Добредојдовте! Денес ќе ви кажеме како да ги направите почетните поставки на портата за пошта – Безбедносни решенија за е-пошта Fortinet. Во текот на статијата ќе го разгледаме изгледот со кој ќе работиме и ќе ја извршиме конфигурацијата , неопходно за примање и проверка на писма, а ќе ги тестираме и неговите перформанси. Врз основа на нашето искуство, можеме со сигурност да кажеме дека процесот е многу едноставен, па дури и по минимална конфигурација можете да видите резултати.
Да почнеме со тековниот распоред. Тоа е прикажано на сликата подолу.
На десната страна го гледаме компјутерот на надворешниот корисник, од кој ќе испратиме пошта до корисникот на внатрешната мрежа. Внатрешната мрежа содржи компјутер на корисникот, контролер на домен со DNS сервер кој работи на него и сервер за пошта. На работ на мрежата има заштитен ѕид - FortiGate, чија главна карактеристика е да го конфигурира пренасочувањето на сообраќајот SMTP и DNS.
Да обрнеме посебно внимание на DNS.
Постојат два DNS записи кои се користат за рутирање на е-пошта на Интернет - записот A и записот MX. Вообичаено, овие DNS записи се конфигурирани на јавен DNS-сервер, но поради ограничувањата на распоредот, ние едноставно го проследуваме DNS преку заштитниот ѕид (односно, надворешниот корисник ја има адресата 10.10.30.210 регистрирана како DNS-сервер).
Записот MX е запис кој го содржи името на серверот за пошта што го опслужува доменот, како и приоритетот на овој сервер за пошта. Во нашиот случај изгледа вака: test.local -> mail.test.local 10.
Запис е запис кој конвертира име на домен во IP адреса, за нас тоа е: mail.test.local -> 10.10.30.210.
Кога нашиот надворешен корисник се обидува да испрати е-пошта до [заштитена по е-пошта], ќе побара од својот DNS MX сервер за записот на доменот test.local. Нашиот DNS сервер ќе одговори со името на серверот за пошта - mail.test.local. Сега корисникот треба да ја добие IP адресата на овој сервер, па тој повторно пристапува до DNS за записот А и ја добива IP адресата 10.10.30.210 (да, повторно неговата :) ). Можете да испратите писмо. Затоа, се обидува да воспостави врска со примената IP адреса на портата 25. Користејќи правила на заштитниот ѕид, оваа врска се препраќа до серверот за пошта.
Ајде да ја провериме функционалноста на поштата во моменталната состојба на изгледот. За да го направите ова, ќе ја користиме алатката swaks на компјутерот на надворешниот корисник. Со негова помош, можете да ги тестирате перформансите на SMTP со испраќање на примачот писмо со збир на различни параметри. Претходно, на серверот за пошта веќе беше креиран корисник со поштенско сандаче [заштитена по е-пошта]. Ајде да се обидеме да му испратиме писмо:
Сега да одиме до машината на внатрешниот корисник и да се увериме дека писмото пристигнало:
Писмото всушност пристигна (тоа е нагласено во списокот). Ова значи дека распоредот работи правилно. Сега е време да се префрлиме на FortiMail. Ајде да додадеме во нашиот распоред:
FortiMail може да се распореди во три режими:
- Порта - делува како полноправна MTA: ја презема целата пошта, ја проверува и потоа ја препраќа до серверот за пошта;
- Транспарентен - или со други зборови, транспарентен режим. Се инсталира пред серверот и ја проверува влезната и појдовната пошта. После тоа, го пренесува на серверот. Не бара промени во мрежната конфигурација.
- Сервер - во овој случај, FortiMail е полноправен сервер за пошта со можност за креирање поштенски сандачиња, примање и испраќање пошта, како и друга функционалност.
Ќе го распоредиме FortiMail во режим на портал. Ајде да одиме до поставките на виртуелната машина. Влезот е администратор, не е наведена лозинка. Кога ќе се најавите за прв пат, мора да поставите нова лозинка.
Сега ајде да ја конфигурираме виртуелната машина за пристап до веб-интерфејсот. Исто така, неопходно е машината да има пристап до Интернет. Ајде да го поставиме интерфејсот. Ни треба само порта 1. Со негова помош ќе се поврземе на веб интерфејсот, а ќе се користи и за пристап до Интернет. Потребен е пристап до Интернет за ажурирање на услугите (антивирусни потписи, итн.). За конфигурација, внесете ги командите:
системски интерфејс за конфигурација
уредување порта 1
постави IP 192.168.1.40 255.255.255.0
поставете дозволи пристап https http ssh пинг
крајот
Сега ајде да го конфигурираме рутирањето. За да го направите ова, треба да ги внесете следните команди:
конфигурациска рута на системот
уреди 1
поставена порта 192.168.1.1
постави интерфејс порта1
крајот
Кога внесувате команди, можете да користите јазичиња за да избегнете да ги пишувате во целост. Исто така, ако заборавите која команда треба да следи, можете да го користите копчето „?“.
