Merħba! Illum se ngħidulek kif tagħmel is-settings inizjali tal-gateway tal-posta – Soluzzjonijiet ta’ sigurtà tal-email Fortinet. Matul l-artiklu, se nikkunsidraw it-tqassim li se naħdmu bih, se nwettqu l-konfigurazzjoni , li hija meħtieġa biex tirċievi u tikkontrolla l-ittri, u tittestja wkoll il-prestazzjoni tagħha. Ibbażat fuq l-esperjenza tagħna, nistgħu ngħidu b'mod sikur li l-proċess huwa sempliċi ħafna, u anke wara konfigurazzjoni minima, tista 'tara r-riżultati.
Nibdew bit-tqassim attwali. Huwa muri fil-figura hawn taħt.
Fuq il-lemin, naraw il-kompjuter tal-utent estern, li minnu nibagħtu posta lill-utent fuq in-netwerk intern. Il-kompjuter tal-utent, kontrollur tad-dominju b'server DNS u server tal-posta jinsabu fin-netwerk intern. Fit-tarf tan-netwerk hemm firewall - FortiGate, li l-karatteristika ewlenija tiegħu hija l-konfigurazzjoni ta 'trażmissjoni SMTP u DNS tat-traffiku.
Ejja nagħtu attenzjoni speċjali lid-DNS.
Żewġ rekords DNS huma wżati biex jintbagħtu email fuq l-Internet, rekord A u rekord MX. Normalment, dawn ir-rekords DNS huma kkonfigurati fuq server DNS pubbliku, iżda minħabba restrizzjonijiet ta 'tqassim, aħna sempliċement nibgħatu DNS permezz tal-firewall (jiġifieri, l-utent estern għandu l-indirizz 10.10.30.210 bħala s-server DNS).
Rekord MX - rekord li fih l-isem tas-server tal-posta li jservi d-dominju, kif ukoll il-prijorità ta 'dan is-server tal-posta. Fil-każ tagħna, jidher bħal dan: test.local -> mail.test.local 10.
Rekord huwa rekord li jikkonverti isem tad-dominju f'indirizz IP, għalina huwa: mail.test.local -> 10.10.30.210.
Meta l-utent estern tagħna jipprova jibgħat email lil [protett bl-email], se mistoqsija lis-server DNS MX tagħha għar-rekord tad-dominju test.local. Is-server DNS tagħna se jirrispondi bl-isem tas-server tal-posta - mail.test.local. Issa l-utent jeħtieġ li jikseb l-indirizz IP ta 'dan is-server, għalhekk imur lura għad-DNS għar-rekord A u jikseb l-indirizz IP 10.10.30.210 (iva, tiegħu għal darb'oħra :) ). Tista' tibgħat ittra. Għalhekk, jipprova jistabbilixxi konnessjoni mal-indirizz IP riċevut fuq il-port 25. Bl-għajnuna ta 'regoli dwar il-firewall, din il-konnessjoni tintbagħat lis-server tal-posta.
Ejja niċċekkjaw il-funzjonalità tal-posta fl-istat attwali tat-tqassim. Biex tagħmel dan, fuq il-kompjuter ta 'utent estern, se nużaw l-utilità swaks. Bl-għajnuna tagħha, tista 'tittestja l-prestazzjoni ta' SMTP billi tibgħat email lir-riċevitur b'sett ta 'diversi parametri. Preċedentement, utent b'kaxxa tal-posta diġà ġie stabbilit fuq is-server tal-posta [protett bl-email]. Ejja nippruvaw nibagħtulu email:
Issa ejja mmorru għall-magna tal-utent intern u kun żgur li l-ittra tkun waslet:
L-ittra waslet tassew (hija enfasizzata fil-lista). Allura t-tqassim qed jaħdem b'mod korrett. Wasal iż-żmien li ngħaddu għal FortiMail. Ejja nżidu t-tqassim tagħna:
FortiMail jista’ jiġi skjerat fi tliet modi:
- Gateway - taġixxi bħala MTA sħiħ: tieħu l-posta kollha fuqha nnifisha, tiċċekkjaha, u mbagħad tibgħatha lis-server tal-posta;
- Trasparenti - jew mod ieħor, trasparenti. Installat quddiem is-server u jiċċekkja l-posta deħlin u ħierġa. Wara dan, jibgħatha lis-server. Ma jeħtieġ l-ebda tibdil fil-konfigurazzjoni tan-netwerk.
- Server - f'dan il-każ, FortiMail huwa server tal-posta sħiħ bil-kapaċità li joħloq kaxxi tal-posta, jirċievi u jibgħat posta, kif ukoll b'funzjonalità oħra.
