Selamat datang! Hari ini kami akan memberi tahu Anda cara membuat pengaturan awal gateway email β Solusi keamanan email Fortinet. Selama artikel ini kita akan melihat tata letak yang akan kita kerjakan dan melakukan konfigurasi , diperlukan untuk menerima dan memeriksa surat, dan kami juga akan menguji kinerjanya. Berdasarkan pengalaman kami, kami dapat mengatakan bahwa prosesnya sangat sederhana, dan bahkan setelah konfigurasi minimal Anda dapat melihat hasilnya.
Mari kita mulai dengan tata letak saat ini. Hal ini ditunjukkan pada gambar di bawah ini.
Di sebelah kanan kita melihat komputer pengguna eksternal, dari mana kita akan mengirim email ke pengguna di jaringan internal. Jaringan internal berisi komputer pengguna, pengontrol domain dengan server DNS yang berjalan di dalamnya, dan server email. Di tepi jaringan terdapat firewall - FortiGate, fitur utamanya adalah mengkonfigurasi penerusan lalu lintas SMTP dan DNS.
Mari beri perhatian khusus pada DNS.
Ada dua data DNS yang digunakan untuk merutekan email di Internetβdata A dan data MX. Biasanya, catatan DNS ini dikonfigurasi pada server DNS publik, namun karena keterbatasan tata letak, kami hanya meneruskan DNS melalui firewall (yaitu, pengguna eksternal memiliki alamat 10.10.30.210 yang terdaftar sebagai server DNS).
Data MX adalah data yang berisi nama server email yang melayani domain, serta prioritas server email tersebut. Dalam kasus kami tampilannya seperti ini: test.local -> mail.test.local 10.
Record adalah record yang mengubah nama domain menjadi alamat IP, bagi kami adalah: mail.test.local -> 10.10.30.210.
Saat pengguna eksternal kami mencoba mengirim email ke [email dilindungi], ia akan menanyakan server DNS MX-nya untuk catatan domain test.local. Server DNS kami akan merespons dengan nama server email - mail.test.local. Sekarang pengguna perlu mendapatkan alamat IP server ini, jadi dia kembali mengakses DNS untuk catatan A dan menerima alamat IP 10.10.30.210 (ya, dia lagi :)). Anda dapat mengirim surat. Oleh karena itu, ia mencoba membuat sambungan ke alamat IP yang diterima pada port 25. Menggunakan aturan di firewall, koneksi ini diteruskan ke server email.
Mari kita periksa fungsionalitas email dalam kondisi tata letak saat ini. Untuk melakukan ini, kita akan menggunakan utilitas swaks di komputer pengguna eksternal. Dengan itu, Anda dapat menguji kinerja SMTP dengan mengirimkan surat kepada penerima dengan serangkaian parameter berbeda. Sebelumnya, pengguna dengan kotak surat telah dibuat di server surat [email dilindungi]. Mari kita coba mengiriminya surat:
Sekarang mari kita pergi ke mesin pengguna internal dan pastikan suratnya telah sampai:
Surat itu benar-benar sampai (disorot dalam daftar). Ini berarti tata letaknya berfungsi dengan benar. Sekarang saatnya beralih ke FortiMail. Mari tambahkan ke tata letak kita:
FortiMail dapat digunakan dalam tiga mode:
- Gateway - bertindak sebagai MTA lengkap: ia mengambil alih semua email, memeriksanya, dan kemudian meneruskannya ke server email;
- Transparan - atau dengan kata lain, mode transparan. Itu dipasang di depan server dan memeriksa email masuk dan keluar. Setelah itu, ia mengirimkannya ke server. Tidak memerlukan perubahan konfigurasi jaringan.
- Server - dalam hal ini, FortiMail adalah server email lengkap dengan kemampuan untuk membuat kotak surat, menerima dan mengirim email, serta fungsi lainnya.
