Sugeng rawuh! Dina iki kita bakal pitutur marang kowe carane nggawe setelan awal saka mail gateway - Solusi keamanan email Fortinet. Sajrone artikel, kita bakal ndeleng tata letak sing bakal digarap lan nindakake konfigurasi kasebut , perlu kanggo nampa lan mriksa layang, lan kita uga bakal nyoba kinerja. Adhedhasar pengalaman kita, kita bisa kanthi aman ujar manawa proses kasebut gampang banget, lan sanajan konfigurasi minimal sampeyan bisa ndeleng asil.
Ayo dadi miwiti karo tata letak saiki. Iki ditampilake ing gambar ing ngisor iki.
Ing sisih tengen kita ndeleng komputer pangguna eksternal, saka ngendi kita bakal ngirim email menyang pangguna ing jaringan internal. Jaringan internal ngemot komputer pangguna, pengontrol domain kanthi server DNS sing mlaku, lan server mail. Ing pojok jaringan ana firewall - FortiGate, fitur utama yaiku ngatur SMTP lan lalu lintas DNS.
Ayo menehi perhatian khusus kanggo DNS.
Ana rong cathetan DNS sing digunakake kanggo ngarahake email ing Internet - rekaman A lan rekaman MX. Biasane, cathetan DNS iki dikonfigurasi ing server DNS umum, nanging amarga watesan tata letak, kita mung nerusake DNS liwat firewall (yaiku, pangguna eksternal duwe alamat 10.10.30.210 sing didaftar minangka server DNS).
Rekam MX minangka rekaman sing ngemot jeneng server mail sing nglayani domain, uga prioritas server mail iki. Ing kasus kita katon kaya iki: test.local -> mail.test.local 10.
Rekaman minangka rekaman sing ngowahi jeneng domain dadi alamat IP, kanggo kita yaiku: mail.test.local -> 10.10.30.210.
Nalika pangguna eksternal kita nyoba ngirim email menyang [email dilindhungi], bakal takon server DNS MX kanggo test.local domain rekaman. Server DNS kita bakal nanggapi kanthi jeneng server mail - mail.test.local. Saiki pangguna kudu njaluk alamat IP server iki, supaya maneh ngakses DNS kanggo rekaman A lan nampa alamat IP 10.10.30.210 (ya, maneh :) ). Sampeyan bisa ngirim layang. Mulane, nyoba nggawe sambungan menyang alamat IP sing ditampa ing port 25. Nggunakake aturan ing firewall, sambungan iki diterusake menyang server mail.
Ayo dipriksa fungsi surat ing tata letak saiki. Kanggo nindakake iki, kita bakal nggunakake sarana swaks ing komputer pangguna eksternal. Kanthi bantuan, sampeyan bisa nguji kinerja SMTP kanthi ngirim layang panampa kanthi macem-macem parameter. Sadurunge, pangguna karo kothak layang wis digawe ing server mail [email dilindhungi]. Ayo coba ngirim layang marang dheweke:
Saiki ayo menyang mesin pangguna internal lan priksa manawa surat kasebut wis teka:
Surat kasebut bener-bener teka (disorot ing dhaptar). Iki tegese tata letak bisa digunakake kanthi bener. Saiki iki wektu kanggo pindhah menyang FortiMail. Ayo ditambahake menyang tata letak kita:
FortiMail bisa disebarake ing telung mode:
- Gateway - tumindak minangka MTA lengkap: njupuk liwat kabeh mail, mriksa, banjur nerusake menyang server mail;
- Transparan - utawa kanthi tembung liyane, mode transparan. Iku wis diinstal ing ngarepe server lan mriksa mail mlebu lan metu. Sawise iku, ngirim menyang server. Ora mbutuhake owah-owahan ing konfigurasi jaringan.
- Server - ing kasus iki, FortiMail minangka server surat lengkap kanthi kemampuan kanggo nggawe kothak layang, nampa lan ngirim surat, uga fungsi liyane.
