Welkom! Vandaag vertellen we u hoe u de initiële instellingen van de mailgateway kunt maken – Fortinet e-mailbeveiligingsoplossingen. Tijdens het artikel bekijken we de layout waarmee we gaan werken en voeren we de configuratie uit , noodzakelijk voor het ontvangen en controleren van brieven, en we zullen ook de prestaties ervan testen. Op basis van onze ervaring kunnen we gerust zeggen dat het proces heel eenvoudig is en dat u zelfs na minimale configuratie resultaten kunt zien.
Laten we beginnen met de huidige lay-out. Het wordt weergegeven in de onderstaande afbeelding.
Rechts zien we de computer van de externe gebruiker, van waaruit we mail sturen naar de gebruiker op het interne netwerk. Het interne netwerk bevat de computer van de gebruiker, een domeincontroller met daarop een DNS-server en een mailserver. Aan de rand van het netwerk bevindt zich een firewall - FortiGate, waarvan het belangrijkste kenmerk het configureren van SMTP- en DNS-verkeersdoorschakeling is.
Laten we speciale aandacht besteden aan DNS.
Er worden twee DNS-records gebruikt om e-mail op internet te routeren: het A-record en het MX-record. Normaal gesproken worden deze DNS-records geconfigureerd op een openbare DNS-server, maar vanwege lay-outbeperkingen sturen we DNS eenvoudigweg door de firewall (dat wil zeggen dat de externe gebruiker het adres 10.10.30.210 heeft geregistreerd als de DNS-server).
MX-record is een record dat de naam bevat van de mailserver die het domein bedient, evenals de prioriteit van deze mailserver. In ons geval ziet het er zo uit: test.local -> mail.test.local 10.
Een record is een record dat een domeinnaam omzet in een IP-adres, bij ons is dat: mail.test.local -> 10.10.30.210.
Wanneer onze externe gebruiker een e-mail probeert te sturen naar [e-mail beveiligd], zal het zijn DNS MX-server opvragen voor het test.local-domeinrecord. Onze DNS-server reageert met de naam van de mailserver: mail.test.local. Nu moet de gebruiker het IP-adres van deze server verkrijgen, zodat hij opnieuw toegang krijgt tot de DNS voor het A-record en het IP-adres 10.10.30.210 ontvangt (ja, weer de zijne :)). Je kunt een brief sturen. Daarom probeert het een verbinding tot stand te brengen met het ontvangen IP-adres op poort 25. Met behulp van regels op de firewall wordt deze verbinding doorgestuurd naar de mailserver.
Laten we de functionaliteit van de e-mail controleren in de huidige staat van de lay-out. Om dit te doen, gebruiken we het hulpprogramma Swaks op de computer van de externe gebruiker. Met zijn hulp kunt u de prestaties van SMTP testen door de ontvanger een brief te sturen met een reeks verschillende parameters. Voorheen werd op de mailserver al een gebruiker met een mailbox aangemaakt [e-mail beveiligd]. Laten we proberen hem een brief te sturen:
Laten we nu naar de machine van de interne gebruiker gaan en controleren of de brief is aangekomen:
De brief is daadwerkelijk aangekomen (deze is gemarkeerd in de lijst). Dit betekent dat de lay-out correct werkt. Nu is het tijd om over te stappen op FortiMail. Laten we toevoegen aan onze lay-out:
FortiMail kan in drie modi worden ingezet:
- Gateway - fungeert als een volwaardige MTA: het neemt alle e-mail over, controleert deze en stuurt deze vervolgens door naar de mailserver;
- Transparant - of met andere woorden, transparante modus. Het wordt vóór de server geïnstalleerd en controleert inkomende en uitgaande e-mail. Daarna verzendt het het naar de server. Vereist geen wijzigingen in de netwerkconfiguratie.
- Server - in dit geval is FortiMail een volwaardige mailserver met de mogelijkheid om mailboxen aan te maken, e-mail te ontvangen en te verzenden, en andere functionaliteiten.
We zullen FortiMail inzetten in Gateway-modus. Laten we naar de instellingen van de virtuele machine gaan. Inloggen is admin, er is geen wachtwoord opgegeven. Wanneer u voor de eerste keer inlogt, moet u een nieuw wachtwoord instellen.
Laten we nu de virtuele machine configureren voor toegang tot de webinterface. Het is ook noodzakelijk dat de machine internettoegang heeft. Laten we de interface instellen. We hebben alleen poort1 nodig. Met zijn hulp zullen we verbinding maken met de webinterface en deze zal ook worden gebruikt om toegang te krijgen tot internet. Internettoegang is nodig om services bij te werken (antivirushandtekeningen, enz.). Voer voor configuratie de opdrachten in:
systeeminterface configureren
poort 1 bewerken
IP-adres instellen 192.168.1.40 255.255.255.0
stel allowaccess https http ssh ping in
einde
Laten we nu de routering configureren. Om dit te doen, moet u de volgende opdrachten invoeren:
configuratie systeemroute
bewerk 1
stel gateway 192.168.1.1 in
stel interfacepoort 1 in
einde
Bij het invoeren van opdrachten kunt u tabbladen gebruiken om te voorkomen dat u ze volledig typt. Als u vergeet welk commando hierna moet komen, kunt u ook de “?”-toets gebruiken.
Laten we nu uw internetverbinding controleren. Laten we hiervoor Google DNS pingen:
Zoals je kunt zien, hebben we nu internet. De initiële instellingen die typisch zijn voor alle Fortinet-apparaten zijn voltooid en u kunt nu doorgaan met de configuratie via de webinterface. Open hiervoor de beheerpagina:
Houd er rekening mee dat u de link in het formaat moet volgen /beheerder. Anders heeft u geen toegang tot de beheerpagina. Standaard bevindt de pagina zich in de standaardconfiguratiemodus. Voor instellingen hebben we de geavanceerde modus nodig. Laten we naar het menu admin->Beeld gaan en de modus naar Geavanceerd schakelen:
Nu moeten we de proeflicentie downloaden. Dit kunt u doen in het menu Licentie-informatie → VM → Update:
Indien u niet over een proeflicentie beschikt, kunt u deze aanvragen door contact op te nemen .
