Кош келдиңиз! Бүгүн биз почта шлюзунун баштапкы орнотууларын кантип жасоону айтып беребиз – Fortinet электрондук почта коопсуздук чечимдери. Макаланын жүрүшүндө биз иштей турган макетти карап чыгабыз, конфигурацияны аткарабыз каттарды кабыл алуу жана текшерүү үчүн зарыл, ошондой эле анын аткарылышын текшерүү. Тажрыйбабызга таянып, биз ишенимдүү түрдө айта алабыз, процесс абдан жөнөкөй, ал тургай, минималдуу конфигурациядан кийин да натыйжаларды көрө аласыз.
Учурдагы макет менен баштайлы. Ал төмөндөгү сүрөттө көрсөтүлгөн.
Оң жакта биз тышкы колдонуучунун компьютерин көрөбүз, андан биз ички тармактагы колдонуучуга кат жөнөтөбүз. Колдонуучунун компьютери, DNS сервери бар домен контроллери жана почта сервери ички тармакта жайгашкан. Тармактын четинде брандмауэр бар - FortiGate, анын негизги өзгөчөлүгү SMTP жана DNS трафигин жөнөтүү конфигурациясы болуп саналат.
Келгиле, DNSге өзгөчө көңүл буралы.
Эки DNS жазуусу Интернетте электрондук почтаны багыттоо үчүн колдонулат, A жазуусу жана MX жазуусу. Адатта, бул DNS жазуулары коомдук DNS серверинде конфигурацияланат, бирок жайгашуу чектөөлөрүнөн улам, биз жөн гана брандмауэр аркылуу DNS жөнөтөбүз (башкача айтканда, тышкы колдонуучунун DNS сервери катары 10.10.30.210 дареги бар).
MX жазуусу - доменди тейлеген почта серверинин аталышын, ошондой эле бул почта серверинин артыкчылыктуулугун камтыган жазуу. Биздин учурда, мындай көрүнөт: test.local -> mail.test.local 10.
Жазуу бул домендик аталышты IP дарекке айландырган жазуу, бизде бул бар: mail.test.local -> 10.10.30.210.
Биздин тышкы колдонуучу электрондук кат жөнөтүүгө аракет кылганда [электрондук почта корголгон], ал test.local домен жазуусу үчүн өзүнүн DNS MX серверинен сурайт. Биздин DNS серверибиз почта серверинин аталышы менен жооп берет - mail.test.local. Эми колдонуучу бул сервердин IP дарегин алышы керек, ошондуктан ал A жазуусу үчүн DNS'ге кайрылып, 10.10.30.210 IP дарегин алат (ооба, анын дагы :) ). Сиз кат жөнөтө аласыз. Ошондуктан, ал 25-портто алынган IP дареги менен байланыш түзүүгө аракет кылат. Firewallдагы эрежелердин жардамы менен бул байланыш почта серверине жөнөтүлөт.
Макеттин учурдагы абалында почтанын иштешин текшерип көрөлү. Бул үчүн, тышкы колдонуучунун компьютеринде биз swaks утилитасын колдонобуз. Анын жардамы менен сиз алуучуга ар кандай параметрлердин жыйындысы менен электрондук кат жөнөтүү менен SMTPтин иштешин текшере аласыз. Буга чейин почта серверинде почта кутусу бар колдонуучу орнотулган [электрондук почта корголгон]. Келгиле, ага электрондук кат жөнөтүүгө аракет кылалы:
Эми ички колдонуучунун машинасына барып, кат келгендигин текшерели:
Кат чындап келди (ал тизмеде баса белгиленген). Ошентип, макет туура иштеп жатат. FortiMailге өтүүгө убакыт келди. Биздин макетти кошолу:
FortiMail үч режимде жайгаштырылышы мүмкүн:
- Gateway - толук кандуу MTA ролун аткарат: ал бардык почтаны өзүнө алат, текшерет, анан почта серверине жөнөтөт;
- Ачык - же болбосо, ачык режим. Сервердин алдына орнотулуп, кирүүчү жана чыгуучу каттарды текшерет. Андан кийин, ал серверге жөнөтөт. Тармактын конфигурациясын өзгөртүүнү талап кылбайт.
- Сервер - бул учурда, FortiMail - бул почта ящиктерин түзүү, каттарды кабыл алуу жана жөнөтүү, ошондой эле башка функциялар менен толук кандуу почта сервери.
