Bem-vindo! Hoje vamos falar sobre como fazer as configurações iniciais do gateway de e-mail – Soluções de segurança de e-mail Fortinet. Durante o artigo veremos o layout com o qual trabalharemos e realizaremos a configuração , necessário para recebimento e conferência de cartas, e também testaremos seu desempenho. Com base em nossa experiência, podemos afirmar com segurança que o processo é muito simples, e mesmo após uma configuração mínima você pode ver os resultados.
Vamos começar com o layout atual. É mostrado na figura abaixo.
À direita vemos o computador do usuário externo, de onde enviaremos e-mail ao usuário da rede interna. A rede interna contém o computador do usuário, um controlador de domínio com um servidor DNS em execução e um servidor de e-mail. Na borda da rede existe um firewall - FortiGate, cuja principal característica é configurar o encaminhamento de tráfego SMTP e DNS.
Vamos prestar atenção especial ao DNS.
Existem dois registros DNS usados para rotear e-mails na Internet: o registro A e o registro MX. Normalmente, esses registros DNS são configurados em um servidor DNS público, mas devido a limitações de layout, simplesmente encaminhamos o DNS através do firewall (ou seja, o usuário externo tem o endereço 10.10.30.210 registrado como servidor DNS).
O registro MX é um registro que contém o nome do servidor de e-mail que atende o domínio, bem como a prioridade desse servidor de e-mail. No nosso caso é assim: test.local -> mail.test.local 10.
Um registro é um registro que converte um nome de domínio em um endereço IP, para nós é: mail.test.local -> 10.10.30.210.
Quando nosso usuário externo tenta enviar um email para [email protegido], ele consultará seu servidor DNS MX para obter o registro de domínio test.local. Nosso servidor DNS responderá com o nome do servidor de e-mail - mail.test.local. Agora o usuário precisa pegar o endereço IP deste servidor, então ele acessa novamente o DNS para o registro A e recebe o endereço IP 10.10.30.210 (sim, dele de novo :)). Você pode enviar uma carta. Portanto, tenta estabelecer uma conexão com o endereço IP recebido na porta 25. Usando regras no firewall, esta conexão é encaminhada para o servidor de e-mail.
Vamos verificar a funcionalidade do correio no estado atual do layout. Para fazer isso, usaremos o utilitário swaks no computador do usuário externo. Com sua ajuda, você pode testar o desempenho do SMTP enviando ao destinatário uma carta com um conjunto de vários parâmetros. Anteriormente, um usuário com uma caixa de correio já havia sido criado no servidor de e-mail [email protegido]. Vamos tentar enviar-lhe uma carta:
Agora vamos até a máquina do usuário interno e verificar se a carta chegou:
A carta realmente chegou (está destacada na lista). Isso significa que o layout está funcionando corretamente. Agora é a hora de passar para o FortiMail. Vamos adicionar ao nosso layout:
O FortiMail pode ser implantado em três modos:
- Gateway - atua como um MTA completo: ele assume todos os e-mails, verifica-os e depois os encaminha para o servidor de e-mail;
- Transparente - ou em outras palavras, modo transparente. Ele é instalado na frente do servidor e verifica os e-mails recebidos e enviados. Depois disso, ele transmite para o servidor. Não requer alterações na configuração da rede.
- Servidor - neste caso, o FortiMail é um servidor de e-mail completo com capacidade de criar caixas de correio, receber e enviar e-mails, além de outras funcionalidades.
Implantaremos o FortiMail no modo Gateway. Vamos para as configurações da máquina virtual. O login é admin, nenhuma senha é especificada. Ao fazer login pela primeira vez, você deve definir uma nova senha.
Agora vamos configurar a máquina virtual para acessar a interface web. Também é necessário que a máquina tenha acesso à Internet. Vamos configurar a interface. Precisamos apenas da porta1. Com a sua ajuda nos conectaremos à interface web, e também servirá para acessar a Internet. O acesso à Internet é necessário para atualizar os serviços (assinaturas de antivírus, etc.). Para configuração, digite os comandos:
interface do sistema de configuração
editar porta 1
definir ip 192.168.1.40 255.255.255.0
definir permissão de acesso https http ssh ping
final
Agora vamos configurar o roteamento. Para fazer isso, você precisa inserir os seguintes comandos:
configuração da rota do sistema
editar 1
definir gateway 192.168.1.1
definir porta de interface1
final
Ao inserir comandos, você pode usar tabulações para evitar digitá-los por completo. Além disso, se você esquecer qual comando deve vir em seguida, você pode usar a tecla “?”.
Agora vamos verificar sua conexão com a Internet. Para fazer isso, vamos executar ping no DNS do Google:
Como você pode ver, agora temos a Internet. As configurações iniciais típicas de todos os dispositivos Fortinet foram concluídas e agora você pode prosseguir para a configuração através da interface web. Para fazer isso, abra a página de gerenciamento:
Observe que você precisa seguir o link no formato /administrador. Caso contrário, você não conseguirá acessar a página de gerenciamento. Por padrão, a página está no modo de configuração padrão. Para configurações, precisamos do modo Avançado. Vamos ao menu admin->Exibir e mude o modo para Avançado:
Agora precisamos baixar a licença de teste. Isso pode ser feito no menu Informações sobre licença → VM → Atualizar:
Se você não tiver uma licença de avaliação, poderá solicitá-la entrando em contato .
