Sveiki! Šiandien mes jums pasakysime, kaip atlikti pradinius pašto šliuzo nustatymus – Fortinet elektroninio pašto saugumo sprendimai. Straipsnio metu apžvelgsime maketą, su kuriuo dirbsime ir atliksime konfigūraciją , reikalingas laiškų gavimui ir tikrinimui, taip pat išbandysime jo veikimą. Remdamiesi savo patirtimi, galime drąsiai teigti, kad procesas yra labai paprastas ir net po minimalios konfigūracijos matosi rezultatai.
Pradėkime nuo dabartinio išdėstymo. Tai parodyta paveikslėlyje žemiau.
Dešinėje matome išorinio vartotojo kompiuterį, iš kurio vartotojui siųsime laiškus vidiniame tinkle. Vidiniame tinkle yra vartotojo kompiuteris, domeno valdiklis su jame veikiančiu DNS serveriu ir pašto serveris. Tinklo pakraštyje yra ugniasienė - FortiGate, kurios pagrindinė funkcija yra sukonfigūruoti SMTP ir DNS srauto persiuntimą.
Ypatingą dėmesį skirsime DNS.
El. paštui internete nukreipti naudojami du DNS įrašai – A įrašas ir MX įrašas. Paprastai šie DNS įrašai sukonfigūruojami viešajame DNS serveryje, tačiau dėl išdėstymo apribojimų mes tiesiog persiunčiame DNS per ugniasienę (tai yra, išorinio vartotojo adresas 10.10.30.210 užregistruotas kaip DNS serveris).
MX įrašas yra įrašas, kuriame yra domeną aptarnaujančio pašto serverio pavadinimas ir šio pašto serverio prioritetas. Mūsų atveju tai atrodo taip: test.local -> mail.test.local 10.
Įrašas yra įrašas, kuris paverčia domeno vardą į IP adresą, mums tai yra: mail.test.local -> 10.10.30.210.
Kai mūsų išorinis vartotojas bando išsiųsti el [apsaugotas el. paštu], ji savo DNS MX serveryje pateiks test.local domeno įrašo užklausą. Mūsų DNS serveris atsakys pašto serverio pavadinimu – mail.test.local. Dabar vartotojas turi gauti šio serverio IP adresą, kad jis vėl prisijungtų prie A įrašo DNS ir gautų IP adresą 10.10.30.210 (taip, vėl jo :) ). Galite išsiųsti laišką. Todėl jis bando užmegzti ryšį su gautu IP adresu 25 prievade. Naudojant ugniasienės taisykles, šis ryšys persiunčiamas į pašto serverį.
Patikrinkime pašto funkcionalumą esamoje išdėstymo būsenoje. Norėdami tai padaryti, išorinio vartotojo kompiuteryje naudosime swaks įrankį. Su jo pagalba galite patikrinti SMTP veikimą, išsiųsdami gavėjui laišką su įvairių parametrų rinkiniu. Anksčiau pašto serveryje jau buvo sukurtas vartotojas su pašto dėžute [apsaugotas el. paštu]. Pabandykime nusiųsti jam laišką:
Dabar eikime į vidinį vartotojo įrenginį ir įsitikinkite, kad laiškas gautas:
Laiškas iš tikrųjų atvyko (sąraše jis paryškintas). Tai reiškia, kad išdėstymas veikia tinkamai. Dabar pats laikas pereiti prie „FortiMail“. Papildykime savo išdėstymą:
„FortiMail“ gali būti įdiegtas trimis režimais:
- Vartai – veikia kaip visavertis MTA: perima visą paštą, jį patikrina, o paskui persiunčia į pašto serverį;
- Skaidrus – arba, kitaip tariant, skaidrus režimas. Jis įdiegtas priešais serverį ir tikrina gaunamus bei siunčiamus laiškus. Po to jis perduodamas serveriui. Nereikia keisti tinklo konfigūracijos.
- Serveris – šiuo atveju FortiMail yra pilnavertis pašto serveris, turintis galimybę kurti pašto dėžutes, priimti ir siųsti laiškus bei kitas funkcijas.
