ברוך הבא! היום נספר לכם כיצד לבצע את ההגדרות הראשוניות של שער הדואר – פתרונות אבטחת דוא"ל של Fortinet. במהלך המאמר נשקול את הפריסה איתה נעבוד, נבצע את התצורה , הנחוץ לקבלת מכתבים ובדיקתם, וכן לבדוק את ביצועיו. בהתבסס על הניסיון שלנו, אנו יכולים לומר בבטחה שהתהליך פשוט מאוד, וגם לאחר הגדרה מינימלית, אתה יכול לראות את התוצאות.
נתחיל עם הפריסה הנוכחית. זה מוצג באיור למטה.
בצד ימין נראה את המחשב של המשתמש החיצוני, ממנו נשלח דואר למשתמש ברשת הפנימית. מחשב המשתמש, בקר תחום עם שרת DNS ושרת דואר נמצאים ברשת הפנימית. בקצה הרשת יש חומת אש - FortiGate, שהמאפיין העיקרי שלה הוא הגדרת העברת תעבורת SMTP ו-DNS.
בואו נשים לב במיוחד ל-DNS.
שתי רשומות DNS משמשות לניתוב דואר אלקטרוני באינטרנט, רשומת A ורשומת MX. בדרך כלל, רשומות DNS אלו מוגדרות בשרת DNS ציבורי, אך עקב מגבלות פריסה, אנו פשוט מעבירים DNS דרך חומת האש (כלומר, למשתמש החיצוני יש את הכתובת 10.10.30.210 כשרת ה-DNS).
רשומת MX - רשומה המכילה את שם שרת הדואר המשרת את הדומיין, וכן את העדיפות של שרת הדואר הזה. במקרה שלנו, זה נראה כך: test.local -> mail.test.local 10.
רשומה היא רשומה שממירה שם דומיין לכתובת IP, יש לנו את זה: mail.test.local -> 10.10.30.210.
כאשר המשתמש החיצוני שלנו ינסה לשלוח מייל אל an@test.local, הוא ישאל את שרת ה-DNS שלו עבור רשומת ה-MX של הדומיין test.local. שרת ה-DNS שלנו יגיב עם שם שרת הדואר - mail.test.local. כעת המשתמש צריך לקבל את כתובת ה-IP של השרת הזה, אז הוא שוב יוצר קשר עם DNS לרישום A ומקבל את כתובת ה-IP 10.10.30.210 (כן, זה שוב שלו :) ). אתה יכול לשלוח מכתב. לכן, הוא מנסה ליצור חיבור עם כתובת ה-IP שהתקבלה ביציאה 25. באמצעות כללי חומת אש, חיבור זה מועבר לשרת הדואר.
בואו נבדוק את הפונקציונליות של הדואר במצב הנוכחי של הפריסה. לשם כך, נשתמש בכלי השירות swaks במחשב של המשתמש החיצוני. בעזרתו תוכלו לבדוק את הפונקציונליות של SMTP על ידי שליחת מכתב לנמען עם קבוצה של פרמטרים שונים. כשלב מקדים, כבר נוצר בשרת הדואר משתמש עם תיבת הדואר an@test.local. בוא ננסה לשלוח לו מכתב:
כעת נעבור למכשיר של המשתמש הפנימי ונוודא שהמכתב הגיע:
המכתב באמת הגיע (הוא מודגש ברשימה). אז הפריסה עובדת כמו שצריך. הגיע הזמן לעבור ל-FortiMail. בואו נוסיף את הפריסה שלנו:
ניתן לפרוס את FortiMail בשלושה מצבים:
- שער - פועל כ-MTA מלא: הוא לוקח את כל הדואר על עצמו, בודק אותו ואז מעביר אותו לשרת הדואר;
- שקוף - או אחרת, מצב שקוף. מותקן מול השרת ובודק דואר נכנס ויוצא. לאחר מכן, הוא שולח אותו לשרת. אין צורך בשינויים בתצורת הרשת.
- שרת - במקרה זה, FortiMail הוא שרת דואר מן המניין עם יכולת ליצור תיבות דואר, לקבל ולשלוח דואר, כמו גם עם פונקציונליות נוספת.