Se nkunu qed niskjeraw FortiMail fil-modalità Gateway. Ejja mmorru għall-issettjar tal-magna virtwali. Il-login huwa admin, il-password mhix issettjata. Meta tidħol għall-ewwel darba, trid tissettja password ġdida.
Issa ejja kkonfigurat il-magna virtwali biex taċċessa l-interface tal-web. Huwa wkoll meħtieġ li l-magna jkollha aċċess għall-Internet. Ejja nwaqqfu l-interface. Għandna bżonn biss port1. Magħha, aħna se tikkonnettja mal-interface tal-web, u se tintuża wkoll biex taċċessa l-Internet. Aċċess għall-Internet huwa meħtieġ biex jiġu aġġornati s-servizzi (firem antivirus, eċċ.). Biex tikkonfigura, daħħal il-kmandi:
interface tas-sistema tal-konfigurazzjoni
editja l-port 1
issettja l-ip 192.168.1.40 255.255.255.0
issettja allowaccess https http ssh ping
aħħar
Issa ejja nwaqqfu r-rotot. Biex tagħmel dan, daħħal il-kmandi li ġejjin:
rotta tas-sistema tal-konfigurazzjoni
editja 1
issettja l-gateway 192.168.1.1
issettja l-port1 tal-interface
aħħar
Meta ddaħħal kmandi, tista 'tuża tabs biex tevita li ttajpjahom kollha. Ukoll, jekk insejt liema kmand għandu jmur wara, tista 'tuża ċ-ċavetta "?".
Issa ejja niċċekkjaw il-konnessjoni tal-internet tiegħek. Biex tagħmel dan, ping il-Google DNS:
Kif tistgħu taraw, għandna l-Internet. Is-settings inizjali li huma speċifiċi għall-apparat Fortinet kollha tlestew, issa tista 'tipproċedi għall-konfigurazzjoni permezz tal-interface tal-web. Biex tagħmel dan, iftaħ il-paġna tal-kontroll:
Jekk jogħġbok innota li għandek bżonn issegwi l-link fil-format /admin. Inkella, ma tkunx tista' tasal għall-paġna tal-kontroll. B'mod awtomatiku, il-paġna hija fil-modalità ta 'konfigurazzjoni standard. Għas-settings, għandna bżonn il-modalità Avvanzata. Ejja mmorru fil-menu admin-> View u aqleb il-mod għal Avvanzat:
Issa għandna bżonn tniżżel il-liċenzja tal-prova. Tista' tagħmel dan fil-menu Informazzjoni tal-Liċenzja → VM → Aġġornament:
Jekk m'għandekx liċenzja ta' prova, tista' titlob waħda billi tikkuntattja .
Wara li ddaħħal il-liċenzja, l-apparat għandu jerġa 'jibda. Fil-futur, se tibda tiġbed aġġornamenti tad-databases tagħha mis-servers. Jekk dan ma jseħħx awtomatikament, tista 'tmur fil-menu Sistema → FortiGuard u kklikkja l-buttuna Aġġorna Issa fit-tabs Antivirus, Antispam.
Jekk dan ma jgħinx, tista 'tbiddel il-portijiet użati għall-aġġornamenti. Normalment wara li jidhru l-liċenzji kollha. Fl-aħħar għandu jidher bħal dan:
Ejja nissettjaw iż-żona tal-ħin korretta, dan ikun utli meta neżaminaw ir-zkuk. Biex tagħmel dan, mur fil-menu Sistema → Konfigurazzjoni:
Se nikkonfiguraw ukoll id-DNS. Bħala s-server tad-DNS ewlieni, se nwaqqfu server DNS intern, u bħala backup, se nħallu s-server DNS ipprovdut minn Fortinet.
Issa ejja ngħaddu għall-aktar interessanti. Kif forsi innotajt, b'mod awtomatiku l-apparat huwa ssettjat għall-modalità Gateway. Allura m'għandniex bżonn inbiddlu. Ejja mmorru fil-qasam Domain & User → Domain. Ejja noħolqu dominju ġdid li jeħtieġ li jiġi protett. Hawnhekk għandna bżonn biss li nispeċifikaw l-isem tad-dominju u l-indirizz tas-server tal-posta (tista 'wkoll tispeċifika l-isem tad-dominju tiegħu, fil-każ tagħna mail.test.local):
Issa għandna bżonn nipprovdu isem għall-portal tal-posta tagħna. Dan se jintuża fir-rekords MX u A, li ser ikollna nbiddlu aktar tard:
L-Isem Ospitanti u l-Isem tad-Dominju Lokali jiffurmaw l-FQDN, li jintuża fir-rekords DNS. Fil-każ tagħna, FQDN = fortimail.test.local.