Kami akan menyebarkan FortiMail dalam mode Gateway. Mari pergi ke pengaturan mesin virtual. Login adalah admin, tidak ada kata sandi yang ditentukan. Saat Anda login untuk pertama kali, Anda harus menyetel kata sandi baru.
Sekarang mari kita konfigurasikan mesin virtual untuk mengakses antarmuka web. Mesin juga perlu memiliki akses Internet. Mari kita atur antarmukanya. Kami hanya membutuhkan port1. Dengan bantuannya kita akan terhubung ke antarmuka web, dan itu juga akan digunakan untuk mengakses Internet. Akses internet diperlukan untuk memperbarui layanan (tanda tangan antivirus, dll). Untuk konfigurasi, masukkan perintah:
antarmuka sistem konfigurasi
edit port 1
atur ipnya 192.168.1.40 255.255.255.0
atur izinkan akses https http ssh ping
akhir
Sekarang mari kita konfigurasikan perutean. Untuk melakukan ini, Anda perlu memasukkan perintah berikut:
konfigurasi rute sistem
mengedit 1
atur gerbang 192.168.1.1
mengatur port antarmuka1
akhir
Saat memasukkan perintah, Anda dapat menggunakan tab untuk menghindari mengetikkannya secara penuh. Selain itu, jika Anda lupa perintah mana yang harus dilakukan selanjutnya, Anda dapat menggunakan tombol β?β.
Sekarang mari kita periksa koneksi Internet Anda. Untuk melakukan ini, mari kita ping ke Google DNS:
Seperti yang Anda lihat, kita sekarang memiliki Internet. Pengaturan awal yang umum untuk semua perangkat Fortinet telah selesai, dan kini Anda dapat melanjutkan ke konfigurasi melalui antarmuka web. Untuk melakukan ini, buka halaman manajemen:
Harap dicatat bahwa Anda harus mengikuti tautan dalam format /admin. Jika tidak, Anda tidak akan dapat mengakses halaman manajemen. Secara default, halaman berada dalam mode konfigurasi standar. Untuk pengaturan kita memerlukan mode Lanjutan. Mari masuk ke menu admin->Lihat dan alihkan mode ke Tingkat Lanjut:
Sekarang kita perlu mengunduh lisensi uji coba. Ini dapat dilakukan di menu Informasi Lisensi β VM β Perbarui:
Jika Anda tidak memiliki lisensi uji coba, Anda dapat memintanya dengan menghubungi .
Setelah memasukkan lisensi, perangkat harus reboot. Di masa depan, ia akan mulai menarik pembaruan ke basis datanya dari server. Jika ini tidak terjadi secara otomatis, Anda dapat masuk ke menu Sistem β FortiGuard dan di tab Antivirus, Antispam klik tombol Perbarui Sekarang.
Jika ini tidak membantu, Anda dapat mengubah port yang digunakan untuk pembaruan. Biasanya setelah ini semua lisensi muncul. Pada akhirnya akan terlihat seperti ini:
Mari kita atur zona waktu yang benar, ini akan berguna saat memeriksa log. Untuk melakukan ini, buka menu Sistem β Konfigurasi:
Kami juga akan mengkonfigurasi DNS. Kami akan mengkonfigurasi server DNS internal sebagai server DNS utama, dan membiarkan server DNS yang disediakan oleh Fortinet sebagai server cadangan.
Sekarang mari kita beralih ke bagian yang menyenangkan. Seperti yang mungkin Anda ketahui, perangkat diatur ke mode Gateway secara default. Oleh karena itu, kita tidak perlu mengubahnya. Mari kita pergi ke bidang Domain & Pengguna β Domain. Mari buat domain baru yang perlu dilindungi. Di sini kita hanya perlu menentukan nama domain dan alamat server email (Anda juga dapat menentukan nama domainnya, dalam kasus kami mail.test.local):
Sekarang kita perlu memberikan nama untuk gateway email kita. Ini akan digunakan dalam data MX dan A, yang perlu kita ubah nanti:
FQDN dikompilasi dari poin Nama Host dan Nama Domain Lokal, yang digunakan dalam catatan DNS. Dalam kasus kami, FQDN = fortimail.test.local.
