Dobrodošli! Danes vam bomo povedali, kako narediti začetne nastavitve poštnega prehoda – Varnostne rešitve za elektronsko pošto Fortinet. V članku si bomo ogledali postavitev, s katero bomo delali, in izvedli konfiguracijo , potrebno za prejemanje in preverjanje pisem, preizkusili pa bomo tudi njeno delovanje. Na podlagi naših izkušenj lahko mirno trdimo, da je postopek zelo preprost in že po minimalni konfiguraciji lahko vidite rezultate.
Začnimo s trenutno postavitvijo. To je prikazano na spodnji sliki.
Na desni strani vidimo računalnik zunanjega uporabnika, s katerega bomo pošiljali pošto uporabniku v internem omrežju. Notranje omrežje vsebuje uporabnikov računalnik, krmilnik domene s strežnikom DNS, ki deluje na njem, in poštni strežnik. Na robu omrežja se nahaja požarni zid - FortiGate, katerega glavna funkcija je konfiguracija posredovanja SMTP in DNS prometa.
Posebno pozornost posvetimo DNS-ju.
Za usmerjanje e-pošte v internetu se uporabljata dva zapisa DNS – zapis A in zapis MX. Običajno so ti zapisi DNS konfigurirani na javnem strežniku DNS, vendar zaradi omejitev postavitve preprosto posredujemo DNS prek požarnega zidu (to pomeni, da ima zunanji uporabnik naslov 10.10.30.210 registriran kot strežnik DNS).
Zapis MX je zapis, ki vsebuje ime poštnega strežnika, ki služi domeni, ter prioriteto tega poštnega strežnika. V našem primeru je videti takole: test.local -> mail.test.local 10.
Zapis je zapis, ki pretvori ime domene v IP naslov, pri nas je to: mail.test.local -> 10.10.30.210.
Ko naš zunanji uporabnik poskuša poslati e-pošto na [e-pošta zaščitena], bo poizvedoval na svojem strežniku DNS MX za zapis domene test.local. Naš strežnik DNS bo odgovoril z imenom poštnega strežnika - mail.test.local. Zdaj mora uporabnik pridobiti IP naslov tega strežnika, zato ponovno dostopa do DNS za zapis A in prejme IP naslov 10.10.30.210 (ja, spet njegov :) ). Lahko pošljete pismo. Zato poskuša vzpostaviti povezavo s prejetim naslovom IP na vratih 25. Z uporabo pravil na požarnem zidu se ta povezava posreduje poštnemu strežniku.
Preverimo funkcionalnost pošte v trenutnem stanju postavitve. Za to bomo uporabili pripomoček swaks na računalniku zunanjega uporabnika. Z njegovo pomočjo lahko preizkusite delovanje SMTP tako, da prejemniku pošljete pismo z nizom različnih parametrov. Prej je bil na poštnem strežniku že ustvarjen uporabnik s poštnim predalom [e-pošta zaščitena]. Poskusimo mu poslati pismo:
Zdaj pa pojdimo na stroj notranjega uporabnika in se prepričajmo, da je pismo prispelo:
Pismo je dejansko prispelo (na seznamu je označeno). To pomeni, da postavitev deluje pravilno. Zdaj je čas, da preidete na FortiMail. Dodajmo naši postavitvi:
FortiMail je mogoče namestiti v treh načinih:
- Gateway - deluje kot popoln MTA: prevzame vso pošto, jo preveri in nato posreduje poštnemu strežniku;
- Transparent – ali z drugimi besedami transparentni način. Nameščen je pred strežnikom in preverja dohodno in odhodno pošto. Po tem ga posreduje strežniku. Ne zahteva sprememb omrežne konfiguracije.
- Strežnik - v tem primeru je FortiMail popoln poštni strežnik z možnostjo ustvarjanja poštnih predalov, prejemanja in pošiljanja pošte ter drugih funkcij.
FortiMail bomo uvedli v načinu Gateway. Pojdimo na nastavitve virtualnega stroja. Prijava je admin, geslo ni navedeno. Ko se prvič prijavite, morate nastaviti novo geslo.
Zdaj pa konfigurirajmo virtualni stroj za dostop do spletnega vmesnika. Prav tako je potrebno, da ima stroj dostop do interneta. Nastavimo vmesnik. Potrebujemo samo port1. Z njegovo pomočjo se bomo povezali s spletnim vmesnikom, uporabljali pa jo bomo tudi za dostop do interneta. Za posodobitev storitev (protivirusni podpisi itd.) je potreben dostop do interneta. Za konfiguracijo vnesite ukaze:
konfiguracijski sistemski vmesnik
uredi vrata 1
nastavi ip 192.168.1.40 255.255.255.0
nastavite dovoljen dostop https http ssh ping
konec
Zdaj pa konfigurirajmo usmerjanje. Če želite to narediti, morate vnesti naslednje ukaze:
config sistemska pot
uredi 1
nastavite prehod 192.168.1.1
nastavite vrata vmesnika1
konec
Ko vnašate ukaze, lahko uporabite zavihke, da jih ne vnesete v celoti. Če pozabite, kateri ukaz bi moral biti naslednji, lahko uporabite tipko »?«.
Zdaj pa preverimo vašo internetno povezavo. Če želite to narediti, pingajte Google DNS:
Kot lahko vidite, imamo zdaj internet. Začetne nastavitve, značilne za vse naprave Fortinet, so bile dokončane in zdaj lahko nadaljujete s konfiguracijo prek spletnega vmesnika. Če želite to narediti, odprite stran za upravljanje:
Upoštevajte, da morate slediti povezavi v formatu /admin. V nasprotnem primeru ne boste mogli dostopati do strani za upravljanje. Privzeto je stran v načinu standardne konfiguracije. Za nastavitve potrebujemo napredni način. Pojdimo v meni admin->View in preklopimo način na Napredno:
Zdaj moramo prenesti preskusno licenco. To lahko storite v meniju Informacije o licenci → VM → Posodobitev:
Če nimate preskusne licence, jo lahko zahtevate tako, da kontaktirate .
