Hoş geldin! Bugün size posta ağ geçidinin başlangıç ayarlarını nasıl yapacağınızı anlatacağız. – Fortinet e-posta güvenliği çözümleri. Yazı boyunca çalışacağımız düzene bakıp konfigürasyonunu gerçekleştireceğiz. Mektupları almak ve kontrol etmek için gerekli ve performansını da test edeceğiz. Deneyimlerimize dayanarak sürecin çok basit olduğunu ve minimum konfigürasyondan sonra bile sonuçları görebildiğinizi rahatlıkla söyleyebiliriz.
Mevcut düzen ile başlayalım. Aşağıdaki şekilde gösterilmektedir.
Sağda, dahili ağdaki kullanıcıya posta göndereceğimiz harici kullanıcının bilgisayarını görüyoruz. Dahili ağ, kullanıcının bilgisayarını, üzerinde çalışan DNS sunucusuna sahip bir etki alanı denetleyicisini ve bir posta sunucusunu içerir. Ağın kenarında bir güvenlik duvarı vardır - ana özelliği SMTP ve DNS trafik iletmeyi yapılandırmak olan FortiGate.
DNS'e özellikle dikkat edelim.
İnternette e-postayı yönlendirmek için kullanılan iki DNS kaydı vardır: A kaydı ve MX kaydı. Tipik olarak, bu DNS kayıtları genel bir DNS sunucusunda yapılandırılır, ancak düzen sınırlamaları nedeniyle DNS'yi güvenlik duvarı üzerinden iletiriz (yani harici kullanıcının DNS sunucusu olarak kayıtlı 10.10.30.210 adresi vardır).
MX kaydı, alan adına hizmet veren mail sunucusunun adını ve bu mail sunucusunun önceliğini içeren bir kayıttır. Bizim durumumuzda şu şekilde görünüyor: test.local -> mail.test.local 10.
Kayıt, alan adını IP adresine dönüştüren kayıttır, bizim için öyledir: mail.test.local -> 10.10.30.210.
Harici kullanıcımız adresine e-posta göndermeye çalıştığında [e-posta korumalı], test.local etki alanı kaydı için DNS MX sunucusunu sorgulayacaktır. DNS sunucumuz, posta sunucusunun adı olan mail.test.local ile yanıt verecektir. Artık kullanıcının bu sunucunun IP adresini alması gerekiyor, böylece A kaydı için DNS'ye tekrar erişiyor ve 10.10.30.210 IP adresini alıyor (evet, yine onun :)). Mektup gönderebilirsiniz. Bu nedenle alınan IP adresine 25 numaralı bağlantı noktasında bağlantı kurmaya çalışır. Güvenlik duvarındaki kurallar kullanılarak bu bağlantı posta sunucusuna iletilir.
Düzenin mevcut durumunda postanın işlevselliğini kontrol edelim. Bunu yapmak için harici kullanıcının bilgisayarındaki swaks yardımcı programını kullanacağız. Onun yardımıyla, alıcıya çeşitli parametreler içeren bir mektup göndererek SMTP'nin performansını test edebilirsiniz. Daha önce, posta sunucusunda posta kutusu olan bir kullanıcı zaten oluşturulmuştu [e-posta korumalı]. Ona bir mektup göndermeyi deneyelim:
Şimdi dahili kullanıcının makinesine gidelim ve mektubun ulaştığından emin olalım:
Mektup gerçekten ulaştı (listede vurgulanmıştır). Bu, düzenin doğru çalıştığı anlamına gelir. Artık FortiMail'e geçmenin zamanı geldi. Düzenimize ekleyelim:
FortiMail üç modda konuşlandırılabilir:
- Ağ Geçidi - tam teşekküllü bir MTA görevi görür: tüm postaları devralır, kontrol eder ve ardından posta sunucusuna iletir;
- Şeffaf - veya başka bir deyişle şeffaf mod. Sunucunun önüne kurulur ve gelen ve giden postaları kontrol eder. Daha sonra bunu sunucuya iletir. Ağ yapılandırmasında değişiklik yapılmasını gerektirmez.
- Sunucu - bu durumda FortiMail, posta kutuları oluşturma, posta alma ve gönderme ve diğer işlevlere sahip tam teşekküllü bir posta sunucusudur.
