Wilujeng sumping! Dinten ieu kami bakal ngabejaan ka maneh kumaha nyieun setelan awal mail gateway - Solusi kaamanan email Fortinet. Salila artikel urang bakal kasampak di tata perenah kami bakal dianggo kalayan sarta ngalakukeun konfigurasi , dipikabutuh pikeun narima jeung mariksa surat, sarta kami ogé bakal nguji kinerja na. Dumasar pangalaman urang, urang aman bisa disebutkeun yen prosesna basajan pisan, komo sanggeus konfigurasi minimal anjeun tiasa ningali hasilna.
Hayu urang mimitian ku tata perenah ayeuna. Ieu ditémbongkeun dina gambar di handap.
Di katuhu urang ningali komputer pamaké éksternal, ti mana urang bakal ngirim surat ka pamaké dina jaringan internal. Jaringan internal ngandung komputer pamaké, controller domain kalawan server DNS ngajalankeun di dinya, sarta server mail. Di ujung jaringan aya firewall - FortiGate, fitur utama nyaéta ngonpigurasikeun SMTP sareng lalu lintas DNS.
Hayu urang nengetan husus ka DNS.
Aya dua rékaman DNS anu dianggo pikeun rute email dina Internét-rékam A sareng catetan MX. Biasana, rékaman DNS ieu dikonpigurasi dina server DNS umum, tapi kusabab keterbatasan perenah, urang ngan saukur neraskeun DNS ngalangkungan firewall (nyaéta, pangguna éksternal ngagaduhan alamat 10.10.30.210 kadaptar salaku server DNS).
Catetan MX mangrupikeun catetan anu ngandung nami pangladén surat anu ngalayanan domain, ogé prioritas pangladén surat ieu. Dina kasus urang, sigana kieu: test.local -> mail.test.local 10.
Rékam mangrupikeun rékaman anu ngarobih nami domain janten alamat IP, pikeun kami nyaéta: mail.test.local -> 10.10.30.210.
Nalika pangguna éksternal urang nyobian ngirim email ka [email dijaga], eta bakal query na DNS server MX pikeun test.local catetan domain. Pangladén DNS kami bakal ngabales nganggo nami pangladén surat - mail.test.local. Ayeuna pangguna kedah kéngingkeun alamat IP tina server ieu, janten anjeunna ngaksés deui DNS pikeun catetan A sareng nampi alamat IP 10.10.30.210 (enya, nya deui :) ). Anjeun tiasa ngirim surat. Ku alatan éta, éta nyoba nyieun sambungan ka alamat IP narima dina port 25. Ngagunakeun aturan dina firewall, sambungan ieu diteruskeun ka server mail.
Hayu urang parios pungsionalitas surat dina kaayaan perenah ayeuna. Jang ngalampahkeun ieu, urang bakal ngagunakeun utiliti swaks dina komputer pamaké éksternal. Kalayan pitulungna, anjeun tiasa nguji kinerja SMTP ku ngirim surat ka panarima kalayan sakumpulan sababaraha parameter. Saméméhna, pamaké kalawan kotak surat geus dijieun dina server mail [email dijaga]. Hayu urang coba ngirim surat ka anjeunna:
Ayeuna hayu urang angkat ka mesin pangguna internal sareng pastikeun suratna parantos sumping:
Suratna leres-leres sumping (disorot dina daptar). Ieu ngandung harti perenah jalan bener. Ayeuna waktuna pikeun ngaléngkah ka FortiMail. Hayu urang tambahkeun kana tata letak urang:
FortiMail tiasa disebarkeun dina tilu modeu:
- Gateway - tindakan salaku MTA full-fledged: nyokot alih sakabeh mail, pariksa deui, lajeng neraskeun ka server mail;
- Transparan - atawa dina basa sejen, mode transparan. Hal ieu dipasang di hareup server jeung pariksa mail asup jeung kaluar. Saatos éta, éta ngirimkeunana ka server. Teu merlukeun parobahan konfigurasi jaringan.
- Server - dina hal ieu, FortiMail mangrupikeun pangladén surat anu lengkep sareng kamampuan nyiptakeun kotak surat, nampi sareng ngirim surat, ogé fungsionalitas anu sanés.