אנו נפרוס את FortiMail במצב שער. בוא נעבור להגדרות המכונה הווירטואלית. הכניסה היא אדמין, הסיסמה לא מוגדרת. כאשר אתה נכנס לראשונה, עליך להגדיר סיסמה חדשה.
עכשיו בואו נגדיר את המכונה הוירטואלית לגשת לממשק האינטרנט. כמו כן, יש צורך שלמכונה תהיה גישה לאינטרנט. בואו נגדיר את הממשק. אנחנו צריכים רק יציאה 1. בעזרתו נתחבר לממשק האינטרנט, והוא ישמש גם לגישה לאינטרנט. יש צורך בגישה לאינטרנט כדי לעדכן שירותים (חתימות אנטי וירוס וכו'). כדי להגדיר, הזן את הפקודות:
ממשק מערכת תצורה
ערוך יציאה 1
הגדר ip 192.168.1.40 255.255.255.0
הגדר לאפשר גישה https http ssh ping
סוף
עכשיו בואו נגדיר את הניתוב. לשם כך, הזן את הפקודות הבאות:
מסלול מערכת התצורה
ערוך 1
הגדר שער 192.168.1.1
הגדר יציאת ממשק 1
סוף
בעת הזנת פקודות, תוכל להשתמש בכרטיסיות כדי להימנע מהקלדתן במלואן. כמו כן, אם שכחת איזו פקודה אמורה לעבור, תוכל להשתמש במקש "?".
כעת בוא נבדוק את חיבור האינטרנט שלך. כדי לעשות זאת, פינג ל-Google DNS:
כפי שאתה יכול לראות, יש לנו אינטרנט. ההגדרות הראשוניות הספציפיות לכל מכשירי Fortinet הושלמו, כעת ניתן להמשיך לתצורה דרך ממשק האינטרנט. כדי לעשות זאת, פתח את דף הבקרה:
שים לב שאתה צריך לעקוב אחר הקישור בפורמט /admin. אחרת, לא תוכל להגיע לדף הניהול. כברירת מחדל, העמוד נמצא במצב תצורה רגיל. עבור הגדרות, אנחנו צריכים מצב מתקדם. בוא נעבור לתפריט admin->תצוגה ונעבור את המצב למתקדם:
כעת עלינו להוריד את רישיון הניסיון. אתה יכול לעשות זאת בתפריט פרטי רישיון ← VM ← עדכון:
אם אין לך רישיון ניסיון, תוכל לבקש אותו על ידי פנייה .
לאחר הזנת הרישיון, המכשיר אמור לאתחל. בעתיד, היא תתחיל למשוך עדכונים של מסדי הנתונים שלה מהשרתים. אם זה לא קורה אוטומטית, אתה יכול ללכת לתפריט מערכת → FortiGuard וללחוץ על כפתור עדכן עכשיו בלשוניות אנטי וירוס, אנטי ספאם.
אם זה לא עוזר, אתה יכול לשנות את היציאות המשמשות לעדכונים. בדרך כלל לאחר מכן מופיעים כל הרישיונות. בסופו של דבר זה אמור להיראות כך:
בואו נגדיר את אזור הזמן הנכון, זה יהיה שימושי בעת בחינת היומנים. כדי לעשות זאת, עבור אל מערכת → תפריט תצורה:
אנו גם נגדיר את ה-DNS. כשרת ה-DNS הראשי, נגדיר שרת DNS פנימי, וכגיבוי נעזוב את שרת ה-DNS שמספק Fortinet.
עכשיו נעבור למעניין ביותר. כפי שאולי שמתם לב, כברירת מחדל המכשיר מוגדר למצב שער. אז אנחנו לא צריכים לשנות את זה. בוא נעבור לשדה דומיין ומשתמש → דומיין. בואו ניצור דומיין חדש שצריך להגן עליו. כאן אנחנו צריכים רק לציין את שם הדומיין וכתובת שרת הדואר (ניתן לציין גם את שם הדומיין שלו, במקרה שלנו mail.test.local):
כעת עלינו לספק שם לשער הדואר שלנו. הוא ישמש ברשומות MX ו-A, אותן נצטרך לשנות מאוחר יותר:
הפריטים שם מארח ושם תחום מקומי יוצרים את ה-FQDN, המשמש ברשומות DNS. במקרה שלנו, FQDN = fortimail.test.local.
