Bine ati venit! Astăzi vă vom spune cum să faceți setările inițiale ale gateway-ului de e-mail – Soluții de securitate pentru e-mail Fortinet. În timpul articolului ne vom uita la aspectul cu care vom lucra și vom efectua configurarea , necesar pentru primirea și verificarea scrisorilor și vom testa și performanța acestuia. Pe baza experienței noastre, putem spune cu siguranță că procesul este foarte simplu și, chiar și după o configurare minimă, puteți vedea rezultate.
Să începem cu aspectul actual. Este prezentat în figura de mai jos.
În dreapta vedem computerul utilizatorului extern, de pe care vom trimite e-mail utilizatorului din rețeaua internă. Rețeaua internă conține computerul utilizatorului, un controler de domeniu pe care rulează un server DNS și un server de e-mail. La marginea rețelei există un firewall - FortiGate, a cărui caracteristică principală este configurarea redirecționării traficului SMTP și DNS.
Să acordăm o atenție deosebită DNS-ului.
Există două înregistrări DNS folosite pentru a direcționa e-mailurile pe Internet - înregistrarea A și înregistrarea MX. De obicei, aceste înregistrări DNS sunt configurate pe un server DNS public, dar din cauza limitărilor de aspect, pur și simplu trimitem DNS prin firewall (adică utilizatorul extern are adresa 10.10.30.210 înregistrată ca server DNS).
Înregistrarea MX este o înregistrare care conține numele serverului de e-mail care deservește domeniul, precum și prioritatea acestui server de e-mail. În cazul nostru, arată astfel: test.local -> mail.test.local 10.
O înregistrare este o înregistrare care convertește un nume de domeniu într-o adresă IP, pentru noi este: mail.test.local -> 10.10.30.210.
Când utilizatorul nostru extern încearcă să trimită un e-mail către [e-mail protejat], va interoga serverul său DNS MX pentru înregistrarea domeniului test.local. Serverul nostru DNS va răspunde cu numele serverului de e-mail - mail.test.local. Acum utilizatorul trebuie să obțină adresa IP a acestui server, așa că accesează din nou DNS-ul pentru înregistrarea A și primește adresa IP 10.10.30.210 (da, din nou a lui :) ). Puteți trimite o scrisoare. Prin urmare, încearcă să stabilească o conexiune la adresa IP primită pe portul 25. Folosind regulile de pe firewall, această conexiune este redirecționată către serverul de e-mail.
Să verificăm funcționalitatea e-mailului în starea curentă a aspectului. Pentru a face acest lucru, vom folosi utilitarul swaks de pe computerul utilizatorului extern. Cu ajutorul acestuia, puteți testa performanța SMTP trimițând destinatarului o scrisoare cu un set de diferiți parametri. Anterior, un utilizator cu o cutie poștală a fost deja creat pe serverul de e-mail [e-mail protejat]. Să încercăm să-i trimitem o scrisoare:
Acum să mergem la mașina utilizatorului intern și să ne asigurăm că scrisoarea a sosit:
Scrisoarea a sosit efectiv (este evidentiata in lista). Aceasta înseamnă că aspectul funcționează corect. Acum este momentul să treceți la FortiMail. Să adăugăm la aspectul nostru:
FortiMail poate fi implementat în trei moduri:
- Gateway - acționează ca un MTA cu drepturi depline: preia toate corespondența, o verifică și apoi o redirecționează către serverul de e-mail;
- Transparent - sau cu alte cuvinte, modul transparent. Este instalat în fața serverului și verifică e-mailurile primite și trimise. După aceea, îl transmite serverului. Nu necesită modificări ale configurației rețelei.
- Server - în acest caz, FortiMail este un server de e-mail cu drepturi depline, cu capacitatea de a crea cutii poștale, de a primi și de a trimite e-mail, precum și de alte funcționalități.
Vom implementa FortiMail în modul Gateway. Să mergem la setările mașinii virtuale. Autentificarea este admin, nu este specificată nicio parolă. Când vă conectați pentru prima dată, trebuie să setați o nouă parolă.
Acum să configuram mașina virtuală pentru a accesa interfața web. De asemenea, este necesar ca aparatul să aibă acces la Internet. Să setăm interfața. Avem nevoie doar de port1. Cu ajutorul acestuia ne vom conecta la interfața web și va fi folosit și pentru a accesa Internetul. Accesul la internet este necesar pentru actualizarea serviciilor (semnături antivirus etc.). Pentru configurare, introduceți comenzile:
config interfața sistemului
editați portul 1
setați ip 192.168.1.40 255.255.255.0
setați allowaccess https http ssh ping
capăt
Acum să configuram rutarea. Pentru a face acest lucru, trebuie să introduceți următoarele comenzi:
config ruta sistemului
edita 1
setați gateway-ul 192.168.1.1
setați portul de interfață 1
capăt
Când introduceți comenzi, puteți utiliza file pentru a evita să le introduceți în întregime. De asemenea, dacă uitați ce comandă ar trebui să urmeze, puteți folosi tasta „?”.
Acum haideți să vă verificăm conexiunea la internet. Pentru a face acest lucru, să facem ping Google DNS:
După cum puteți vedea, acum avem internet. Setările inițiale tipice pentru toate dispozitivele Fortinet au fost finalizate și acum puteți trece la configurare prin interfața web. Pentru a face acest lucru, deschideți pagina de management:
Vă rugăm să rețineți că trebuie să urmați linkul în format /admin. În caz contrar, nu veți putea accesa pagina de management. În mod implicit, pagina este în modul de configurare standard. Pentru setări avem nevoie de modul avansat. Să mergem la meniul admin->Vizualizare și să comutăm modul la Avansat:
Acum trebuie să descarcăm licența de încercare. Acest lucru se poate face în meniul Informații licență → VM → Actualizare:
Dacă nu aveți o licență de probă, puteți solicita una contactând .
