Accueillir! Aujourd'hui, nous allons vous expliquer comment effectuer les réglages initiaux de la passerelle de messagerie – Solutions de sécurité de messagerie Fortinet. Au cours de l'article, nous examinerons la mise en page avec laquelle nous travaillerons et effectuerons la configuration , nécessaire à la réception et au contrôle des lettres, et nous testerons également ses performances. Sur la base de notre expérience, nous pouvons affirmer avec certitude que le processus est très simple et que même après une configuration minimale, vous pouvez voir les résultats.
Commençons par la mise en page actuelle. Il est illustré dans la figure ci-dessous.
Sur la droite, nous voyons l'ordinateur de l'utilisateur externe, à partir duquel nous enverrons le courrier à l'utilisateur sur le réseau interne. Le réseau interne contient l'ordinateur de l'utilisateur, un contrôleur de domaine sur lequel s'exécute un serveur DNS et un serveur de messagerie. Aux limites du réseau se trouve un pare-feu - FortiGate, dont la principale caractéristique est de configurer le transfert du trafic SMTP et DNS.
Accordons une attention particulière au DNS.
Il existe deux enregistrements DNS utilisés pour acheminer le courrier électronique sur Internet : l'enregistrement A et l'enregistrement MX. Généralement, ces enregistrements DNS sont configurés sur un serveur DNS public, mais en raison de limitations de mise en page, nous transmettons simplement le DNS via le pare-feu (c'est-à-dire que l'utilisateur externe a l'adresse 10.10.30.210 enregistrée en tant que serveur DNS).
L'enregistrement MX est un enregistrement contenant le nom du serveur de messagerie desservant le domaine, ainsi que la priorité de ce serveur de messagerie. Dans notre cas, cela ressemble à ceci : test.local -> mail.test.local 10.
Un enregistrement est un enregistrement qui convertit un nom de domaine en adresse IP, pour nous c'est : mail.test.local -> 10.10.30.210.
Lorsque notre utilisateur externe essaie d'envoyer un e-mail à [email protected], il interrogera son serveur DNS MX pour l'enregistrement de domaine test.local. Notre serveur DNS répondra avec le nom du serveur de messagerie - mail.test.local. Maintenant, l'utilisateur doit obtenir l'adresse IP de ce serveur, il accède donc à nouveau au DNS pour l'enregistrement A et reçoit l'adresse IP 10.10.30.210 (oui, encore la sienne :) ). Vous pouvez envoyer une lettre. Par conséquent, il tente d'établir une connexion avec l'adresse IP reçue sur le port 25. Grâce aux règles du pare-feu, cette connexion est transmise au serveur de messagerie.
Vérifions la fonctionnalité du courrier dans l'état actuel de la mise en page. Pour ce faire, nous utiliserons l’utilitaire swaks sur l’ordinateur de l’utilisateur externe. Avec son aide, vous pouvez tester les performances de SMTP en envoyant au destinataire une lettre avec un ensemble de divers paramètres. Précédemment, un utilisateur disposant d'une boîte mail a déjà été créé sur le serveur de messagerie [email protected]. Essayons de lui envoyer une lettre :
Passons maintenant à la machine de l'utilisateur interne et assurons-nous que la lettre est bien arrivée :
La lettre est effectivement arrivée (elle est mise en évidence dans la liste). Cela signifie que la mise en page fonctionne correctement. Il est maintenant temps de passer à FortiMail. Ajoutons à notre mise en page :
FortiMail peut être déployé selon trois modes :
- Passerelle - agit comme un MTA à part entière : elle reprend tout le courrier, le vérifie, puis le transmet au serveur de messagerie ;
- Transparent - ou en d'autres termes, mode transparent. Il est installé devant le serveur et vérifie le courrier entrant et sortant. Après cela, il le transmet au serveur. Ne nécessite pas de modification de la configuration réseau.
- Serveur - dans ce cas, FortiMail est un serveur de messagerie à part entière avec la possibilité de créer des boîtes aux lettres, de recevoir et d'envoyer du courrier, ainsi que d'autres fonctionnalités.
Nous déploierons FortiMail en mode Gateway. Passons aux paramètres de la machine virtuelle. La connexion est administrateur, aucun mot de passe n'est spécifié. Lorsque vous vous connectez pour la première fois, vous devez définir un nouveau mot de passe.
Configurons maintenant la machine virtuelle pour accéder à l'interface Web. Il faut également que la machine ait accès à Internet. Configurons l'interface. Nous n'avons besoin que du port1. Avec son aide, nous nous connecterons à l'interface Web et elle sera également utilisée pour accéder à Internet. L'accès à Internet est nécessaire pour mettre à jour les services (signatures antivirus, etc.). Pour la configuration, entrez les commandes :
interface système de configuration
modifier le port 1
définir l'adresse IP 192.168.1.40 255.255.255.0
définir l'autorisation d'accès https http ssh ping
fin
Configurons maintenant le routage. Pour ce faire, vous devez entrer les commandes suivantes :
configurer l'itinéraire du système
éditer 1
définir la passerelle 192.168.1.1
définir le port d'interface 1
fin
Lors de la saisie de commandes, vous pouvez utiliser des tabulations pour éviter de les saisir au complet. De plus, si vous oubliez quelle commande doit venir ensuite, vous pouvez utiliser la touche « ? ».