Urang bakal nyebarkeun FortiMail dina modeu Gateway. Hayu urang angkat ka setélan mesin virtual. Login nyaéta admin, teu aya kecap akses anu dieusian. Lamun anjeun asup pikeun kahiji kalina, anjeun kudu nyetel sandi anyar.
Ayeuna hayu urang ngonpigurasikeun mesin virtual pikeun ngaksés antarmuka wéb. Éta ogé perlu yén mesin boga aksés Internet. Hayu urang nyetél panganteur. Urang ngan butuh port1. Kalayan pitulung na urang bakal nyambung ka panganteur web, sarta eta oge bakal dipaké pikeun ngakses Internet. Aksés Internét diperlukeun pikeun ngapdet ladenan (tanda tangan antivirus, jsb.). Pikeun konfigurasi, lebetkeun paréntah:
panganteur Sistim config
édit port 1
setel ip 192.168.1.40 255.255.255.0
set allowaccess HTTPS http ssh ping
tungtung
Ayeuna hayu urang ngonpigurasikeun routing. Jang ngalampahkeun ieu anjeun kudu ngasupkeun paréntah di handap:
jalur Sistim config
édit 1
set gateway 192.168.1.1
set panganteur port1
tungtung
Nalika ngasupkeun paréntah, anjeun tiasa nganggo tab pikeun nyegah ngetikna lengkep. Ogé, upami anjeun hilap paréntah mana anu kedah sumping salajengna, anjeun tiasa nganggo konci "?".
Ayeuna hayu urang pariksa sambungan Internet Anjeun. Jang ngalampahkeun ieu, hayu urang ping Google DNS:
Sakumaha anjeun tiasa tingali, urang ayeuna gaduh Internét. Setélan awal anu khas pikeun sadaya alat Fortinet parantos réngsé, sareng anjeun ayeuna tiasa neraskeun konfigurasi ngalangkungan antarmuka wéb. Jang ngalampahkeun ieu, buka kaca manajemén:
Punten dicatet yén anjeun kedah nuturkeun tautan dina formatna /admin. Upami teu kitu, anjeun moal tiasa ngaksés halaman manajemén. Sacara standar, kaca aya dina modeu konfigurasi standar. Pikeun setélan urang peryogi mode Advanced. Hayu urang buka admin-> Témbongkeun menu jeung pindah mode ka Advanced:
Ayeuna urang kedah ngaunduh lisénsi percobaan. Ieu tiasa dilakukeun dina ménu Émbaran Lisensi → VM → Apdet:
Upami anjeun teu gaduh lisénsi percobaan, anjeun tiasa menta hiji ku ngahubungan .
Saatos ngalebetkeun lisénsi, alat kedah reboot. Dina mangsa nu bakal datang, éta bakal mimiti narik apdet kana database na ti server. Upami ieu henteu kajantenan sacara otomatis, anjeun tiasa angkat ka menu System → FortiGuard sareng dina Antivirus, tab Antispam klik tombol Update Now.
Upami ieu henteu ngabantosan, anjeun tiasa ngarobih palabuhan anu dianggo pikeun apdet. Biasana saatos ieu sadaya lisénsi muncul. Dina tungtungna kudu kasampak kawas kieu:
Hayu urang nyetél zona waktos anu leres, ieu bakal mangpaat nalika mariksa log. Jang ngalampahkeun ieu, buka System → menu Konfigurasi:
Urang ogé bakal ngonpigurasikeun DNS. Urang bakal ngonpigurasikeun server DNS internal salaku server DNS utama, sarta ninggalkeun server DNS disadiakeun ku Fortinet salaku cadangan.
Ayeuna hayu urang ngaléngkah ka bagian senang. Sakumaha anjeun tiasa tingali, alat disetel ka modeu Gateway sacara standar. Ku alatan éta, urang teu kudu ngarobah éta. Hayu urang buka Domain & pamaké → widang Domain. Hayu urang nyieun domain anyar nu kudu ditangtayungan. Di dieu urang ngan ukur kedah netepkeun nami domain sareng alamat pangladén surat (anjeun ogé tiasa netepkeun nami domainna, dina kasus kami mail.test.local):
Ayeuna urang kudu nyadiakeun ngaran pikeun gateway mail urang. Ieu bakal dianggo dina rékaman MX sareng A, anu urang kedah robih engké:
Tina Ngaran Host sareng Titik Ngaran Domain Lokal, FQDN disusun, anu dianggo dina rékaman DNS. Dina kasus urang, FQDN = fortimail.test.local.
