Қош келдіңіз! Бүгін біз сізге пошта шлюзінің бастапқы параметрлерін қалай жасау керектігін айтамыз – Fortinet электрондық пошта қауіпсіздік шешімдері. Мақалада біз жұмыс істейтін және конфигурацияны орындайтын орналасуды қарастырамыз , хаттарды қабылдау және тексеру үшін қажет және біз оның өнімділігін де тексереміз. Біздің тәжірибемізге сүйене отырып, процесс өте қарапайым деп сенімді түрде айта аламыз, тіпті ең аз конфигурациядан кейін де нәтижелерді көруге болады.
Ағымдағы орналасудан бастайық. Ол төмендегі суретте көрсетілген.
Оң жақта біз сыртқы пайдаланушының компьютерін көреміз, одан біз ішкі желідегі пайдаланушыға хат жібереміз. Ішкі желіде пайдаланушының компьютері, жұмыс істейтін DNS сервері бар домен контроллері және пошта сервері бар. Желінің шетінде брандмауэр - FortiGate бар, оның негізгі ерекшелігі SMTP және DNS трафикті бағыттауды конфигурациялау болып табылады.
DNS-ке ерекше назар аударайық.
Интернетте электрондық поштаны бағыттау үшін пайдаланылатын екі DNS жазбасы бар — A жазбасы және MX жазбасы. Әдетте, бұл DNS жазбалары жалпыға қолжетімді DNS серверінде конфигурацияланады, бірақ орналасу шектеулеріне байланысты біз DNS-ті брандмауэр арқылы жай ғана жібереміз (яғни сыртқы пайдаланушыда DNS сервері ретінде тіркелген 10.10.30.210 мекенжайы бар).
MX жазбасы – доменге қызмет көрсететін пошта серверінің атауын, сондай-ақ осы пошта серверінің басымдылығын қамтитын жазба. Біздің жағдайда ол келесідей көрінеді: test.local -> mail.test.local 10.
Жазба – домен атауын IP мекенжайына түрлендіретін жазба, біз үшін ол: mail.test.local -> 10.10.30.210.
Біздің сыртқы пайдаланушы электрондық поштаны жіберуге тырысқанда [электрондық пошта қорғалған], ол test.local домен жазбасы үшін өзінің DNS MX серверінен сұрайды. Біздің DNS серверіміз пошта серверінің атымен жауап береді - mail.test.local. Енді пайдаланушы осы сервердің IP-мекен-жайын алуы керек, сондықтан ол A жазбасы үшін DNS-ке қайтадан кіріп, 10.10.30.210 IP мекенжайын алады (иә, оның қайтадан :) ). Сіз хат жібере аласыз. Сондықтан ол 25 портта алынған IP мекенжайына қосылым орнатуға тырысады. Брандмауэрдегі ережелерді пайдалану арқылы бұл қосылым пошта серверіне жіберіледі.
Макеттің ағымдағы күйінде поштаның функционалдығын тексерейік. Мұны істеу үшін біз сыртқы пайдаланушының компьютерінде swaks утилитасын қолданамыз. Оның көмегімен сіз алушыға әртүрлі параметрлер жиынтығы бар хатты жіберу арқылы SMTP өнімділігін тексеруге болады. Бұрын пошта серверінде пошта жәшігі бар пайдаланушы жасалған [электрондық пошта қорғалған]. Оған хат жіберуге тырысайық:
Енді ішкі пайдаланушының машинасына өтіп, хаттың келгеніне көз жеткізейік:
Хат шын мәнінде келді (ол тізімде бөлектелген). Бұл орналасу дұрыс жұмыс істеп тұрғанын білдіреді. Енді FortiMail-ге көшудің уақыты келді. Біздің макетке қосайық:
FortiMail үш режимде орналастырылуы мүмкін:
- Шлюз – толыққанды МТА қызметін атқарады: ол барлық поштаны қабылдайды, оны тексереді, содан кейін оны пошта серверіне жібереді;
- Мөлдір - немесе басқаша айтқанда, мөлдір режим. Ол сервер алдында орнатылып, кіріс және шығыс хаттарды тексереді. Осыдан кейін ол оны серверге жібереді. Желі конфигурациясына өзгерістер енгізуді қажет етпейді.
