Benvido! Hoxe dirémosche como facer a configuración inicial da pasarela de correo – Solucións de seguridade de correo electrónico Fortinet. Durante o artigo analizaremos o deseño co que traballaremos e realizaremos a configuración , necesario para recibir e revisar cartas, e tamén probaremos o seu rendemento. Baseándonos na nosa experiencia, podemos dicir con seguridade que o proceso é moi sinxelo, e mesmo despois dunha configuración mínima podes ver os resultados.
Imos comezar co deseño actual. Móstrase na seguinte figura.
Á dereita vemos o ordenador do usuario externo, desde o que enviaremos correo ao usuario na rede interna. A rede interna contén o ordenador do usuario, un controlador de dominio cun servidor DNS en execución e un servidor de correo. No bordo da rede hai un firewall - FortiGate, cuxa característica principal é configurar o reenvío de tráfico SMTP e DNS.
Prestemos especial atención ao DNS.
Hai dous rexistros DNS utilizados para encamiñar o correo electrónico en Internet: o rexistro A e o rexistro MX. Normalmente, estes rexistros DNS están configurados nun servidor DNS público, pero debido ás limitacións de deseño, simplemente reenviamos DNS a través do firewall (é dicir, o usuario externo ten o enderezo 10.10.30.210 rexistrado como servidor DNS).
O rexistro MX é un rexistro que contén o nome do servidor de correo que serve o dominio, así como a prioridade deste servidor de correo. No noso caso ten o seguinte aspecto: test.local -> mail.test.local 10.
Un rexistro é un rexistro que converte un nome de dominio nun enderezo IP, para nós é: mail.test.local -> 10.10.30.210.
Cando o noso usuario externo tenta enviar un correo electrónico a [protexido por correo electrónico], consultará ao seu servidor DNS MX o rexistro de dominio test.local. O noso servidor DNS responderá co nome do servidor de correo: mail.test.local. Agora o usuario necesita obter o enderezo IP deste servidor, polo que volve acceder ao DNS para o rexistro A e recibe o enderezo IP 10.10.30.210 (si, o seu de novo :) ). Podes enviar unha carta. Polo tanto, tenta establecer unha conexión co enderezo IP recibido no porto 25. Usando regras do firewall, esta conexión envíase ao servidor de correo.
Imos comprobar a funcionalidade do correo no estado actual do deseño. Para iso, utilizaremos a utilidade swaks no ordenador do usuario externo. Coa súa axuda, pode probar o rendemento de SMTP enviando ao destinatario unha carta cun conxunto de varios parámetros. Anteriormente, xa se creou un usuario cunha caixa de correo no servidor de correo [protexido por correo electrónico]. Intentemos enviarlle unha carta:
Agora imos á máquina do usuario interno e asegúrese de que chegou a carta:
A carta chegou realmente (está destacada na lista). Isto significa que o deseño funciona correctamente. Agora é o momento de pasar a FortiMail. Engadimos ao noso deseño:
FortiMail pódese implementar en tres modos:
- Pasarela: actúa como un MTA completo: toma o control de todo o correo, compróbao e despois envíao ao servidor de correo;
- Transparente - ou noutras palabras, modo transparente. Instálase diante do servidor e comproba o correo entrante e saínte. Despois diso, envíao ao servidor. Non require cambios na configuración da rede.
- Servidor: neste caso, FortiMail é un servidor de correo completo con capacidade para crear caixas de correo, recibir e enviar correo, así como outras funcións.
Implementaremos FortiMail en modo Gateway. Imos á configuración da máquina virtual. O inicio de sesión é administrador, non se especifica ningún contrasinal. Cando inicie sesión por primeira vez, debe establecer un novo contrasinal.
Agora imos configurar a máquina virtual para acceder á interface web. Tamén é necesario que a máquina teña acceso a Internet. Imos configurar a interface. Só necesitamos o porto 1. Coa súa axuda conectarémonos á interface web, e tamén se utilizará para acceder a Internet. O acceso a Internet é necesario para actualizar os servizos (sinaturas antivirus, etc.). Para a configuración, introduza os comandos:
interface de configuración do sistema
editar porto 1
establecer ip 192.168.1.40 255.255.255.0
establecer allowaccess https http ssh ping
final
Agora imos configurar o enrutamento. Para iso cómpre introducir os seguintes comandos:
ruta do sistema de configuración
editar 1
establecer a pasarela 192.168.1.1
establecer o porto da interface 1
final
Ao introducir comandos, podes usar pestanas para evitar tecleas completas. Ademais, se esqueces que comando debe vir a continuación, podes usar a tecla "?".
Agora imos comprobar a súa conexión a Internet. Para facelo, faga ping a Google DNS:
Como vedes, agora temos Internet. Completáronse as configuracións iniciais típicas de todos os dispositivos Fortinet e agora podes proceder á configuración a través da interface web. Para iso, abra a páxina de xestión:
Teña en conta que cómpre seguir a ligazón no formato /admin. En caso contrario, non poderás acceder á páxina de xestión. Por defecto, a páxina está no modo de configuración estándar. Para a configuración necesitamos o modo avanzado. Imos ao menú administrador->Ver e cambiemos o modo a Avanzado:
Agora necesitamos descargar a licenza de proba. Isto pódese facer no menú Información da licenza → VM → Actualizar:
Se non tes unha licenza de proba, podes solicitala contactando .
