ยินดีต้อนรับ! วันนี้เราจะมาบอกวิธีการตั้งค่าเริ่มต้นของเมลเกตเวย์ – โซลูชั่นรักษาความปลอดภัยอีเมล์ของ Fortinet ในบทความนี้ เราจะดูเค้าโครงที่เราจะใช้งานและดำเนินการกำหนดค่า จำเป็นสำหรับการรับและตรวจสอบจดหมาย และเราจะทดสอบประสิทธิภาพด้วย จากประสบการณ์ของเรา เราสามารถพูดได้อย่างปลอดภัยว่ากระบวนการนี้ง่ายมาก และแม้กระทั่งหลังจากการกำหนดค่าเพียงเล็กน้อย คุณก็ยังสามารถเห็นผลลัพธ์ได้
เริ่มจากเค้าโครงปัจจุบันกันก่อน ดังแสดงในรูปด้านล่าง
ทางด้านขวาเราจะเห็นคอมพิวเตอร์ของผู้ใช้ภายนอกซึ่งเราจะส่งอีเมลไปยังผู้ใช้บนเครือข่ายภายใน เครือข่ายภายในประกอบด้วยคอมพิวเตอร์ของผู้ใช้ ตัวควบคุมโดเมนที่มีเซิร์ฟเวอร์ DNS ทำงานอยู่ และเซิร์ฟเวอร์อีเมล ที่ขอบของเครือข่ายจะมีไฟร์วอลล์ - FortiGate ซึ่งคุณสมบัติหลักคือการกำหนดค่าการส่งต่อการรับส่งข้อมูล SMTP และ DNS
ให้ความสนใจเป็นพิเศษกับ DNS
มีระเบียน DNS สองรายการที่ใช้ในการกำหนดเส้นทางอีเมลบนอินเทอร์เน็ต ได้แก่ ระเบียน A และระเบียน MX โดยทั่วไป บันทึก DNS เหล่านี้ได้รับการกำหนดค่าบนเซิร์ฟเวอร์ DNS สาธารณะ แต่เนื่องจากข้อจำกัดด้านรูปแบบ เราเพียงส่งต่อ DNS ผ่านไฟร์วอลล์ (นั่นคือ ผู้ใช้ภายนอกมีที่อยู่ 10.10.30.210 ที่ลงทะเบียนเป็นเซิร์ฟเวอร์ DNS)
ระเบียน MX คือระเบียนที่มีชื่อของเซิร์ฟเวอร์อีเมลที่ให้บริการโดเมน รวมถึงลำดับความสำคัญของเซิร์ฟเวอร์อีเมลนี้ ในกรณีของเรา ดูเหมือนว่า: test.local -> mail.test.local 10
ระเบียนคือระเบียนที่แปลงชื่อโดเมนให้เป็นที่อยู่ IP สำหรับเราคือ: mail.test.local -> 10.10.30.210
เมื่อผู้ใช้ภายนอกของเราพยายามส่งอีเมลถึง [ป้องกันอีเมล]โดยจะสอบถามเซิร์ฟเวอร์ DNS MX สำหรับบันทึกโดเมน test.local เซิร์ฟเวอร์ DNS ของเราจะตอบกลับด้วยชื่อของเมลเซิร์ฟเวอร์ - mail.test.local ตอนนี้ผู้ใช้จำเป็นต้องได้รับที่อยู่ IP ของเซิร์ฟเวอร์นี้ ดังนั้นเขาจึงเข้าถึง DNS สำหรับบันทึก A อีกครั้งและรับที่อยู่ IP 10.10.30.210 (ใช่ ของเขาอีกครั้ง :) ) คุณสามารถส่งจดหมาย ดังนั้นจึงพยายามสร้างการเชื่อมต่อกับที่อยู่ IP ที่ได้รับบนพอร์ต 25 การใช้กฎบนไฟร์วอลล์ การเชื่อมต่อนี้จะถูกส่งต่อไปยังเมลเซิร์ฟเวอร์
เรามาตรวจสอบการทำงานของเมลในสถานะปัจจุบันของโครงร่างกันดีกว่า ในการดำเนินการนี้ เราจะใช้ยูทิลิตี้ Swaks บนคอมพิวเตอร์ของผู้ใช้ภายนอก ด้วยความช่วยเหลือคุณสามารถทดสอบประสิทธิภาพของ SMTP ได้โดยส่งจดหมายถึงผู้รับพร้อมชุดพารามิเตอร์ต่างๆ ก่อนหน้านี้ ผู้ใช้ที่มีกล่องจดหมายได้ถูกสร้างขึ้นบนเซิร์ฟเวอร์อีเมลแล้ว [ป้องกันอีเมล]. ลองส่งจดหมายถึงเขา:
ตอนนี้ไปที่เครื่องของผู้ใช้ภายในแล้วตรวจสอบให้แน่ใจว่าจดหมายมาถึงแล้ว:
