Wëllkomm! Haut wäerte mir Iech soen wéi Dir déi initial Astellunge vun der Mail Gateway mécht - Fortinet E-Mail Sécherheetsléisungen. Wärend dem Artikel kucke mir de Layout mat deem mir schaffen an d'Konfiguratioun ausféieren , néideg fir Bréiwer ze kréien an kontrolléieren, a mir wäerten och seng Leeschtung Test. Baséierend op eiser Erfahrung, kënne mir sécher soen datt de Prozess ganz einfach ass, an och no minimaler Konfiguratioun kënnt Dir Resultater gesinn.
Loosst eis mam aktuellen Layout ufänken. Et gëtt an der Figur hei ënnen gewisen.
Op der rietser Säit gesi mir de Computer vum externe Benotzer, aus deem mir E-Mail un de Benotzer am internen Netzwierk schécken. Den internen Netzwierk enthält de Computer vum Benotzer, en Domain Controller mat engem DNS-Server deen drop leeft, an e Mailserver. Um Rand vum Netz gëtt et eng Firewall - FortiGate, d'Haaptfunktioun vun deem ass d'Konfiguratioun vun SMTP an DNS Traffic Forwarding.
Loosst eis besonnesch op DNS oppassen.
Et ginn zwee DNS-Records benotzt fir E-Mail um Internet ze routen - den A-Rekord an den MX-Rekord. Typesch sinn dës DNS-Records op engem ëffentlechen DNS-Server konfiguréiert, awer wéinst Layoutbeschränkungen fuerdere mir einfach DNS duerch d'Firewall weider (dat ass, den externen Benotzer huet d'Adress 10.10.30.210 registréiert als DNS-Server).
MX Record ass e Rekord deen den Numm vum Mailserver enthält deen d'Domain servéiert, souwéi d'Prioritéit vun dësem Mailserver. An eisem Fall gesäit et esou aus: test.local -> mail.test.local 10.
E Rekord ass e Rekord deen en Domain Numm an eng IP Adress konvertéiert, fir eis ass et: mail.test.local -> 10.10.30.210.
Wann eisen externen Benotzer probéiert eng E-Mail ze schécken [Email geschützt], et wäert säin DNS MX Server fir den test.local Domain-Rekord ufroen. Eisen DNS Server äntwert mam Numm vum Mailserver - mail.test.local. Elo muss de Benotzer d'IP Adress vun dësem Server kréien, sou datt hien erëm Zougang zu der DNS fir den A Rekord a kritt d'IP Adress 10.10.30.210 (jo, seng erëm :) ). Dir kënnt e Bréif schécken. Dofir probéiert et eng Verbindung mat der kritt IP Adress um Hafen 25 ze etabléieren. Mat Regelen op der Firewall gëtt dës Verbindung op de Mailserver weidergeleet.
Loosst eis d'Funktionalitéit vun der Mail am aktuellen Zoustand vum Layout iwwerpréiwen. Fir dëst ze maachen, benotze mir d'Swaks Utility um Computer vum externe Benotzer. Mat senger Hëllef kënnt Dir d'Performance vum SMTP testen andeems Dir dem Empfänger e Bréif mat enger Rei vu verschiddene Parameteren schéckt. Virdru gouf e Benotzer mat enger Mailbox schonn um Mailserver erstallt [Email geschützt]. Loosst eis probéieren him e Bréif ze schécken:
Loosst eis elo op d'Maschinn vum internen Benotzer goen a sécherstellen datt de Bréif ukomm ass:
De Bréif ass tatsächlech ukomm (et ass an der Lëscht markéiert). Dëst bedeit datt de Layout richteg funktionnéiert. Elo ass d'Zäit fir op FortiMail weider ze goen. Loosst eis zu eisem Layout derbäi:
FortiMail kann an dräi Modi ofgesat ginn:
- Gateway - Akten als voll-vollwäerteg MTA: et iwwerhëlt all Mail, kontrolléiert et, a weidergeleet et dann un de Mail Server;
- Transparent - oder an anere Wierder, transparent Modus. Et gëtt virum Server installéiert a kontrolléiert erakommen an erausginn Mail. Duerno gëtt et op de Server iwwerdroen. Erfuerdert keng Ännerunge vun der Netzkonfiguratioun.
- Server - an dësem Fall ass FortiMail e vollwäertege Mailserver mat der Fäegkeet fir Mailboxen ze kreéieren, Mail ze kréien an ze schécken, souwéi aner Funktionalitéit.
