Laipni lÅ«dzam! Å odien mÄs jums pateiksim, kÄ veikt pasta vÄrtejas sÄkotnÄjos iestatÄ«jumus
SÄksim ar paÅ”reizÄjo izkÄrtojumu. Tas ir parÄdÄ«ts attÄlÄ zemÄk.
LabajÄ pusÄ mÄs redzam ÄrÄjÄ lietotÄja datoru, no kura mÄs nosÅ«tÄ«sim pastu lietotÄjam iekÅ”ÄjÄ tÄ«klÄ. IekÅ”Äjais tÄ«kls satur lietotÄja datoru, domÄna kontrolleri ar DNS serveri un pasta serveri. TÄ«kla malÄ ir ugunsmÅ«ris - FortiGate, kura galvenÄ funkcija ir konfigurÄt SMTP un DNS trafika pÄradresÄciju.
ÄŖpaÅ”u uzmanÄ«bu pievÄrsÄ«sim DNS.
E-pasta marÅ”rutÄÅ”anai internetÄ tiek izmantoti divi DNS ieraksti ā A ieraksts un MX ieraksts. Parasti Å”ie DNS ieraksti tiek konfigurÄti publiskÄ DNS serverÄ«, taÄu izkÄrtojuma ierobežojumu dÄļ mÄs vienkÄrÅ”i pÄrsÅ«tÄm DNS caur ugunsmÅ«ri (tas ir, ÄrÄjam lietotÄjam ir reÄ£istrÄta adrese 10.10.30.210 kÄ DNS serveris).
MX ieraksts ir ieraksts, kas satur domÄnu apkalpojoÅ”Ä pasta servera nosaukumu, kÄ arÄ« Ŕī pasta servera prioritÄti. MÅ«su gadÄ«jumÄ tas izskatÄs Å”Ädi: test.local -> mail.test.local 10.
Ieraksts ir ieraksts, kas pÄrvÄrÅ” domÄna nosaukumu par IP adresi, mums tas ir: mail.test.local -> 10.10.30.210.
Kad mÅ«su ÄrÄjais lietotÄjs mÄÄ£ina nosÅ«tÄ«t e-pastu uz [e-pasts aizsargÄts], tas savÄ DNS MX serverÄ« prasÄ«s test.local domÄna ierakstu. MÅ«su DNS serveris atbildÄs ar pasta servera nosaukumu - mail.test.local. Tagad lietotÄjam ir jÄiegÅ«st Ŕī servera IP adrese, lai viÅÅ” atkal piekļūtu A ieraksta DNS un saÅemtu IP adresi 10.10.30.210 (jÄ, atkal viÅa :) ). JÅ«s varat nosÅ«tÄ«t vÄstuli. TÄpÄc tas mÄÄ£ina izveidot savienojumu ar saÅemto IP adresi 25. portÄ. Izmantojot ugunsmÅ«ra noteikumus, Å”is savienojums tiek pÄrsÅ«tÄ«ts uz pasta serveri.
PÄrbaudÄ«sim pasta funkcionalitÄti paÅ”reizÄjÄ izkÄrtojuma stÄvoklÄ«. Lai to izdarÄ«tu, ÄrÄjÄ lietotÄja datorÄ izmantosim utilÄ«tu swaks. Ar tÄs palÄ«dzÄ«bu jÅ«s varat pÄrbaudÄ«t SMTP veiktspÄju, nosÅ«tot adresÄtam vÄstuli ar dažÄdu parametru kopu. IepriekÅ” pasta serverÄ« jau bija izveidots lietotÄjs ar pastkasti [e-pasts aizsargÄts]. MÄÄ£inÄsim nosÅ«tÄ«t viÅam vÄstuli:
Tagad ejam uz iekÅ”ÄjÄ lietotÄja maŔīnu un pÄrliecinÄmies, ka vÄstule ir saÅemta:
VÄstule tieÅ”Äm ir atnÄkusi (sarakstÄ ir iezÄ«mÄta). Tas nozÄ«mÄ, ka izkÄrtojums darbojas pareizi. Tagad ir pienÄcis laiks pÄriet uz FortiMail. PapildinÄsim mÅ«su izkÄrtojumu:
FortiMail var izvietot trīs režīmos:
- VÄrteja - darbojas kÄ pilnvÄrtÄ«ga MTA: pÄrÅem visu pastu, pÄrbauda to un pÄc tam pÄrsÅ«ta uz pasta serveri;
- CaurspÄ«dÄ«gs - vai, citiem vÄrdiem sakot, caurspÄ«dÄ«gs režīms. Tas ir instalÄts servera priekÅ”Ä un pÄrbauda ienÄkoÅ”o un izejoÅ”o pastu. PÄc tam tas pÄrsÅ«ta to uz serveri. Nav nepiecieÅ”amas izmaiÅas tÄ«kla konfigurÄcijÄ.
