Mirë se vini! Sot do t'ju tregojmë se si të bëni cilësimet fillestare të portës së postës – Zgjidhjet e sigurisë së emailit të Fortinet. Gjatë artikullit do të shikojmë paraqitjen me të cilën do të punojmë dhe do të kryejmë konfigurimin , e nevojshme për marrjen dhe kontrollimin e letrave, si dhe do të testojmë performancën e saj. Bazuar në përvojën tonë, mund të themi me siguri se procesi është shumë i thjeshtë, dhe madje edhe pas konfigurimit minimal mund të shihni rezultate.
Le të fillojmë me paraqitjen aktuale. Është paraqitur në figurën më poshtë.
Në të djathtë shohim kompjuterin e përdoruesit të jashtëm, nga i cili do t'i dërgojmë postë përdoruesit në rrjetin e brendshëm. Rrjeti i brendshëm përmban kompjuterin e përdoruesit, një kontrollues domeni me një server DNS që funksionon në të dhe një server poste. Në skajin e rrjetit ekziston një mur zjarri - FortiGate, tipari kryesor i të cilit është konfigurimi i përcjelljes së trafikut SMTP dhe DNS.
Le t'i kushtojmë vëmendje të veçantë DNS.
Ekzistojnë dy regjistrime DNS që përdoren për të drejtuar emailin në internet - rekordi A dhe rekordi MX. Në mënyrë tipike, këto regjistrime DNS konfigurohen në një server publik DNS, por për shkak të kufizimeve të paraqitjes, ne thjesht e përcjellim DNS përmes murit të zjarrit (d.m.th., përdoruesi i jashtëm ka adresën 10.10.30.210 të regjistruar si server DNS).
Regjistrimi MX është një rekord që përmban emrin e serverit të postës që i shërben domenit, si dhe përparësinë e këtij serveri të postës. Në rastin tonë duket kështu: test.local -> mail.test.local 10.
Një rekord është një rekord që konverton një emër domaini në një adresë IP, për ne është: mail.test.local -> 10.10.30.210.
Kur përdoruesi ynë i jashtëm përpiqet të dërgojë një email tek [email mbrojtur], do të kërkojë serverin e tij DNS MX për regjistrimin e domenit test.local. Serveri ynë DNS do të përgjigjet me emrin e serverit të postës - mail.test.local. Tani përdoruesi duhet të marrë adresën IP të këtij serveri, kështu që ai përsëri hyn në DNS për regjistrimin A dhe merr adresën IP 10.10.30.210 (po, përsëri e tij :) . Ju mund të dërgoni një letër. Prandaj, ai përpiqet të krijojë një lidhje me adresën IP të marrë në portën 25. Duke përdorur rregullat në murin e zjarrit, kjo lidhje përcillet te serveri i postës.
Le të kontrollojmë funksionalitetin e postës në gjendjen aktuale të paraqitjes. Për ta bërë këtë, ne do të përdorim mjetin swaks në kompjuterin e përdoruesit të jashtëm. Me ndihmën e tij, ju mund të testoni performancën e SMTP duke i dërguar marrësit një letër me një sërë parametrash të ndryshëm. Më parë, një përdorues me një kuti postare është krijuar tashmë në serverin e postës [email mbrojtur]. Le të përpiqemi t'i dërgojmë një letër:
Tani le të shkojmë te makineria e përdoruesit të brendshëm dhe të sigurohemi që letra të ketë mbërritur:
Letra mbërriti në të vërtetë (është e theksuar në listë). Kjo do të thotë se faqosja po funksionon si duhet. Tani është koha për të kaluar te FortiMail. Le të shtojmë në paraqitjen tonë:
FortiMail mund të vendoset në tre mënyra:
- Gateway - vepron si një MTA me të drejta të plota: merr përsipër të gjithë postën, e kontrollon atë dhe më pas e përcjell në serverin e postës;
- Transparente - ose me fjalë të tjera, mënyrë transparente. Instalohet përpara serverit dhe kontrollon postën hyrëse dhe dalëse. Pas kësaj, ai e transmeton atë në server. Nuk kërkon ndryshime në konfigurimin e rrjetit.
- Server - në këtë rast, FortiMail është një server i plotë i postës me aftësinë për të krijuar kuti postare, për të marrë dhe dërguar postë, si dhe funksione të tjera.