Na het invoeren van de licentie moet het apparaat opnieuw opstarten. In de toekomst zal het updates van de servers naar zijn databases gaan halen. Als dit niet automatisch gebeurt, kunt u naar het menu Systeem → FortiGuard gaan en in de tabbladen Antivirus, Antispam op de knop Nu bijwerken klikken.
Als dit niet helpt, kunt u de poorten wijzigen die voor updates worden gebruikt. Meestal verschijnen hierna alle licenties. Uiteindelijk zou het er zo uit moeten zien:
Laten we de juiste tijdzone instellen. Dit is handig bij het onderzoeken van logboeken. Ga hiervoor naar het menu Systeem → Configuratie:
We zullen ook DNS configureren. We zullen de interne DNS-server configureren als de belangrijkste DNS-server en de DNS-server van Fortinet als back-up laten.
Laten we nu verder gaan met het leuke gedeelte. Zoals u wellicht heeft gemerkt, staat het apparaat standaard ingesteld op Gateway-modus. Daarom hoeven we het niet te veranderen. Laten we naar het veld Domein en gebruiker → Domein gaan. Laten we een nieuw domein maken dat moet worden beschermd. Hier hoeven we alleen de domeinnaam en het mailserveradres op te geven (u kunt ook de domeinnaam opgeven, in ons geval mail.test.local):
Nu moeten we een naam opgeven voor onze e-mailgateway. Dit zal worden gebruikt in de MX- en A-records, die we later zullen moeten wijzigen:
Uit de punten Hostnaam en Lokale domeinnaam wordt de FQDN samengesteld, die wordt gebruikt in DNS-records. In ons geval is FQDN = fortimail.test.local.
Laten we nu de ontvangstregel instellen. Alle e-mails die van buitenaf komen en zijn toegewezen aan een gebruiker in het domein, hebben we nodig om door te sturen naar de mailserver. Ga hiervoor naar het menu Beleid → Toegangscontrole. Hieronder ziet u een voorbeeldopstelling:
Laten we eens kijken naar het tabblad Ontvangersbeleid. Hier kunt u bepaalde regels instellen voor het controleren van brieven: als e-mail afkomstig is van het domein voorbeeld1.com, moet u deze controleren met mechanismen die specifiek voor dit domein zijn geconfigureerd. Er is al een standaardregel voor alle post, en voorlopig komt het ons goed uit. Je kunt deze regel zien in de onderstaande afbeelding:
Op dit punt kan de installatie op FortiMail als voltooid worden beschouwd. In feite zijn er nog veel meer mogelijke parameters, maar als we ze allemaal in overweging nemen, kunnen we een boek schrijven :) En ons doel is om FortiMail met minimale inspanning in testmodus te lanceren.
Er zijn nog twee dingen over: wijzig de MX- en A-records en wijzig ook de port forwarding-regels op de firewall.
Het MX-record test.local -> mail.test.local 10 moet worden gewijzigd in test.local -> fortimail.test.local 10. Maar meestal wordt tijdens pilots een tweede MX-record met een hogere prioriteit toegevoegd. Bijvoorbeeld:
test.local -> mail.test.local 10
test.local -> fortimail.test.local 5
Ik wil u eraan herinneren dat hoe lager het volgnummer van de mailservervoorkeur in het MX-record, hoe hoger de prioriteit ervan.
En de invoer kan niet worden gewijzigd, dus we maken gewoon een nieuwe aan: fortimail.test.local -> 10.10.30.210. Een externe gebruiker zal contact opnemen met het adres 10.10.30.210 op poort 25, en de firewall zal de verbinding doorsturen naar FortiMail.
Om de doorstuurregel op FortiGate te wijzigen, moet u het adres in het overeenkomstige Virtuele IP-object wijzigen:
Alles is klaar. Laten we het controleren. Laten we de brief opnieuw verzenden vanaf de computer van de externe gebruiker. Laten we nu naar FortiMail gaan in het menu Monitor → Logboeken. In het veld Geschiedenis ziet u een record dat de brief is geaccepteerd. Voor meer informatie kunt u met de rechtermuisknop op het item klikken en Details selecteren:
Laten we, om het plaatje compleet te maken, eens kijken of FortiMail in de huidige configuratie e-mails kan blokkeren die spam en virussen bevatten. Om dit te doen, sturen we het eicar-testvirus en een testbrief die is gevonden in een van de spammaildatabases (http://untroubled.org/spam/). Laten we hierna teruggaan naar het logweergavemenu:
Zoals we kunnen zien, zijn zowel spam als een brief met een virus met succes geïdentificeerd.
Deze configuratie is voldoende om basisbescherming tegen virussen en spam te bieden. Maar de functionaliteit van FortiMail beperkt zich hier niet toe. Voor een effectievere bescherming moet u de beschikbare mechanismen bestuderen en deze aanpassen aan uw behoeften. In de toekomst zijn we van plan andere, meer geavanceerde functies van deze mailgateway onder de aandacht te brengen.
Als u problemen of vragen heeft over de oplossing, schrijf ze dan in de opmerkingen, we zullen proberen ze zo snel mogelijk te beantwoorden.
U kunt een proeflicentie aanvragen om de oplossing te testen .
Auteur: Alexey Nikulin. Informatiebeveiligingsingenieur Fortiservice.
Bron: www.habr.com