Բարի գալուստ Այսօր մենք ձեզ կասենք, թե ինչպես կատարել փոստային դարպասի սկզբնական կարգավորումները – Fortinet էլփոստի անվտանգության լուծումներ: Հոդվածի ընթացքում մենք կդիտարկենք դասավորությունը, որի հետ կաշխատենք և կկատարենք կոնֆիգուրացիան , անհրաժեշտ է նամակներ ստանալու և ստուգելու համար, և մենք կփորձարկենք նաև դրա կատարումը։ Ելնելով մեր փորձից՝ մենք կարող ենք վստահորեն ասել, որ գործընթացը շատ պարզ է, և նույնիսկ նվազագույն կոնֆիգուրացիայից հետո դուք կարող եք տեսնել արդյունքներ:
Սկսենք ընթացիկ դասավորությունից: Այն ներկայացված է ստորև բերված նկարում:
Աջ կողմում մենք տեսնում ենք արտաքին օգտատիրոջ համակարգիչը, որից փոստ կուղարկենք օգտատիրոջը ներքին ցանցում: Ներքին ցանցը պարունակում է օգտատիրոջ համակարգիչ, տիրույթի վերահսկիչ, որի վրա աշխատում է DNS սերվեր, և փոստային սերվեր: Ցանցի եզրին կա firewall - FortiGate, որի հիմնական առանձնահատկությունն է կարգավորել SMTP և DNS տրաֆիկի վերահասցեավորումը:
Եկեք հատուկ ուշադրություն դարձնենք DNS-ին։
Գոյություն ունեն երկու DNS գրառումներ, որոնք օգտագործվում են ինտերնետում էլփոստը ուղղորդելու համար՝ A գրառումը և MX գրառումը: Սովորաբար, այս DNS գրառումները կազմաձևվում են հանրային DNS սերվերի վրա, բայց դասավորության սահմանափակումների պատճառով մենք պարզապես փոխանցում ենք DNS-ը firewall-ի միջոցով (այսինքն՝ արտաքին օգտագործողն ունի 10.10.30.210 հասցեն գրանցված որպես DNS սերվեր):
MX գրառումը գրառում է, որը պարունակում է տիրույթը սպասարկող փոստային սերվերի անունը, ինչպես նաև այս փոստի սերվերի առաջնահերթությունը: Մեր դեպքում այն ունի հետևյալ տեսքը՝ test.local -> mail.test.local 10:
Գրառումը ռեկորդ է, որը փոխակերպում է տիրույթի անունը IP հասցեի, մեզ համար այն է՝ mail.test.local -> 10.10.30.210:
Երբ մեր արտաքին օգտվողը փորձում է նամակ ուղարկել [էլեկտրոնային փոստով պաշտպանված], այն կհարցնի իր DNS MX սերվերին test.local տիրույթի գրանցման համար: Մեր DNS սերվերը կպատասխանի փոստային սերվերի անունով՝ mail.test.local: Այժմ օգտատերը պետք է ստանա այս սերվերի IP հասցեն, այնպես որ նա կրկին մուտք է գործում DNS-ի A գրառումը և ստանում է IP հասցեն 10.10.30.210 (այո, նորից իր :) ): Դուք կարող եք նամակ ուղարկել: Հետևաբար, այն փորձում է կապ հաստատել 25-րդ նավահանգստում ստացված IP հասցեի հետ: Օգտագործելով firewall-ի կանոնները՝ այս կապը փոխանցվում է փոստի սերվերին:
Եկեք ստուգենք փոստի ֆունկցիոնալությունը դասավորության ներկա վիճակում: Դա անելու համար մենք կօգտագործենք swaks կոմունալը արտաքին օգտագործողի համակարգչում: Նրա օգնությամբ դուք կարող եք ստուգել SMTP-ի կատարումը՝ հասցեատիրոջը նամակ ուղարկելով տարբեր պարամետրերով: Նախկինում փոստային սերվերում արդեն ստեղծվել է փոստարկղ ունեցող օգտվող [էլեկտրոնային փոստով պաշտպանված]. Փորձենք նրան նամակ ուղարկել.