Kita bakal masang FortiMail ing mode Gateway. Ayo pindhah menyang setelan mesin virtual. Login iku admin, ora ana tembung sandhi. Nalika sampeyan mlebu pisanan, sampeyan kudu nyetel sandhi anyar.
Saiki ayo ngatur mesin virtual kanggo ngakses antarmuka web. Sampeyan uga perlu yen mesin duwe akses Internet. Ayo nyiyapake antarmuka. Kita mung butuh port1. Kanthi bantuan, kita bakal nyambung menyang antarmuka web, lan uga bakal digunakake kanggo ngakses Internet. Akses Internet dibutuhake kanggo nganyari layanan (tanda tangan antivirus, lsp.). Kanggo konfigurasi, ketik printah:
antarmuka sistem config
sunting port 1
nyetel ip 192.168.1.40 255.255.255.0
nyetel allowaccess https http ssh ping
ends
Saiki ayo ngatur rute. Kanggo nindakake iki, sampeyan kudu ngetik printah ing ngisor iki:
rute sistem config
suntingan 1
nyetel gateway 192.168.1.1
nyetel port antarmuka1
ends
Nalika ngetik printah, sampeyan bisa nggunakake tab supaya ora ngetik kanthi lengkap. Kajaba iku, yen sampeyan lali printah sing bakal teka sabanjure, sampeyan bisa nggunakake tombol "?".
Saiki ayo priksa sambungan Internet sampeyan. Kanggo nindakake iki, ayo ping Google DNS:
Kaya sing sampeyan ngerteni, saiki kita duwe Internet. Setelan awal sing khas kanggo kabeh piranti Fortinet wis rampung, lan sampeyan saiki bisa nerusake konfigurasi liwat antarmuka web. Kanggo nindakake iki, bukak kaca manajemen:
Elinga yen sampeyan kudu ngetutake link ing format kasebut /admin. Yen ora, sampeyan ora bakal bisa ngakses kaca manajemen. Kanthi gawan, kaca ana ing mode konfigurasi standar. Kanggo setelan kita kudu mode Lanjut. Ayo menyang admin-> Ndeleng menu lan ngalih mode menyang Advanced:
Saiki kita kudu ndownload lisensi uji coba. Iki bisa ditindakake ing menu Informasi Lisensi → VM → Nganyari:
Yen sampeyan ora duwe lisensi nyoba, sampeyan bisa njaluk kanthi ngubungi .
Sawise ngetik lisensi, piranti kudu urip maneh. Ing mangsa ngarep, bakal miwiti narik nganyari menyang database saka server. Yen iki ora kelakon kanthi otomatis, sampeyan bisa pindhah menyang Sistem → menu FortiGuard lan ing Antivirus, tab Antispam klik tombol Nganyari Saiki.
Yen iki ora mbantu, sampeyan bisa ngganti port sing digunakake kanggo nganyari. Biasane sawise iki kabeh lisensi katon. Ing pungkasan kudu katon kaya iki:
Ayo nyiyapake zona wektu sing bener, iki bakal migunani nalika mriksa log. Kanggo nindakake iki, pindhah menyang menu Sistem → Konfigurasi:
Kita uga bakal ngatur DNS. Kita bakal ngatur server DNS internal minangka server DNS utama, lan ninggalake server DNS sing diwenehake dening Fortinet minangka cadangan.
Saiki ayo pindhah menyang bagean sing nyenengake. Kaya sing wis dingerteni, piranti disetel menyang mode Gateway kanthi gawan. Mulane, kita ora perlu ngganti. Ayo pindhah menyang kolom Domain & Pangguna → Domain. Ayo nggawe domain anyar sing kudu direksa. Ing kene kita mung kudu nemtokake jeneng domain lan alamat server mail (sampeyan uga bisa nemtokake jeneng domain, ing kasus kita mail.test.local):
Saiki kita kudu menehi jeneng kanggo gateway mail kita. Iki bakal digunakake ing cathetan MX lan A, sing kudu diganti mengko:
Saka Host Name lan Local Domain Name point, FQDN dikompilasi, sing digunakake ing cathetan DNS. Ing kasus kita, FQDN = fortimail.test.local.
