FortiMail - クイック起動構成

いらっしゃいませ！ 今回はメールゲートウェイの初期設定方法を説明します。 フォーティメール – フォーティネットの電子メール セキュリティ ソリューション。 この記事では、使用するレイアウトを確認し、構成を実行します。 フォーティメール、手紙の受信と確認に必要であり、そのパフォーマンスもテストします。 私たちの経験に基づいて、このプロセスは非常にシンプルであり、最小限の構成を行った後でも結果を確認できると安全に言えます。

現在のレイアウトから始めましょう。 それを下の図に示します。


右側には外部ユーザーのコンピューターが表示されており、そこから内部ネットワーク上のユーザーにメールが送信されます。 内部ネットワークには、ユーザーのコンピュータ、DNS サーバーが実行されているドメイン コントローラー、およびメール サーバーが含まれています。 ネットワークのエッジにはファイアウォール - FortiGate があり、その主な機能は SMTP および DNS トラフィック転送を構成することです。

DNS には特に注意してください。

インターネット上で電子メールをルーティングするために使用される DNS レコードは、A レコードと MX レコードの 10.10.30.210 つです。 通常、これらの DNS レコードはパブリック DNS サーバー上に構成されますが、レイアウトの制限により、単にファイアウォール経由で DNS を転送します (つまり、外部ユーザーのアドレス XNUMX が DNS サーバーとして登録されています)。

MX レコードは、ドメインにサービスを提供するメール サーバーの名前と、このメール サーバーの優先順位を含むレコードです。 この例では、test.local -> mail.test.local 10 のようになります。

レコードはドメイン名を IP アドレスに変換するレコードで、ここでは mail.test.local -> 10.10.30.210 となります。

外部ユーザーが電子メールを送信しようとしたとき [メール保護]、DNS MX サーバーに test.local ドメイン レコードをクエリします。 DNS サーバーはメール サーバーの名前 mail.test.local で応答します。 ここで、ユーザーはこのサーバーの IP アドレスを取得する必要があるため、A レコードの DNS に再度アクセスし、IP アドレス 10.10.30.210 を受け取ります (はい、また :) )。 手紙を送ることができます。 したがって、ポート 25 で受信した IP アドレスへの接続を確立しようとします。 ファイアウォールのルールを使用して、この接続はメール サーバーに転送されます。

現在のレイアウト状態でメールの機能を確認してみましょう。 これを行うには、外部ユーザーのコンピュータで swaks ユーティリティを使用します。 これを利用すると、さまざまなパラメーターのセットを含むレターを受信者に送信して、SMTP のパフォーマンスをテストできます。 以前は、メールボックスを持つユーザーがメール サーバー上にすでに作成されていました。 [メール保護]。 彼に手紙を送ってみましょう:

次に、内部ユーザーのマシンに移動して、手紙が到着していることを確認しましょう。

手紙は実際に届きました (リスト内で強調表示されています)。 これは、レイアウトが正しく機能していることを意味します。 今度は FortiMail に移ります。 レイアウトに追加しましょう:

FortiMail は XNUMX つのモードで展開できます。

• ゲートウェイ - 本格的な MTA として機能します。すべてのメールを引き継ぎ、チェックして、メール サーバーに転送します。
• 透過 - 言い換えれば、透過モード。 サーバーの前にインストールされ、送受信メールをチェックします。 その後、サーバーに送信します。 ネットワーク構成を変更する必要はありません。
• サーバー - この場合、FortiMail は、メールボックスの作成、メールの送受信、その他の機能を備えた本格的なメール サーバーです。

FortiMail をゲートウェイ モードで展開します。 仮想マシンの設定に進みましょう。 ログインは admin で、パスワードは指定されていません。 初めてログインするときは、新しいパスワードを設定する必要があります。

次に、Web インターフェイスにアクセスするように仮想マシンを構成しましょう。 マシンがインターネットにアクセスできることも必要です。 インターフェースを設定しましょう。 必要なのはポート1だけです。 その助けを借りて、Web インターフェイスに接続し、インターネットにアクセスするためにも使用されます。 サービス (ウイルス対策シグネチャなど) を更新するには、インターネット アクセスが必要です。 設定するには、次のコマンドを入力します。

システムインターフェイスの設定
ポート1を編集
IP を設定 192.168.1.40 255.255.255.0
許可アクセス https http ssh ping を設定します
end

次に、ルーティングを設定しましょう。 これを行うには、次のコマンドを入力する必要があります。

システムルートの設定
1を編集
ゲートウェイ192.168.1.1を設定
インターフェイスポート1を設定します
end

コマンドを入力するときにタブを使用すると、コマンドを完全に入力することを避けることができます。 また、次にどのコマンドを入力するかを忘れた場合は、「?」キーを使用できます。
次に、インターネット接続を確認してみましょう。 これを行うには、Google DNS に ping を送信しましょう。

ご覧のとおり、今ではインターネットがあります。 すべてのフォーティネット デバイスに共通の初期設定が完了したので、Web インターフェイス経由で設定に進むことができます。 これを行うには、管理ページを開きます。

次の形式のリンクをたどる必要があることに注意してください。 /管理者。 そうしないと管理ページにアクセスできなくなります。 デフォルトでは、ページは標準構成モードです。 設定には詳細モードが必要です。 [管理] -> [表示] メニューに移動し、モードを [詳細] に切り替えましょう。

次に、試用版ライセンスをダウンロードする必要があります。 これは、[ライセンス情報] → [VM] → [更新] メニューで実行できます。

試用版ライセンスをお持ちでない場合は、お問い合わせいただくことで試用版ライセンスをリクエストできます。 私たち.