จดหมายมาถึงแล้วจริงๆ (มันถูกเน้นไว้ในรายการ) ซึ่งหมายความว่าเค้าโครงทำงานอย่างถูกต้อง ตอนนี้เป็นเวลาที่จะไปยัง FortiMail แล้ว มาเพิ่มเลย์เอาท์ของเรา:
FortiMail สามารถใช้งานได้สามโหมด:
- เกตเวย์ - ทำหน้าที่เป็น MTA เต็มรูปแบบ: รับส่งอีเมลทั้งหมด ตรวจสอบ และส่งต่อไปยังเซิร์ฟเวอร์เมล
- โปร่งใส - หรืออีกนัยหนึ่งคือโหมดโปร่งใส ติดตั้งไว้ด้านหน้าเซิร์ฟเวอร์และตรวจสอบอีเมลขาเข้าและขาออก หลังจากนั้นจะส่งข้อมูลไปยังเซิร์ฟเวอร์ ไม่จำเป็นต้องเปลี่ยนแปลงการกำหนดค่าเครือข่าย
- เซิร์ฟเวอร์ - ในกรณีนี้ FortiMail เป็นเมลเซิร์ฟเวอร์ที่มีคุณสมบัติครบถ้วนที่สามารถสร้างกล่องจดหมาย รับและส่งเมล รวมถึงฟังก์ชันอื่น ๆ
เราจะปรับใช้ FortiMail ในโหมดเกตเวย์ ไปที่การตั้งค่าเครื่องเสมือน เข้าสู่ระบบเป็นผู้ดูแลระบบ ไม่มีการระบุรหัสผ่าน เมื่อคุณเข้าสู่ระบบครั้งแรก คุณต้องตั้งรหัสผ่านใหม่
ตอนนี้เรามากำหนดค่าเครื่องเสมือนเพื่อเข้าถึงเว็บอินเตอร์เฟส จำเป็นที่เครื่องจะต้องมีการเชื่อมต่ออินเทอร์เน็ต มาตั้งค่าอินเทอร์เฟซกัน เราต้องการพอร์ต 1 เท่านั้น ด้วยความช่วยเหลือเราจะเชื่อมต่อกับเว็บอินเตอร์เฟสและจะใช้ในการเข้าถึงอินเทอร์เน็ตด้วย จำเป็นต้องมีการเข้าถึงอินเทอร์เน็ตเพื่ออัพเดตบริการ (ลายเซ็นของโปรแกรมป้องกันไวรัส ฯลฯ ) สำหรับการกำหนดค่า ให้ป้อนคำสั่ง:
อินเตอร์เฟซระบบการตั้งค่า
แก้ไขพอร์ต 1
ตั้งไอพี 192.168.1.40 255.255.255.0
ตั้งค่าการอนุญาตการเข้าถึง https http ssh ping
ปลาย
ตอนนี้เรามากำหนดค่าเส้นทางกันดีกว่า ในการดำเนินการนี้คุณต้องป้อนคำสั่งต่อไปนี้:
เส้นทางของระบบกำหนดค่า
แก้ไข 1
ตั้งค่าเกตเวย์ 192.168.1.1
ตั้งค่าพอร์ตอินเทอร์เฟซ 1
ปลาย
เมื่อป้อนคำสั่ง คุณสามารถใช้แท็บเพื่อหลีกเลี่ยงการพิมพ์คำสั่งทั้งหมดได้ นอกจากนี้ หากคุณลืมว่าคำสั่งใดควรอยู่ถัดไป คุณสามารถใช้ปุ่ม “?” ได้
ตอนนี้เรามาตรวจสอบการเชื่อมต่ออินเทอร์เน็ตของคุณกัน ในการดำเนินการนี้ ให้ส่ง Ping ไปที่ Google DNS:
อย่างที่คุณเห็น ตอนนี้เรามีอินเทอร์เน็ตแล้ว การตั้งค่าเริ่มต้นตามปกติสำหรับอุปกรณ์ Fortinet ทั้งหมดเสร็จสิ้นแล้ว และขณะนี้คุณสามารถดำเนินการกำหนดค่าผ่านทางเว็บอินเทอร์เฟซได้แล้ว เมื่อต้องการทำเช่นนี้ ให้เปิดหน้าการจัดการ:
โปรดทราบว่าคุณต้องไปที่ลิงก์ในรูปแบบ /ผู้ดูแลระบบ มิฉะนั้นคุณจะไม่สามารถเข้าถึงหน้าการจัดการได้ โดยค่าเริ่มต้น เพจจะอยู่ในโหมดการกำหนดค่ามาตรฐาน สำหรับการตั้งค่าเราจำเป็นต้องมีโหมดขั้นสูง ไปที่เมนูผู้ดูแลระบบ -> มุมมอง และเปลี่ยนโหมดเป็นขั้นสูง:
ตอนนี้เราต้องดาวน์โหลดใบอนุญาตรุ่นทดลองใช้ ซึ่งสามารถทำได้ในเมนู ข้อมูลใบอนุญาต → VM → อัปเดต:
หากคุณไม่มีใบอนุญาตรุ่นทดลองใช้คุณสามารถขอได้โดยการติดต่อ .