Ayeuna hayu urang nyetél aturan panarimaan. Urang kudu sagala surelek nu asalna ti luar sarta ditugaskeun ka pamaké dina domain pikeun diteruskeun ka server mail. Jang ngalampahkeun ieu, buka menu Kabijakan → Kontrol Aksés. Hiji conto setelan ditémbongkeun di handap:
Hayu urang tingali dina tab Kawijakan Panarima. Di dieu anjeun tiasa nyetél aturan anu tangtu pikeun mariksa hurup: upami surat asalna tina domain example1.com, anjeun kedah pariksa ku mékanisme anu dikonpigurasi khusus pikeun domain ieu. Geus aya aturan standar pikeun sakabéh surat, sarta pikeun ayeuna eta cocog kami. Anjeun tiasa ningali aturan ieu dina gambar di handap ieu:
Dina titik ieu, setelan dina FortiMail tiasa dianggap lengkep. Nyatana, aya seueur parameter anu langkung seueur, tapi upami urang mimiti nganggap éta sadayana, urang tiasa nyerat buku :) Sareng tujuan kami nyaéta pikeun ngaluncurkeun FortiMail dina modeu uji kalayan usaha minimal.
Aya dua hal anu tinggaleun - robih rékaman MX sareng A, sareng robih ogé aturan neraskeun port dina firewall.
MX catetan test.local -> mail.test.local 10 kudu dirobah jadi test.local -> fortimail.test.local 10. Tapi biasana salila pilots catetan MX kadua kalayan prioritas luhur ditambahkeun. Salaku conto:
test.local -> mail.test.local 10
test.local -> fortimail.test.local 5
Hayu atuh ngingetan yén handap angka ordinal preferensi server mail dina catetan MX, nu leuwih luhur prioritas na.
Sareng éntrina teu tiasa dirobih, janten urang ngan ukur nyiptakeun anu énggal: fortimail.test.local -> 10.10.30.210. Hiji pamaké éksternal bakal ngahubungan alamat 10.10.30.210 on port 25, sarta firewall bakal neruskeun sambungan kana FortiMail.
Pikeun ngarobih aturan diteruskeun dina FortiGate, anjeun kedah ngarobih alamatna dina objék IP Virtual anu aya:
Kabéh geus siap. Hayu urang pariksa. Hayu urang ngirim surat deui ti komputer pamaké éksternal. Ayeuna hayu urang angkat ka FortiMail dina ménu Monitor → Log. Dina widang Sajarah anjeun tiasa ningali catetan yén suratna ditampi. Kanggo inpo nu leuwih lengkep, anjeun tiasa klik katuhu dina entri tur pilih Rincian:
Pikeun ngalengkepan gambar, hayu urang pariksa naha FortiMail dina konfigurasi na ayeuna bisa meungpeuk surelek nu ngandung spam jeung virus. Jang ngalampahkeun ieu, urang bakal ngirim virus test eicar jeung surat test kapanggih dina salah sahiji database mail spam (http://untroubled.org/spam/). Sanggeus ieu, hayu urang balik deui ka menu nempoan log:
Sakumaha anu urang tingali, spam sareng surat anu aya virus parantos suksés diidentifikasi.
Konfigurasi ieu cukup pikeun nyadiakeun panyalindungan dasar ngalawan virus jeung spam. Tapi pungsionalitas FortiMail henteu dugi ka ieu. Pikeun panyalindungan anu langkung efektif, anjeun kedah diajar mékanisme anu sayogi sareng nyaluyukeunana pikeun nyocogkeun ka kabutuhan anjeun. Dina mangsa nu bakal datang, urang rencanana pikeun nyorot séjén, fitur leuwih canggih tina gateway mail ieu.
Upami anjeun gaduh kasulitan atanapi patarosan ngeunaan solusi, tuliskeun dina koméntar, kami bakal nyobian ngajawabna langsung.
Anjeun tiasa ngalebetkeun pamundut pikeun lisénsi percobaan pikeun nguji solusi .
Panulis: Alexey Nikulin. Insinyur Kaamanan Émbaran Fortiservice.
sumber: www.habr.com