Mir wäerten FortiMail am Gateway Modus ofsetzen. Loosst eis op d'virtuell Maschinn Astellunge goen. Login ass Admin, kee Passwuert gëtt uginn. Wann Dir Iech fir d'éischte Kéier aloggen, musst Dir en neit Passwuert astellen.
Loosst eis elo déi virtuell Maschinn konfiguréieren fir op d'Webinterface ze kommen. Et ass och néideg datt d'Maschinn Internetzougang huet. Loosst eis d'Interface opbauen. Mir brauchen nëmmen port1. Mat senger Hëllef wäerte mir op de Web Interface konnektéieren, an et gëtt och benotzt fir den Internet ze kréien. Internetzougang ass néideg fir Servicer ze aktualiséieren (Antivirus Ënnerschrëften, asw.). Fir d'Konfiguratioun, gitt d'Befehle:
config System Interface
port 1 änneren
IP Mëttelklass B: 192.168.1.40 255.255.255.0
setzen erlaabt Zougang https http ssh ping
Enn
Loosst eis elo de Routing konfiguréieren. Fir dëst ze maachen, musst Dir déi folgend Kommandoen aginn:
config System route
edit 1
setzen Paart 192.168.1.1
setzen Interface port1
Enn
Wann Dir Befehle gitt, kënnt Dir Tabs benotzen fir ze vermeiden datt se ganz aginn. Och wann Dir vergiess hutt wéi ee Kommando nächste soll kommen, kënnt Dir den "?" Schlëssel benotzen.
Loosst eis elo Är Internetverbindung iwwerpréiwen. Fir dëst ze maachen, ping Google DNS:
Wéi Dir gesitt, hu mir elo den Internet. Déi initial Astellunge typesch fir all Fortinet Geräter sinn ofgeschloss, an Dir kënnt elo op d'Konfiguratioun iwwer d'Webinterface weidergoen. Fir dëst ze maachen, öffnen d'Verwaltungssäit:
Notéiert w.e.g. datt Dir de Link am Format muss verfollegen /admin. Soss, wäert Dir net fäheg sinn op d'Gestioun Säit ze Zougang. Par défaut ass d'Säit am Standard Konfiguratiounsmodus. Fir Astellunge brauche mir Advanced Modus. Loosst eis op den Admin->View Menu goen a wiesselen de Modus op Advanced:
Elo musse mir d'Prouf Lizenz eroflueden. Dëst kann am Menü gemaach ginn Lizenz Informatioun → VM → Update:
Wann Dir keng Testlizenz hutt, kënnt Dir eng froen andeems Dir Iech kontaktéiert .
Nodeems Dir d'Lizenz aginn hutt, sollt den Apparat nei starten. An Zukunft wäert et ufänken Updates op seng Datenbanken vun de Serveren ze zéien. Wann dëst net automatesch geschitt, kënnt Dir op de System → FortiGuard Menü goen an an der Antivirus, Antispam Tabs klickt op den Update Elo Knäppchen.
Wann dëst net hëlleft, kënnt Dir d'Ports änneren, déi fir Updates benotzt ginn. Normalerweis no dëser all Lizenzen schéngen. Um Enn sollt et esou ausgesinn:
Loosst eis déi richteg Zäitzone opsetzen, dëst wäert nëtzlech sinn wann Dir Logbicher ënnersicht. Fir dëst ze maachen, gitt op de System → Konfiguratiounsmenü:
Mir wäerten och DNS konfiguréieren. Mir konfiguréieren den internen DNS-Server als den Haapt-DNS-Server, a loossen den DNS-Server, dee vum Fortinet geliwwert gëtt, als Backup.
Loosst eis elo op de Spaass Deel goen. Wéi Dir vläicht gemierkt hutt, ass den Apparat als Standard op de Gateway-Modus gesat. Dofir brauche mir et net ze änneren. Loosst eis op den Domain & Benotzer → Domain Feld goen. Loosst eis en neit Domain erstellen dat muss geschützt ginn. Hei brauche mir nëmmen den Domain Numm an d'Mail Server Adress ze spezifizéieren (Dir kënnt och säin Domain Numm uginn, an eisem Fall mail.test.local):
Elo musse mir en Numm fir eis Mail Gateway ubidden. Dëst gëtt an den MX- an A-Records benotzt, déi mir spéider mussen änneren:
Vun den Hostnumm a Local Domain Name Punkte gëtt de FQDN kompiléiert, deen an DNS records benotzt gëtt. An eisem Fall, FQDN = fortimail.test.local.