- Serveris ā Å”ajÄ gadÄ«jumÄ FortiMail ir pilnvÄrtÄ«gs pasta serveris ar iespÄju izveidot pastkastÄ«tes, saÅemt un nosÅ«tÄ«t pastu, kÄ arÄ« citu funkcionalitÄti.
MÄs izvietosim FortiMail vÄrtejas režīmÄ. Dosimies uz virtuÄlÄs maŔīnas iestatÄ«jumiem. PieteikÅ”anÄs ir admin, parole nav norÄdÄ«ta. Piesakoties pirmo reizi, jums jÄiestata jauna parole.
Tagad konfigurÄsim virtuÄlo maŔīnu, lai piekļūtu tÄ«mekļa saskarnei. Ir arÄ« nepiecieÅ”ams, lai iekÄrtai bÅ«tu piekļuve internetam. IestatÄ«sim interfeisu. Mums ir nepiecieÅ”ams tikai port1. Ar tÄs palÄ«dzÄ«bu mÄs izveidosim savienojumu ar tÄ«mekļa saskarni, un tas tiks izmantots arÄ« piekļuvei internetam. Lai atjauninÄtu pakalpojumus (pretvÄ«rusu paraksti utt.), ir nepiecieÅ”ama piekļuve internetam. Lai konfigurÄtu, ievadiet komandas:
konfigurÄcijas sistÄmas interfeiss
rediÄ£Ät 1. portu
iestatīt ip 192.168.1.40 255.255.255.0
iestatīt atļauto piekļuvi https http ssh ping
beigas
Tagad konfigurÄsim marÅ”rutÄÅ”anu. Lai to izdarÄ«tu, jums jÄievada Å”Ädas komandas:
konfigurÄcijas sistÄmas marÅ”ruts
rediÄ£Ät 1
iestatÄ«t vÄrteju 192.168.1.1
iestatiet interfeisa portu1
beigas
Ievadot komandas, varat izmantot cilnes, lai tÄs neierakstÄ«tu pilnÄ«bÄ. TurklÄt, ja esat aizmirsis, kurai komandai vajadzÄtu bÅ«t nÄkamajai, varat izmantot taustiÅu ā?ā.