Após inserir a licença, o dispositivo deverá reiniciar. No futuro, ele começará a extrair atualizações dos servidores para seus bancos de dados. Caso isso não aconteça automaticamente, você pode ir ao menu Sistema → FortiGuard e nas abas Antivírus, Antispam clicar no botão Atualizar agora.
Se isso não ajudar, você pode alterar as portas usadas para atualizações. Geralmente depois disso todas as licenças aparecem. No final deve ficar assim:
Vamos configurar o fuso horário correto, isso será útil ao examinar os logs. Para fazer isso, vá ao menu Sistema → Configuração:
Também configuraremos o DNS. Configuraremos o servidor DNS interno como o servidor DNS principal e deixaremos o servidor DNS fornecido pela Fortinet como servidor de backup.
Agora vamos para a parte divertida. Como você deve ter notado, o dispositivo está configurado para o modo Gateway por padrão. Portanto, não precisamos alterá-lo. Vamos para o campo Domínio e Usuário → Domínio. Vamos criar um novo domínio que precisa ser protegido. Aqui só precisamos especificar o nome do domínio e o endereço do servidor de e-mail (você também pode especificar o nome do domínio, no nosso caso mail.test.local):
Agora precisamos fornecer um nome para nosso gateway de email. Isso será usado nos registros MX e A, que precisaremos alterar posteriormente:
A partir dos pontos Nome do Host e Nome de Domínio Local, é compilado o FQDN, que é usado nos registros DNS. No nosso caso, FQDN = fortimail.test.local.
Agora vamos configurar a regra de recebimento. Precisamos que todos os e-mails vindos de fora e atribuídos a um usuário no domínio sejam encaminhados ao servidor de e-mail. Para fazer isso, vá ao menu Política → Controle de acesso. Um exemplo de configuração é mostrado abaixo:
Vejamos a guia Política de Destinatários. Aqui você pode definir certas regras para verificar cartas: se o e-mail vier do domínio example1.com, você precisará verificá-lo com mecanismos configurados especificamente para este domínio. Já existe uma regra padrão para todos os e-mails e, por enquanto, ela nos convém. Você pode ver esta regra na figura abaixo:
Neste ponto, a configuração do FortiMail pode ser considerada concluída. Na verdade, existem muitos outros parâmetros possíveis, mas se começarmos a considerar todos eles, poderíamos escrever um livro :) E nosso objetivo é lançar o FortiMail em modo de teste com o mínimo esforço.
Restam duas coisas: alterar os registros MX e A e também alterar as regras de encaminhamento de porta no firewall.
O registro MX test.local -> mail.test.local 10 deve ser alterado para test.local -> fortimail.test.local 10. Mas geralmente durante os pilotos um segundo registro MX com prioridade mais alta é adicionado. Por exemplo:
teste.local -> mail.test.local 10
teste.local -> fortimail.test.local 5
Deixe-me lembrá-lo de que quanto menor o número ordinal da preferência do servidor de e-mail no registro MX, maior será sua prioridade.
E a entrada não pode ser alterada, então vamos apenas criar uma nova: fortimail.test.local -> 10.10.30.210. Um usuário externo entrará em contato com o endereço 10.10.30.210 na porta 25, e o firewall encaminhará a conexão para o FortiMail.
Para alterar a regra de encaminhamento no FortiGate, você precisa alterar o endereço no objeto IP Virtual correspondente:
Tudo está pronto. Vamos checar. Vamos enviar a carta novamente do computador do usuário externo. Agora vamos ao FortiMail no menu Monitor → Logs. No campo Histórico você pode ver um registro de que a carta foi aceita. Para obter mais informações, você pode clicar com o botão direito na entrada e selecionar Detalhes:
Para completar, vamos verificar se o FortiMail em sua configuração atual pode bloquear e-mails contendo spam e vírus. Para fazer isso, enviaremos o vírus de teste eicar e uma carta de teste encontrada em um dos bancos de dados de spam (http://untroubled.org/spam/). Depois disso, vamos voltar ao menu de visualização de logs:
Como podemos ver, tanto o spam quanto uma carta com vírus foram identificados com sucesso.
Esta configuração é suficiente para fornecer proteção básica contra vírus e spam. Mas a funcionalidade do FortiMail não se limita a isso. Para uma proteção mais eficaz, é necessário estudar os mecanismos disponíveis e personalizá-los para atender às suas necessidades. No futuro, pretendemos destacar outros recursos mais avançados deste gateway de correio.
Se você tiver alguma dificuldade ou dúvida quanto à solução, escreva nos comentários, tentaremos respondê-la prontamente.
Você pode enviar uma solicitação de licença de avaliação para testar a solução .
Autor: Alexei Nikulin. Engenheiro de Segurança da Informação Fortiservice.
Fonte: habr.com