Այժմ եկեք գնանք ներքին օգտագործողի մեքենա և համոզվեք, որ նամակը հասել է.
Նամակն իրականում ժամանել է (այն ընդգծված է ցանկում): Սա նշանակում է, որ դասավորությունը ճիշտ է աշխատում: Այժմ ժամանակն է անցնել FortiMail-ին: Եկեք մեր դասավորությանը ավելացնենք.
FortiMail-ը կարող է տեղակայվել երեք ռեժիմով.
- Gateway - գործում է որպես լիարժեք MTA. այն վերցնում է ամբողջ փոստը, ստուգում այն և այնուհետև այն փոխանցում է փոստային սերվերին.
- Թափանցիկ - կամ այլ կերպ ասած, թափանցիկ ռեժիմ: Այն տեղադրված է սերվերի դիմաց և ստուգում է մուտքային և ելքային նամակները: Դրանից հետո այն փոխանցում է սերվերին։ Չի պահանջում փոփոխություններ ցանցի կազմաձևում:
- Սերվեր - այս դեպքում FortiMail-ը լիարժեք փոստային սերվեր է՝ փոստարկղեր ստեղծելու, նամակներ ստանալու և ուղարկելու, ինչպես նաև այլ գործառույթներով։
Մենք կտեղակայենք FortiMail-ը Gateway ռեժիմում: Եկեք գնանք վիրտուալ մեքենայի կարգավորումներին: Մուտքը ադմինիստրատոր է, գաղտնաբառ նշված չէ: Երբ առաջին անգամ մուտք եք գործում, պետք է նոր գաղտնաբառ սահմանեք:
Այժմ եկեք կարգավորենք վիրտուալ մեքենան, որպեսզի մուտք գործի վեբ ինտերֆեյս: Անհրաժեշտ է նաև, որ մեքենան ունենա ինտերնետ հասանելիություն: Եկեք կարգավորենք ինտերֆեյսը: Մեզ պետք է միայն port1: Նրա օգնությամբ մենք միանալու ենք վեբ ինտերֆեյսին, այն կօգտագործվի նաև ինտերնետ մուտք գործելու համար։ Ծառայությունները թարմացնելու համար անհրաժեշտ է ինտերնետ հասանելիություն (հակավիրուսային ստորագրություններ և այլն): Կազմաձևման համար մուտքագրեք հրամանները.
կազմաձևման համակարգի ինտերֆեյս
խմբագրել պորտը 1
սահմանել IP 192.168.1.40 255.255.255.0
սահմանել թույլտվություն https http ssh ping
վերջ
Այժմ եկեք կարգավորենք երթուղիավորումը: Դա անելու համար հարկավոր է մուտքագրել հետևյալ հրամանները.
կազմաձևման համակարգի երթուղին
խմբագրել 1
սահմանել դարպաս 192.168.1.1
սահմանել ինտերֆեյսի պորտ 1
վերջ
Հրամաններ մուտքագրելիս կարող եք օգտագործել ներդիրները՝ դրանք ամբողջությամբ մուտքագրելուց խուսափելու համար: Բացի այդ, եթե մոռանում եք, թե որ հրամանը պետք է հաջորդ լինի, կարող եք օգտագործել «?» ստեղնը:
Հիմա եկեք ստուգենք ձեր ինտերնետ կապը: Դա անելու համար եկեք Google DNS-ի ping-ը կատարենք.
Ինչպես տեսնում եք, մենք այժմ ունենք ինտերնետ: Fortinet-ի բոլոր սարքերի համար բնորոշ սկզբնական կարգավորումներն ավարտվել են, և այժմ կարող եք վեբ ինտերֆեյսի միջոցով անցնել կազմաձևմանը: Դա անելու համար բացեք կառավարման էջը.