Po vnosu licence bi se morala naprava znova zagnati. V prihodnosti bo začel črpati posodobitve svojih baz podatkov s strežnikov. Če se to ne zgodi samodejno, lahko odprete meni Sistem → FortiGuard in na zavihkih Antivirus, Antispam kliknete gumb Posodobi zdaj.
Če to ne pomaga, lahko spremenite vrata, ki se uporabljajo za posodobitve. Običajno se po tem prikažejo vse licence. Na koncu bi moralo izgledati takole:
Nastavimo pravilen časovni pas, to bo koristno pri pregledovanju dnevnikov. Če želite to narediti, pojdite v meni Sistem → Konfiguracija:
Konfigurirali bomo tudi DNS. Notranji strežnik DNS bomo konfigurirali kot glavni strežnik DNS, strežnik DNS, ki ga ponuja Fortinet, pa bomo pustili kot rezervnega.
Zdaj pa preidimo na zabavni del. Kot ste morda opazili, je naprava privzeto nastavljena na način prehoda. Zato nam ga ni treba spreminjati. Pojdimo v polje Domena in uporabnik → Domena. Ustvarimo novo domeno, ki jo je treba zaščititi. Tukaj moramo podati le ime domene in naslov poštnega strežnika (lahko tudi njegovo domeno, v našem primeru mail.test.local):
Zdaj moramo dati ime za naš poštni prehod. To bo uporabljeno v zapisih MX in A, ki ju bomo morali pozneje spremeniti:
Iz točk Ime gostitelja in Ime lokalne domene se prevede FQDN, ki se uporablja v zapisih DNS. V našem primeru je FQDN = fortimail.test.local.
Zdaj pa nastavimo pravilo prejemanja. Potrebujemo, da se vsa elektronska sporočila, ki prihajajo od zunaj in so dodeljena uporabniku v domeni, posredujejo poštnemu strežniku. Če želite to narediti, pojdite v meni Politika → Nadzor dostopa. Primer nastavitve je prikazan spodaj:
Poglejmo zavihek Politika prejemnikov. Tukaj lahko nastavite določena pravila za preverjanje pisem: če pošta prihaja iz domene example1.com, jo morate preveriti z mehanizmi, ki so konfigurirani posebej za to domeno. Za vso pošto že obstaja privzeto pravilo in nam za zdaj ustreza. To pravilo lahko vidite na spodnji sliki:
Na tej točki se lahko šteje, da je namestitev FortiMail končana. Pravzaprav obstaja veliko več možnih parametrov, a če začnemo upoštevati vse, bi lahko napisali knjigo :) In naš cilj je zagnati FortiMail v testnem načinu z minimalnim naporom.
Ostaneta dve stvari - spremeniti zapise MX in A ter spremeniti tudi pravila za posredovanje vrat na požarnem zidu.
Zapis MX test.local -> mail.test.local 10 je treba spremeniti v test.local -> fortimail.test.local 10. Običajno pa se med piloti doda drugi zapis MX z višjo prioriteto. Na primer:
test.local -> mail.test.local 10
test.local -> fortimail.test.local 5
Naj vas spomnim, da nižja kot je zaporedna številka preference poštnega strežnika v zapisu MX, višja je njegova prioriteta.
In vnosa ni mogoče spremeniti, zato bomo samo ustvarili novega: fortimail.test.local -> 10.10.30.210. Zunanji uporabnik bo vzpostavil stik z naslovom 10.10.30.210 na vratih 25, požarni zid pa bo povezavo posredoval FortiMailu.
Če želite spremeniti pravilo posredovanja na FortiGate, morate spremeniti naslov v ustreznem predmetu Virtual IP:
Vse je pripravljeno. Preverimo. Ponovno pošljimo pismo iz računalnika zunanjega uporabnika. Zdaj pa pojdimo na FortiMail v meniju Monitor → Dnevniki. V polju Zgodovina lahko vidite zapis, da je bilo pismo sprejeto. Za več informacij lahko z desno miškino tipko kliknete vnos in izberete Podrobnosti:
Za popolno sliko preverimo, ali lahko FortiMail v trenutni konfiguraciji blokira e-poštna sporočila, ki vsebujejo vsiljeno pošto in viruse. Da bi to naredili, bomo poslali testni virus eicar in testno pismo, ki ga najdemo v eni izmed baz neželenih sporočil (http://untroubled.org/spam/). Po tem se vrnimo v meni za ogled dnevnika:
Kot lahko vidimo, sta bila tako vsiljena pošta kot pismo z virusom uspešno prepoznana.
Ta konfiguracija zadostuje za osnovno zaščito pred virusi in vsiljeno pošto. Toda funkcionalnost FortiMaila ni omejena na to. Za učinkovitejšo zaščito morate preučiti razpoložljive mehanizme in jih prilagoditi svojim potrebam. V prihodnosti nameravamo izpostaviti druge, bolj napredne funkcije tega poštnega prehoda.
Če imate kakršne koli težave ali vprašanja v zvezi z rešitvijo, jih zapišite v komentarje, poskušali bomo nanje odgovoriti takoj.
Oddate lahko zahtevo za preskusno licenco, da preizkusite rešitev .
Avtor: Aleksej Nikulin. Inženir za informacijsko varnost Fortiservice.
Vir: www.habr.com