หลังจากป้อนใบอนุญาตแล้ว อุปกรณ์ควรรีบูต ในอนาคตจะเริ่มดึงการอัพเดตฐานข้อมูลจากเซิร์ฟเวอร์ หากสิ่งนี้ไม่เกิดขึ้นโดยอัตโนมัติ คุณสามารถไปที่เมนู System → FortiGuard และในแท็บ Antivirus, Antispam ให้คลิกที่ปุ่ม Update Now
หากวิธีนี้ไม่ได้ผล คุณสามารถเปลี่ยนพอร์ตที่ใช้สำหรับการอัพเดตได้ โดยปกติหลังจากนี้ใบอนุญาตทั้งหมดจะปรากฏขึ้น ในที่สุดมันก็ควรมีลักษณะเช่นนี้:
มาตั้งค่าเขตเวลาที่ถูกต้องกันดีกว่า ซึ่งจะมีประโยชน์เมื่อตรวจสอบบันทึก โดยไปที่เมนูระบบ → การกำหนดค่า:
เราจะกำหนดค่า DNS ด้วย เราจะกำหนดค่าเซิร์ฟเวอร์ DNS ภายในเป็นเซิร์ฟเวอร์ DNS หลัก และปล่อยให้เซิร์ฟเวอร์ DNS ที่ Fortinet จัดเตรียมไว้ให้เป็นเซิร์ฟเวอร์สำรอง
ตอนนี้เรามาดูส่วนที่สนุกกันดีกว่า ดังที่คุณอาจสังเกตเห็น อุปกรณ์ถูกตั้งค่าเป็นโหมดเกตเวย์ตามค่าเริ่มต้น ดังนั้นเราจึงไม่จำเป็นต้องเปลี่ยนมัน ไปที่ช่องโดเมน & ผู้ใช้ → โดเมน มาสร้างโดเมนใหม่ที่ต้องได้รับการปกป้องกันดีกว่า ที่นี่เราเพียงต้องระบุชื่อโดเมนและที่อยู่เซิร์ฟเวอร์อีเมล (คุณสามารถระบุชื่อโดเมนได้ในกรณีของเรา mail.test.local):
ตอนนี้เราต้องระบุชื่อสำหรับเกตเวย์อีเมลของเรา ข้อมูลนี้จะใช้ในระเบียน MX และ A ซึ่งเราจะต้องเปลี่ยนแปลงในภายหลัง:
จากจุดชื่อโฮสต์และชื่อโดเมนท้องถิ่น FQDN จะถูกคอมไพล์ ซึ่งใช้ในระเบียน DNS ในกรณีของเรา FQDN = fortimail.test.local
ตอนนี้เรามาตั้งค่ากฎการรับกัน เราต้องการอีเมลทั้งหมดที่มาจากภายนอกและกำหนดให้กับผู้ใช้ในโดเมนเพื่อส่งต่อไปยังเซิร์ฟเวอร์อีเมล โดยไปที่เมนูนโยบาย → การควบคุมการเข้าถึง ตัวอย่างการตั้งค่าแสดงอยู่ด้านล่าง:
ลองดูที่แท็บนโยบายผู้รับ คุณสามารถตั้งกฎบางอย่างสำหรับการตรวจสอบตัวอักษรได้ที่นี่: หากเมลมาจากโดเมน example1.com คุณจะต้องตรวจสอบด้วยกลไกที่กำหนดค่าไว้สำหรับโดเมนนี้โดยเฉพาะ มีกฎเริ่มต้นสำหรับจดหมายทั้งหมดอยู่แล้ว และตอนนี้ก็เหมาะกับเราแล้ว คุณสามารถดูกฎนี้ได้ในรูปด้านล่าง:
ณ จุดนี้ การติดตั้ง FortiMail ก็ถือว่าเสร็จสิ้นแล้ว ในความเป็นจริง มีพารามิเตอร์ที่เป็นไปได้อีกมากมาย แต่ถ้าเราเริ่มพิจารณาทั้งหมด เราก็สามารถเขียนหนังสือได้ :) และเป้าหมายของเราคือการเปิดใช้ FortiMail ในโหมดทดสอบโดยใช้ความพยายามเพียงเล็กน้อย