Խնդրում ենք նկատի ունենալ, որ դուք պետք է հետևեք ձևաչափով հղմանը /ադմին. Հակառակ դեպքում, դուք չեք կարողանա մուտք գործել կառավարման էջ: Լռելյայնորեն, էջը գտնվում է ստանդարտ կազմաձևման ռեժիմում: Կարգավորումների համար մեզ անհրաժեշտ է Ընդլայնված ռեժիմ: Եկեք գնանք ադմինիստրատոր->Դիտել ընտրացանկը և ռեժիմը փոխարկենք Ընդլայնվածի:
Այժմ մենք պետք է ներբեռնենք փորձնական լիցենզիան: Դա կարելի է անել Լիցենզիայի մասին մենյուում → VM → Թարմացնել.
Եթե դուք չունեք փորձնական լիցենզիա, կարող եք պահանջել այն՝ կապվելով .
Լիցենզիան մուտքագրելուց հետո սարքը պետք է վերաբեռնվի: Ապագայում այն կսկսի սերվերներից իր տվյալների բազաների թարմացումները հանել: Եթե դա ինքնաբերաբար տեղի չունենա, կարող եք գնալ System → FortiGuard մենյու և Antivirus, Antispam ներդիրներում սեղմեք «Թարմացնել հիմա» կոճակը:
Եթե դա չի օգնում, կարող եք փոխել թարմացումների համար օգտագործվող նավահանգիստները: Սովորաբար դրանից հետո հայտնվում են բոլոր լիցենզիաները: Վերջում այն պետք է այսպիսի տեսք ունենա.
Եկեք կարգավորենք ճիշտ ժամային գոտին, դա օգտակար կլինի տեղեկամատյանները ուսումնասիրելիս: Դա անելու համար անցեք Համակարգ → Կազմաձևման ընտրացանկ.
Մենք նաև կկարգավորենք DNS-ը: Մենք կկարգավորենք ներքին DNS սերվերը որպես հիմնական DNS սերվեր, իսկ Fortinet-ի կողմից տրամադրված DNS սերվերը կթողնենք որպես պահեստային:
Հիմա եկեք անցնենք զվարճալի հատվածին: Ինչպես նկատել եք, սարքը լռելյայն կարգավորված է Gateway ռեժիմում: Հետեւաբար, մենք կարիք չունենք այն փոխելու։ Եկեք գնանք Domain & User → Domain դաշտ: Եկեք ստեղծենք նոր տիրույթ, որը պետք է պաշտպանված լինի: Այստեղ մենք միայն պետք է նշենք դոմենի անունը և փոստային սերվերի հասցեն (կարող եք նաև նշել դրա տիրույթի անունը, մեր դեպքում՝ mail.test.local):
Այժմ մենք պետք է անուն տանք մեր փոստի դարպասի համար: Սա կօգտագործվի MX և A գրառումներում, որոնք մենք պետք է փոխենք ավելի ուշ.
Host Name և Local Domain Name կետերից կազմվում է FQDN-ը, որն օգտագործվում է DNS գրառումներում։ Մեր դեպքում՝ FQDN = fortimail.test.local:
Այժմ եկեք սահմանենք ընդունման կանոնը: Մեզ անհրաժեշտ են բոլոր էլ. նամակները, որոնք գալիս են դրսից և նշանակված են տիրույթում գտնվող օգտատիրոջը՝ փոստային սերվերին փոխանցելու համար: Դա անելու համար անցեք մենյու Քաղաքականություն → Մուտքի վերահսկում: Կարգավորման օրինակը ներկայացված է ստորև.
Եկեք նայենք Ստացողի քաղաքականություն ներդիրին: Այստեղ դուք կարող եք որոշակի կանոններ սահմանել տառերը ստուգելու համար. եթե նամակը գալիս է example1.com տիրույթից, ապա այն պետք է ստուգեք հատուկ այս տիրույթի համար կազմաձևված մեխանիզմներով: Արդեն կա լռելյայն կանոն բոլոր փոստերի համար, և առայժմ դա մեզ հարմար է: Այս կանոնը կարող եք տեսնել ստորև բերված նկարում.