Ne do të vendosim FortiMail në modalitetin Gateway. Le të shkojmë te cilësimet e makinës virtuale. Hyrja është admin, nuk është specifikuar asnjë fjalëkalim. Kur hyni për herë të parë, duhet të vendosni një fjalëkalim të ri.
Tani le të konfigurojmë makinën virtuale për të hyrë në ndërfaqen e internetit. Është gjithashtu e nevojshme që makina të ketë akses në internet. Le të konfigurojmë ndërfaqen. Na duhet vetëm port1. Me ndihmën e tij ne do të lidhemi me ndërfaqen në internet dhe do të përdoret gjithashtu për të hyrë në internet. Qasja në internet nevojitet për të përditësuar shërbimet (nënshkrimet antivirus, etj.). Për konfigurim, futni komandat:
ndërfaqja e sistemit të konfigurimit
redakto portin 1
vendos ip 192.168.1.40 255.255.255.0
caktoni lejimin e aksesit https http ssh ping
fund
Tani le të konfigurojmë rrugëzimin. Për ta bërë këtë, duhet të futni komandat e mëposhtme:
konfigurimi i rrugës së sistemit
redakto 1
set portë 192.168.1.1
caktoni portin e ndërfaqes 1
fund
Kur futni komanda, mund të përdorni skedat për të shmangur shtypjen e plotë të tyre. Gjithashtu, nëse harroni se cila komandë duhet të vijë më pas, mund të përdorni tastin “?”.
Tani le të kontrollojmë lidhjen tuaj të internetit. Për ta bërë këtë, le të bëjmë ping në Google DNS:
Siç mund ta shihni, ne tani kemi internet. Cilësimet fillestare tipike për të gjitha pajisjet Fortinet janë përfunduar dhe tani mund të vazhdoni me konfigurimin nëpërmjet ndërfaqes së internetit. Për ta bërë këtë, hapni faqen e menaxhimit:
Ju lutemi vini re se duhet të ndiqni lidhjen në format /admin. Përndryshe, nuk do të mund të hyni në faqen e menaxhimit. Si parazgjedhje, faqja është në modalitetin standard të konfigurimit. Për cilësimet na nevojitet modaliteti i avancuar. Le të shkojmë te menyja admin->View dhe kalojmë modalitetin në Advanced:
Tani duhet të shkarkojmë licencën e provës. Kjo mund të bëhet në menunë Informacioni i Licencës → VM → Përditësimi:
Nëse nuk keni një licencë prove, mund ta kërkoni një duke kontaktuar .
Pas futjes së licencës, pajisja duhet të rindizet. Në të ardhmen, ajo do të fillojë të tërheqë përditësime në bazat e të dhënave të saj nga serverët. Nëse kjo nuk ndodh automatikisht, mund të shkoni te menyja System → FortiGuard dhe në skedat Antivirus, Antispam klikoni në butonin Përditëso Tani.
Nëse kjo nuk ju ndihmon, mund të ndryshoni portat e përdorura për përditësimet. Zakonisht pas kësaj shfaqen të gjitha licencat. Në fund duhet të duket kështu:
Le të vendosim zonën e saktë kohore, kjo do të jetë e dobishme kur shqyrtoni regjistrat. Për ta bërë këtë, shkoni te menyja Sistemi → Konfigurimi:
Ne gjithashtu do të konfigurojmë DNS. Ne do të konfigurojmë serverin e brendshëm DNS si serverin kryesor DNS dhe do ta lëmë serverin DNS të ofruar nga Fortinet si rezervë.
Tani le të kalojmë në pjesën argëtuese. Siç mund ta keni vënë re, pajisja është vendosur në modalitetin Gateway si parazgjedhje. Prandaj, nuk kemi nevojë ta ndryshojmë atë. Le të shkojmë te fusha Domain & User → Domain. Le të krijojmë një domen të ri që duhet të mbrohet. Këtu na duhet vetëm të specifikojmë emrin e domenit dhe adresën e serverit të postës (mund të specifikoni gjithashtu emrin e tij të domenit, në rastin tonë mail.test.local):
Tani duhet të japim një emër për portën tonë të postës. Kjo do të përdoret në të dhënat MX dhe A, të cilat do të na duhet t'i ndryshojmë më vonë:
Nga pikat Host Name dhe Local Domain Name, përpilohet FQDN, i cili përdoret në të dhënat DNS. Në rastin tonë, FQDN = fortimail.test.local.
