Powitanie! Dzisiaj powiemy Ci, jak dokonać początkowych ustawień bramy pocztowej – Rozwiązania Fortinet w zakresie bezpieczeństwa poczty elektronicznej. W artykule przyjrzymy się układowi, z którym będziemy pracować i przeprowadzimy konfigurację , niezbędny do odbierania i sprawdzania listów, a także przetestujemy jego działanie. Bazując na naszym doświadczeniu, możemy śmiało powiedzieć, że proces jest bardzo prosty i nawet po minimalnej konfiguracji widać rezultaty.
Zacznijmy od obecnego układu. Pokazano to na poniższym rysunku.
Po prawej stronie widzimy komputer użytkownika zewnętrznego, z którego będziemy wysyłać pocztę do użytkownika w sieci wewnętrznej. Sieć wewnętrzna składa się z komputera użytkownika, kontrolera domeny z działającym na nim serwerem DNS oraz serwera pocztowego. Na brzegu sieci znajduje się zapora sieciowa FortiGate, której główną funkcją jest konfiguracja przekierowania ruchu SMTP i DNS.
Zwróćmy szczególną uwagę na DNS.
Do kierowania poczty e-mail w Internecie służą dwa rekordy DNS — rekord A i rekord MX. Zwykle te rekordy DNS są konfigurowane na publicznym serwerze DNS, ale ze względu na ograniczenia układu po prostu przekazujemy DNS przez zaporę sieciową (tzn. użytkownik zewnętrzny ma adres 10.10.30.210 zarejestrowany jako serwer DNS).
Rekord MX to rekord zawierający nazwę serwera pocztowego obsługującego domenę, a także priorytet tego serwera pocztowego. W naszym przypadku wygląda to tak: test.local -> mail.test.local 10.
Rekord to zapis konwertujący nazwę domeny na adres IP, dla nas jest to: mail.test.local -> 10.10.30.210.
Kiedy nasz użytkownik zewnętrzny próbuje wysłać wiadomość e-mail do [email chroniony], wyśle zapytanie do swojego serwera DNS MX o rekord domeny test.local. Nasz serwer DNS odpowie nazwą serwera pocztowego - mail.test.local. Teraz użytkownik musi uzyskać adres IP tego serwera, więc ponownie uzyskuje dostęp do DNS dla rekordu A i otrzymuje adres IP 10.10.30.210 (tak, znowu jego :) ). Możesz wysłać list. Dlatego próbuje nawiązać połączenie z otrzymanym adresem IP na porcie 25. Korzystając z reguł zapory sieciowej, połączenie to jest przekazywane do serwera pocztowego.
Sprawdźmy funkcjonalność poczty w aktualnym stanie układu. W tym celu skorzystamy z narzędzia swaks na komputerze użytkownika zewnętrznego. Za jego pomocą możesz przetestować wydajność protokołu SMTP, wysyłając do odbiorcy list z zestawem różnych parametrów. Wcześniej na serwerze pocztowym był już utworzony użytkownik ze skrzynką pocztową [email chroniony]. Spróbujmy wysłać mu list:
Przejdźmy teraz do komputera użytkownika wewnętrznego i upewnijmy się, że list dotarł:
List faktycznie dotarł (jest podświetlony na liście). Oznacza to, że układ działa poprawnie. Nadszedł czas, aby przejść do FortiMail. Dodajmy do naszego układu:
FortiMail można wdrożyć w trzech trybach:
- Gateway - pełni funkcję pełnoprawnego MTA: przejmuje całą pocztę, sprawdza ją, a następnie przekazuje na serwer pocztowy;
- Przezroczysty - lub innymi słowy tryb przezroczysty. Jest instalowany przed serwerem i sprawdza pocztę przychodzącą i wychodzącą. Następnie przesyła go do serwera. Nie wymaga zmian w konfiguracji sieci.
- Serwer – w tym przypadku FortiMail to pełnoprawny serwer pocztowy z możliwością tworzenia skrzynek pocztowych, odbierania i wysyłania poczty oraz innymi funkcjonalnościami.