„FortiMail“ įdiegsime šliuzo režimu. Eikime į virtualios mašinos nustatymus. Prisijungimas yra admin, slaptažodis nenurodytas. Kai prisijungiate pirmą kartą, turite nustatyti naują slaptažodį.
Dabar sukonfigūruokime virtualią mašiną, kad ji pasiektų žiniatinklio sąsają. Taip pat būtina, kad mašina turėtų prieigą prie interneto. Nustatykime sąsają. Mums reikia tik port1. Su jo pagalba prisijungsime prie žiniatinklio sąsajos, ji taip pat bus naudojama prieigai prie interneto. Prieiga prie interneto reikalinga norint atnaujinti paslaugas (antivirusinius parašus ir pan.). Norėdami konfigūruoti, įveskite komandas:
konfigūravimo sistemos sąsaja
redaguoti 1 prievadą
nustatyti ip 192.168.1.40 255.255.255.0
nustatyti leistiną prieigą https http ssh ping
pabaiga
Dabar sukonfigūruokime maršrutą. Norėdami tai padaryti, turite įvesti šias komandas:
konfigūruoti sistemos maršrutą
redaguoti 1
nustatyti vartai 192.168.1.1
nustatyti sąsajos prievadą1
pabaiga
Įvesdami komandas galite naudoti skirtukus, kad jų nebūtų įvesta iki galo. Be to, jei pamiršote, kuri komanda turėtų būti toliau, galite naudoti klavišą „?
Dabar patikrinkime jūsų interneto ryšį. Norėdami tai padaryti, pabandykime „Google“ DNS:
Kaip matote, dabar turime internetą. Pradiniai nustatymai, būdingi visiems „Fortinet“ įrenginiams, atlikti, o dabar galite pereiti prie konfigūravimo naudodami žiniatinklio sąsają. Norėdami tai padaryti, atidarykite valdymo puslapį:
Atkreipkite dėmesį, kad turite sekti formato nuorodą /admin. Priešingu atveju negalėsite pasiekti valdymo puslapio. Pagal numatytuosius nustatymus puslapis veikia standartiniu konfigūracijos režimu. Nustatymams mums reikia išplėstinio režimo. Eikime į admin->View meniu ir perjunkite režimą į Advanced:
Dabar turime atsisiųsti bandomąją licenciją. Tai galima padaryti meniu Licencijos informacija → VM → Atnaujinti:
Jei neturite bandomosios licencijos, galite jos paprašyti susisiekę .
Įvedus licenciją, įrenginys turėtų paleisti iš naujo. Ateityje ji pradės traukti savo duomenų bazių atnaujinimus iš serverių. Jei tai neįvyksta automatiškai, galite eiti į Sistema → FortiGuard meniu ir skirtuke Antivirus, Antispam spustelėkite mygtuką Atnaujinti dabar.
Jei tai nepadeda, galite pakeisti naujinimams naudojamus prievadus. Paprastai po to pasirodo visos licencijos. Galų gale tai turėtų atrodyti taip:
Nustatykime teisingą laiko juostą, tai bus naudinga nagrinėjant žurnalus. Norėdami tai padaryti, eikite į meniu Sistema → Konfigūracija:
Taip pat sukonfigūruosime DNS. Vidinį DNS serverį sukonfigūruosime kaip pagrindinį DNS serverį, o Fortinet pateiktą DNS serverį paliksime kaip atsarginį.
Dabar pereikime prie linksmosios dalies. Kaip tikriausiai pastebėjote, pagal numatytuosius nustatymus įrenginys nustatytas į „Gateway“ režimą. Todėl mums nereikia jo keisti. Eikime į lauką Domenas ir naudotojas → Domenas. Sukurkime naują domeną, kurį reikia apsaugoti. Čia tereikia nurodyti domeno pavadinimą ir pašto serverio adresą (taip pat galite nurodyti jo domeno pavadinimą, mūsų atveju mail.test.local):
Dabar turime nurodyti savo pašto šliuzo pavadinimą. Tai bus naudojama MX ir A įrašuose, kuriuos vėliau turėsime pakeisti:
Iš pagrindinio kompiuterio vardo ir vietinio domeno vardo taškų sudaromas FQDN, kuris naudojamas DNS įrašuose. Mūsų atveju FQDN = fortimail.test.local.
