Selamat datang! Hari ini kami akan memberitahu anda cara membuat tetapan awal gerbang mel β Penyelesaian keselamatan e-mel Fortinet. Dalam perjalanan artikel, kami akan mempertimbangkan susun atur yang akan kami gunakan, kami akan melaksanakan konfigurasi , yang diperlukan untuk menerima dan menyemak surat, dan juga menguji prestasinya. Berdasarkan pengalaman kami, kami dengan selamat boleh mengatakan bahawa prosesnya sangat mudah, dan walaupun selepas konfigurasi minimum, anda boleh melihat hasilnya.
Mari kita mulakan dengan susun atur semasa. Ia ditunjukkan dalam rajah di bawah.
Di sebelah kanan, kami melihat komputer pengguna luaran, dari mana kami akan menghantar mel kepada pengguna pada rangkaian dalaman. Komputer pengguna, pengawal domain dengan pelayan DNS dan pelayan mel terletak pada rangkaian dalaman. Di pinggir rangkaian terdapat tembok api - FortiGate, ciri utamanya ialah konfigurasi pemajuan SMTP dan trafik DNS.
Mari kita beri perhatian khusus kepada DNS.
Dua rekod DNS digunakan untuk menghalakan e-mel di Internet, rekod A dan rekod MX. Biasanya, rekod DNS ini dikonfigurasikan pada pelayan DNS awam, tetapi disebabkan oleh sekatan susun atur, kami hanya memajukan DNS melalui tembok api (iaitu, pengguna luaran mempunyai alamat 10.10.30.210 sebagai pelayan DNS).
Rekod MX - rekod yang mengandungi nama pelayan mel yang menyediakan domain, serta keutamaan pelayan mel ini. Dalam kes kami, ia kelihatan seperti ini: test.local -> mail.test.local 10.
Rekod ialah rekod yang menukar nama domain kepada alamat IP, kami mempunyai ini: mail.test.local -> 10.10.30.210.
Apabila pengguna luaran kami cuba menghantar e-mel kepada [e-mel dilindungi], ia akan menanyakan pelayan MX DNSnya untuk rekod domain test.local. Pelayan DNS kami akan bertindak balas dengan nama pelayan mel - mail.test.local. Kini pengguna perlu mendapatkan alamat IP pelayan ini, jadi dia kembali ke DNS untuk rekod A dan mendapat alamat IP 10.10.30.210 (ya, dia lagi :) ). Anda boleh menghantar surat. Oleh itu, dia cuba mewujudkan sambungan dengan alamat IP yang diterima pada port 25. Menggunakan peraturan pada tembok api, sambungan ini dimajukan ke pelayan mel.
Mari kita semak kefungsian mel dalam keadaan semasa reka letak. Untuk melakukan ini, pada komputer pengguna luaran, kami akan menggunakan utiliti swaks. Dengan bantuannya, anda boleh menguji prestasi SMTP dengan menghantar e-mel kepada penerima dengan set pelbagai parameter. Sebelum ini, pengguna dengan peti mel telah pun disediakan pada pelayan mel [e-mel dilindungi]. Mari cuba hantar e-mel kepadanya:
Sekarang mari pergi ke mesin pengguna dalaman dan pastikan surat itu telah tiba:
Surat itu benar-benar datang (ia diserlahkan dalam senarai). Jadi susun atur berfungsi dengan betul. Sudah tiba masanya untuk beralih ke FortiMail. Mari tambahkan susun atur kami:
FortiMail boleh digunakan dalam tiga mod:
- Gateway - bertindak sebagai MTA sepenuhnya: ia mengambil semua mel pada dirinya sendiri, menyemaknya, dan kemudian memajukannya ke pelayan mel;
- Telus - atau dengan kata lain, mod telus. Ia dipasang di hadapan pelayan dan menyemak mel masuk dan keluar. Selepas itu, ia menghantarnya ke pelayan. Tidak memerlukan perubahan pada konfigurasi rangkaian.
- Pelayan - dalam kes ini, FortiMail ialah pelayan mel lengkap dengan keupayaan untuk mencipta peti mel, menerima dan menghantar mel, serta dengan fungsi lain.