Wdrożymy FortiMail w trybie bramy. Przejdźmy do ustawień maszyny wirtualnej. Login to admin, nie określono hasła. Logując się po raz pierwszy należy ustawić nowe hasło.
Teraz skonfigurujmy maszynę wirtualną, aby uzyskać dostęp do interfejsu internetowego. Konieczne jest również, aby maszyna miała dostęp do Internetu. Skonfigurujmy interfejs. Potrzebujemy tylko portu 1. Za jego pomocą połączymy się z interfejsem WWW, a także będziemy go używać do uzyskiwania dostępu do Internetu. Dostęp do Internetu jest niezbędny do aktualizacji usług (sygnatur antywirusowych itp.). Aby skonfigurować, wprowadź polecenia:
skonfiguruj interfejs systemu
edytuj port 1
ustaw ip 192.168.1.40 255.255.255.0
ustaw zezwolenie na dostęp https http ssh ping
zakończenia
Teraz skonfigurujmy routing. Aby to zrobić, musisz wprowadzić następujące polecenia:
skonfiguruj trasę systemową
edytuj 1
ustaw bramę 192.168.1.1
ustaw port interfejsu 1
zakończenia
Podczas wprowadzania poleceń możesz używać tabulatorów, aby uniknąć wpisywania ich w całości. Ponadto, jeśli zapomnisz, które polecenie powinno nastąpić jako następne, możesz użyć klawisza „?”.
Teraz sprawdźmy Twoje połączenie internetowe. Aby to zrobić, pingujmy Google DNS:
Jak widać mamy już Internet. Ustawienia początkowe typowe dla wszystkich urządzeń Fortinet zostały zakończone i można teraz przystąpić do konfiguracji poprzez interfejs WWW. Aby to zrobić, otwórz stronę zarządzania:
Pamiętaj, że musisz kliknąć link w formacie /Admin. W przeciwnym razie nie będziesz mieć dostępu do strony zarządzania. Domyślnie strona znajduje się w standardowym trybie konfiguracji. Do ustawień potrzebujemy trybu zaawansowanego. Przejdźmy do menu admin->Widok i zmieńmy tryb na Zaawansowany:
Teraz musimy pobrać licencję próbną. Można to zrobić w menu Informacje o licencji → VM → Aktualizacja:
Jeśli nie masz licencji próbnej, możesz o nią poprosić, kontaktując się z nami .
Po wpisaniu licencji urządzenie powinno się zrestartować. W przyszłości zacznie pobierać aktualizacje swoich baz danych z serwerów. Jeżeli nie nastąpi to automatycznie, możesz przejść do menu System → FortiGuard i w zakładce Antywirus, Antyspam kliknąć przycisk Aktualizuj teraz.
Jeśli to nie pomoże, możesz zmienić porty używane do aktualizacji. Zwykle po tym pojawiają się wszystkie licencje. Ostatecznie powinno to wyglądać tak:
Ustawmy poprawną strefę czasową, przyda się to przy przeglądaniu logów. W tym celu należy przejść do menu System → Konfiguracja:
Skonfigurujemy także DNS. Skonfigurujemy wewnętrzny serwer DNS jako główny serwer DNS, a serwer DNS dostarczony przez Fortinet pozostawimy jako zapasowy.
Przejdźmy teraz do przyjemniejszej części. Jak zapewne zauważyłeś, urządzenie jest domyślnie ustawione w trybie bramy. Dlatego nie musimy tego zmieniać. Przejdźmy do pola Domena i użytkownik → Domena. Stwórzmy nową domenę, która wymaga ochrony. Tutaj musimy jedynie podać nazwę domeny i adres serwera pocztowego (możesz też podać nazwę domeny, w naszym przypadku mail.test.local):
Teraz musimy podać nazwę naszej bramy pocztowej. Będzie to użyte w rekordach MX i A, które będziemy musieli później zmienić:
Z punktów Nazwa hosta i Nazwa domeny lokalnej kompilowana jest nazwa FQDN, która jest używana w rekordach DNS. W naszym przypadku FQDN = fortimail.test.local.