FortiMail'i Ağ Geçidi modunda konuşlandıracağız. Sanal makine ayarlarına gidelim. Giriş admin'dir, şifre belirtilmemiştir. İlk kez giriş yaptığınızda yeni bir şifre belirlemeniz gerekir.
Şimdi sanal makineyi web arayüzüne erişecek şekilde yapılandıralım. Makinenin İnternet erişiminin olması da gereklidir. Arayüzü ayarlayalım. Sadece port1'e ihtiyacımız var. Onun yardımıyla web arayüzüne bağlanacağız ve aynı zamanda internete erişmek için de kullanılacak. Hizmetleri (antivirüs imzaları vb.) güncellemek için İnternet erişimi gerekir. Yapılandırma için komutları girin:
yapılandırma sistemi arayüzü
bağlantı noktası 1'i düzenle
ip'yi ayarla 192.168.1.40 255.255.255.0
izin verme https http ssh ping'i ayarla
son
Şimdi yönlendirmeyi yapılandıralım. Bunu yapmak için aşağıdaki komutları girmeniz gerekir:
sistem rotasını yapılandırma
düzenlemek 1
ağ geçidini ayarla 192.168.1.1
arayüz bağlantı noktası1'i ayarla
son
Komutları girerken, bunların tamamını yazmaktan kaçınmak için sekmeleri kullanabilirsiniz. Ayrıca hangi komutun geleceğini unutursanız “?” tuşunu kullanabilirsiniz.
Şimdi internet bağlantınızı kontrol edelim. Bunu yapmak için Google DNS'ye ping atalım:
Gördüğünüz gibi artık internetimiz var. Tüm Fortinet cihazları için tipik olan başlangıç ayarları tamamlandı ve artık web arayüzü üzerinden konfigürasyona geçebilirsiniz. Bunu yapmak için yönetim sayfasını açın:
Lütfen bağlantıyı aşağıdaki biçimde takip etmeniz gerektiğini unutmayın. /yönetici. Aksi takdirde yönetim sayfasına erişemezsiniz. Varsayılan olarak sayfa standart yapılandırma modundadır. Ayarlar için Gelişmiş moda ihtiyacımız var. Yönetici->Görünüm menüsüne gidip modu Gelişmiş olarak değiştirelim:
Şimdi deneme lisansını indirmemiz gerekiyor. Bu, Lisans Bilgileri → VM → Güncelle menüsünde yapılabilir:
Deneme lisansınız yoksa iletişime geçerek talep edebilirsiniz. .
Lisansı girdikten sonra cihazın yeniden başlatılması gerekir. Gelecekte veritabanlarındaki güncellemeleri sunuculardan çekmeye başlayacak. Bu otomatik olarak gerçekleşmezse Sistem → FortiGuard menüsüne gidebilir ve Antivirüs, Antispam sekmelerinde Şimdi Güncelle butonuna tıklayabilirsiniz.
Bu işe yaramazsa güncellemeler için kullanılan bağlantı noktalarını değiştirebilirsiniz. Genellikle bundan sonra tüm lisanslar görünür. Sonunda şöyle görünmeli:
Doğru saat dilimini ayarlayalım, bu logları incelerken işinize yarayacaktır. Bunu yapmak için Sistem → Yapılandırma menüsüne gidin:
DNS'yi de yapılandıracağız. Dahili DNS sunucusunu ana DNS sunucusu olarak yapılandıracağız ve Fortinet tarafından sağlanan DNS sunucusunu yedek sunucu olarak bırakacağız.
Şimdi işin eğlenceli kısmına geçelim. Fark etmiş olabileceğiniz gibi, cihaz varsayılan olarak Ağ Geçidi moduna ayarlanmıştır. Bu nedenle değiştirmemize gerek yoktur. Domain & User → Domain alanına geçelim. Korunması gereken yeni bir alan adı oluşturalım. Burada yalnızca alan adını ve posta sunucusu adresini belirtmemiz gerekiyor (bizim durumumuzda mail.test.local alan adını da belirtebilirsiniz):
Şimdi posta ağ geçidimiz için bir isim vermemiz gerekiyor. Bu, daha sonra değiştirmemiz gereken MX ve A kayıtlarında kullanılacaktır:
Ana Bilgisayar Adı ve Yerel Etki Alanı Adı noktalarından DNS kayıtlarında kullanılan FQDN derlenir. Bizim durumumuzda FQDN = fortimail.test.local.