Tagad pÄrbaudÄ«sim jÅ«su interneta savienojumu. Lai to izdarÄ«tu, pings Google DNS:
KÄ redzat, mums tagad ir internets. SÄkotnÄjie iestatÄ«jumi, kas raksturÄ«gi visÄm Fortinet ierÄ«cÄm, ir pabeigti, un tagad varat pÄriet uz konfigurÄÅ”anu, izmantojot tÄ«mekļa saskarni. Lai to izdarÄ«tu, atveriet pÄrvaldÄ«bas lapu:
LÅ«dzu, Åemiet vÄrÄ, ka jums ir jÄievÄro formÄtÄ norÄdÄ«tÄ saite /admin. PretÄjÄ gadÄ«jumÄ jÅ«s nevarÄsit piekļūt pÄrvaldÄ«bas lapai. PÄc noklusÄjuma lapa ir standarta konfigurÄcijas režīmÄ. IestatÄ«jumiem mums ir nepiecieÅ”ams uzlabotais režīms. Dosimies uz izvÄlni admin->View un pÄrslÄdzam režīmu uz Advanced:
Tagad mums ir jÄlejupielÄdÄ izmÄÄ£inÄjuma licence. To var izdarÄ«t izvÄlnÄ Licences informÄcija ā VM ā AtjauninÄt:
Ja jums nav izmÄÄ£inÄjuma licences, varat to pieprasÄ«t, sazinoties ar
PÄc licences ievadÄ«Å”anas ierÄ«cei ir jÄrestartÄ. NÄkotnÄ tas sÄks izvilkt datu bÄzu atjauninÄjumus no serveriem. Ja tas nenotiek automÄtiski, varat doties uz izvÄlni SistÄma ā FortiGuard un cilnÄs Antivirus, Antispam noklikŔķiniet uz pogas AtjauninÄt tÅ«lÄ«t.
Ja tas nepalÄ«dz, varat mainÄ«t atjauninÄjumiem izmantotos portus. Parasti pÄc tam parÄdÄs visas licences. Galu galÄ tam vajadzÄtu izskatÄ«ties Å”Ädi:
IestatÄ«sim pareizo laika joslu, tas noderÄs, pÄrbaudot žurnÄlus. Lai to izdarÄ«tu, dodieties uz izvÄlni SistÄma ā KonfigurÄcija:
MÄs arÄ« konfigurÄsim DNS. MÄs konfigurÄsim iekÅ”Äjo DNS serveri kÄ galveno DNS serveri un atstÄsim Fortinet nodroÅ”inÄto DNS serveri kÄ rezerves serveri.
Tagad pÄriesim pie jautrÄs daļas. KÄ jÅ«s, iespÄjams, pamanÄ«jÄt, ierÄ«ce pÄc noklusÄjuma ir iestatÄ«ta vÄrtejas režīmÄ. TÄpÄc mums tas nav jÄmaina. Dodamies uz lauku DomÄns un lietotÄjs ā DomÄns. Izveidosim jaunu domÄnu, kas ir jÄaizsargÄ. Å eit mums jÄnorÄda tikai domÄna nosaukums un pasta servera adrese (varat norÄdÄ«t arÄ« tÄ domÄna nosaukumu, mÅ«su gadÄ«jumÄ mail.test.local):
Tagad mums ir jÄnorÄda mÅ«su pasta vÄrtejas nosaukums. Tas tiks izmantots MX un A ierakstos, kas mums vÄlÄk bÅ«s jÄmaina:
No Host Name un Local Domain Name punktiem tiek apkopots FQDN, kas tiek izmantots DNS ierakstos. MÅ«su gadÄ«jumÄ FQDN = fortimail.test.local.
Tagad iestatÄ«sim saÅemÅ”anas noteikumu. Visi e-pasta ziÅojumi, kas nÄk no Ärpuses un ir pieŔķirti domÄna lietotÄjam, ir jÄpÄrsÅ«ta uz pasta serveri. Lai to izdarÄ«tu, dodieties uz izvÄlni Politika ā Piekļuves kontrole. TÄlÄk ir parÄdÄ«ts iestatÄ«Å”anas piemÄrs:
ApskatÄ«sim cilni SaÅÄmÄja politika. Å eit varat iestatÄ«t noteiktus noteikumus vÄstuļu pÄrbaudei: ja pasts nÄk no domÄna example1.com, jums tas ir jÄpÄrbauda ar Ä«paÅ”i Å”im domÄnam konfigurÄtiem mehÄnismiem. Visam pastam jau ir noklusÄjuma noteikums, un pagaidÄm tas mums ir piemÄrots. Å o noteikumu varat redzÄt zemÄk esoÅ”ajÄ attÄlÄ:
Å ajÄ brÄ«dÄ« FortiMail iestatÄ«Å”anu var uzskatÄ«t par pabeigtu. PatiesÄ«bÄ ir daudz vairÄk iespÄjamo parametru, bet, ja mÄs sÄktu tos visus apsvÄrt, mÄs varÄtu uzrakstÄ«t grÄmatu :) Un mÅ«su mÄrÄ·is ir palaist FortiMail testa režīmÄ ar minimÄlu piepÅ«li.
