Üdvözöljük! Ma elmondjuk, hogyan kell elvégezni a levelezőátjáró kezdeti beállításait – Fortinet e-mail biztonsági megoldások. A cikk során megnézzük az elrendezést, amellyel dolgozni fogunk, és elvégezzük a konfigurációt , a levelek fogadásához és ellenőrzéséhez szükséges, és a teljesítményét is teszteljük. Tapasztalataink alapján bátran kijelenthetjük, hogy a folyamat nagyon egyszerű, és már minimális konfiguráció után is látható az eredmény.
Kezdjük az aktuális elrendezéssel. Az alábbi ábrán látható.
A jobb oldalon a külső felhasználó számítógépét látjuk, ahonnan leveleket küldünk a belső hálózaton lévő felhasználónak. A belső hálózat tartalmazza a felhasználó számítógépét, egy tartományvezérlőt, amelyen DNS-kiszolgáló fut, valamint egy levelezőszervert. A hálózat szélén van egy tűzfal - FortiGate, amelynek fő funkciója az SMTP és a DNS forgalomtovábbítás konfigurálása.
Különös figyelmet fordítsunk a DNS-re.
Két DNS-rekordot használnak az e-mailek interneten történő átirányítására: az A-rekordot és az MX-rekordot. Általában ezek a DNS-rekordok egy nyilvános DNS-kiszolgálón vannak beállítva, de az elrendezési korlátok miatt egyszerűen továbbítjuk a DNS-t a tűzfalon keresztül (vagyis a külső felhasználónak a 10.10.30.210 címe van regisztrálva DNS-kiszolgálóként).
Az MX rekord egy rekord, amely tartalmazza a tartományt kiszolgáló levelezőszerver nevét, valamint ennek a levelezőszervernek a prioritását. Esetünkben így néz ki: test.local -> mail.test.local 10.
A rekord egy olyan rekord, amely egy domain nevet IP-címmé alakít át, nálunk ez: mail.test.local -> 10.10.30.210.
Amikor külső felhasználónk e-mailt próbál küldeni a címre [e-mail védett], lekérdezi a DNS MX-kiszolgálójától a test.local tartományrekordot. DNS-szerverünk a levelezőszerver nevével válaszol - mail.test.local. Most a felhasználónak meg kell szereznie ennek a szervernek az IP-címét, így ismét hozzáfér a DNS-hez az A rekordhoz, és megkapja a 10.10.30.210 IP-címet (igen, megint az övé :) ). Küldhetsz levelet. Ezért megpróbál kapcsolatot létesíteni a kapott IP-címmel a 25-ös porton. A tűzfal szabályai alapján ez a kapcsolat továbbítódik a levelezőszerverhez.
Ellenőrizzük a levél működőképességét az elrendezés aktuális állapotában. Ehhez a swaks segédprogramot fogjuk használni a külső felhasználó számítógépén. Segítségével tesztelheti az SMTP teljesítményét úgy, hogy elküldi a címzettnek egy levelet különféle paraméterekkel. Korábban egy postafiókkal rendelkező felhasználó már létrejött a levelezőszerveren [e-mail védett]. Próbáljunk levelet küldeni neki:
Most menjünk a belső felhasználó gépére, és győződjön meg arról, hogy megérkezett a levél:
A levél valóban megérkezett (a listában kiemelve van). Ez azt jelenti, hogy az elrendezés megfelelően működik. Itt az ideje, hogy továbblépjünk a FortiMailre. Adjuk hozzá az elrendezésünkhöz:
A FortiMail három módban telepíthető:
- Gateway - teljes értékű MTA-ként működik: átveszi az összes levelet, ellenőrzi, majd továbbítja a levelezőszervernek;
- Transparent - vagy más szóval átlátszó mód. A szerver elé telepítve ellenőrzi a bejövő és kimenő leveleket. Ezt követően továbbítja a szervernek. Nem igényel változtatást a hálózati konfigurációban.
