Velkommen! I dag vil vi fortelle deg hvordan du gjør de første innstillingene til e-postporten – Fortinet e-postsikkerhetsløsninger. I løpet av artikkelen skal vi se på oppsettet vi skal jobbe med og utføre konfigurasjonen , nødvendig for å motta og kontrollere brev, og vi vil også teste ytelsen. Basert på vår erfaring kan vi trygt si at prosessen er veldig enkel, og selv etter minimal konfigurasjon kan du se resultater.
La oss starte med gjeldende layout. Det er vist i figuren nedenfor.
Til høyre ser vi datamaskinen til den eksterne brukeren, hvorfra vi sender e-post til brukeren på det interne nettverket. Det interne nettverket inneholder brukerens datamaskin, en domenekontroller med en DNS-server som kjører på den, og en e-postserver. På kanten av nettverket er det en brannmur - FortiGate, hvis hovedfunksjon er å konfigurere SMTP- og DNS-trafikkvideresending.
La oss være spesielt oppmerksomme på DNS.
Det er to DNS-poster som brukes til å rute e-post på Internett – A-posten og MX-posten. Vanligvis er disse DNS-postene konfigurert på en offentlig DNS-server, men på grunn av layoutbegrensninger videresender vi ganske enkelt DNS gjennom brannmuren (det vil si at den eksterne brukeren har adressen 10.10.30.210 registrert som DNS-serveren).
MX-posten er en post som inneholder navnet på e-postserveren som betjener domenet, samt prioriteten til denne e-postserveren. I vårt tilfelle ser det slik ut: test.local -> mail.test.local 10.
En post er en post som konverterer et domenenavn til en IP-adresse, for oss er det: mail.test.local -> 10.10.30.210.
Når vår eksterne bruker prøver å sende en e-post til [e-postbeskyttet], vil den spørre DNS MX-serveren etter test.local-domeneposten. Vår DNS-server vil svare med navnet på e-postserveren - mail.test.local. Nå må brukeren få IP-adressen til denne serveren, så han får igjen tilgang til DNS for A-posten og mottar IP-adressen 10.10.30.210 (ja, hans igjen :) ). Du kan sende et brev. Derfor prøver den å etablere en tilkobling til den mottatte IP-adressen på port 25. Ved å bruke regler på brannmuren videresendes denne tilkoblingen til e-postserveren.
La oss sjekke funksjonaliteten til e-posten i den nåværende tilstanden til oppsettet. For å gjøre dette bruker vi swaks-verktøyet på den eksterne brukerens datamaskin. Med dens hjelp kan du teste ytelsen til SMTP ved å sende mottakeren et brev med et sett med forskjellige parametere. Tidligere er det allerede opprettet en bruker med postboks på e-postserveren [e-postbeskyttet]. La oss prøve å sende ham et brev:
La oss nå gå til den interne brukerens maskin og sørge for at brevet har kommet:
Brevet kom faktisk (det er uthevet i listen). Dette betyr at oppsettet fungerer som det skal. Nå er tiden inne for å gå videre til FortiMail. La oss legge til layouten vår:
FortiMail kan distribueres i tre moduser:
- Gateway - fungerer som en fullverdig MTA: den tar over all e-post, sjekker den og videresender den deretter til e-postserveren;
- Transparent – eller med andre ord, transparent modus. Den er installert foran serveren og sjekker innkommende og utgående post. Etter det overfører den det til serveren. Krever ikke endringer i nettverkskonfigurasjonen.
- Server - i dette tilfellet er FortiMail en fullverdig e-postserver med mulighet til å lage postbokser, motta og sende e-post, samt annen funksjonalitet.
Vi vil distribuere FortiMail i Gateway-modus. La oss gå til innstillingene for den virtuelle maskinen. Innlogging er admin, ingen passord er spesifisert. Når du logger inn for første gang, må du angi et nytt passord.
La oss nå konfigurere den virtuelle maskinen for å få tilgang til nettgrensesnittet. Det er også nødvendig at maskinen har Internett-tilgang. La oss sette opp grensesnittet. Vi trenger bare port1. Med dens hjelp vil vi koble til nettgrensesnittet, og det vil også bli brukt til å få tilgang til Internett. Internett-tilgang er nødvendig for å oppdatere tjenester (antivirussignaturer osv.). For konfigurasjon, skriv inn kommandoene:
konfig systemgrensesnitt
rediger port 1
sett ip 192.168.1.40 255.255.255.0
angi tillate tilgang https http ssh ping
slutt
La oss nå konfigurere ruting. For å gjøre dette må du skrive inn følgende kommandoer:
konfigurasjonssystemrute
edit 1
sett gateway 192.168.1.1
angi grensesnittport1
slutt
Når du legger inn kommandoer, kan du bruke tabulatorer for å unngå å skrive dem i sin helhet. Også, hvis du glemmer hvilken kommando som skal komme neste, kan du bruke "?"-tasten.