După introducerea licenței, dispozitivul ar trebui să repornească. În viitor, va începe să extragă actualizări ale bazelor de date de pe servere. Dacă acest lucru nu se întâmplă automat, puteți accesa meniul System → FortiGuard și în filele Antivirus, Antispam faceți clic pe butonul Actualizare acum.
Dacă acest lucru nu ajută, puteți modifica porturile utilizate pentru actualizări. De obicei, după aceasta apar toate licențele. La final ar trebui să arate așa:
Să setăm fusul orar corect, acest lucru va fi util atunci când examinăm jurnalele. Pentru a face acest lucru, accesați meniul System → Configuration:
Vom configura și DNS. Vom configura serverul DNS intern ca server DNS principal și vom lăsa serverul DNS furnizat de Fortinet ca server de rezervă.
Acum să trecem la partea distractivă. După cum probabil ați observat, dispozitivul este setat în mod implicit pe modul Gateway. Prin urmare, nu trebuie să-l schimbăm. Să mergem la câmpul Domeniu și utilizator → Domeniu. Să creăm un domeniu nou care trebuie protejat. Aici trebuie doar să specificăm numele domeniului și adresa serverului de e-mail (puteți specifica și numele domeniului acestuia, în cazul nostru mail.test.local):
Acum trebuie să furnizăm un nume pentru poarta noastră de e-mail. Acesta va fi folosit în înregistrările MX și A, pe care va trebui să le schimbăm mai târziu:
Din punctele Nume de gazdă și Nume de domeniu local, este compilat FQDN-ul, care este utilizat în înregistrările DNS. În cazul nostru, FQDN = fortimail.test.local.
Acum să stabilim regula de primire. Avem nevoie de toate e-mailurile care vin din exterior și sunt atribuite unui utilizator din domeniu pentru a fi redirecționate către serverul de e-mail. Pentru a face acest lucru, accesați meniul Politică → Control acces. Un exemplu de configurare este prezentat mai jos:
Să ne uităm la fila Politica destinatarului. Aici puteți seta anumite reguli pentru verificarea literelor: dacă e-mailul provine de la domeniul example1.com, trebuie să îl verificați cu mecanisme configurate special pentru acest domeniu. Există deja o regulă implicită pentru toate e-mailurile și deocamdată ni se potrivește. Puteți vedea această regulă în figura de mai jos:
În acest moment, configurarea pe FortiMail poate fi considerată completă. De fapt, sunt mult mai mulți parametri posibili, dar dacă începem să-i luăm în considerare pe toți, am putea scrie o carte :) Și scopul nostru este să lansăm FortiMail în modul test cu efort minim.
Au mai rămas două lucruri - schimbați înregistrările MX și A și, de asemenea, modificați regulile de redirecționare a porturilor pe firewall.
Înregistrarea MX test.local -> mail.test.local 10 trebuie schimbată în test.local -> fortimail.test.local 10. Dar de obicei în timpul piloților se adaugă o a doua înregistrare MX cu o prioritate mai mare. De exemplu:
test.local -> mail.test.local 10
test.local -> fortimail.test.local 5
Permiteți-mi să vă reamintesc că, cu cât numărul ordinal al preferinței serverului de e-mail este mai mic în înregistrarea MX, cu atât este mai mare prioritatea acestuia.
Și intrarea nu poate fi modificată, așa că vom crea una nouă: fortimail.test.local -> 10.10.30.210. Un utilizator extern va contacta adresa 10.10.30.210 pe portul 25, iar firewall-ul va redirecționa conexiunea către FortiMail.
Pentru a schimba regula de redirecționare pe FortiGate, trebuie să schimbați adresa în obiectul IP Virtual corespunzător:
Totul este gata. Sa verificam. Să trimitem din nou scrisoarea de pe computerul utilizatorului extern. Acum să mergem la FortiMail în meniul Monitor → Jurnal. În câmpul Istoric puteți vedea o înregistrare că scrisoarea a fost acceptată. Pentru mai multe informații, puteți face clic dreapta pe intrare și selectați Detalii:
Pentru a finaliza imaginea, să verificăm dacă FortiMail în configurația sa actuală poate bloca e-mailurile care conțin spam și viruși. Pentru a face acest lucru, vom trimite virusul de testare eicar și o scrisoare de test găsită într-una dintre bazele de date de e-mail spam (http://untroubled.org/spam/). După aceasta, să revenim la meniul de vizualizare a jurnalului:
După cum putem vedea, atât spam-ul, cât și o scrisoare cu un virus au fost identificate cu succes.
Această configurație este suficientă pentru a oferi protecție de bază împotriva virușilor și a spam-ului. Dar funcționalitatea FortiMail nu se limitează la asta. Pentru o protecție mai eficientă, trebuie să studiați mecanismele disponibile și să le personalizați în funcție de nevoile dvs. În viitor, intenționăm să evidențiem alte funcții mai avansate ale acestui gateway de e-mail.
Dacă aveți dificultăți sau întrebări legate de soluție, scrieți-le în comentarii, vom încerca să le răspundem prompt.
Puteți trimite o cerere pentru o licență de probă pentru a testa soluția .
Autor: Alexey Nikulin. Inginer Securitate Informatica Fortiservice.
Sursa: www.habr.com