Şimdi alma kuralını ayarlayalım. Dışarıdan gelen ve alan adındaki bir kullanıcıya atanan tüm e-postaların posta sunucusuna iletilmesine ihtiyacımız var. Bunu yapmak için Politika → Erişim Kontrolü menüsüne gidin. Örnek bir kurulum aşağıda gösterilmektedir:
Alıcı Politikası sekmesine bakalım. Burada mektupları kontrol etmek için belirli kurallar belirleyebilirsiniz: posta example1.com alanından geliyorsa, onu bu alan için özel olarak yapılandırılmış mekanizmalarla kontrol etmeniz gerekir. Zaten tüm postalar için varsayılan bir kural var ve şimdilik bu bize uyuyor. Bu kuralı aşağıdaki şekilde görebilirsiniz:
Bu noktada FortiMail üzerinde kurulum tamamlanmış sayılabilir. Aslında daha pek çok olası parametre var ama hepsini düşünmeye başlarsak bir kitap yazabiliriz :) Ve amacımız FortiMail'i minimum eforla test modunda başlatmak.
Geriye iki şey kalıyor; MX ve A kayıtlarını değiştirmek ve ayrıca güvenlik duvarındaki bağlantı noktası yönlendirme kurallarını değiştirmek.
MX kaydı test.local -> mail.test.local 10, test.local -> fortimail.test.local 10 olarak değiştirilmelidir. Ancak genellikle pilot uygulamalar sırasında daha yüksek önceliğe sahip ikinci bir MX kaydı eklenir. Örneğin:
test.local -> mail.test.local 10
test.local -> fortimail.test.local 5
MX kaydındaki mail sunucusu tercihinin sıra numarası ne kadar düşükse önceliğinin de o kadar yüksek olduğunu hatırlatayım.
Giriş değiştirilemediği için yeni bir tane oluşturacağız: fortimail.test.local -> 10.10.30.210. Harici bir kullanıcı 10.10.30.210 numaralı bağlantı noktasından 25 adresiyle iletişime geçecek ve güvenlik duvarı bağlantıyı FortiMail'e iletecektir.
FortiGate'teki iletim kuralını değiştirmek için ilgili Sanal IP nesnesindeki adresi değiştirmeniz gerekir:
Her şey hazır. Hadi kontrol edelim. Mektubu harici kullanıcının bilgisayarından tekrar gönderelim. Şimdi Monitör → Günlükler menüsünde FortiMail'e geçelim. Geçmiş alanında mektubun kabul edildiğine dair bir kayıt görebilirsiniz. Daha fazla bilgi için girişe sağ tıklayıp Ayrıntılar'ı seçebilirsiniz:
Resmi tamamlamak için, FortiMail'in mevcut yapılandırmasında spam ve virüs içeren e-postaları engelleyip engellemediğini kontrol edelim. Bunu yapmak için eicar test virüsünü ve spam posta veritabanlarından birinde (http://untroubled.org/spam/) bulunan bir test mektubu göndereceğiz. Bundan sonra log görüntüleme menüsüne geri dönelim:
Gördüğümüz gibi hem spam hem de virüs içeren bir mektup başarıyla tespit edildi.
Bu yapılandırma, virüslere ve spam'a karşı temel koruma sağlamak için yeterlidir. Ancak FortiMail'in işlevselliği bununla sınırlı değil. Daha etkili koruma için mevcut mekanizmaları incelemeniz ve bunları ihtiyaçlarınıza göre özelleştirmeniz gerekir. Gelecekte bu posta ağ geçidinin diğer, daha gelişmiş özelliklerini öne çıkarmayı planlıyoruz.
Çözümle ilgili herhangi bir zorluk veya sorunuz varsa yorumlara yazın, hemen cevaplamaya çalışacağız.
Çözümü test etmek için deneme lisansı talebinde bulunabilirsiniz. .
Yazar: Alexey Nikulin. Bilgi Güvenliği Mühendisi Fortiservice.
Kaynak: habr.com