עכשיו בואו נגדיר את כלל הקבלה. אנחנו צריכים את כל המיילים שמגיעים מבחוץ ומוקצים למשתמש בדומיין כדי שיועברו לשרת הדואר. לשם כך, עבור לתפריט מדיניות ← בקרת גישה. דוגמה להגדרה מוצגת להלן:
בואו נסתכל על הכרטיסייה 'מדיניות נמענים'. כאן אתה יכול להגדיר כללים מסוימים לבדיקת הודעות: אם דואר מגיע מהדומיין example1.com, עליך לבדוק זאת באמצעות מנגנונים שהוגדרו במיוחד עבור הדומיין הזה. יש כבר כלל ברירת מחדל לכל הדואר, ולעת עתה זה מתאים לנו. אתה יכול לראות את הכלל הזה באיור למטה:
זה משלים את ההגדרה ב-FortiMail. למעשה, יש עוד הרבה פרמטרים אפשריים, אבל אם נתחיל לשקול את כולם, נוכל לכתוב ספר :) והמטרה שלנו היא להפעיל את FortiMail במצב בדיקה במינימום מאמץ.
נותרו שני דברים - שנה את רשומות ה-MX ו-A, וגם שנה את כללי העברת הפורטים בחומת האש.
יש לשנות את רשומת ה-MX test.local -> mail.test.local 10 ל-test.local -> fortimail.test.local 10. אבל בדרך כלל מתווספת רשומת MX בעדיפות שנייה גבוהה יותר במהלך פיילוטים. לדוגמה:
test.local -> mail.test.local 10
test.local -> fortimail.test.local 5
הרשו לי להזכיר לכם שככל שמספר ההעדפות של שרת הדואר ברשומת ה-MX נמוך יותר, כך העדיפות שלו גבוהה יותר.
לא ניתן לשנות רשומה, אז בואו פשוט ניצור רשומה חדשה: fortimail.test.local -> 10.10.30.210. המשתמש החיצוני יפנה ל-10.10.30.210 ביציאה 25 וחומת האש תעביר את החיבור ל-FortiMail.
על מנת לשנות את כלל ההעברה ב-FortiGate, עליך לשנות את הכתובת באובייקט ה-IP הוירטואלי המתאים:
הכל מוכן. בוא נבדוק. בוא נשלח שוב מייל מהמחשב של המשתמש החיצוני. כעת נעבור ל-FortiMail בתפריט Monitor → Logs. בשדה היסטוריה, ניתן לראות תיעוד שהמכתב התקבל. למידע נוסף, ניתן ללחוץ לחיצה ימנית על הערך ולבחור פרטים:
כדי להשלים את התמונה, בואו נבדוק אם FortiMail בתצורה הנוכחית יכולה לחסום מיילים המכילים דואר זבל ווירוסים. לשם כך, בוא נשלח וירוס eicar לבדיקה ודוא"ל בדיקה שנמצא באחד ממאגרי הספאם (http://untroubled.org/spam/). לאחר מכן, בוא נחזור לתפריט תצוגת היומן:
כפי שאתה יכול לראות, הן ספאם והן מכתב עם וירוס זוהו בהצלחה.
תצורה זו מספיקה כדי לספק הגנה בסיסית מפני וירוסים ודואר זבל. אבל הפונקציונליות של FortiMail אינה מוגבלת לכך. להגנה יעילה יותר, עליך ללמוד את המנגנונים הזמינים ולהתאים אותם לצרכים שלך. בעתיד, אנו מתכננים לכסות תכונות אחרות ומתקדמות יותר של שער הדואר הזה.
אם יש לכם קשיים או שאלות לגבי הפתרון, כתבו אותם בהערות, אנו נשתדל לענות עליהן בהקדם.
ניתן להשאיר בקשה לרישיון ניסיון לבדיקת הפתרון .
מחבר: אלכסיי ניקולין. מהנדס אבטחת מידע Fortiservice.
מקור: www.habr.com