- Szerver - ebben az esetben a FortiMail egy teljes értékű levelezőszerver, amely képes postafiókok létrehozására, levelek fogadására és küldésére, valamint egyéb funkciókra.
A FortiMail-t átjáró módban fogjuk telepíteni. Menjünk a virtuális gép beállításaihoz. A bejelentkezés admin, jelszó nincs megadva. Amikor először jelentkezik be, új jelszót kell beállítania.
Most állítsuk be a virtuális gépet a webes felület eléréséhez. Az is szükséges, hogy a gép rendelkezzen internet-hozzáféréssel. Állítsuk be a felületet. Csak a port1-re van szükségünk. Segítségével kapcsolódunk a webes felületre, illetve internetelérésre is használható lesz. A szolgáltatások frissítéséhez (víruskereső aláírások stb.) internet-hozzáférés szükséges. A konfigurációhoz írja be a következő parancsokat:
konfigurációs rendszer interfész
1-es port szerkesztése
ip beállítása 192.168.1.40 255.255.255.0
állítsa be a https http ssh ping engedélyezését
végén
Most konfiguráljuk az útválasztást. Ehhez a következő parancsokat kell beírni:
konfigurációs rendszerútvonal
szerkesztés 1
beállított átjáró 192.168.1.1
állítsa be az interfész port1
végén
A parancsok beírásakor használhat tabulátorokat, hogy elkerülje a teljes beírásukat. Ezenkívül, ha elfelejti, melyik parancs következzen, használhatja a „?” billentyűt.
Most ellenőrizzük az internetkapcsolatot. Ehhez pingeljük le a Google DNS-t:
Amint látja, most már van internetünk. Az összes Fortinet eszközre jellemző kezdeti beállítások elkészültek, és a webes felületen keresztül tovább lehet konfigurálni. Ehhez nyissa meg a kezelési oldalt:
Kérjük, vegye figyelembe, hogy követnie kell a hivatkozást a formátumban /admin. Ellenkező esetben nem fog tudni hozzáférni a kezelőoldalhoz. Alapértelmezés szerint az oldal normál konfigurációs módban van. A beállításokhoz szükségünk van a Speciális módra. Lépjünk az admin->Nézet menübe, és állítsuk a módot Speciálisra:
Most le kell töltenünk a próba licencet. Ezt a Licencinformációk → VM → Frissítés menüpontban teheti meg:
Ha nem rendelkezik próbaengedéllyel, az elérhetőségen igényelheti .
A licenc megadása után az eszköznek újra kell indulnia. A jövőben megkezdi az adatbázisok frissítéseinek lekérését a szerverekről. Ha ez nem történik meg automatikusan, akkor lépjen a Rendszer → FortiGuard menübe, és az Antivirus, Antispam lapon kattintson a Frissítés most gombra.
Ha ez nem segít, módosíthatja a frissítésekhez használt portokat. Általában ezután minden licenc megjelenik. A végén így kell kinéznie:
Állítsuk be a megfelelő időzónát, ez hasznos lesz a naplók vizsgálatánál. Ehhez lépjen a Rendszer → Konfiguráció menübe:
A DNS-t is beállítjuk. A belső DNS-kiszolgálót konfiguráljuk fő DNS-kiszolgálóként, és a Fortinet által biztosított DNS-kiszolgálót hagyjuk tartalékként.
Most pedig térjünk át a szórakoztató részre. Amint azt valószínűleg észrevette, az eszköz alapértelmezés szerint átjáró módra van állítva. Ezért nem kell megváltoztatnunk. Menjünk a Domain & User → Domain mezőre. Hozzon létre egy új domaint, amelyet védeni kell. Itt csak a domain nevet és a levelezőszerver címét kell megadnunk (a domain nevét is megadhatjuk, esetünkben mail.test.local):
Most meg kell adnunk egy nevet a levelezési átjárónknak. Ezt az MX és A rekordok fogják használni, amelyeket később módosítanunk kell:
A gazdagépnév és a helyi tartománynév pontokból a rendszer lefordítja az FQDN-t, amelyet a DNS-rekordokban használnak. Esetünkben az FQDN = fortimail.test.local.