Сега да ја провериме вашата интернет конекција. За да го направите ова, ајде да пингуваме на Google DNS:
Како што можете да видите, сега имаме Интернет. Почетните поставки типични за сите уреди на Fortinet се завршени и сега можете да продолжите со конфигурацијата преку веб-интерфејсот. За да го направите ова, отворете ја страницата за управување:
Ве молиме имајте предвид дека треба да ја следите врската во формат /админ. Во спротивно, нема да можете да пристапите до страницата за управување. Стандардно, страницата е во стандарден режим на конфигурација. За поставки ни треба Напреден режим. Ајде да одиме во менито admin->View и да го префрлиме режимот на Advanced:
Сега треба да ја преземеме пробната лиценца. Ова може да се направи во менито Информации за лиценца → VM → Ажурирање:
Ако немате пробна лиценца, можете да ја побарате со контактирање .
Откако ќе ја внесете лиценцата, уредот треба да се рестартира. Во иднина, ќе почне да ги влече ажурирањата на своите бази на податоци од серверите. Ако ова не се случи автоматски, можете да отидете во менито System → FortiGuard и во табовите Антивирус, Антиспам кликнете на копчето Ажурирај сега.
Ако ова не помогне, можете да ги промените портите што се користат за ажурирања. Обично после ова се појавуваат сите лиценци. На крајот треба да изгледа вака:
Ајде да ја поставиме точната временска зона, ова ќе биде корисно при испитување на дневниците. За да го направите ова, одете во менито Систем → Конфигурација:
Ќе го конфигурираме и DNS. Ќе го конфигурираме внатрешниот DNS-сервер како главен DNS-сервер и ќе го оставиме DNS-серверот обезбеден од Fortinet како резервен.
Сега да преминеме на забавниот дел. Како што можеби забележавте, уредот стандардно е поставен на режим на портал. Затоа, не треба да го менуваме. Ајде да одиме во полето Домен и корисник → Домен. Ајде да создадеме нов домен кој треба да биде заштитен. Овде треба само да го одредиме името на доменот и адресата на серверот за пошта (исто така можете да го наведете неговото име на домен, во нашиот случај mail.test.local):
Сега треба да обезбедиме име за нашата порта за пошта. Ова ќе се користи во записите MX и A, кои ќе треба да ги промениме подоцна:
Од точките Host Name и Local Domain Name, се компајлира FQDN, кој се користи во записите на DNS. Во нашиот случај, FQDN = fortimail.test.local.
Сега да го поставиме правилото за примање. Потребни ни се сите е-пошта што доаѓаат однадвор и се доделени на корисник во доменот да бидат препратени до серверот за пошта. За да го направите ова, одете во менито Политика → Контрола на пристап. Пример за поставување е прикажан подолу:
Ајде да погледнеме во табулаторот Политика на примачот. Овде можете да поставите одредени правила за проверка на буквите: ако поштата доаѓа од доменот example1.com, треба да ја проверите со механизми конфигурирани специјално за овој домен. Веќе постои стандардно правило за целата пошта, а засега ни одговара. Ова правило можете да го видите на сликата подолу:
Во овој момент, поставувањето на FortiMail може да се смета за завршено. Всушност, има многу повеќе можни параметри, но ако почнеме да ги разгледуваме сите, би можеле да напишеме книга :) А нашата цел е да го лансираме FortiMail во тест режим со минимален напор.
Остануваат две работи - сменете ги записите MX и A, а исто така променете ги правилата за препраќање на портите на заштитниот ѕид.
Записот MX test.local -> mail.test.local 10 мора да се смени во test.local -> fortimail.test.local 10. Но, обично за време на пилотите се додава втор MX запис со повисок приоритет. На пример:
тест.локално -> пошта.тест.локално 10
test.local -> fortimail.test.local 5
Дозволете ми да ве потсетам дека колку е помал редниот број на претпочитањето на серверот за пошта во записот MX, толку е поголем неговиот приоритет.
И записот не може да се смени, па само ќе создадеме нов: fortimail.test.local -> 10.10.30.210. Надворешен корисник ќе контактира со адресата 10.10.30.210 на порта 25, а заштитниот ѕид ќе ја препрати врската до FortiMail.
За да го промените правилото за препраќање на FortiGate, треба да ја смените адресата во соодветниот објект за виртуелна IP адреса:
Сè е подготвено. Ајде да провериме. Ајде повторно да го испратиме писмото од компјутерот на надворешниот корисник. Сега да одиме на FortiMail во менито Монитор → Дневници. Во полето Историја можете да видите запис дека писмото е прифатено. За повеќе информации, можете да кликнете со десното копче на записот и да изберете Детали:
За да ја комплетираме сликата, да провериме дали FortiMail во својата моментална конфигурација може да блокира е-пошта што содржат спам и вируси. За да го направите ова, ќе го испратиме вирусот за тестирање eicar и тест писмо пронајдено во една од базите на податоци за спам пошта (http://untroubled.org/spam/). После ова, да се вратиме на менито за гледање дневник:
Како што можеме да видиме, и спам и писмо со вирус беа успешно идентификувани.
Оваа конфигурација е доволна за да обезбеди основна заштита од вируси и спам. Но, функционалноста на FortiMail не е ограничена на ова. За поефикасна заштита, треба да ги проучите достапните механизми и да ги приспособите за да одговараат на вашите потреби. Во иднина, планираме да истакнеме други, понапредни функции на оваа порта за пошта.
Ако имате какви било потешкотии или прашања во врска со решението, пишете ги во коментари, ние ќе се обидеме веднаш да одговориме на нив.
Можете да поднесете барање за пробна лиценца за тестирање на решението .
Автор: Алексеј Никулин. Инженер за безбедност на информации Фортисервис.
Извор: www.habr.com