Kami akan menggunakan FortiMail dalam mod Gateway. Mari pergi ke tetapan mesin maya. Log masuk adalah pentadbir, kata laluan tidak ditetapkan. Apabila anda mula-mula log masuk, anda mesti menetapkan kata laluan baharu.
Sekarang mari kita konfigurasikan mesin maya untuk mengakses antara muka web. Ia juga perlu bahawa mesin mempunyai akses kepada Internet. Mari kita sediakan antara muka. Kami hanya memerlukan port1. Dengan itu, kami akan menyambung ke antara muka web, dan ia juga akan digunakan untuk mengakses Internet. Akses Internet diperlukan untuk mengemas kini perkhidmatan (tandatangan antivirus, dsb.). Untuk mengkonfigurasi, masukkan arahan:
antara muka sistem konfigurasi
edit port 1
tetapkan ip 192.168.1.40 255.255.255.0
tetapkan allowaccess https http ssh ping
akhir
Sekarang mari kita sediakan penghalaan. Untuk melakukan ini, masukkan arahan berikut:
laluan sistem konfigurasi
edit 1
tetapkan gerbang 192.168.1.1
tetapkan port antara muka1
akhir
Apabila memasukkan arahan, anda boleh menggunakan tab untuk mengelak daripada menaipnya sepenuhnya. Selain itu, jika anda terlupa arahan mana yang perlu diikuti, anda boleh menggunakan kekunci β?β.
Sekarang mari kita semak sambungan internet anda. Untuk melakukan ini, ping DNS Google:
Seperti yang anda lihat, kami mempunyai Internet. Tetapan awal yang khusus untuk semua peranti Fortinet telah selesai, kini anda boleh meneruskan ke konfigurasi melalui antara muka web. Untuk melakukan ini, buka halaman kawalan:
Sila ambil perhatian bahawa anda perlu mengikuti pautan dalam format /admin. Jika tidak, anda tidak akan dapat pergi ke halaman pengurusan. Secara lalai, halaman berada dalam mod konfigurasi standard. Untuk tetapan, kami memerlukan mod Lanjutan. Mari pergi ke admin->Lihat menu dan tukar mod kepada Lanjutan:
Sekarang kita perlu memuat turun lesen percubaan. Anda boleh melakukan ini dalam menu Maklumat Lesen β VM β Kemas kini:
Jika anda tidak mempunyai lesen percubaan, anda boleh memintanya dengan menghubungi .
Selepas memasukkan lesen, peranti harus but semula. Pada masa hadapan, ia akan mula menarik kemas kini pangkalan datanya daripada pelayan. Jika ini tidak berlaku secara automatik, anda boleh pergi ke menu Sistem β FortiGuard dan klik butang Kemas Kini Sekarang dalam tab Antivirus, Antispam.
Jika ini tidak membantu, anda boleh menukar port yang digunakan untuk kemas kini. Biasanya selepas itu semua lesen muncul. Pada akhirnya ia sepatutnya kelihatan seperti ini:
Mari kita tetapkan zon waktu yang betul, ini akan berguna apabila memeriksa log. Untuk melakukan ini, pergi ke menu Sistem β Konfigurasi:
Kami juga akan mengkonfigurasi DNS. Sebagai pelayan DNS utama, kami akan menyediakan pelayan DNS dalaman, dan sebagai sandaran, kami akan meninggalkan pelayan DNS yang disediakan oleh Fortinet.
Sekarang mari kita beralih ke bahagian yang menyeronokkan. Seperti yang anda mungkin perasan, peranti ditetapkan kepada mod Gateway secara lalai. Oleh itu, kita tidak perlu mengubahnya. Mari pergi ke medan Domain & Pengguna β Domain. Mari buat domain baharu yang perlu dilindungi. Di sini kami hanya perlu menentukan nama domain dan alamat pelayan mel (anda juga boleh menentukan nama domainnya, dalam kes kami mail.test.local):
Sekarang kami perlu memberikan nama untuk gerbang mel kami. Ini akan digunakan dalam rekod MX dan A, yang perlu kami ubah kemudian:
Item Nama Hos dan Nama Domain Tempatan membentuk FQDN, yang digunakan dalam rekod DNS. Dalam kes kami, FQDN = fortimail.test.local.