Saiki ayo nyetel aturan panampa. Kita butuh kabeh email sing teka saka njaba lan ditugasake menyang pangguna ing domain kanggo diterusake menyang server mail. Kanggo nindakake iki, pindhah menyang menu Kebijakan → Kontrol Akses. Conto persiyapan ditampilake ing ngisor iki:
Ayo katon ing tab Kabijakan Panampa. Ing kene sampeyan bisa nyetel aturan tartamtu kanggo mriksa huruf: yen email asale saka domain example1.com, sampeyan kudu mriksa kanthi mekanisme sing dikonfigurasi khusus kanggo domain iki. Wis ana aturan standar kanggo kabeh mail, lan saiki cocog karo kita. Sampeyan bisa ndeleng aturan iki ing gambar ing ngisor iki:
Ing wektu iki, persiyapan ing FortiMail bisa dianggep lengkap. Nyatane, ana akeh paramèter liyane, nanging yen kita miwiti considering kabeh, kita bisa nulis buku :) Lan goal kita kanggo miwiti FortiMail ing mode test karo minimal gaweyan.
Ana rong perkara sing isih ana - ngganti cathetan MX lan A, lan uga ngganti aturan port forwarding ing firewall.
MX rekaman test.local -> mail.test.local 10 kudu diganti test.local -> fortimail.test.local 10. Nanging biasane sak pilot rekaman MX kapindho karo prioritas sing luwih dhuwur ditambahake. Tuladhane:
test.local -> mail.test.local 10
test.local -> fortimail.test.local 5
Ayo kula ngelingake yen luwih murah nomer ordinal preferensi server mail ing rekaman MX, luwih dhuwur prioritase.
Lan entri ora bisa diganti, supaya kita mung bakal nggawe anyar: fortimail.test.local -> 10.10.30.210. Pangguna eksternal bakal ngubungi alamat 10.10.30.210 ing port 25, lan firewall bakal nerusake sambungan menyang FortiMail.
Kanggo ngganti aturan penerusan ing FortiGate, sampeyan kudu ngganti alamat ing obyek IP Virtual sing cocog:
Kabeh wis siyap. Ayo priksa. Ayo ngirim layang maneh saka komputer pangguna eksternal. Saiki ayo pindhah menyang FortiMail ing Monitor → menu Log. Ing lapangan Sejarah sampeyan bisa ndeleng cathetan manawa surat kasebut ditampa. Kanggo informasi luwih lengkap, sampeyan bisa klik-tengen ing entri banjur pilih Details:
Kanggo ngrampungake gambar, ayo priksa manawa FortiMail ing konfigurasi saiki bisa mblokir email sing ngemot spam lan virus. Kanggo nindakake iki, kita bakal ngirim virus tes eicar lan surat tes sing ditemokake ing salah sawijining database email spam (http://untroubled.org/spam/). Sawise iki, ayo bali menyang menu tampilan log:
Kaya sing kita deleng, spam lan layang kanthi virus wis kasil diidentifikasi.
Konfigurasi iki cukup kanggo menehi perlindungan dhasar marang virus lan spam. Nanging fungsi FortiMail ora diwatesi. Kanggo pangayoman sing luwih efektif, sampeyan kudu sinau mekanisme sing kasedhiya lan ngatur supaya cocog karo kabutuhan sampeyan. Ing mangsa ngarep, kita arep nyorot fitur liyane sing luwih maju saka gateway mail iki.
Yen sampeyan duwe masalah utawa pitakonan babagan solusi, tulisake ing komentar, kita bakal nyoba mangsuli kanthi cepet.
Sampeyan bisa ngirim panjalukan lisensi nyoba kanggo nyoba solusi kasebut .
Pengarang: Alexey Nikulin. Insinyur Keamanan Informasi Fortiservice.
Source: www.habr.com