มีสองสิ่งที่เหลืออยู่ - เปลี่ยนระเบียน MX และ A และเปลี่ยนกฎการส่งต่อพอร์ตบนไฟร์วอลล์
ระเบียน MX test.local -> mail.test.local 10 ต้องเปลี่ยนเป็น test.local -> fortimail.test.local 10 แต่โดยปกติแล้วในระหว่างการนำร่อง จะมีการเพิ่มระเบียน MX ที่สองที่มีลำดับความสำคัญสูงกว่า ตัวอย่างเช่น:
test.local -> mail.test.local 10
test.local -> fortimail.test.local 5
ฉันขอเตือนคุณว่ายิ่งหมายเลขลำดับของการตั้งค่าเมลเซิร์ฟเวอร์ในระเบียน MX ต่ำเท่าใด ลำดับความสำคัญก็จะยิ่งสูงขึ้นเท่านั้น
และรายการไม่สามารถเปลี่ยนแปลงได้ ดังนั้นเราจะสร้างรายการใหม่: fortimail.test.local -> 10.10.30.210 ผู้ใช้ภายนอกจะติดต่อที่อยู่ 10.10.30.210 บนพอร์ต 25 และไฟร์วอลล์จะส่งต่อการเชื่อมต่อไปยัง FortiMail
ในการเปลี่ยนกฎการส่งต่อบน FortiGate คุณต้องเปลี่ยนที่อยู่ในวัตถุ IP เสมือนที่เกี่ยวข้อง:
ทุกอย่างพร้อมแล้ว มาตรวจสอบกัน มาส่งจดหมายอีกครั้งจากคอมพิวเตอร์ของผู้ใช้ภายนอก ตอนนี้ไปที่ FortiMail ในเมนู Monitor → Logs ในฟิลด์ประวัติ คุณจะเห็นบันทึกว่าจดหมายได้รับการยอมรับแล้ว สำหรับข้อมูลเพิ่มเติม คุณสามารถคลิกขวาที่รายการและเลือกรายละเอียด:
เพื่อให้ภาพสมบูรณ์ ลองตรวจสอบว่า FortiMail ในการกำหนดค่าปัจจุบันสามารถบล็อกอีเมลที่มีสแปมและไวรัสได้หรือไม่ ในการดำเนินการนี้ เราจะส่งไวรัสทดสอบ eicar และจดหมายทดสอบที่พบในฐานข้อมูลสแปมเมล (http://untroubled.org/spam/) หลังจากนี้กลับไปที่เมนูดูบันทึก:
ดังที่เราเห็นทั้งสแปมและจดหมายที่มีไวรัสถูกระบุได้สำเร็จ
การกำหนดค่านี้เพียงพอที่จะให้การป้องกันไวรัสและสแปมขั้นพื้นฐาน แต่ฟังก์ชันการทำงานของ FortiMail ไม่ได้จำกัดอยู่เพียงเท่านี้ เพื่อการป้องกันที่มีประสิทธิภาพมากขึ้น คุณจะต้องศึกษากลไกที่มีอยู่และปรับแต่งให้เหมาะกับความต้องการของคุณ ในอนาคต เราวางแผนที่จะเน้นย้ำคุณลักษณะขั้นสูงอื่นๆ ของเมลเกตเวย์นี้
หากคุณมีปัญหาหรือคำถามใด ๆ เกี่ยวกับวิธีแก้ปัญหา เขียนไว้ในความคิดเห็น เราจะพยายามตอบทันที
คุณสามารถส่งคำขอใบอนุญาตรุ่นทดลองใช้เพื่อทดสอบโซลูชันได้ .
ผู้เขียน: อเล็กเซย์ นิคูลิน วิศวกรรักษาความปลอดภัยข้อมูล Fortiservice
ที่มา: will.com