Sekarang mari kita sediakan peraturan terima. Kami memerlukan semua e-mel yang datang dari luar dan diberikan kepada pengguna dalam domain untuk dimajukan ke pelayan mel. Untuk melakukan ini, pergi ke menu Dasar β Kawalan Akses. Contoh persediaan ditunjukkan di bawah:
Mari lihat tab Dasar Penerima. Di sini anda boleh menetapkan peraturan tertentu untuk menyemak mesej: jika mel datang daripada domain example1.com, anda perlu menyemaknya dengan mekanisme yang dikonfigurasikan khusus untuk domain ini. Sudah ada peraturan lalai yang ditetapkan untuk semua mel, dan buat masa ini ia sesuai dengan kami. Anda boleh melihat peraturan ini dalam rajah di bawah:
Ini melengkapkan persediaan pada FortiMail. Sebenarnya, terdapat banyak lagi parameter yang mungkin, tetapi jika kita mula mempertimbangkan kesemuanya, kita boleh menulis buku :) Dan matlamat kami adalah untuk menjalankan FortiMail dalam mod ujian dengan usaha yang minimum.
Terdapat dua perkara yang tinggal - tukar rekod MX dan A, dan juga tukar peraturan pemajuan port pada tembok api.
Ujian rekod MX.local -> mail.test.local 10 perlu ditukar kepada test.local -> fortimail.test.local 10. Tetapi biasanya rekod MX keutamaan kedua yang lebih tinggi ditambah semasa perintis. Sebagai contoh:
test.local -> mail.test.local 10
test.local -> fortimail.test.local 5
Biar saya ingatkan anda bahawa semakin rendah nombor keutamaan pelayan mel dalam rekod MX, semakin tinggi keutamaannya.
Rekod tidak boleh ditukar, jadi mari buat yang baharu: fortimail.test.local -> 10.10.30.210. Pengguna luaran akan menangani 10.10.30.210 pada port 25 dan tembok api akan memajukan sambungan ke FortiMail.
Untuk menukar peraturan pemajuan pada FortiGate, anda perlu menukar alamat dalam objek IP Maya yang sepadan:
Semua dah siap. Jom semak. Mari hantar e-mel daripada komputer pengguna luaran sekali lagi. Sekarang mari pergi ke FortiMail dalam menu Monitor β Log. Dalam medan Sejarah, anda boleh melihat rekod bahawa surat itu telah diterima. Untuk maklumat lanjut, anda boleh klik kanan pada entri dan pilih Butiran:
Untuk melengkapkan gambar, mari semak sama ada FortiMail dalam konfigurasi semasa boleh menyekat e-mel yang mengandungi spam dan virus. Untuk melakukan ini, mari kita hantar virus eicar ujian dan e-mel ujian yang terdapat dalam salah satu pangkalan data spam (http://untroubled.org/spam/). Selepas itu, mari kembali ke menu paparan log:
Seperti yang anda lihat, kedua-dua spam dan surat dengan virus telah berjaya dikenal pasti.
Konfigurasi ini mencukupi untuk memberikan perlindungan asas terhadap virus dan spam. Tetapi fungsi FortiMail tidak terhad kepada ini. Untuk perlindungan yang lebih berkesan, anda perlu mengkaji mekanisme yang ada dan menyesuaikannya mengikut keperluan anda. Pada masa hadapan, kami merancang untuk menyerlahkan ciri lain yang lebih maju bagi gerbang mel ini.
Jika anda mempunyai sebarang kesulitan atau soalan mengenai penyelesaian, tuliskannya dalam ulasan, kami akan cuba menjawabnya dengan segera.
Anda boleh meninggalkan permintaan untuk mendapatkan lesen percubaan untuk menguji penyelesaian .
Pengarang: Alexey Nikulin. Jurutera keselamatan maklumat Fortiservice.
Sumber: www.habr.com