Vérifions maintenant votre connexion Internet. Pour ce faire, envoyons une requête ping à Google DNS :
Comme vous pouvez le constater, nous avons désormais Internet. Les réglages initiaux typiques de tous les appareils Fortinet sont terminés et vous pouvez maintenant procéder à la configuration via l'interface Web. Pour cela, ouvrez la page de gestion :
Veuillez noter que vous devez suivre le lien au format /admin. Dans le cas contraire, vous ne pourrez pas accéder à la page de gestion. Par défaut, la page est en mode de configuration standard. Pour les paramètres, nous avons besoin du mode avancé. Allons dans le menu admin->Affichage et basculons le mode sur Avancé :
Nous devons maintenant télécharger la licence d'essai. Cela peut être fait dans le menu Informations sur la licence → VM → Mise à jour :
Si vous ne disposez pas de licence d'essai, vous pouvez en demander une en contactant .
Après avoir saisi la licence, l'appareil doit redémarrer. À l’avenir, il commencera à extraire les mises à jour de ses bases de données à partir des serveurs. Si cela ne se produit pas automatiquement, vous pouvez aller dans le menu Système → FortiGuard et dans les onglets Antivirus, Antispam cliquer sur le bouton Mettre à jour maintenant.
Si cela ne résout pas le problème, vous pouvez modifier les ports utilisés pour les mises à jour. Habituellement, après cela, toutes les licences apparaissent. Au final, cela devrait ressembler à ceci :
Configurons le fuseau horaire correct, cela sera utile lors de l'examen des journaux. Pour cela, rendez-vous dans le menu Système → Configuration :
Nous configurerons également le DNS. Nous allons configurer le serveur DNS interne comme serveur DNS principal et laisser le serveur DNS fourni par Fortinet comme serveur de sauvegarde.
Passons maintenant à la partie amusante. Comme vous l'avez peut-être remarqué, l'appareil est réglé par défaut en mode Passerelle. Nous n’avons donc pas besoin de le modifier. Allons dans le champ Domaine & Utilisateur → Domaine. Créons un nouveau domaine qui doit être protégé. Ici, il suffit de préciser le nom de domaine et l'adresse du serveur de messagerie (vous pouvez également préciser son nom de domaine, dans notre cas mail.test.local) :
Nous devons maintenant fournir un nom à notre passerelle de messagerie. Ceci sera utilisé dans les enregistrements MX et A, que nous devrons modifier ultérieurement :
À partir des points Nom d'hôte et Nom de domaine local, le FQDN est compilé, qui est utilisé dans les enregistrements DNS. Dans notre cas, FQDN = fortimail.test.local.
Définissons maintenant la règle de réception. Nous avons besoin que tous les e-mails provenant de l'extérieur et attribués à un utilisateur du domaine soient transférés vers le serveur de messagerie. Pour cela, allez dans le menu Politique → Contrôle d'accès. Un exemple de configuration est présenté ci-dessous :
Regardons l'onglet Politique du destinataire. Ici, vous pouvez définir certaines règles de vérification des lettres : si le courrier provient du domaine exemple1.com, vous devez le vérifier avec des mécanismes configurés spécifiquement pour ce domaine. Il existe déjà une règle par défaut pour tous les courriers, et pour l'instant elle nous convient. Vous pouvez voir cette règle dans la figure ci-dessous :
À ce stade, la configuration sur FortiMail peut être considérée comme terminée. En fait, il existe bien d'autres paramètres possibles, mais si nous commençons à les considérer tous, nous pourrions écrire un livre :) Et notre objectif est de lancer FortiMail en mode test avec un minimum d'effort.
Il reste deux choses : modifier les enregistrements MX et A, et également modifier les règles de redirection de port sur le pare-feu.
L'enregistrement MX test.local -> mail.test.local 10 doit être remplacé par test.local -> fortimail.test.local 10. Mais généralement pendant les pilotes, un deuxième enregistrement MX avec une priorité plus élevée est ajouté. Par exemple:
test.local -> mail.test.local 10
test.local -> fortimail.test.local 5
Permettez-moi de vous rappeler que plus le numéro ordinal de la préférence du serveur de messagerie dans l'enregistrement MX est bas, plus sa priorité est élevée.
Et l’entrée ne peut pas être modifiée, nous allons donc simplement en créer une nouvelle : fortimail.test.local -> 10.10.30.210. Un utilisateur externe contactera l'adresse 10.10.30.210 sur le port 25 et le pare-feu transmettra la connexion à FortiMail.
Afin de modifier la règle de transfert sur FortiGate, vous devez modifier l'adresse dans l'objet IP virtuel correspondant :
Tout est prêt. Allons vérifier. Renvoyons à nouveau la lettre depuis l'ordinateur de l'utilisateur externe. Passons maintenant à FortiMail dans le menu Moniteur → Journaux. Dans le champ Historique, vous pouvez voir un enregistrement indiquant que la lettre a été acceptée. Pour plus d'informations, vous pouvez cliquer avec le bouton droit sur l'entrée et sélectionner Détails :
Pour compléter le tableau, vérifions si FortiMail dans sa configuration actuelle peut bloquer les emails contenant du spam et des virus. Pour ce faire, nous enverrons le virus test eicar et une lettre test trouvée dans l'une des bases de données de spam (http://untroubled.org/spam/). Après cela, revenons au menu d'affichage des journaux :
Comme nous pouvons le constater, le spam et la lettre contenant un virus ont été identifiés avec succès.
Cette configuration est suffisante pour assurer une protection de base contre les virus et le spam. Mais les fonctionnalités de FortiMail ne se limitent pas à cela. Pour une protection plus efficace, vous devez étudier les mécanismes disponibles et les personnaliser en fonction de vos besoins. À l'avenir, nous prévoyons de mettre en avant d'autres fonctionnalités plus avancées de cette passerelle de messagerie.
Si vous avez des difficultés ou des questions concernant la solution, écrivez-les dans les commentaires, nous essaierons d'y répondre dans les plus brefs délais.
Vous pouvez soumettre une demande de licence d'essai pour tester la solution .
Auteur : Alexeï Nikouline. Ingénieur en sécurité de l'information Fortiservice.
Source: habr.com