Dobrodošli! Danas ćemo vam reći kako napraviti početne postavke pristupnika pošte – Fortinet rješenja za sigurnost e-pošte. Tijekom članka ćemo pogledati izgled s kojim ćemo raditi i izvršiti konfiguraciju , koji je neophodan za primanje i provjeru pisama, te testirati njegovu izvedbu. Na temelju našeg iskustva, sa sigurnošću možemo reći da je proces vrlo jednostavan, a čak i nakon minimalne konfiguracije možete vidjeti rezultate.
Počnimo s trenutnim izgledom. To je prikazano na slici ispod.
S desne strane vidimo računalo vanjskog korisnika s kojeg ćemo slati mail korisniku na internoj mreži. Na internoj mreži nalazi se računalo korisnika, kontroler domene s DNS poslužiteljem i mail poslužitelj. Na rubu mreže nalazi se vatrozid - FortiGate, čija je glavna značajka konfiguracija prosljeđivanja SMTP i DNS prometa.
Obratimo posebnu pozornost na DNS.
Za usmjeravanje e-pošte na internetu koriste se dva DNS zapisa, A i MX zapis. Obično su ovi DNS zapisi konfigurirani na javnom DNS poslužitelju, ali zbog ograničenja izgleda jednostavno prosljeđujemo DNS kroz vatrozid (to jest, vanjski korisnik ima adresu 10.10.30.210 kao DNS poslužitelj).
MX zapis - zapis koji sadrži naziv poslužitelja e-pošte koji poslužuje domenu, kao i prioritet ovog poslužitelja e-pošte. U našem slučaju to izgleda ovako: test.local -> mail.test.local 10.
Zapis je zapis koji pretvara naziv domene u IP adresu, imamo ovo: mail.test.local -> 10.10.30.210.
Kada naš vanjski korisnik pokuša poslati e-poštu na [e-pošta zaštićena], upitat će svoj DNS MX poslužitelj za zapis domene test.local. Naš DNS poslužitelj će odgovoriti s imenom poslužitelja pošte - mail.test.local. Sada korisnik treba dobiti IP adresu ovog poslužitelja, pa se vraća na DNS po A zapis i dobiva IP adresu 10.10.30.210 (da, opet njegovu :) ). Možete poslati pismo. Stoga pokušava uspostaviti vezu s primljenom IP adresom na portu 25. Uz pomoć pravila na vatrozidu, ova se veza prosljeđuje na poslužitelj pošte.
Provjerimo funkcionalnost pošte u trenutnom stanju izgleda. Da bismo to učinili, na računalu vanjskog korisnika koristit ćemo uslužni program swaks. Uz njegovu pomoć možete testirati izvedbu SMTP-a slanjem e-pošte primatelju sa skupom različitih parametara. Prethodno je korisnik s poštanskim sandučićem već bio postavljen na poslužitelju pošte [e-pošta zaštićena]. Pokušajmo mu poslati e-mail:
Sada idemo na stroj internog korisnika i provjerimo je li pismo stiglo:
Pismo je stvarno stiglo (označeno je na popisu). Dakle, izgled radi ispravno. Vrijeme je da prijeđemo na FortiMail. Dodajmo naš izgled:
FortiMail se može implementirati u tri načina:
- Gateway - djeluje kao punopravni MTA: preuzima svu poštu na sebe, provjerava je i zatim prosljeđuje poslužitelju pošte;
- Prozirno - ili drugačije, transparentni način rada. Instalira se ispred servera i provjerava dolaznu i odlaznu poštu. Nakon toga ga šalje na poslužitelj. Ne zahtijeva promjene konfiguracije mreže.
- Server - u ovom slučaju, FortiMail je potpuni poslužitelj e-pošte s mogućnošću kreiranja poštanskih sandučića, primanja i slanja pošte, kao i s drugim funkcijama.
Postavit ćemo FortiMail u načinu Gateway. Idemo na postavke virtualnog stroja. Prijava je admin, lozinka nije postavljena. Kada se prvi put prijavite, morate postaviti novu lozinku.
Sada konfigurirajmo virtualni stroj za pristup web sučelju. Također je potrebno da stroj ima pristup Internetu. Postavimo sučelje. Trebamo samo port1. Njime ćemo se spojiti na web sučelje, a služit će nam i za pristup internetu. Za ažuriranje usluga (antivirusni potpisi itd.) potreban je pristup internetu. Za konfiguraciju unesite naredbe:
konfiguracijsko sučelje sustava
uredi port 1
postavi IP 192.168.1.40 255.255.255.0
postaviti dopušteni pristup https http ssh ping
kraj
Sada postavimo usmjeravanje. Da biste to učinili, unesite sljedeće naredbe:
ruta konfiguracijskog sustava
uredi 1
postaviti gateway 192.168.1.1
postaviti sučelje port1
kraj
Prilikom unosa naredbi možete koristiti kartice kako biste izbjegli njihovo upisivanje u cijelosti. Također, ako zaboravite koja bi naredba trebala doći sljedeća, možete koristiti tipku “?”.
Sada provjerimo vašu internetsku vezu. Da biste to učinili, pingajte Google DNS:
Kao što vidite, imamo internet. Početne postavke koje su specifične za sve Fortinet uređaje su završene, sada možete nastaviti s konfiguracijom putem web sučelja. Da biste to učinili, otvorite kontrolnu stranicu:
Imajte na umu da trebate slijediti poveznicu u formatu /admin. U protivnom nećete moći doći do kontrolne stranice. Prema zadanim postavkama, stranica je u standardnom načinu konfiguracije. Za postavke trebamo napredni način rada. Idemo na izbornik admin->View i prebacimo način na Advanced:
Sada moramo preuzeti probnu licencu. To možete učiniti u izborniku Informacije o licenci → VM → Ažuriranje:
Ako nemate probnu licencu, možete je zatražiti kontaktiranjem .
