Wolkom! Hjoed sille wy jo fertelle hoe't jo de earste ynstellings meitsje fan 'e e-postpoarte - Fortinet oplossings foar e-postfeiligens. Tidens it artikel sille wy de yndieling sjen wêrmei wy sille wurkje en de konfiguraasje útfiere , nedich foar it ûntfangen en kontrolearjen fan brieven, en wy sille ek testen syn prestaasje. Op grûn fan ús ûnderfining kinne wy feilich sizze dat it proses heul ienfâldich is, en sels nei minimale konfiguraasje kinne jo resultaten sjen.
Litte wy begjinne mei de hjoeddeistige yndieling. It wurdt werjûn yn de figuer hjirûnder.
Oan 'e rjochter sjogge wy de kompjûter fan' e eksterne brûker, wêrfan wy e-post stjoere nei de brûker op it ynterne netwurk. It ynterne netwurk befettet de kompjûter fan 'e brûker, in domeincontroller mei in DNS-tsjinner dy't derop rint, en in e-posttsjinner. Oan 'e râne fan it netwurk is d'r in firewall - FortiGate, wêrfan it wichtichste skaaimerk is om SMTP- en DNS-ferkear trochstjoere te konfigurearjen.
Litte wy spesjaal omtinken jaan oan DNS.
D'r binne twa DNS-records dy't brûkt wurde om e-post op it ynternet te routeren - it A-record en it MX-record. Typysk binne dizze DNS-records konfigureare op in iepenbiere DNS-tsjinner, mar troch opmaakbeheiningen stjoere wy DNS gewoan troch de firewall (dat is, de eksterne brûker hat it adres 10.10.30.210 registrearre as de DNS-tsjinner).
MX-record is in record mei de namme fan de e-posttsjinner dy't it domein betsjinnet, lykas de prioriteit fan dizze e-posttsjinner. Yn ús gefal sjocht it der sa út: test.local -> mail.test.local 10.
In record is in record dat in domeinnamme konvertearret yn in IP-adres, foar ús is it: mail.test.local -> 10.10.30.210.
As ús eksterne brûker besiket in e-post te stjoeren nei [e-post beskerme], sil it syn DNS MX-tsjinner opfreegje foar it test.local domeinrecord. Us DNS-tsjinner sil reagearje mei de namme fan 'e e-posttsjinner - mail.test.local. No moat de brûker it IP-adres fan dizze tsjinner krije, sadat hy opnij tagong hat ta de DNS foar it A-record en it IP-adres 10.10.30.210 ûntfangt (ja, syn wer :) ). Jo kinne in brief stjoere. Dêrom besiket it in ferbining te meitsjen mei it ûntfongen IP-adres op poarte 25. Mei help fan regels op 'e firewall wurdt dizze ferbining trochstjoerd nei de e-posttsjinner.
Litte wy de funksjonaliteit fan 'e post kontrolearje yn' e hjoeddeistige steat fan 'e yndieling. Om dit te dwaan, sille wy it swaks-hulpprogramma brûke op 'e kompjûter fan' e eksterne brûker. Mei har help kinne jo de prestaasjes fan SMTP testen troch de ûntfanger in brief te stjoeren mei in set fan ferskate parameters. Earder is al in brûker mei in brievebus oanmakke op de e-posttsjinner [e-post beskerme]. Litte wy besykje him in brief te stjoeren:
Litte wy no nei de masine fan 'e ynterne brûker gean en soargje derfoar dat de brief oankaam is:
De brief kaam eins oan (it is markearre yn 'e list). Dit betsjut dat de yndieling goed wurket. No is it tiid om troch te gean nei FortiMail. Litte wy tafoegje oan ús yndieling:
FortiMail kin yn trije modi ynset wurde:
- Gateway - fungearret as in folsleine MTA: it nimt alle post oer, kontrolearret it en stjoert it dan troch nei de posttsjinner;
- Transparant - of mei oare wurden, transparante modus. It wurdt ynstalleare foar de tsjinner en kontrolearret ynkommende en útgeande post. Dêrnei stjoert it it nei de tsjinner. Fereasket gjin feroarings oan it netwurk konfiguraasje.