Tani le të vendosim rregullin e pranimit. Na duhen të gjitha emailet që vijnë nga jashtë dhe i janë caktuar një përdoruesi në domen për t'i përcjellë te serveri i postës. Për ta bërë këtë, shkoni te menyja Politika → Kontrolli i Qasjes. Një shembull i konfigurimit tregohet më poshtë:
Le të shohim skedën Politika e Marrësit. Këtu mund të vendosni rregulla të caktuara për kontrollimin e letrave: nëse posta vjen nga domeni example1.com, duhet ta kontrolloni atë me mekanizmat e konfiguruar posaçërisht për këtë domen. Ekziston tashmë një rregull i paracaktuar për të gjitha postat, dhe tani për tani na përshtatet. Ju mund ta shihni këtë rregull në figurën më poshtë:
Në këtë pikë, konfigurimi në FortiMail mund të konsiderohet i përfunduar. Në fakt, ka shumë më tepër parametra të mundshëm, por nëse fillojmë t'i konsiderojmë të gjithë, mund të shkruajmë një libër :) Dhe qëllimi ynë është të lançojmë FortiMail në modalitetin e testimit me përpjekje minimale.
Kanë mbetur dy gjëra - ndryshoni të dhënat MX dhe A, dhe gjithashtu ndryshoni rregullat e përcjelljes së portit në murin e zjarrit.
Rekordi MX test.local -> mail.test.local 10 duhet të ndryshohet në test.local -> fortimail.test.local 10. Por zakonisht gjatë pilotëve shtohet një rekord i dytë MX me një përparësi më të lartë. Për shembull:
test.lokal -> mail.test.lokal 10
test.local -> fortimail.test.local 5
Më lejoni t'ju kujtoj se sa më i ulët të jetë numri rendor i preferencës së serverit të postës në regjistrimin MX, aq më i lartë është përparësia e tij.
Dhe hyrja nuk mund të ndryshohet, kështu që ne thjesht do të krijojmë një të re: fortimail.test.local -> 10.10.30.210. Një përdorues i jashtëm do të kontaktojë adresën 10.10.30.210 në portin 25 dhe muri i zjarrit do ta përcjellë lidhjen te FortiMail.
Për të ndryshuar rregullin e përcjelljes në FortiGate, duhet të ndryshoni adresën në objektin përkatës Virtual IP:
Gjithçka është gati. Le të kontrollojmë. Le ta dërgojmë përsëri letrën nga kompjuteri i përdoruesit të jashtëm. Tani le të shkojmë te FortiMail në menynë Monitor → Regjistrat. Në fushën Historia mund të shihni një shënim që letra është pranuar. Për më shumë informacion, mund të klikoni me të djathtën mbi hyrjen dhe zgjidhni Detajet:
Për të përfunduar figurën, le të kontrollojmë nëse FortiMail në konfigurimin e tij aktual mund të bllokojë emailet që përmbajnë spam dhe viruse. Për ta bërë këtë, ne do të dërgojmë virusin e testit eicar dhe një letër testimi që gjendet në një nga bazat e të dhënave të postës së padëshiruar (http://untroubled.org/spam/). Pas kësaj, le të kthehemi te menyja e shikimit të regjistrave:
Siç mund ta shohim, si mesazhet e padëshiruara ashtu edhe letrat me virus u identifikuan me sukses.
Ky konfigurim është i mjaftueshëm për të siguruar mbrojtje bazë kundër viruseve dhe spamit. Por funksionaliteti i FortiMail nuk është i kufizuar në këtë. Për mbrojtje më efektive, duhet të studioni mekanizmat e disponueshëm dhe t'i personalizoni ato për t'iu përshtatur nevojave tuaja. Në të ardhmen, ne planifikojmë të nxjerrim në pah veçori të tjera, më të avancuara të kësaj porte postare.
Nëse keni ndonjë vështirësi ose pyetje në lidhje me zgjidhjen, shkruani ato në komente, ne do të përpiqemi t'u përgjigjemi atyre menjëherë.
Ju mund të paraqisni një kërkesë për një licencë prove për të testuar zgjidhjen .
Autori: Alexey Nikulin. Inxhinier i Sigurisë së Informacionit Fortiservice.
Burimi: www.habr.com