Välkommen! Idag kommer vi att berätta för dig hur du gör de första inställningarna för e-postgatewayen – Fortinets e-postsäkerhetslösningar. Under artikeln kommer vi att överväga layouten som vi kommer att arbeta med, vi kommer att utföra konfigurationen , vilket är nödvändigt för att ta emot och kontrollera brev, och även testa dess prestanda. Baserat på vår erfarenhet kan vi med säkerhet säga att processen är väldigt enkel, och även efter minimal konfiguration kan du se resultaten.
Låt oss börja med den nuvarande layouten. Det visas i figuren nedan.
Till höger ser vi den externa användarens dator, från vilken vi skickar e-post till användaren på det interna nätverket. Användarens dator, en domänkontrollant med en DNS-server och en e-postserver finns på det interna nätverket. I kanten av nätverket finns en brandvägg - FortiGate, vars huvudfunktion är konfigurationen av vidarebefordran av SMTP- och DNS-trafik.
Låt oss ägna särskild uppmärksamhet åt DNS.
Två DNS-poster används för att dirigera e-post på Internet, en A-post och en MX-post. Vanligtvis är dessa DNS-poster konfigurerade på en offentlig DNS-server, men på grund av layoutrestriktioner vidarebefordrar vi helt enkelt DNS genom brandväggen (det vill säga den externa användaren har adressen 10.10.30.210 som DNS-server).
MX-post - en post som innehåller namnet på e-postservern som betjänar domänen, samt prioritet för denna e-postserver. I vårt fall ser det ut så här: test.local -> mail.test.local 10.
En post är en post som omvandlar ett domännamn till en IP-adress, vi har detta: mail.test.local -> 10.10.30.210.
När vår externa användare försöker skicka ett e-postmeddelande till [e-postskyddad], kommer den att fråga sin DNS MX-server för domänposten test.local. Vår DNS-server kommer att svara med namnet på e-postservern - mail.test.local. Nu måste användaren få IP-adressen för denna server, så han går tillbaka till DNS för A-posten och får IP-adressen 10.10.30.210 (ja, hans igen :) ). Du kan skicka ett brev. Därför försöker han upprätta en anslutning med den mottagna IP-adressen på port 25. Med hjälp av regler på brandväggen vidarebefordras denna anslutning till mailservern.
Låt oss kontrollera funktionen hos e-post i layoutens nuvarande tillstånd. För att göra detta, på en extern användares dator, kommer vi att använda swaks-verktyget. Med dess hjälp kan du testa prestandan för SMTP genom att skicka ett e-postmeddelande till mottagaren med en uppsättning olika parametrar. Tidigare har en användare med en brevlåda redan ställts in på mailservern [e-postskyddad]. Låt oss försöka skicka ett mejl till honom:
Låt oss nu gå till den interna användarens maskin och se till att brevet har kommit:
Brevet kom verkligen (det är markerat i listan). Så layouten fungerar som den ska. Det är dags att gå vidare till FortiMail. Låt oss lägga till vår layout:
FortiMail kan distribueras i tre lägen:
- Gateway - fungerar som en fullfjädrad MTA: den tar all e-post på sig själv, kontrollerar den och vidarebefordrar den sedan till e-postservern;
- Transparent - eller på annat sätt, transparent läge. Installeras framför servern och kontrollerar inkommande och utgående post. Efter det skickas det till servern. Kräver inga ändringar i nätverkskonfigurationen.
- Server - i det här fallet är FortiMail en fullfjädrad e-postserver med möjlighet att skapa brevlådor, ta emot och skicka e-post, samt med annan funktionalitet.
Vi kommer att distribuera FortiMail i Gateway-läge. Låt oss gå till inställningarna för den virtuella maskinen. Inloggningen är admin, lösenordet är inte inställt. När du loggar in första gången måste du ange ett nytt lösenord.
Låt oss nu konfigurera den virtuella maskinen för att komma åt webbgränssnittet. Det är också nödvändigt att maskinen har tillgång till Internet. Låt oss ställa in gränssnittet. Vi behöver bara port1. Med det kommer vi att ansluta till webbgränssnittet, och det kommer också att användas för att komma åt Internet. Internetåtkomst behövs för att uppdatera tjänster (antivirussignaturer etc.). För att konfigurera, skriv in kommandona:
konfigurera systemets gränssnitt
redigera port 1
set ip 192.168.1.40 255.255.255.0
ställ in tillåt åtkomst https http ssh ping
änden
Låt oss nu ställa in routingen. För att göra detta, skriv in följande kommandon:
config system rutt
redigera 1
ställ in gateway 192.168.1.1
ställ in gränssnittsport1
änden
När du anger kommandon kan du använda flikar för att undvika att skriva in dem i sin helhet. Om du har glömt vilket kommando som ska gå härnäst kan du använda tangenten "?".