- Tsjinner - yn dit gefal is FortiMail in folsleine e-posttsjinner mei de mooglikheid om postfakken te meitsjen, e-post te ûntfangen en te ferstjoeren, lykas oare funksjonaliteit.
Wy sille FortiMail ynsette yn Gateway-modus. Lit ús gean nei de firtuele masine ynstellings. Oanmelde is admin, gjin wachtwurd is opjûn. As jo foar de earste kear ynlogge, moatte jo in nij wachtwurd ynstelle.
Litte wy no de firtuele masine ynstelle om tagong te krijen ta de webynterface. It is ek nedich dat de masine hat ynternet tagong. Litte wy de ynterface ynstelle. Wy hawwe allinich port1 nedich. Mei har help sille wy ferbine mei de webynterface, en it sil ek brûkt wurde om tagong te krijen ta it ynternet. Ynternet tagong is nedich om tsjinsten te aktualisearjen (antivirus-hantekeningen, ensfh.). Fier de kommando's yn foar konfiguraasje:
config systeem ynterface
poarte 1 bewurkje
Set IP 192.168.1.40 255.255.255.0
set tastean tagong https http ssh ping
ein
Litte wy no routing konfigurearje. Om dit te dwaan moatte jo de folgjende kommando's ynfiere:
konfiguraasje systeem rûte
bewurkje 1
set gateway 192.168.1.1
set ynterfaceport1
ein
By it ynfieren fan kommando's kinne jo ljepblêden brûke om foar te kommen dat se folslein ynfierd wurde. Ek, as jo ferjitte hokker kommando folgjende moat komme, kinne jo de "?"-kaai brûke.
Litte wy no jo ynternetferbining kontrolearje. Om dit te dwaan, litte wy Google DNS pinge:
Sa't jo sjen kinne, hawwe wy no it ynternet. De earste ynstellings dy't typysk binne foar alle Fortinet-apparaten binne foltôge, en jo kinne no trochgean mei konfiguraasje fia de webynterface. Om dit te dwaan, iepenje de behearside:
Tink derom dat jo de keppeling moatte folgje yn it formaat /admin. Oars kinne jo gjin tagong krije ta de behearside. Standert stiet de side yn standert konfiguraasjemodus. Foar ynstellings hawwe wy Avansearre modus nedich. Litte wy nei it admin->Besjoch menu gean en de modus wikselje nei Avansearre:
No moatte wy de proeflisinsje downloade. Dit kin dien wurde yn it menu License Information → VM → Update:
As jo gjin proeflisinsje hawwe, kinne jo ien oanfreegje troch kontakt op te nimmen .
Nei it ynfieren fan de lisinsje moat it apparaat opnij starte. Yn 'e takomst sil it begjinne om updates te lûken nei syn databases fan' e servers. As dit net automatysk bart, kinne jo gean nei it Systeem → FortiGuard-menu en yn 'e Antivirus, Antispam-ljeppers klikje op de knop Update no.
As dit net helpt, kinne jo de havens feroarje dy't brûkt wurde foar fernijings. Meastal nei dit alle lisinsjes ferskine. Op it lêst moat it der sa útsjen:
Litte wy de juste tiidsône ynstelle, dit sil nuttich wêze by it ûndersykjen fan logs. Om dit te dwaan, gean nei it Systeem → Konfiguraasjemenu:
Wy sille ek DNS konfigurearje. Wy sille de ynterne DNS-tsjinner konfigurearje as de wichtichste DNS-tsjinner, en de DNS-tsjinner litte troch Fortinet as reservekopy.
Litte wy no trochgean nei it leuke diel. Lykas jo miskien hawwe opfallen, is it apparaat standert ynsteld op Gateway-modus. Dêrom hoege wy it net te feroarjen. Litte wy nei it fjild Domein & Brûker → Domein gean. Litte wy in nij domein meitsje dat beskerme wurde moat. Hjir hoege wy allinich de domeinnamme en e-posttsjinneradres op te jaan (jo kinne ek de domeinnamme opjaan, yn ús gefal mail.test.local):
No moatte wy in namme jaan foar ús postgateway. Dit sil brûkt wurde yn 'e MX- en A-records, dy't wy letter moatte feroarje:
Fanút de punten hostnamme en lokale domeinnamme wurdt de FQDN gearstald, dy't brûkt wurdt yn DNS-records. Yn ús gefal, FQDN = fortimail.test.local.