Биз FortiMailди Gateway режиминде орнотобуз. Келгиле, виртуалдык машина орнотууларына баралы. Кирүү администратор, сырсөз коюлган эмес. Сиз биринчи жолу киргенде, сиз жаңы сырсөз коюшуңуз керек.
Эми виртуалдык машинаны веб-интерфейске кирүү үчүн конфигурациялайлы. Ошондой эле машинанын Интернетке кирүү мүмкүнчүлүгү бар болушу керек. Келиңиз, интерфейсти орнотобуз. Бизге порт1 гана керек. Аны менен биз веб-интерфейске кошулабыз жана ал Интернетке кирүү үчүн да колдонулат. Кызматтарды жаңыртуу үчүн Интернетке кирүү керек (антивирус кол тамгалары ж.б.). Конфигурациялоо үчүн буйруктарды киргизиңиз:
системанын интерфейсин конфигурациялоо
порт 1 түзөтүү
set ip 192.168.1.40 255.255.255.0
уруксат берүү https http ssh пингди коюу
Бир мезгилдин акырына карата
Эми маршрутту орнотобуз. Бул үчүн, төмөнкү буйруктарды киргизиңиз:
системанын маршрутун конфигурациялоо
түзөтүү 1
орнотулган шлюз 192.168.1.1
интерфейс портун коюу 1
Бир мезгилдин акырына карата
Буйруктарды киргизүүдө, сиз аларды толук терүүдөн качуу үчүн өтмөктөрдү колдонсоңуз болот. Ошондой эле, эгерде сиз кайсы команда кийинкиге өтүү керектигин унутуп калсаңыз, анда “?” баскычын колдонсоңуз болот.
Эми интернет байланышыңызды текшерип көрөлү. Бул үчүн, Google DNS пинги:
Көрүнүп тургандай, бизде интернет бар. Бардык Fortinet түзмөктөрүнө мүнөздүү баштапкы орнотуулар аяктады, эми сиз веб-интерфейс аркылуу конфигурацияга өтсөңүз болот. Бул үчүн, башкаруу барагын ачыңыз:
Сураныч, сиз форматтагы шилтемени ээрчишиңиз керек экенин эске алыңыз /admin. Болбосо, сиз башкаруу барагына кире албай каласыз. Демейки боюнча, барак стандарттуу конфигурация режиминде. Орнотуулар үчүн бизге Өркүндөтүлгөн режим керек. Келиңиз, администратор->Көрүү менюсуна өтүп, режимди Өркүндөтүлгөн режимге которолу:
Эми биз сыноо лицензиясын жүктөп алышыбыз керек. Сиз муну Лицензия маалыматы → VM → Жаңыртуу менюсунда кыла аласыз:
Сынамык лицензияңыз жок болсо, байланышуу аркылуу лицензия сурасаңыз болот .
Лицензияны киргизгенден кийин, түзмөк кайра жүктөлүшү керек. Келечекте, ал серверлерден өзүнүн маалымат базаларынын жаңыртууларын тарта баштайт. Эгер бул автоматтык түрдө ишке ашпаса, сиз Система → FortiGuard менюсуна өтүп, Антивирус, Антиспам өтмөктөрүндөгү Азыр жаңыртуу баскычын чыкылдатсаңыз болот.
Эгер бул жардам бербесе, жаңыртуулар үчүн колдонулган портторду өзгөртө аласыз. Адатта, андан кийин бардык лицензиялар пайда болот. Акыр-аягы, ал төмөнкүдөй болушу керек:
Келгиле, туура убакыт алкагын белгилейли, бул журналдарды карап чыгууда пайдалуу болот. Бул үчүн, Система → Конфигурация менюсуна өтүңүз:
Биз ошондой эле DNS конфигурациялайбыз. Негизги DNS сервери катары биз ички DNS серверин орнотобуз жана резервдик көчүрмө катары Fortinet тарабынан берилген DNS серверин калтырабыз.
Эми эң кызыктуусуна өтөлү. Сиз байкагандай, демейки боюнча аппарат Gateway режимине коюлган. Андыктан аны өзгөртүүнүн кереги жок. Домен жана Колдонуучу → Домен талаасына баралы. Келгиле, корголушу керек болгон жаңы доменди түзөлү. Бул жерде биз домендик аталышты жана почта серверинин дарегин көрсөтүшүбүз керек (сиз анын домен атын да көрсөтсөңүз болот, биздин учурда mail.test.local):
Эми биз почта шлюзубуздун атын беришибиз керек. Ал MX жана A жазууларында колдонулат, аларды кийинчерээк өзгөртүүбүз керек болот:
Хост аты жана жергиликтүү домен аталыштары DNS жазууларында колдонулган FQDNди түзөт. Биздин учурда, FQDN = fortimail.test.local.