Issa ejja nwaqqfu r-regola tar-riċeviment. Għandna bżonn l-emails kollha li ġejjin minn barra u huma assenjati lil utent fid-dominju biex jintbagħtu lis-server tal-posta. Biex tagħmel dan, mur fil-menu Politika → Kontroll tal-Aċċess. Setup eżempju jidher hawn taħt:
Ejja nħarsu lejn it-tab tal-Politika tar-Riċevitur. Hawnhekk tista' tissettja ċerti regoli għall-iċċekkjar tal-messaġġi: jekk il-posta tiġi mid-dominju example1.com, trid tiċċekkjaha b'mekkaniżmi kkonfigurati speċifikament għal dan id-dominju. Diġà hemm regola default stabbilita għall-posta kollha, u għalissa taqbel magħna. Tista' tara din ir-regola fil-figura hawn taħt:
Dan itemm is-setup fuq FortiMail. Fil-fatt, hemm ħafna aktar parametri possibbli, imma jekk nibdew nikkunsidrawhom kollha, nistgħu niktbu ktieb :) U l-għan tagħna huwa li nniedu FortiMail fil-modalità tat-test bi sforz minimu.
Fadal żewġ affarijiet - ibdel ir-rekords MX u A, u wkoll ibiddel ir-regoli tal-port forwarding fuq il-firewall.
Ir-rekord MX test.local -> mail.test.local 10 jeħtieġ li jinbidel għal test.local -> fortimail.test.local 10. Iżda ġeneralment jiġi miżjud it-tieni rekord MX ta 'prijorità ogħla waqt il-piloti. Pereżempju:
test.local -> mail.test.local 10
test.local -> fortimail.test.local 5
Ħa nfakkarkom li iktar ma jkun baxx in-numru ordinali tal-preferenza tas-server tal-posta fir-rekord MX, iktar ikun għoli l-prijorità tagħha.
Rekord ma jistax jinbidel, allura ejja noħolqu wieħed ġdid: fortimail.test.local -> 10.10.30.210. L-utent estern se jindirizza 10.10.30.210 fuq il-port 25 u l-firewall jgħaddi l-konnessjoni lil FortiMail.
Sabiex tibdel ir-regola tat-trażmissjoni fuq FortiGate, trid tibdel l-indirizz fl-oġġett tal-IP Virtwali korrispondenti:
Kollox lest. Ejja niċċekkjaw. Ejja nerġgħu nibagħtu email mill-kompjuter tal-utent estern. Issa ejja mmorru għal FortiMail fil-menu Monitor → Zkuk. Fil-qasam Storja, tista' tara rekord li l-ittra ġiet aċċettata. Għal aktar informazzjoni, tista' tikklikkja bil-lemin fuq entrata u tagħżel Dettalji:
Biex tlesti l-istampa, ejja niċċekkjaw jekk FortiMail fil-konfigurazzjoni attwali tiegħu tistax timblokka emails li fihom spam u viruses. Biex nagħmlu dan, aħna nibagħtu l-virus tat-test eicar u ittra tat-test li tinsab f'waħda mid-databases tal-posta tal-ispam (http://untroubled.org/spam/). Wara dan, ejja mmorru lura għall-menu tal-vista tal-log:
Kif tistgħu taraw, kemm l-ispam kif ukoll ittra b'virus ġew identifikati b'suċċess.
Din il-konfigurazzjoni hija biżżejjed biex tipprovdi protezzjoni bażika kontra viruses u spam. Iżda l-funzjonalità ta 'FortiMail mhix limitata għal dan. Għal protezzjoni aktar effettiva, għandek bżonn tistudja l-mekkaniżmi disponibbli u tippersonalizzahom skont il-bżonnijiet tiegħek. Fil-futur, qed nippjanaw li nenfasizzaw karatteristiċi oħra aktar avvanzati ta’ dan il-portal tal-posta.
Jekk għandek xi diffikultajiet jew mistoqsijiet dwar is-soluzzjoni, iktebhom fil-kummenti, aħna nippruvaw inwieġbuhom fil-pront.
Tista' tħalli talba għal liċenzja ta' prova biex tittestja s-soluzzjoni .
Awtur: Alexey Nikulin. Fortiservice inġinier tas-sigurtà tal-informazzjoni.
Sors: www.habr.com