Litte wy no de ûntfangstregel ynstelle. Wy moatte alle e-mails dy't fan bûten komme en wurde tawiisd oan in brûker yn it domein om trochstjoerd te wurden nei de e-posttsjinner. Om dit te dwaan, gean nei it menu Belied → Tagongskontrôle. In foarbyld opset wurdt hjirûnder werjûn:
Litte wy nei it ljepblêd Untfangerbelied sjen. Hjir kinne jo bepaalde regels ynstelle foar it kontrolearjen fan brieven: as e-post komt fan it domein example1.com, moatte jo it kontrolearje mei meganismen dy't spesifyk foar dit domein binne ynsteld. D'r is al in standertregel foar alle post, en no past it ús. Jo kinne dizze regel sjen yn 'e ôfbylding hjirûnder:
Op dit punt kin de opset op FortiMail as folslein beskôge wurde. Eins binne d'r folle mear mooglike parameters, mar as wy se allegear begjinne te beskôgjen, kinne wy in boek skriuwe :) En ús doel is om FortiMail yn testmodus te starten mei minimale ynspanning.
D'r binne twa dingen oerbleaun - feroarje de MX- en A-records, en feroarje ek de regels foar trochstjoering fan havens op 'e brânmuorre.
It MX-record test.local -> mail.test.local 10 moat feroare wurde yn test.local -> fortimail.test.local 10. Mar meastentiids wurdt ûnder piloaten in twadde MX-record mei in hegere prioriteit tafoege. Bygelyks:
test.local -> mail.test.local 10
test.local -> fortimail.test.local 5
Lit my jo herinnerje dat hoe leger it rangnûmer fan de e-posttsjinner foarkar yn it MX-record, hoe heger de prioriteit.
En de yngong kin net feroare wurde, dus wy meitsje gewoan in nije: fortimail.test.local -> 10.10.30.210. In eksterne brûker sil kontakt opnimme mei it adres 10.10.30.210 op poarte 25, en de brânmuorre sil de ferbining trochstjoere nei FortiMail.
Om de trochstjoerregel op FortiGate te feroarjen, moatte jo it adres feroarje yn it korrespondearjende Firtuele IP-objekt:
Alles is klear. Litte wy kontrolearje. Lit ús de brief nochris stjoere fan de kompjûter fan de eksterne brûker. Litte wy no nei FortiMail gean yn it menu Monitor → Logs. Yn it fjild Skiednis kinne jo in rekord sjen dat de brief waard akseptearre. Foar mear ynformaasje kinne jo mei de rjochter-klikke op de yngong en selektearje Details:
Om de ôfbylding te foltôgjen, litte wy kontrolearje oft FortiMail yn syn hjoeddeistige konfiguraasje e-posten mei spam en firussen kin blokkearje. Om dit te dwaan, stjoere wy it eicar-testfirus en in testbrief fûn yn ien fan 'e spam-postdatabases (http://untroubled.org/spam/). Hjirnei geane wy werom nei it log werjeftemenu:
Sa't wy sjen kinne, binne sawol spam as in brief mei in firus mei súkses identifisearre.
Dizze konfiguraasje is genôch om basisbeskerming te jaan tsjin firussen en spam. Mar de funksjonaliteit fan FortiMail is net beheind ta dit. Foar effektiver beskerming moatte jo de beskikbere meganismen studearje en oanpasse oan jo behoeften. Yn 'e takomst binne wy fan plan oare, mear avansearre funksjes fan dizze e-postpoarte te markearjen.
As jo problemen of fragen hawwe oer de oplossing, skriuw se dan yn 'e opmerkingen, wy sille besykje se fuortendaliks te beantwurdzjen.
Jo kinne in fersyk yntsjinje foar in proeflisinsje om de oplossing te testen .
Auteur: Alexey Nikulin. Ynformaasje Security Engineer Fortiservice.
Boarne: www.habr.com