Benvenuto! Oggi ti diremo come effettuare le impostazioni iniziali del gateway di posta – Soluzioni Fortinet per la sicurezza della posta elettronica. Durante l'articolo esamineremo il layout con cui lavoreremo ed eseguiremo la configurazione , necessario per ricevere e controllare le lettere, e ne testeremo anche le prestazioni. In base alla nostra esperienza, possiamo tranquillamente affermare che il processo è molto semplice e anche dopo una configurazione minima è possibile vedere i risultati.
Cominciamo con il layout attuale. È mostrato nella figura seguente.
A destra vediamo il computer dell'utente esterno, dal quale invieremo la posta all'utente sulla rete interna. La rete interna contiene il computer dell'utente, un controller di dominio su cui è in esecuzione un server DNS e un server di posta. Ai margini della rete c'è un firewall: FortiGate, la cui caratteristica principale è configurare l'inoltro del traffico SMTP e DNS.
Prestiamo particolare attenzione al DNS.
Esistono due record DNS utilizzati per instradare la posta elettronica su Internet: il record A e il record MX. In genere, questi record DNS sono configurati su un server DNS pubblico, ma a causa delle limitazioni del layout, inoltriamo semplicemente il DNS attraverso il firewall (ovvero, l'utente esterno ha l'indirizzo 10.10.30.210 registrato come server DNS).
Il record MX è un record contenente il nome del server di posta che serve il dominio, nonché la priorità di questo server di posta. Nel nostro caso appare così: test.local -> mail.test.local 10.
Un record è un record che converte un nome di dominio in un indirizzo IP, per noi è: mail.test.local -> 10.10.30.210.
Quando il nostro utente esterno tenta di inviare un'e-mail a [email protected], interrogherà il proprio server DNS MX per il record del dominio test.local. Il nostro server DNS risponderà con il nome del server di posta: mail.test.local. Ora l'utente deve ottenere l'indirizzo IP di questo server, quindi accede nuovamente al DNS per il record A e riceve l'indirizzo IP 10.10.30.210 (sì, ancora il suo :)). Puoi inviare una lettera. Tenta quindi di stabilire una connessione con l'indirizzo IP ricevuto sulla porta 25. Utilizzando le regole sul firewall, questa connessione viene inoltrata al server di posta.
Controlliamo la funzionalità della posta nello stato attuale del layout. Per fare ciò, utilizzeremo l'utilità swaks sul computer dell'utente esterno. Con il suo aiuto, puoi testare le prestazioni di SMTP inviando al destinatario una lettera con una serie di vari parametri. In precedenza, sul server di posta era già stato creato un utente con una casella di posta [email protected]. Proviamo a mandargli una lettera:
Ora andiamo sulla macchina dell'utente interno e assicuriamoci che la lettera sia arrivata:
La lettera è effettivamente arrivata (è evidenziata nell'elenco). Ciò significa che il layout funziona correttamente. Ora è il momento di passare a FortiMail. Aggiungiamo al nostro layout:
FortiMail può essere distribuito in tre modalità:
- Gateway: funge da MTA a tutti gli effetti: prende in carico tutta la posta, la controlla e quindi la inoltra al server di posta;
- Trasparente - o in altre parole, modalità trasparente. Viene installato davanti al server e controlla la posta in entrata e in uscita. Successivamente, lo trasmette al server. Non richiede modifiche alla configurazione di rete.
- Server: in questo caso, FortiMail è un server di posta a tutti gli effetti con la possibilità di creare caselle di posta, ricevere e inviare posta, nonché altre funzionalità.
Distribuiremo FortiMail in modalità Gateway. Andiamo alle impostazioni della macchina virtuale. L'accesso è admin, non è specificata alcuna password. Quando accedi per la prima volta è necessario impostare una nuova password.
Ora configuriamo la macchina virtuale per accedere all'interfaccia web. È inoltre necessario che la macchina abbia accesso a Internet. Impostiamo l'interfaccia. Abbiamo solo bisogno della porta 1. Con il suo aiuto ci collegheremo all'interfaccia web e verrà utilizzato anche per accedere a Internet. L'accesso a Internet è necessario per aggiornare i servizi (firme antivirus, ecc.). Per la configurazione inserire i comandi:
interfaccia del sistema di configurazione
modifica la porta 1
imposta ip 192.168.1.40 255.255.255.0
imposta il ping consenti accesso https http ssh
fine
Ora configuriamo il routing. Per fare ciò è necessario inserire i seguenti comandi:
percorso del sistema di configurazione
modifica 1
impostare il gateway 192.168.1.1
impostare la porta di interfaccia 1
fine
Quando inserisci i comandi, puoi utilizzare le tabulazioni per evitare di digitarli per intero. Inoltre, se dimentichi quale comando dovrebbe essere successivo, puoi utilizzare il tasto "?".
Ora controlliamo la tua connessione Internet. Per fare ciò, eseguiamo il ping di Google DNS:
Come puoi vedere, ora abbiamo Internet. Le impostazioni iniziali tipiche di tutti i dispositivi Fortinet sono state completate ed è ora possibile procedere alla configurazione tramite l'interfaccia web. Per fare ciò, apri la pagina di gestione:
Tieni presente che devi seguire il collegamento nel formato /admin. In caso contrario non potrai accedere alla pagina di gestione. Per impostazione predefinita, la pagina è in modalità di configurazione standard. Per le impostazioni abbiamo bisogno della modalità avanzata. Andiamo al menu admin->Visualizza e passiamo alla modalità Avanzata:
Ora dobbiamo scaricare la licenza di prova. Questo può essere fatto nel menu Informazioni sulla licenza → VM → Aggiornamento:
Se non disponi di una licenza di prova, puoi richiederne una contattando .