Most állítsuk be a fogadási szabályt. Minden olyan e-mailt, amely kívülről érkezik, és amely a domain egy felhasználójához van hozzárendelve, továbbítani kell a levelezőszervernek. Ehhez lépjen a Házirend → Hozzáférés-vezérlés menübe. Az alábbiakban egy példa beállítás látható:
Nézzük a Címzett szabályzat lapot. Itt beállíthat bizonyos szabályokat a levelek ellenőrzésére: ha a levél az example1.com tartományból érkezik, akkor azt a kifejezetten ehhez a tartományhoz konfigurált mechanizmusokkal kell ellenőriznie. Már minden levélre létezik egy alapértelmezett szabály, és egyelőre ez megfelel nekünk. Ezt a szabályt az alábbi ábrán láthatja:
Ezen a ponton a FortiMail beállítása befejezettnek tekinthető. Valójában több paraméter is lehetséges, de ha elkezdjük mindet mérlegelni, akkor írhatnánk egy könyvet :) A célunk pedig az, hogy a FortiMail-t teszt módban elindítsuk minimális erőfeszítéssel.
Két dolog van hátra: módosítsa az MX és A rekordokat, valamint módosítsa a porttovábbítási szabályokat a tűzfalon.
A test.local -> mail.test.local 10 MX rekordot test.local -> fortimail.test.local 10-re kell módosítani. De általában a pilotok során egy második, magasabb prioritású MX rekord is hozzáadásra kerül. Például:
test.local -> mail.test.local 10
test.local -> fortimail.test.local 5
Hadd emlékeztesselek arra, hogy minél kisebb a levelezőszerver-beállítás sorszáma az MX rekordban, annál magasabb a prioritása.
A bejegyzést pedig nem lehet megváltoztatni, ezért csak létrehozunk egy újat: fortimail.test.local -> 10.10.30.210. Egy külső felhasználó felveszi a kapcsolatot a 10.10.30.210 címmel a 25-ös porton, és a tűzfal továbbítja a kapcsolatot a FortiMail felé.
A FortiGate továbbítási szabályának megváltoztatásához meg kell változtatnia a címet a megfelelő virtuális IP objektumban:
Minden készen áll. Ellenőrizzük. Küldjük el újra a levelet a külső felhasználó számítógépéről. Most menjünk a FortiMailhez a Monitor → Naplók menüben. Az Előzmények mezőben láthatja a levél elfogadásáról szóló bejegyzést. További információért kattintson a jobb gombbal a bejegyzésre, és válassza a Részletek lehetőséget:
A kép teljessé tételéhez nézzük meg, hogy a FortiMail jelenlegi konfigurációjában képes-e blokkolni a spamet és vírusokat tartalmazó e-maileket. Ehhez elküldjük az eicar tesztvírust és egy tesztlevelet, amely az egyik spam levél adatbázisban található (http://untroubled.org/spam/). Ezek után térjünk vissza a naplómegtekintési menühöz:
Amint látjuk, a spamet és a vírusos levelet is sikeresen azonosították.
Ez a konfiguráció elegendő a vírusok és spam elleni alapvető védelem biztosításához. De a FortiMail funkcionalitása nem korlátozódik erre. A hatékonyabb védelem érdekében tanulmányoznia kell a rendelkezésre álló mechanizmusokat, és az igényeinek megfelelően testre kell szabnia azokat. A jövőben azt tervezzük, hogy kiemeljük ennek a levelezőátjárónak a további, fejlettebb funkcióit.
Ha bármilyen nehézsége vagy kérdése van a megoldással kapcsolatban, írja meg a megjegyzésekben, igyekszünk azonnal válaszolni rájuk.
A megoldás teszteléséhez próbalicenc iránti kérelmet nyújthat be .
Szerző: Alexey Nikulin. Információbiztonsági mérnök Fortiservice.
Forrás: will.com