi verkkotunnus, joka on suojattava. Tässä meidän tarvitsee vain määrittää verkkotunnuksen nimi ja postipalvelimen osoite (voit myös määrittää sen verkkotunnuksen nimen, meidän tapauksessamme mail.test.local):
Nyt meidän on annettava nimi sähköpostiyhdyskäytävällemme. Tätä käytetään MX- ja A-tietueissa, joita meidän on muutettava myöhemmin:
Isäntänimi- ja Local Domain Name -pisteistä käännetään FQDN, jota käytetään DNS-tietueissa. Meidän tapauksessamme FQDN = fortimail.test.local.
Määritetään nyt vastaanottosääntö. Tarvitsemme kaikki ulkopuolelta tulevat sähköpostit, jotka on määritetty toimialueen käyttäjälle, välitettäväksi sähköpostipalvelimelle. Voit tehdä tämän valitsemalla valikosta Käytäntö → Kulunvalvonta. Alla on esimerkki kokoonpanosta:
Katsotaanpa Vastaanottajakäytäntö-välilehteä. Täällä voit asettaa tiettyjä sääntöjä kirjainten tarkistamiseen: jos posti tulee verkkotunnuksesta example1.com, sinun on tarkistettava se mekanismilla, jotka on määritetty erityisesti tälle toimialueelle. Kaikille posteille on jo olemassa oletussääntö, ja toistaiseksi se sopii meille. Voit nähdä tämän säännön alla olevasta kuvasta:
Tässä vaiheessa FortiMailin asennusta voidaan pitää valmiina. Itse asiassa mahdollisia parametreja on paljon enemmän, mutta jos niitä kaikkia aletaan harkita, voisimme kirjoittaa kirjan :) Ja tavoitteenamme on käynnistää FortiMail testitilassa vähällä vaivalla.
Jäljellä on kaksi asiaa - muuta MX- ja A-tietueita sekä myös palomuurin portin edelleenlähetyssääntöjä.
MX-tietue test.local -> mail.test.local 10 on vaihdettava arvoon test.local -> fortimail.test.local 10. Mutta yleensä pilottien aikana lisätään toinen MX-tietue, jolla on korkeampi prioriteetti. Esimerkiksi:
test.local -> mail.test.local 10
test.local -> fortimail.test.local 5
Haluan muistuttaa, että mitä pienempi on MX-tietueen sähköpostipalvelinasetuksen järjestysnumero, sitä korkeampi on sen prioriteetti.
Eikä merkintää voi muuttaa, joten luomme vain uuden: fortimail.test.local -> 10.10.30.210. Ulkopuolinen käyttäjä ottaa yhteyttä osoitteeseen 10.10.30.210 portissa 25 ja palomuuri välittää yhteyden FortiMailiin.
Jotta voit muuttaa FortiGaten edelleenlähetyssääntöä, sinun on vaihdettava osoite vastaavassa Virtual IP -objektissa:
Kaikki on valmista. Tarkistetaan. Lähetetään kirje uudelleen ulkoisen käyttäjän tietokoneelta. Siirrytään nyt FortiMailiin Monitor → Lokit -valikosta. Historia-kentässä näet tietueen kirjeen hyväksymisestä. Saat lisätietoja napsauttamalla merkintää hiiren kakkospainikkeella ja valitsemalla Tiedot:
Kuvan täydentämiseksi tarkistetaan, voiko FortiMail nykyisessä kokoonpanossaan estää roskapostia ja viruksia sisältävät sähköpostit. Tätä varten lähetämme eicar-testiviruksen ja testikirjeen, joka löytyy yhdestä roskapostitietokannasta (http://untroubled.org/spam/). Tämän jälkeen palataan lokin katseluvalikkoon:
Kuten näemme, sekä roskaposti että viruksen sisältävä kirje tunnistettiin onnistuneesti.
Tämä kokoonpano riittää tarjoamaan perussuojauksen viruksia ja roskapostia vastaan. Mutta FortiMailin toiminnallisuus ei rajoitu tähän. Tehokkaamman suojan saamiseksi sinun on tutkittava käytettävissä olevat mekanismit ja mukautettava ne tarpeidesi mukaan. Tulevaisuudessa aiomme korostaa muita tämän sähköpostiyhdyskäytävän edistyneempiä ominaisuuksia.
Jos sinulla on ratkaisuun liittyviä vaikeuksia tai kysymyksiä, kirjoita ne kommentteihin, yritämme vastata niihin nopeasti.
Voit lähettää koekäyttölupapyynnön ratkaisun testaamiseksi .
Kirjailija: Aleksei Nikulin. Tietoturva-insinööri Fortiservice.
Lähde: will.com