Nakon unosa licence, uređaj bi se trebao ponovno pokrenuti. U budućnosti će početi povlačiti ažuriranja svojih baza podataka s poslužitelja. Ako se to ne dogodi automatski, možete otići u izbornik Sustav → FortiGuard i kliknuti gumb Ažuriraj sada na karticama Antivirus, Antispam.
Ako to ne pomogne, možete promijeniti portove koji se koriste za ažuriranja. Obično se nakon toga pojavljuju sve licence. Na kraju bi to trebalo izgledati ovako:
Postavimo točnu vremensku zonu, ovo će biti korisno prilikom pregledavanja zapisa. Da biste to učinili, idite na izbornik Sustav → Konfiguracija:
Također ćemo konfigurirati DNS. Kao glavni DNS server postavit ćemo interni DNS server, a kao rezervni ostavit ćemo DNS server kojeg nam daje Fortinet.
Sada prijeđimo na najzanimljivije. Kao što ste mogli primijetiti, prema zadanim postavkama uređaj je postavljen na pristupni način rada. Dakle, ne trebamo ga mijenjati. Idemo u polje Domena i korisnik → Domena. Kreirajmo novu domenu koju treba zaštititi. Ovdje samo trebamo navesti naziv domene i adresu poslužitelja e-pošte (možete navesti i naziv njegove domene, u našem slučaju mail.test.local):
Sada moramo dati naziv za naš mail gateway. Koristit će se u MX i A zapisima, koje ćemo kasnije morati promijeniti:
Stavke Naziv hosta i Naziv lokalne domene čine FQDN koji se koristi u DNS zapisima. U našem slučaju, FQDN = fortimail.test.local.
Sada postavimo pravilo primanja. Trebamo sve e-poruke koje dolaze izvana i dodijeljene su korisniku u domeni da budu proslijeđene na poslužitelj pošte. Da biste to učinili, idite na izbornik Pravila → Kontrola pristupa. Primjer postavljanja prikazan je u nastavku:
Pogledajmo karticu Pravila primatelja. Ovdje možete postaviti određena pravila za provjeru poruka: ako pošta dolazi s domene example1.com, trebate je provjeriti mehanizmima konfiguriranim posebno za ovu domenu. Već postoji zadano pravilo za svu poštu i za sada nam to odgovara. Ovo pravilo možete vidjeti na slici ispod:
Ovo dovršava postavljanje na FortiMailu. Zapravo, postoji mnogo više mogućih parametara, ali ako počnemo razmatrati sve njih, možemo napisati knjigu :) A naš cilj je pokrenuti FortiMail u testnom načinu rada uz minimalan napor.
Preostale su dvije stvari - promijeniti MX i A zapise, te također promijeniti pravila za prosljeđivanje portova na vatrozidu.
MX zapis test.local -> mail.test.local 10 potrebno je promijeniti u test.local -> fortimail.test.local 10. Ali obično se tijekom pilotiranja dodaje drugi MX zapis višeg prioriteta. Na primjer:
test.local -> mail.test.local 10
test.local -> fortimail.test.local 5
Dopustite mi da vas podsjetim da što je niži broj preferencija poslužitelja e-pošte u MX zapisu, to je njegov prioritet veći.
Zapis se ne može mijenjati, pa kreirajmo novi: fortimail.test.local -> 10.10.30.210. Vanjski korisnik će adresirati 10.10.30.210 na portu 25, a vatrozid će proslijediti vezu FortiMailu.
Kako biste promijenili pravilo prosljeđivanja na FortiGateu, trebate promijeniti adresu u odgovarajućem Virtual IP objektu:
Sve je spremno. Provjerimo. Pošaljimo ponovno e-poštu s računala vanjskog korisnika. Sada idemo na FortiMail u izborniku Monitor → Dnevnici. U polju Povijest možete vidjeti zapis da je pismo prihvaćeno. Za više informacija možete desnom tipkom miša kliknuti unos i odabrati Detalji:
Za potpunu sliku, provjerimo može li FortiMail u trenutnoj konfiguraciji blokirati e-poštu koja sadrži spam i viruse. Da bismo to učinili, pošaljimo testni virus eicar i testni email koji se nalazi u jednoj od baza podataka neželjene pošte (http://untroubled.org/spam/). Nakon toga, vratimo se na izbornik za prikaz dnevnika:
Kao što vidite, i spam i pismo s virusom uspješno su identificirani.
Ova je konfiguracija dovoljna za osnovnu zaštitu od virusa i neželjene pošte. Ali funkcionalnost FortiMail-a nije ograničena na ovo. Za učinkovitiju zaštitu potrebno je proučiti dostupne mehanizme i prilagoditi ih svojim potrebama. U budućnosti planiramo pokriti i druge, naprednije značajke ovog pristupnika e-pošte.
Ako imate bilo kakvih poteškoća ili pitanja u vezi rješenja, napišite ih u komentarima, pokušat ćemo odgovoriti u najkraćem roku.
Možete ostaviti zahtjev za probnu licencu za testiranje rješenja .
Autor: Aleksej Nikulin. Inženjer informacijske sigurnosti Fortiservice.
Izvor: www.habr.com