Loosst eis elo d'Empfangsregel opsetzen. Mir brauchen all E-Mailen, déi vu baussen kommen an un engem Benotzer am Domain zougewisen sinn, fir op de Mailserver weidergeleet ze ginn. Fir dëst ze maachen, gitt op de Menü Politik → Zougangskontroll. E Beispill Setup gëtt hei ënnen gewisen:
Loosst eis d'Recipient Policy Tab kucken. Hei kënnt Dir bestëmmte Reegele fir d'Bréiwer iwwerpréiwen: wann d'Mail aus dem Domain example1.com kënnt, musst Dir et mat Mechanismen iwwerpréiwen, déi speziell fir dës Domain konfiguréiert sinn. Et gëtt schonn eng Standardregel fir all Mail, a fir de Moment passt et eis. Dir kënnt dës Regel an der Figur hei ënnen gesinn:
Zu dësem Zäitpunkt kann de Setup op FortiMail als komplett ugesi ginn. Tatsächlech ginn et vill méi méiglech Parameteren, awer wa mir ufänken se all ze berücksichtegen, kënne mir e Buch schreiwen :) An eist Zil ass FortiMail am Testmodus mat minimalem Effort ze starten.
Et ginn zwou Saache lénks - d'MX an A records änneren, an och d'Port Forwarding Regelen op der Firewall änneren.
Den MX-Rekord test.local -> mail.test.local 10 muss op test.local -> fortimail.test.local 10 geännert ginn. Mee normalerweis gëtt während Piloten en zweeten MX-Rekord mat enger méi héijer Prioritéit dobäigesat. Zum Beispill:
test.local -> mail.test.local 10
test.local -> fortimail.test.local 5
Loosst mech Iech drun erënneren datt wat méi niddereg d'Uerdnungsnummer vun der Mailserverpräferenz am MX-Rekord ass, wat méi héich seng Prioritéit ass.
An d'Entrée kann net geännert ginn, also maache mir just en neien: fortimail.test.local -> 10.10.30.210. En externe Benotzer kontaktéiert d'Adress 10.10.30.210 um Hafen 25, an d'Firewall wäert d'Verbindung op FortiMail weiderginn.
Fir d'FortiGate-Reegel op FortiGate z'änneren, musst Dir d'Adress am entspriechende virtuelle IP-Objet änneren:
Alles ass prett. Loosst eis kucken. Loosst eis de Bréif erëm vum Computer vum externe Benotzer schécken. Loosst eis elo op FortiMail am Monitor → Logs Menu goen. Am Feld Geschicht kënnt Dir e Rekord gesinn datt de Bréif ugeholl gouf. Fir méi Informatioun, kënnt Dir op d'Entrée klickt a wielt Detailer:
Fir d'Bild komplett ze maachen, loosst eis kucken ob FortiMail a senger aktueller Konfiguratioun E-Maile mat Spam a Viren blockéiere kann. Fir dëst ze maachen, schécken mir den eicar Testvirus an en Testbréif, deen an enger vun de Spam-Maildatenbanken fonnt gëtt (http://untroubled.org/spam/). Duerno, loosst eis zréck an de Log Viewing Menu:
Wéi mir kënne gesinn, souwuel Spam wéi och e Bréif mat engem Virus goufen erfollegräich identifizéiert.
Dës Konfiguratioun ass genuch fir Basis Schutz géint Virussen a Spam ze bidden. Awer d'Funktionalitéit vu FortiMail ass net limitéiert op dëst. Fir méi effektiv Schutz, musst Dir déi verfügbar Mechanismen studéieren an se personaliséieren fir Äre Besoinen ze passen. An Zukunft plangen mir aner, méi fortgeschratt Fonctiounen vun dëser Mail Gateway ze Highlight.
Wann Dir Schwieregkeeten oder Froen iwwer d'Léisung hutt, schreift se an de Kommentaren, mir probéieren se direkt ze beäntweren.
Dir kënnt eng Ufro fir eng Testlizenz ofginn fir d'Léisung ze testen .
Auteur: Alexey Nikulin. Informatiounssécherheetsingenieur Fortiservice.
Source: will.com