Dopo aver inserito la licenza, il dispositivo dovrebbe riavviarsi. In futuro, inizierà a prelevare aggiornamenti ai suoi database dai server. Se ciò non avviene automaticamente, puoi andare nel menu Sistema → FortiGuard e nelle schede Antivirus, Antispam fare clic sul pulsante Aggiorna ora.
Se questo non aiuta, puoi cambiare le porte utilizzate per gli aggiornamenti. Di solito dopo vengono visualizzate tutte le licenze. Alla fine dovrebbe assomigliare a questo:
Impostiamo il fuso orario corretto, questo sarà utile durante l'esame dei log. Per fare ciò, andare al menu Sistema → Configurazione:
Configureremo anche il DNS. Configureremo il server DNS interno come server DNS principale e lasceremo il server DNS fornito da Fortinet come quello di backup.
Adesso passiamo alla parte divertente. Come avrai notato, il dispositivo è impostato sulla modalità Gateway per impostazione predefinita. Pertanto, non è necessario modificarlo. Andiamo al campo Dominio e Utente → Dominio. Creiamo un nuovo dominio che deve essere protetto. Qui dobbiamo solo specificare il nome del dominio e l'indirizzo del server di posta (puoi anche specificare il nome del dominio, nel nostro caso mail.test.local):
Ora dobbiamo fornire un nome per il nostro gateway di posta. Questo verrà utilizzato nei record MX e A, che dovremo modificare in seguito:
Dai punti Nome host e Nome dominio locale viene compilato l'FQDN utilizzato nei record DNS. Nel nostro caso, FQDN = fortimail.test.local.
Ora impostiamo la regola di ricezione. Abbiamo bisogno che tutte le email provenienti dall'esterno e assegnate a un utente del dominio vengano inoltrate al server di posta. Per fare ciò, vai al menu Policy → Controllo accessi. Di seguito è mostrato un esempio di configurazione:
Diamo un'occhiata alla scheda Criterio destinatario. Qui puoi impostare alcune regole per il controllo delle lettere: se la posta proviene dal dominio esempio1.com, devi controllarla con meccanismi configurati appositamente per questo dominio. Esiste già una regola predefinita per tutta la posta e per ora ci va bene. Puoi vedere questa regola nella figura seguente:
A questo punto il setup su FortiMail può considerarsi concluso. In effetti, i parametri possibili sono molti di più, ma se iniziassimo a considerarli tutti, potremmo scrivere un libro :) E il nostro obiettivo è avviare FortiMail in modalità test con il minimo sforzo.
Rimangono due cose: modificare i record MX e A e modificare anche le regole di port forwarding sul firewall.
Il record MX test.local -> mail.test.local 10 deve essere cambiato in test.local -> fortimail.test.local 10. Ma di solito durante i progetti pilota viene aggiunto un secondo record MX con una priorità più alta. Per esempio:
test.local -> mail.test.local 10
test.local -> fortimail.test.local 5
Permettimi di ricordarti che minore è il numero ordinale della preferenza del server di posta nel record MX, maggiore è la sua priorità.
E la voce non può essere modificata, quindi ne creeremo semplicemente una nuova: fortimail.test.local -> 10.10.30.210. Un utente esterno contatterà l'indirizzo 10.10.30.210 sulla porta 25 e il firewall inoltrerà la connessione a FortiMail.
Per modificare la regola di forwarding su FortiGate, è necessario modificare l'indirizzo nell'oggetto IP virtuale corrispondente:
Tutto è pronto. Controlliamo. Inviamo nuovamente la lettera dal computer dell'utente esterno. Andiamo ora su FortiMail nel menu Monitor → Logs. Nel campo Cronologia puoi vedere un record che indica che la lettera è stata accettata. Per ulteriori informazioni, è possibile fare clic con il tasto destro sulla voce e selezionare Dettagli:
Per completare il quadro, controlliamo se FortiMail nella sua configurazione attuale può bloccare le email contenenti spam e virus. Per fare ciò, invieremo il virus di prova eicar e una lettera di prova trovata in uno dei database di posta spam (http://untroubled.org/spam/). Fatto ciò torniamo al menù di visualizzazione log:
Come possiamo vedere, sia lo spam che una lettera contenente un virus sono stati identificati con successo.
Questa configurazione è sufficiente per fornire una protezione di base contro virus e spam. Ma la funzionalità di FortiMail non si limita a questo. Per una protezione più efficace, è necessario studiare i meccanismi disponibili e personalizzarli in base alle proprie esigenze. In futuro, prevediamo di evidenziare altre funzionalità più avanzate di questo gateway di posta.
Se hai difficoltà o domande riguardanti la soluzione, scrivile nei commenti, cercheremo di risponderti tempestivamente.
È possibile inviare una richiesta per una licenza di prova per testare la soluzione .
Autore: Alexey Nikulin. Ingegnere per la Sicurezza delle Informazioni Fortiservice.
Fonte: habr.com