Sekarang mari kita siapkan aturan penerimaannya. Kami memerlukan semua email yang datang dari luar dan ditugaskan ke pengguna di domain untuk diteruskan ke server email. Untuk melakukan ini, buka menu Kebijakan β Kontrol Akses. Contoh pengaturannya ditunjukkan di bawah ini:
Mari kita lihat tab Kebijakan Penerima. Di sini Anda dapat menetapkan aturan tertentu untuk memeriksa surat: jika email berasal dari domain example1.com, Anda perlu memeriksanya dengan mekanisme yang dikonfigurasi khusus untuk domain ini. Sudah ada aturan default untuk semua email, dan untuk saat ini aturan tersebut cocok untuk kita. Anda dapat melihat aturan ini pada gambar di bawah ini:
Sampai di sini, pengaturan pada FortiMail dapat dianggap selesai. Sebenarnya, ada lebih banyak kemungkinan parameter, tetapi jika kita mulai mempertimbangkan semuanya, kita bisa menulis buku :) Dan tujuan kami adalah meluncurkan FortiMail dalam mode uji dengan sedikit usaha.
Ada dua hal yang tersisa - mengubah data MX dan A, dan juga mengubah aturan penerusan port di firewall.
Data MX test.local -> mail.test.local 10 harus diubah menjadi test.local -> fortimail.test.local 10. Namun biasanya selama uji coba, data MX kedua dengan prioritas lebih tinggi ditambahkan. Misalnya:
tes.lokal -> surat.tes.lokal 10
tes.lokal -> fortimail.tes.lokal 5
Izinkan saya mengingatkan Anda bahwa semakin rendah nomor urut preferensi server email dalam data MX, semakin tinggi prioritasnya.
Dan entry-nya tidak bisa diubah, jadi kita buat saja yang baru: fortimail.test.local -> 10.10.30.210. Pengguna eksternal akan menghubungi alamat 10.10.30.210 pada port 25, dan firewall akan meneruskan koneksi ke FortiMail.
Untuk mengubah aturan penerusan di FortiGate, Anda perlu mengubah alamat di objek IP Virtual yang sesuai:
Semuanya sudah siap. Mari kita periksa. Mari kita kirim lagi surat itu dari komputer pengguna eksternal. Sekarang mari kita pergi ke FortiMail di menu Monitor β Logs. Di kolom History Anda dapat melihat catatan bahwa surat itu diterima. Untuk informasi lebih lanjut, Anda dapat mengklik kanan entri tersebut dan memilih Detail:
Untuk melengkapi gambarannya, mari kita periksa apakah FortiMail dalam konfigurasinya saat ini dapat memblokir email yang berisi spam dan virus. Untuk melakukan ini, kami akan mengirimkan virus tes eicar dan surat tes yang ditemukan di salah satu database email spam (http://untroubled.org/spam/). Setelah ini, mari kembali ke menu tampilan log:
Seperti yang bisa kita lihat, spam dan surat yang mengandung virus berhasil diidentifikasi.
Konfigurasi ini cukup untuk memberikan perlindungan dasar terhadap virus dan spam. Namun fungsi FortiMail tidak terbatas pada hal ini. Untuk perlindungan yang lebih efektif, Anda perlu mempelajari mekanisme yang tersedia dan menyesuaikannya dengan kebutuhan Anda. Di masa depan, kami berencana untuk menyoroti fitur-fitur lain yang lebih canggih dari gateway email ini.
Jika Anda memiliki kesulitan atau pertanyaan mengenai solusinya, tulis di komentar, kami akan mencoba menjawabnya segera.
Anda dapat mengajukan permintaan lisensi uji coba untuk menguji solusinya .
Penulis: Alexei Nikulin. Insinyur Keamanan Informasi Fortiservice.
Sumber: www.habr.com