Låt oss nu kontrollera din internetanslutning. För att göra detta, pinga Google DNS:
Som ni ser har vi internet. De initiala inställningarna som är specifika för alla Fortinet-enheter har slutförts, nu kan du gå vidare till konfigurationen via webbgränssnittet. För att göra detta, öppna kontrollsidan:
Observera att du måste följa länken i formatet /administration. Annars kommer du inte att kunna komma till hanteringssidan. Som standard är sidan i standardkonfigurationsläge. För inställningar behöver vi Avancerat läge. Låt oss gå till admin->Visa-menyn och växla läget till Avancerat:
Nu måste vi ladda ner testlicensen. Du kan göra detta i menyn Licensinformation → VM → Uppdatera:
Om du inte har en provlicens kan du begära en genom att kontakta .
Efter att ha angett licensen bör enheten starta om. I framtiden kommer den att börja hämta uppdateringar av sina databaser från servrarna. Om detta inte sker automatiskt kan du gå till System → FortiGuard-menyn och klicka på knappen Uppdatera nu på Antivirus, Antispam-flikarna.
Om detta inte hjälper kan du ändra portarna som används för uppdateringar. Vanligtvis visas alla licenser efter det. I slutändan borde det se ut så här:
Låt oss ställa in rätt tidszon, detta kommer att vara praktiskt när vi granskar loggarna. För att göra detta, gå till menyn System → Konfiguration:
Vi kommer också att konfigurera DNS. Som huvud-DNS-server kommer vi att sätta upp en intern DNS-server, och som en backup lämnar vi DNS-servern som tillhandahålls av Fortinet.
Låt oss nu gå vidare till det mest intressanta. Som du kanske har märkt är enheten som standard inställd på Gateway-läge. Så vi behöver inte ändra på det. Låt oss gå till fältet Domän & användare → Domän. Låt oss skapa en ny domän som behöver skyddas. Här behöver vi bara ange domännamnet och adressen till e-postservern (du kan även ange dess domännamn, i vårt fall mail.test.local):
Nu måste vi ge ett namn för vår e-postgateway. Det kommer att användas i MX- och A-poster, som vi kommer att behöva ändra senare:
Värdnamn och lokalt domännamn utgör FQDN, som används i DNS-poster. I vårt fall är FQDN = fortimail.test.local.
Låt oss nu ställa in mottagningsregeln. Vi behöver alla mejl som kommer utifrån och är tilldelade en användare i domänen för att vidarebefordras till mailservern. För att göra detta, gå till menyn Policy → Åtkomstkontroll. Ett exempel på inställningar visas nedan:
Låt oss titta på fliken Recipient Policy. Här kan du ställa in vissa regler för att kontrollera meddelanden: om e-post kommer från domänen example1.com måste du kontrollera det med mekanismer som är konfigurerade specifikt för den här domänen. Det finns redan en standardregeluppsättning för all post, och för närvarande passar det oss. Du kan se denna regel i bilden nedan:
Detta slutför installationen på FortiMail. Faktum är att det finns många fler möjliga parametrar, men om vi börjar överväga alla kan vi skriva en bok :) Och vårt mål är att köra FortiMail i testläge med minimal ansträngning.
Det finns två saker kvar - ändra MX- och A-posterna, och ändra även reglerna för portvidarebefordran på brandväggen.
MX-posten test.local -> mail.test.local 10 måste ändras till test.local -> fortimail.test.local 10. Men vanligtvis läggs en andra högre prioritet MX-post till under piloter. Till exempel:
test.local -> mail.test.local 10
test.local -> fortimail.test.local 5
Låt mig påminna dig om att ju lägre preferensnummer för e-postservern i MX-posten är, desto högre prioritet.
En post kan inte ändras, så låt oss bara skapa en ny: fortimail.test.local -> 10.10.30.210. Den externa användaren kommer att adressera 10.10.30.210 på port 25 och brandväggen kommer att vidarebefordra anslutningen till FortiMail.
För att ändra vidarebefordranregeln på FortiGate måste du ändra adressen i motsvarande virtuella IP-objekt:
Allt är klart. Låt oss kolla. Låt oss skicka ett e-postmeddelande från den externa användarens dator igen. Låt oss nu gå till FortiMail i Monitor → Loggar-menyn. I fältet Historik kan du se en post om att brevet accepterades. För mer information kan du högerklicka på en post och välja Detaljer:
För att komplettera bilden, låt oss kontrollera om FortiMail i den aktuella konfigurationen kan blockera e-postmeddelanden som innehåller spam och virus. För att göra detta, låt oss skicka ett test eicar-virus och ett testmeddelande som finns i en av skräppostdatabaserna (http://untroubled.org/spam/). Efter det, låt oss gå tillbaka till loggvymenyn:
Som du kan se identifierades både spam och ett brev med virus framgångsrikt.
Denna konfiguration räcker för att ge grundläggande skydd mot virus och spam. Men funktionaliteten hos FortiMail är inte begränsad till detta. För ett mer effektivt skydd måste du studera de tillgängliga mekanismerna och anpassa dem efter dina behov. I framtiden planerar vi att täcka andra, mer avancerade funktioner i denna e-postgateway.
Om du har några svårigheter eller frågor angående lösningen, skriv dem i kommentarerna, vi kommer att försöka besvara dem snabbt.
Du kan lämna en begäran om en testlicens för att testa lösningen .
Författare: Alexey Nikulin. Fortiservice informationssäkerhetsingenjör.
Källa: will.com