- Сервер - бұл жағдайда FortiMail пошта жәшіктерін құру, поштаны қабылдау және жіберу, сондай-ақ басқа да функционалдық мүмкіндіктері бар толыққанды пошта сервері болып табылады.
Біз FortiMail қызметін шлюз режимінде орналастырамыз. Виртуалды машина параметрлеріне барайық. Кіру әкімші, құпия сөз көрсетілмеген. Жүйеге бірінші рет кірген кезде жаңа құпия сөзді орнату керек.
Енді виртуалды машинаны веб-интерфейске кіру үшін конфигурациялайық. Сондай-ақ, құрылғының Интернетке кіру мүмкіндігі болуы керек. Интерфейсті реттейік. Бізге тек 1 порт қажет. Оның көмегімен біз веб-интерфейске қосыламыз, сонымен қатар ол Интернетке кіру үшін де қолданылады. Интернетке кіру қызметтерді жаңарту үшін қажет (антивирустық қолтаңбалар және т.б.). Конфигурациялау үшін пәрмендерді енгізіңіз:
жүйе интерфейсін конфигурациялау
1 портты өңдеу
ip 192.168.1.40 255.255.255.0 орнату
рұқсат рұқсатын орнату https http ssh ping
соңы
Енді маршруттауды конфигурациялайық. Ол үшін келесі пәрмендерді енгізу керек:
жүйе маршрутын конфигурациялау
өңдеу 1
орнату шлюзі 192.168.1.1
интерфейс портын орнату 1
соңы
Пәрмендерді енгізген кезде оларды толық термеу үшін қойындыларды пайдалануға болады. Сондай-ақ, келесі пәрменді ұмытып қалсаңыз, «?» пернесін пайдалануға болады.
Енді сіздің интернет байланысыңызды тексерейік. Бұл әрекетті орындау үшін Google DNS-ке пинг жүргізейік:
Көріп отырғаныңыздай, бізде қазір интернет бар. Барлық Fortinet құрылғыларына тән бастапқы параметрлер аяқталды, енді сіз веб-интерфейс арқылы конфигурациялауға кірісе аласыз. Ол үшін басқару бетін ашыңыз:
Пішімдегі сілтемені орындау қажет екенін ескеріңіз /admin. Әйтпесе, басқару бетіне кіре алмайсыз. Әдепкі бойынша, бет стандартты конфигурация режимінде болады. Параметрлер үшін бізге Кеңейтілген режим қажет. Әкімші->Көру мәзіріне өтіп, режимді Кеңейтілген режимге ауыстырайық:
Енді біз сынақ лицензиясын жүктеп алуымыз керек. Мұны Лицензия туралы ақпарат → VM → Жаңарту мәзірінде жасауға болады:
Егер сізде сынақ лицензиясы болмаса, хабарласу арқылы лицензия сұрай аласыз .
Лицензияны енгізгеннен кейін құрылғы қайта жүктелуі керек. Болашақта ол серверлерден дерекқорларына жаңартуларды тарта бастайды. Бұл автоматты түрде орындалмаса, Жүйе → FortiGuard мәзіріне өтіп, Антивирус, спамға қарсы қойындыларында Қазір жаңарту түймесін басыңыз.
Бұл көмектеспесе, жаңартулар үшін пайдаланылатын порттарды өзгертуге болады. Әдетте осыдан кейін барлық лицензиялар пайда болады. Соңында ол келесідей болуы керек:
Дұрыс уақыт белдеуін орнатайық, бұл журналдарды тексеру кезінде пайдалы болады. Ол үшін Жүйе → Конфигурация мәзіріне өтіңіз:
Біз сондай-ақ DNS конфигурациялаймыз. Біз ішкі DNS серверін негізгі DNS сервері ретінде конфигурациялаймыз және Fortinet ұсынған DNS серверін сақтық көшірме ретінде қалдырамыз.
Енді қызықты бөлікке көшейік. Байқағаныңыздай, құрылғы әдепкі бойынша шлюз режиміне орнатылған. Сондықтан оны өзгертудің қажеті жоқ. Домен және пайдаланушы → Домен өрісіне барайық. Қорғауды қажет ететін жаңа домен жасайық. Мұнда тек домендік атау мен пошта серверінің мекенжайын көрсету керек (сіз оның домендік атын да көрсете аласыз, біздің жағдайда mail.test.local):
Енді бізге пошта шлюзіне атау беру керек. Бұл MX және A жазбаларында пайдаланылады, біз оларды кейінірек өзгертуіміз керек:
Хост атауы және жергілікті домен атауы нүктелерінен DNS жазбаларында қолданылатын FQDN құрастырылады. Біздің жағдайда FQDN = fortimail.test.local.