Այս պահին FortiMail-ի կարգավորումը կարելի է ավարտված համարել: Իրականում շատ ավելի շատ հնարավոր պարամետրեր կան, բայց եթե սկսենք դրանք բոլորը դիտարկել, կարող ենք գիրք գրել :) Եվ մեր նպատակն է նվազագույն ջանքերով գործարկել FortiMail-ը թեստային ռեժիմով:
Մնացել է երկու բան՝ փոխել MX և A գրառումները, ինչպես նաև փոխել պորտի փոխանցման կանոնները firewall-ում:
MX գրառումը test.local -> mail.test.local 10-ը պետք է փոխվի test.local -> fortimail.test.local 10-ի: Բայց սովորաբար օդաչուների ժամանակ ավելացվում է երկրորդ MX գրառումը ավելի բարձր առաջնահերթությամբ: Օրինակ:
test.local -> mail.test.local 10
test.local -> fortimail.test.local 5
Հիշեցնեմ, որ որքան փոքր է փոստի սերվերի նախապատվության հերթական թիվը MX գրառումում, այնքան բարձր է դրա առաջնահերթությունը։
Եվ մուտքը հնարավոր չէ փոխել, ուստի մենք պարզապես կստեղծենք նորը՝ fortimail.test.local -> 10.10.30.210: Արտաքին օգտատերը կկապվի 10.10.30.210 հասցեով 25-րդ նավահանգստում, և firewall-ը կապը կփոխանցի FortiMail-ին:
FortiGate-ի վերահասցեավորման կանոնը փոխելու համար անհրաժեշտ է փոխել հասցեն համապատասխան Վիրտուալ IP օբյեկտում.
Ամեն ինչ պատրաստ է։ Եկեք ստուգենք. Նամակը նորից ուղարկենք արտաքին օգտագործողի համակարգչից։ Այժմ եկեք գնանք FortiMail Monitor → Logs ընտրացանկում: Պատմություն դաշտում կարող եք տեսնել նամակն ընդունված գրառումը: Լրացուցիչ տեղեկությունների համար կարող եք աջ սեղմել մուտքի վրա և ընտրել Մանրամասն՝
Պատկերը լրացնելու համար եկեք ստուգենք, արդյոք FortiMail-ն իր ներկայիս կազմաձևով կարող է արգելափակել սպամ և վիրուսներ պարունակող էլ. Դա անելու համար մենք կուղարկենք eicar թեստային վիրուսը և փորձնական նամակ, որը գտնվում է սպամի փոստի տվյալների բազաներից մեկում (http://untroubled.org/spam/): Դրանից հետո եկեք վերադառնանք մատյանների դիտման ընտրացանկ.
Ինչպես տեսնում ենք, և՛ սպամը, և՛ վիրուսով նամակը հաջողությամբ հայտնաբերվել են:
Այս կոնֆիգուրացիան բավարար է վիրուսներից և սպամից հիմնական պաշտպանություն ապահովելու համար: Բայց FortiMail-ի ֆունկցիոնալությունը սրանով չի սահմանափակվում։ Ավելի արդյունավետ պաշտպանության համար դուք պետք է ուսումնասիրեք առկա մեխանիզմները և հարմարեցնեք դրանք ձեր կարիքներին համապատասխան: Ապագայում մենք նախատեսում ենք ընդգծել այս փոստի դարպասի այլ, ավելի առաջադեմ առանձնահատկությունները:
Եթե լուծման հետ կապված որևէ դժվարություն կամ հարց ունեք, գրեք դրանք մեկնաբանություններում, մենք կփորձենք արագ պատասխանել դրանց։
Լուծումը փորձարկելու համար կարող եք ներկայացնել փորձնական լիցենզիա ստանալու հարցում .
Հեղինակ՝ Ալեքսեյ Նիկուլին։ Տեղեկատվական անվտանգության ինժեներ Fortiservice.
Source: www.habr.com