Despois de introducir a licenza, o dispositivo debería reiniciarse. No futuro, comezará a tirar actualizacións das súas bases de datos desde os servidores. Se isto non ocorre automaticamente, pode ir ao menú Sistema → FortiGuard e nas pestanas Antivirus, Antispam, prema no botón Actualizar agora.
Se isto non axuda, pode cambiar os portos utilizados para as actualizacións. Normalmente despois disto aparecen todas as licenzas. Ao final debería verse así:
Imos configurar o fuso horario correcto, isto será útil ao examinar os rexistros. Para facelo, vai ao menú Sistema → Configuración:
Tamén configuraremos o DNS. Configuraremos o servidor DNS interno como servidor DNS principal, e deixaremos o servidor DNS proporcionado por Fortinet como backup.
Agora imos pasar á parte divertida. Como podes ter notado, o dispositivo está configurado no modo Pasarela de forma predeterminada. Polo tanto, non necesitamos cambialo. Imos ao campo Dominio e Usuario → Dominio. Imos crear un novo dominio que hai que protexer. Aquí só necesitamos especificar o nome de dominio e o enderezo do servidor de correo (tamén podes especificar o seu nome de dominio, no noso caso mail.test.local):
Agora necesitamos proporcionar un nome para a nosa pasarela de correo. Isto empregarase nos rexistros MX e A, que necesitaremos cambiar máis tarde:
Desde os puntos Nome de host e Nome de dominio local, compílase o FQDN, que se usa nos rexistros DNS. No noso caso, FQDN = fortimail.test.local.
Agora imos configurar a regra de recepción. Necesitamos que todos os correos electrónicos que veñen de fóra e estean asignados a un usuario do dominio sexan reenviados ao servidor de correo. Para iso, vai ao menú Política → Control de acceso. A continuación móstrase un exemplo de configuración:
Vexamos a pestana Política de destinatarios. Aquí podes establecer certas regras para comprobar as cartas: se o correo procede do dominio example1.com, cómpre verificalo con mecanismos configurados especificamente para este dominio. Xa hai unha regra predeterminada para todo o correo, e por agora convénnos. Podes ver esta regra na seguinte figura:
Neste punto, a configuración en FortiMail pódese considerar completa. De feito, hai moitos máis parámetros posibles, pero se comezamos a consideralos todos, poderiamos escribir un libro :) E o noso obxectivo é lanzar FortiMail en modo de proba cun mínimo esforzo.
Quedan dúas cousas: cambiar os rexistros MX e A e tamén cambiar as regras de reenvío de portos no firewall.
O rexistro MX test.local -> mail.test.local 10 debe cambiarse por test.local -> fortimail.test.local 10. Pero normalmente durante os pilotos engádese un segundo rexistro MX cunha prioridade máis alta. Por exemplo:
test.local -> mail.test.local 10
test.local -> fortimail.test.local 5
Lémbrolle que canto menor sexa o número ordinal da preferencia do servidor de correo no rexistro MX, maior será a súa prioridade.
E a entrada non se pode cambiar, así que imos crear unha nova: fortimail.test.local -> 10.10.30.210. Un usuario externo poñerase en contacto co enderezo 10.10.30.210 no porto 25 e o firewall reenviará a conexión a FortiMail.
Para cambiar a regra de reenvío en FortiGate, cómpre cambiar o enderezo no obxecto de IP Virtual correspondente:
Todo está listo. Comprobamos. Enviemos de novo a carta desde o ordenador do usuario externo. Agora imos a FortiMail no menú Monitor → Rexistros. No campo Historial podes ver un rexistro de que a carta foi aceptada. Para obter máis información, pode facer clic co botón dereito na entrada e seleccionar Detalles:
Para completar a imaxe, comprobemos se FortiMail na súa configuración actual pode bloquear correos electrónicos que conteñan spam e virus. Para iso, enviaremos o virus de proba eicar e unha carta de proba que se atopa nunha das bases de datos de correo lixo (http://untroubled.org/spam/). Despois disto, volvamos ao menú de visualización do rexistro:
Como podemos ver, identificáronse con éxito tanto o spam como unha carta cun virus.
Esta configuración é suficiente para proporcionar protección básica contra virus e spam. Pero a funcionalidade de FortiMail non se limita a isto. Para unha protección máis eficaz, cómpre estudar os mecanismos dispoñibles e personalizalos segundo as súas necesidades. No futuro, pensamos destacar outras funcións máis avanzadas desta pasarela de correo.
Se tes algunha dificultade ou dúbida sobre a solución, escríbea nos comentarios, trataremos de contestalas axiña.
Podes enviar unha solicitude de licenza de proba para probar a solución .
Autor: Alexey Nikulin. Enxeñeiro de Seguridade da Información Fortiservice.
Fonte: www.habr.com