Dabar nustatykime gavimo taisyklę. Mums reikia, kad visi el. laiškai, gauti iš išorės ir priskirti vartotojui domene, būtų persiųsti į pašto serverį. Norėdami tai padaryti, eikite į meniu Politika → Prieigos valdymas. Sąrankos pavyzdys parodytas žemiau:
Pažiūrėkime į skirtuką Gavėjo politika. Čia galite nustatyti tam tikras laiškų tikrinimo taisykles: jei paštas ateina iš domeno example1.com, turite jį patikrinti specialiai šiam domenui sukonfigūruotais mechanizmais. Visiems laiškams jau yra numatytoji taisyklė ir kol kas ji mums tinka. Šią taisyklę galite pamatyti žemiau esančiame paveikslėlyje:
Šiuo metu „FortiMail“ sąranka gali būti laikoma baigta. Tiesą sakant, yra daug daugiau galimų parametrų, bet jei pradėtume juos visus svarstyti, galėtume parašyti knygą :) O mūsų tikslas yra paleisti FortiMail bandomuoju režimu su minimaliomis pastangomis.
Liko du dalykai – pakeisti MX ir A įrašus, taip pat pakeisti prievadų persiuntimo taisykles ugniasienėje.
MX įrašas test.local -> mail.test.local 10 turi būti pakeistas į test.local -> fortimail.test.local 10. Tačiau paprastai pilotų metu pridedamas antras MX įrašas su aukštesniu prioritetu. Pavyzdžiui:
test.local -> mail.test.local 10
test.local -> fortimail.test.local 5
Leiskite man priminti, kad kuo mažesnis pašto serverio nuostatos eilės numeris MX įraše, tuo didesnis jo prioritetas.
O įrašo keisti negalima, todėl tiesiog sukursime naują: fortimail.test.local -> 10.10.30.210. Išorinis vartotojas susisieks 10.10.30.210 prievado adresu 25, o ugniasienė perduos ryšį į FortiMail.
Norėdami pakeisti „FortiGate“ persiuntimo taisyklę, turite pakeisti adresą atitinkamame virtualiajame IP objekte:
Viskas paruošta. Patikrinkime. Išsiųsime laišką dar kartą iš išorinio vartotojo kompiuterio. Dabar eikime į FortiMail meniu Monitorius → Žurnalai. Lauke Istorija galite matyti įrašą, kad laiškas buvo priimtas. Norėdami gauti daugiau informacijos, dešiniuoju pelės mygtuku spustelėkite įrašą ir pasirinkite Išsami informacija:
Norėdami užbaigti paveikslėlį, patikrinkime, ar dabartinė FortiMail konfigūracija gali blokuoti el. laiškus, kuriuose yra šiukšlių ir virusų. Norėdami tai padaryti, išsiųsime eicar bandomąjį virusą ir bandomąjį laišką, rastą vienoje iš nepageidaujamo pašto duomenų bazių (http://untroubled.org/spam/). Po to grįžkime į žurnalo peržiūros meniu:
Kaip matome, ir šlamštas, ir laiškas su virusu buvo sėkmingai atpažinti.
Šios konfigūracijos pakanka užtikrinti pagrindinę apsaugą nuo virusų ir šiukšlių. Tačiau „FortiMail“ funkcionalumas tuo neapsiriboja. Kad apsauga būtų efektyvesnė, turite išstudijuoti turimus mechanizmus ir pritaikyti juos pagal savo poreikius. Ateityje planuojame pabrėžti kitas, pažangesnes šio pašto šliuzo funkcijas.
Jei turite kokių nors sunkumų ar klausimų dėl sprendimo, rašykite juos komentaruose, mes pasistengsime greitai į juos atsakyti.
Norėdami išbandyti sprendimą, galite pateikti bandomosios licencijos užklausą .
Autorius: Aleksejus Nikulinas. Informacijos apsaugos inžinierius Fortiservice.
Šaltinis: www.habr.com