Енді қабылдау ережесін орнатайық. Бізге сырттан келетін және пошта серверіне қайта жіберу үшін домендегі пайдаланушыға тағайындалған барлық электрондық хаттар қажет. Ол үшін Саясат → Қол жеткізуді басқару мәзіріне өтіңіз. Мысал орнату төменде көрсетілген:
Алушы саясаты қойындысын қарастырайық. Мұнда хаттарды тексерудің белгілі бір ережелерін орнатуға болады: егер пошта example1.com доменінен келсе, оны осы домен үшін арнайы конфигурацияланған механизмдер арқылы тексеру керек. Барлық пошталар үшін әдепкі ереже бар және әзірге ол бізге сәйкес келеді. Бұл ережені төмендегі суреттен көре аласыз:
Осы кезде FortiMail жүйесінде орнату аяқталды деп санауға болады. Шындығында, мүмкін болатын көптеген параметрлер бар, бірақ олардың барлығын қарастыра бастасақ, кітап жазуға болар еді :) Ал біздің мақсатымыз - FortiMail-ті сынақ режимінде ең аз күшпен іске қосу.
Екі нәрсе қалды - MX және A жазбаларын өзгерту, сонымен қатар брандмауэрдегі портты қайта жіберу ережелерін өзгерту.
MX жазбасы test.local -> mail.test.local 10 test.local -> fortimail.test.local 10 болып өзгертілуі керек. Бірақ әдетте пилоттар кезінде басымдығы жоғары екінші MX жазбасы қосылады. Мысалы:
test.local -> mail.test.local 10
test.local -> fortimail.test.local 5
MX жазбасындағы пошта сервері таңдауының реттік нөмірі неғұрлым төмен болса, оның басымдығы соғұрлым жоғары болатынын еске саламын.
Жазбаны өзгерту мүмкін емес, сондықтан біз жай ғана жаңасын жасаймыз: fortimail.test.local -> 10.10.30.210. Сыртқы пайдаланушы 10.10.30.210-порттағы 25 мекенжайына хабарласады және брандмауэр қосылымды FortiMail қызметіне бағыттайды.
FortiGate жүйесінде қайта жіберу ережесін өзгерту үшін сәйкес виртуалды IP нысанындағы мекенжайды өзгерту керек:
Бәрі дайын. Тексерейік. Сыртқы пайдаланушының компьютерінен хатты қайтадан жіберейік. Енді Монитор → Журналдар мәзіріндегі FortiMail-ге барайық. «Тарих» өрісінде хаттың қабылданғаны туралы жазбаны көруге болады. Қосымша ақпарат алу үшін жазбаны тінтуірдің оң жақ түймешігімен басып, Мәліметтерді таңдауға болады:
Суретті аяқтау үшін FortiMail ағымдағы конфигурациясында спам мен вирустары бар электрондық пошталарды блоктай алатынын тексерейік. Ол үшін eicar сынақ вирусын және спам поштасының дерекқорларының бірінде (http://untroubled.org/spam/) табылған сынақ хатын жібереміз. Осыдан кейін журналды қарау мәзіріне оралайық:
Көріп отырғанымыздай, спам да, вирусы бар хат та сәтті анықталды.
Бұл конфигурация вирустар мен спамнан негізгі қорғауды қамтамасыз ету үшін жеткілікті. Бірақ FortiMail функционалдығы мұнымен шектелмейді. Неғұрлым тиімді қорғау үшін қол жетімді механизмдерді зерттеп, оларды қажеттіліктеріңізге сай реттеу керек. Болашақта біз осы пошта шлюзінің басқа да жетілдірілген мүмкіндіктерін бөлектеуді жоспарлап отырмыз.
Шешімге қатысты қандай да бір қиындықтар немесе сұрақтарыңыз болса, оларды түсініктемелерде жазыңыз, біз оларға дереу жауап беруге тырысамыз.
Шешімді сынау үшін сынақ лицензиясына сұрау жібере аласыз .
Авторы: Алексей Никулин. Ақпараттық қауіпсіздік инженері Fortiservice.
Ақпарат көзі: www.habr.com