AtlikuÅ”as divas lietas - mainiet MX un A ierakstus, kÄ arÄ« mainiet portu pÄradresÄcijas noteikumus ugunsmÅ«rÄ«.
MX ieraksts test.local -> mail.test.local 10 ir jÄmaina uz test.local -> fortimail.test.local 10. Bet parasti pilotu laikÄ tiek pievienots otrs MX ieraksts ar augstÄku prioritÄti. PiemÄram:
test.local ā> mail.test.local 10
test.local -> fortimail.test.local 5
AtgÄdinÄÅ”u, jo mazÄks ir pasta servera preferences kÄrtas numurs MX ierakstÄ, jo augstÄka ir tÄ prioritÄte.
Un ierakstu nevar mainÄ«t, tÄpÄc mÄs vienkÄrÅ”i izveidosim jaunu: fortimail.test.local -> 10.10.30.210. ÄrÄjais lietotÄjs sazinÄsies ar adresi 10.10.30.210 25. portÄ, un ugunsmÅ«ris pÄrsÅ«tÄ«s savienojumu uz FortiMail.
Lai mainÄ«tu FortiGate pÄrsÅ«tÄ«Å”anas noteikumu, jums ir jÄmaina adrese attiecÄ«gajÄ virtuÄlÄ IP objektÄ:
Viss ir gatavs. PÄrbaudÄ«sim. NosÅ«tÄ«sim vÄstuli vÄlreiz no ÄrÄjÄ lietotÄja datora. Tagad dodieties uz FortiMail izvÄlnÄ Monitors ā Logs. LaukÄ VÄsture var redzÄt ierakstu, ka vÄstule ir pieÅemta. Lai iegÅ«tu papildinformÄciju, ar peles labo pogu noklikŔķiniet uz ieraksta un atlasiet Detaļas:
Lai pabeigtu attÄlu, pÄrbaudÄ«sim, vai FortiMail paÅ”reizÄjÄ konfigurÄcijÄ var bloÄ·Ät e-pastus, kas satur surogÄtpastu un vÄ«rusus. Lai to izdarÄ«tu, mÄs nosÅ«tÄ«sim eicar testa vÄ«rusu un testa vÄstuli, kas atrodama vienÄ no surogÄtpasta pasta datubÄzÄm (http://untroubled.org/spam/). PÄc tam atgriezÄ«simies žurnÄla skatÄ«Å”anas izvÄlnÄ:
KÄ redzam, veiksmÄ«gi tika identificÄts gan surogÄtpasts, gan vÄstule ar vÄ«rusu.
Å Ä« konfigurÄcija ir pietiekama, lai nodroÅ”inÄtu pamata aizsardzÄ«bu pret vÄ«rusiem un surogÄtpastu. Bet FortiMail funkcionalitÄte neaprobežojas ar to. Lai nodroÅ”inÄtu efektÄ«vÄku aizsardzÄ«bu, jums ir jÄizpÄta pieejamie mehÄnismi un jÄpielÄgo tie savÄm vajadzÄ«bÄm. NÄkotnÄ mÄs plÄnojam izcelt citas, uzlabotas Ŕīs pasta vÄrtejas funkcijas.
Ja jums ir kÄdas grÅ«tÄ«bas vai jautÄjumi saistÄ«bÄ ar risinÄjumu, rakstiet tos komentÄros, mÄs centÄ«simies uz tiem Ätri atbildÄt.
Lai pÄrbaudÄ«tu risinÄjumu, varat iesniegt izmÄÄ£inÄjuma licences pieprasÄ«jumu
Autors: Aleksejs Å
ikuļins. InformÄcijas droŔības inženieris Fortiservice.
Avots: www.habr.com