ライセンスを入力した後、デバイスは再起動する必要があります。 将来的には、サーバーからデータベースへの更新を取得し始める予定です。 これが自動的に行われない場合は、「システム」→「FortiGuard」メニューに移動し、「ウイルス対策」、「スパム対策」タブで「今すぐ更新」ボタンをクリックします。

これで問題が解決しない場合は、更新に使用するポートを変更できます。 通常、この後にすべてのライセンスが表示されます。 最終的には次のようになります。

正しいタイムゾーンを設定しましょう。これはログを調べるときに役立ちます。 これを行うには、「システム」→「構成」メニューに移動します。

DNSの設定も行います。 内部 DNS サーバーをメイン DNS サーバーとして構成し、フォーティネットが提供する DNS サーバーをバックアップとして残します。

さて、楽しい部分に移りましょう。 お気づきかと思いますが、デバイスはデフォルトでゲートウェイ モードに設定されています。 したがって、変更する必要はありません。 「ドメインとユーザー」→「ドメイン」フィールドに移動しましょう。 保護する必要がある新しいドメインを作成しましょう。 ここでは、ドメイン名とメール サーバー アドレスを指定するだけです (ドメイン名を指定することもできます。この場合は mail.test.local)。

次に、メールゲートウェイの名前を指定する必要があります。 これは MX レコードと A レコードで使用され、後で変更する必要があります。

ホスト名とローカル ドメイン名のポイントから FQDN がコンパイルされ、DNS レコードで使用されます。 この例では、FQDN = fortimail.test.local です。

次に、受信ルールを設定しましょう。 外部から送信され、ドメイン内のユーザーに割り当てられているすべての電子メールをメール サーバーに転送する必要があります。 これを行うには、メニューの「ポリシー」→「アクセス制御」に移動します。 設定例を以下に示します。

[受信者ポリシー] タブを見てみましょう。 ここで、文字をチェックするための特定のルールを設定できます。メールがドメイン example1.com から送信された場合、このドメイン用に特別に構成されたメカニズムを使用してメールをチェックする必要があります。 すべてのメールに対するデフォルトのルールがすでに存在しており、現時点ではそれが適切です。 このルールは次の図で確認できます。

この時点で、FortiMail のセットアップは完了したと見なされます。 実際には、さらに多くの可能なパラメータがありますが、それらをすべて検討し始めると、本が XNUMX 冊書けます :) そして、私たちの目標は、最小限の労力で FortiMail をテスト モードで起動することです。

残っている作業は XNUMX つあります。MX レコードと A レコードを変更すること、そしてファイアウォールのポート転送ルールを変更することです。

MX レコード test.local -> mail.test.local 10 は test.local -> fortimail.test.local 10 に変更する必要があります。ただし、通常はパイロット中に、優先度の高い XNUMX 番目の MX レコードが追加されます。 例えば：

テスト.ローカル -> メール.テスト.ローカル 10
test.local -> fortimail.test.local 5

MX レコード内のメール サーバー設定の序数が小さいほど、優先度が高くなります。

このエントリは変更できないため、fortimail.test.local -> 10.10.30.210 という新しいエントリを作成します。 外部ユーザーがポート 10.10.30.210 のアドレス 25 に接続すると、ファイアウォールは接続を FortiMail に転送します。

FortiGate の転送ルールを変更するには、対応する仮想 IP オブジェクトのアドレスを変更する必要があります。

すべて準備が整いました。 確認しよう。 外部ユーザーのコンピュータから再度レターを送信してみましょう。 次に、「Monitor」→「Logs」メニューの「FortiMail」に移動しましょう。 「履歴」フィールドには、レターが受理されたという記録が表示されます。 詳細については、エントリを右クリックして [詳細] を選択します。

全体像を完成させるために、現在の構成で FortiMail がスパムやウイルスを含む電子メールをブロックできるかどうかを確認してみましょう。 これを行うために、スパム メール データベース (http://untroubled.org/spam/) の XNUMX つで見つかった eicar テスト ウイルスとテスト レターを送信します。 この後、ログ表示メニューに戻りましょう。

ご覧のとおり、スパムとウイルス付きの手紙の両方が正常に識別されました。

この構成は、ウイルスやスパムに対する基本的な保護を提供するには十分です。 ただし、FortiMail の機能はこれに限定されません。 より効果的な保護を実現するには、利用可能なメカニズムを検討し、ニーズに合わせてカスタマイズする必要があります。 将来的には、このメール ゲートウェイの他のより高度な機能を紹介する予定です。

解決策に関して問題や質問がある場合は、コメントに書き込んでください。すぐに回答するよう努めます。

ソリューションをテストするために試用版ライセンスのリクエストを送信できます ここで.

著者：アレクセイ・ニクリン。 情報セキュリティエンジニアFortiservice。

出所： habr.com