Teraz skonfigurujmy regułę odbierania. Potrzebujemy, aby wszystkie e-maile, które pochodzą z zewnątrz i są przypisane do użytkownika w domenie, były przekazywane na serwer pocztowy. Aby to zrobić, przejdź do menu Polityka → Kontrola dostępu. Przykładowa konfiguracja pokazana jest poniżej:
Spójrzmy na zakładkę Zasady dotyczące odbiorców. Tutaj możesz ustawić pewne zasady sprawdzania listów: jeśli poczta pochodzi z domeny example1.com, musisz ją sprawdzić za pomocą mechanizmów skonfigurowanych specjalnie dla tej domeny. Istnieje już domyślna reguła dla całej poczty i na razie nam to odpowiada. Możesz zobaczyć tę regułę na poniższym rysunku:
W tym momencie konfigurację FortiMail można uznać za zakończoną. Tak naprawdę możliwych parametrów jest znacznie więcej, ale jeśli zaczniemy je wszystkie rozważać, to można by napisać książkę :) A naszym celem jest uruchomienie FortiMaila w trybie testowym przy minimalnym wysiłku.
Pozostały dwie rzeczy - zmienić rekordy MX i A, a także zmienić reguły przekierowania portów na zaporze.
Rekord MX test.local -> mail.test.local 10 należy zmienić na test.local -> fortimail.test.local 10. Jednak zazwyczaj podczas pilotów dodawany jest drugi rekord MX o wyższym priorytecie. Na przykład:
test.local -> poczta.test.local 10
test.local -> fortimail.test.local 5
Przypominam, że im niższa liczba porządkowa preferencji serwera pocztowego w rekordzie MX, tym wyższy jest jego priorytet.
A wpisu nie można zmienić, więc po prostu utworzymy nowy: fortimail.test.local -> 10.10.30.210. Użytkownik zewnętrzny skontaktuje się z adresem 10.10.30.210 na porcie 25, a zapora sieciowa przekaże połączenie do FortiMail.
Aby zmienić regułę przekazywania w FortiGate, musisz zmienić adres w odpowiednim obiekcie Virtual IP:
Wszystko jest gotowe. Sprawdźmy. Wyślijmy list ponownie z komputera użytkownika zewnętrznego. Przejdźmy teraz do FortiMail w menu Monitor → Dzienniki. W polu Historia widoczny jest zapis przyjęcia pisma. Aby uzyskać więcej informacji, kliknij wpis prawym przyciskiem myszy i wybierz opcję Szczegóły:
Dla uzupełnienia obrazu sprawdźmy, czy FortiMail w swojej obecnej konfiguracji potrafi blokować wiadomości e-mail zawierające spam i wirusy. W tym celu wyślemy wirusa testowego eicar i list testowy znaleziony w jednej z baz danych spamu (http://untroubled.org/spam/). Następnie wróćmy do menu przeglądania logów:
Jak widać, zarówno spam, jak i list z wirusem zostały pomyślnie zidentyfikowane.
Taka konfiguracja jest wystarczająca, aby zapewnić podstawową ochronę przed wirusami i spamem. Ale funkcjonalność FortiMail nie ogranicza się do tego. Aby ochrona była skuteczniejsza, należy przestudiować dostępne mechanizmy i dostosować je do swoich potrzeb. W przyszłości planujemy wyróżnić inne, bardziej zaawansowane funkcje tej bramy pocztowej.
Jeśli masz jakieś trudności lub pytania dotyczące rozwiązania, napisz je w komentarzach, postaramy się szybko na nie odpowiedzieć.
Możesz złożyć wniosek o licencję próbną w celu przetestowania rozwiązania .
Autor: Aleksiej Nikulin. Inżynier ds. bezpieczeństwa informacji Fortiservice.
Źródło: www.habr.com