La oss nå sjekke Internett-tilkoblingen din. For å gjøre dette, la oss pinge Google DNS:
Som du kan se, har vi nå Internett. De innledende innstillingene som er typiske for alle Fortinet-enheter er fullført, og du kan nå gå videre til konfigurasjonen via nettgrensesnittet. For å gjøre dette, åpne administrasjonssiden:
Vær oppmerksom på at du må følge lenken i formatet /admin. Ellers vil du ikke få tilgang til administrasjonssiden. Som standard er siden i standard konfigurasjonsmodus. For innstillinger trenger vi Avansert modus. La oss gå til admin->Vis-menyen og bytte modus til Avansert:
Nå må vi laste ned prøvelisensen. Dette kan gjøres i menyen Lisensinformasjon → VM → Oppdater:
Hvis du ikke har en prøvelisens, kan du be om en ved å kontakte .
Etter å ha angitt lisensen, bør enheten starte på nytt. I fremtiden vil den begynne å hente oppdateringer til databasene sine fra serverne. Hvis dette ikke skjer automatisk, kan du gå til System → FortiGuard-menyen og i Antivirus, Antispam-fanene klikker du på Oppdater nå-knappen.
Hvis dette ikke hjelper, kan du endre portene som brukes for oppdateringer. Vanligvis vises alle lisenser etter dette. Til slutt skal det se slik ut:
La oss sette opp riktig tidssone, dette vil være nyttig når du undersøker logger. For å gjøre dette, gå til System → Konfigurasjon-menyen:
Vi vil også konfigurere DNS. Vi vil konfigurere den interne DNS-serveren som hoved-DNS-server, og la DNS-serveren levert av Fortinet være backup.
La oss nå gå videre til den morsomme delen. Som du kanskje har lagt merke til, er enheten satt til Gateway-modus som standard. Derfor trenger vi ikke å endre det. La oss gå til feltet Domene og bruker → Domene. La oss lage et nytt domene som må beskyttes. Her trenger vi bare å spesifisere domenenavnet og e-postserveradressen (du kan også spesifisere domenenavnet, i vårt tilfelle mail.test.local):
Nå må vi gi et navn for e-postgatewayen vår. Dette vil bli brukt i MX- og A-postene, som vi må endre senere:
Fra vertsnavn- og lokalt domenenavn-punkt kompileres FQDN, som brukes i DNS-poster. I vårt tilfelle er FQDN = fortimail.test.local.
La oss nå sette opp mottaksregelen. Vi trenger at all e-post som kommer utenfra og er tilordnet en bruker i domenet skal videresendes til e-postserveren. For å gjøre dette, gå til menyen Policy → Access Control. Et eksempeloppsett er vist nedenfor:
La oss se på fanen Recipient Policy. Her kan du angi visse regler for kontroll av brev: hvis e-post kommer fra domenet example1.com, må du sjekke det med mekanismer konfigurert spesifikt for dette domenet. Det er allerede en standardregel for all post, og foreløpig passer den oss. Du kan se denne regelen i figuren nedenfor:
På dette tidspunktet kan oppsettet på FortiMail anses som fullført. Faktisk er det mange flere mulige parametere, men hvis vi begynner å vurdere dem alle, kan vi skrive en bok :) Og målet vårt er å lansere FortiMail i testmodus med minimal innsats.
Det er to ting igjen - endre MX- og A-postene, og endre også reglene for portvideresending på brannmuren.
MX-posten test.local -> mail.test.local 10 må endres til test.local -> fortimail.test.local 10. Men vanligvis under piloter legges en andre MX-post med høyere prioritet til. For eksempel:
test.local -> mail.test.local 10
test.local -> fortimail.test.local 5
La meg minne deg på at jo lavere ordensnummeret til e-postserverpreferansen i MX-posten er, desto høyere prioritet.
Og oppføringen kan ikke endres, så vi lager bare en ny: fortimail.test.local -> 10.10.30.210. En ekstern bruker vil kontakte adressen 10.10.30.210 på port 25, og brannmuren vil videresende forbindelsen til FortiMail.
For å endre videresendingsregelen på FortiGate, må du endre adressen i det tilsvarende virtuelle IP-objektet:
Alt er klart. La oss sjekke. La oss sende brevet på nytt fra den eksterne brukerens datamaskin. La oss nå gå til FortiMail i Monitor → Logger-menyen. I Historikk-feltet kan du se en post om at brevet ble akseptert. For mer informasjon kan du høyreklikke på oppføringen og velge Detaljer:
For å fullføre bildet, la oss sjekke om FortiMail i sin nåværende konfigurasjon kan blokkere e-poster som inneholder spam og virus. For å gjøre dette vil vi sende eicar-testviruset og et testbrev som finnes i en av søppelpostdatabasene (http://untroubled.org/spam/). Etter dette, la oss gå tilbake til loggvisningsmenyen:
Som vi kan se, ble både spam og et brev med virus identifisert.
Denne konfigurasjonen er tilstrekkelig til å gi grunnleggende beskyttelse mot virus og spam. Men funksjonaliteten til FortiMail er ikke begrenset til dette. For mer effektiv beskyttelse må du studere de tilgjengelige mekanismene og tilpasse dem for å passe dine behov. I fremtiden planlegger vi å fremheve andre, mer avanserte funksjoner i denne e-postporten.
Hvis du har noen problemer eller spørsmål angående løsningen, skriv dem i kommentarene, vi vil prøve å svare på dem umiddelbart.
Du kan sende inn en forespørsel om en prøvelisens for å teste løsningen .
Forfatter: Alexey Nikulin. Informasjonssikkerhetsingeniør Fortiservice.
Kilde: www.habr.com