Эми кабыл алуу эрежесин орнотобуз. Бизге сырттан келген жана домендеги колдонуучуга дайындалган бардык каттарды почта серверине жөнөтүү керек. Бул үчүн Саясат → Мүмкүнчүлүктү көзөмөлдөө менюсуна өтүңүз. Мисал орнотуу төмөндө көрсөтүлгөн:
Келгиле, Алуучу саясаты өтмөгүн карап көрөлү. Бул жерде сиз билдирүүлөрдү текшерүү үчүн белгилүү эрежелерди орното аласыз: эгерде почта example1.com доменинен келсе, сиз аны ушул домен үчүн конфигурацияланган механизмдер менен текшеришиңиз керек. Бардык почталар үчүн коюлган демейки эреже бар жана азыр ал бизге ылайыктуу. Бул эрежени төмөндөгү сүрөттөн көрө аласыз:
Бул FortiMailде орнотууну аяктайт. Чынында, дагы көптөгөн мүмкүн болгон параметрлер бар, бирок алардын баарын карап баштай турган болсок, китеп жаза алабыз :) Ал эми биздин максат FortiMailди тесттик режимде минималдуу күч менен иштетүү.
Эки нерсе калды - MX жана A жазууларын өзгөртүү, ошондой эле брандмауэрдеги порт багыттоо эрежелерин өзгөртүү.
MX рекорду test.local -> mail.test.local 10 тест.local -> fortimail.test.local 10 болуп өзгөртүлүшү керек. Бирок, адатта, учкучтар учурунда экинчи жогору артыкчылыктуу MX рекорду кошулат. Мисалы:
test.local -> mail.test.local 10
test.local -> fortimail.test.local 5
MX жазуусунда почта серверинин артыкчылыктуу саны канчалык төмөн болсо, анын артыкчылыгы ошончолук жогору болорун эскерте кетейин.
Жазууну өзгөртүү мүмкүн эмес, андыктан жаңысын түзөлү: fortimail.test.local -> 10.10.30.210. Тышкы колдонуучу 10.10.30.210-портто 25 дарегин айтат жана брандмауэр байланышты FortiMailге багыттайт.
FortiGate боюнча жөнөтүү эрежесин өзгөртүү үчүн, тиешелүү Virtual IP объектинин дарегин өзгөртүү керек:
Баары даяр. текшерип көрөлү. Келгиле, тышкы колдонуучунун компьютеринен кайрадан электрондук кат жөнөтөлү. Эми Монитор → Журналдар менюсунда FortiMailге баралы. Тарых талаасында каттын кабыл алынгандыгы тууралуу жазууну көрө аласыз. Көбүрөөк маалымат алуу үчүн, сиз жазууну оң баскыч менен чыкылдатып, чоо-жайын тандасаңыз болот:
Сүрөттү аягына чыгаруу үчүн, учурдагы конфигурациядагы FortiMail спам жана вирустарды камтыган каттарды бөгөттөй алар-албасын текшерип көрөлү. Бул үчүн, келгиле, тесттик eicar вирусун жана спам маалымат базаларынын биринде табылган электрондук катты (http://untroubled.org/spam/) жөнөтөлү. Андан кийин, журналды көрүү менюсуна кайтып баралы:
Көрүнүп тургандай, спам да, вирусу бар кат да ийгиликтүү аныкталган.
Бул конфигурация вирустардан жана спамдан негизги коргоону камсыз кылуу үчүн жетиштүү. Бирок FortiMail функционалдуулугу муну менен эле чектелбейт. Натыйжалуу коргоо үчүн сиз колдо болгон механизмдерди изилдеп, аларды өзүңүздүн муктаждыктарыңызга ылайыкташтырыңыз. Келечекте биз бул почта шлюзунун башка дагы өркүндөтүлгөн мүмкүнчүлүктөрүн камтууну пландап жатабыз.
Чечимге байланыштуу кандайдыр бир кыйынчылыктар же суроолоруңуз болсо, аларды комментарийлерге жазыңыз, биз аларга тез арада жооп берүүгө аракет кылабыз.
Чечимди сынап көрүү үчүн сыноо лицензиясын алуу өтүнүчүн калтырсаңыз болот .
Автору: Алексей Никулин. Fortiservice маалымат коопсуздугу боюнча инженер.
Source: www.habr.com