Вітаємо! Сьогодні ми розповімо, як зробити первинні налаштування поштового шлюзу – рішення Fortinet для захисту електронної пошти. У ході статті ми розглянемо макет, з яким працюватимемо, виконаємо конфігурацію , необхідну прийому та перевірки листів, і навіть протестуємо її працездатність. Грунтуючись на нашому досвіді, можемо сміливо сказати, що процес дуже простий і навіть після мінімальної конфігурації можна побачити результати.
Почнемо з поточного макету. Він представлений малюнку нижче.
Право ми бачимо комп'ютер зовнішнього користувача, з якого ми надсилатимемо пошту користувачеві у внутрішню мережу. У внутрішній мережі розташований комп'ютер користувача, контролер домену з піднятим на ньому сервером DNS і поштовий сервер. На межі мережі стоїть міжмережевий екран – FortiGate, головною особливістю якого є налаштування прокидання SMTP та DNS трафіку.
Приділимо особливу увагу DNS.
Для маршрутизації електронної пошти в Інтернеті використовуються два записи DNS — A запис і MX запис. Зазвичай дані DNS записи налаштовуються на публічному DNS сервері, але через обмеження макетування ми просто прокидаємо DNS через міжмережевий екран (тобто у зовнішнього користувача як DNS сервер прописана адреса 10.10.30.210).
MX запис — запис, що містить ім'я поштового сервера, який обслуговує домен, а також пріоритет поштового сервера. У нашому випадку вона має такий вигляд: test.local -> mail.test.local 10.
A запис - запис, що перетворює доменне ім'я на IP адресу, у нас це: mail.test.local -> 10.10.30.210.
Коли наш зовнішній користувач спробує надіслати листа на адресу [захищено електронною поштою], він запросить свого DNS сервера MX запис домену test.local. Наш DNS сервер відповість ім'ям поштового сервера – mail.test.local. Тепер користувачеві необхідно отримати IP-адресу даного сервера, тому він знову звертається до DNS за A записом і отримує IP-адресу 10.10.30.210 (так, знову його:) ). Можна надсилати листа. Тому він намагається встановити з'єднання з отриманою IP-адресою по 25 порту. За допомогою правил на міжмережевому екрані це підключення прокидається на поштовий сервер.
Перевіримо працездатність пошти у поточному стані макета. Для цього на комп'ютері зовнішнього користувача скористаємося утилітою swaks. З її допомогою можна протестувати працездатність SMTP, відправивши отримувачу листа з набором різних параметрів. Попередньо, на поштовому сервері вже заведено користувача зі скринькою [захищено електронною поштою]. Спробуємо надіслати йому листа:
Тепер перейдемо на машину внутрішнього користувача і переконаємося, що лист надійшов:
Лист дійсно надійшов (воно виділено у списку). Отже, макет працює коректно. Саме час перейти до FortiMail. Доповнимо наш макет:
FortiMail можна розгорнути у трьох режимах:
- Gateway діє як повноцінний MTA: приймає всю пошту на себе, перевіряє її, а потім пересилає на поштовий сервер;
- Transparent – чи інакше, прозорий режим. Встановлюється перед сервером та перевіряє вхідну та вихідну пошту. Після цього передає її на сервер. Не потрібно змінювати конфігурацію мережі.
- Server — у цьому випадку FortiMail є повноцінним поштовим сервером з можливістю закладу поштових скриньок, прийому та надсилання пошти, а також з іншим функціоналом.
Ми будемо розгортати FortiMail у режимі Gateway. Зайдемо до налаштувань віртуальної машини. Логін - admin, пароль не заданий. При першому вході необхідно встановити новий пароль.
Тепер налаштуємо віртуальну машину для доступу до веб-інтерфейсу. Також необхідно, щоб машина мала доступ до Інтернету. Налаштуємо інтерфейс. Нам потрібен лише port1. З його допомогою ми будемо підключатися до веб-інтерфейсу, а також використовуватиметься для виходу в Інтернет. Вихід в Інтернет потрібний для оновлення сервісів (сигнатур антивірусу тощо). Для конфігурації введемо команди:
config system interface
edit port 1
set ip 192.168.1.40 255.255.255.0
set allowaccess https http ssh ping
кінець
Тепер налаштуємо маршрутизацію. Для цього необхідно ввести такі команди:
config system route
редагувати 1
set gateway 192.168.1.1
set interface port1
кінець
Вводячи команди, можна використовувати табуляцію, щоб не друкувати їх повністю. Також, якщо ви забули, яка команда повинна йти наступною, можна скористатися кнопкою “?”.
Тепер перевіримо підключення до Інтернету. Для цього пропінгуємо гугловський DNS:
Як бачимо, Інтернет у нас з'явився. Початкові параметри, характерні для всіх пристроїв Fortinet, тепер можна переходити до конфігурації через веб-інтерфейс. Для цього відкриємо сторінку управління:
Зверніть увагу, переходити потрібно за посиланням у форматі /admin. Інакше ви не зможете потрапити на сторінку керування. За промовчанням сторінка знаходиться у стандартному режимі конфігурації. Для налаштувань нам знадобиться Advanced режим. Перейдемо в меню admin->View і перемкнемо режим Advanced:
Тепер нам необхідно завантажити тріальну ліцензію. Зробити це можна в меню License Information → VM → Update:
Якщо у вас немає тріальної ліцензії, ви можете запросити її, звернувшись до .
Після введення ліцензії пристрій повинен перезавантажитись. Надалі воно почне підтягувати оновлення баз з серверів. Якщо цього не відбувається автоматично, можна перейти в меню System → FortiGuard та у вкладках Antivirus, Antispam натиснути кнопку Update Now.
Якщо це не допомагає, можна змінити порти, які використовуються для оновлення. Зазвичай, після цього всі ліцензії з'являються. У результаті це має виглядати так:
Налаштуємо правильний часовий пояс, це стане в нагоді при дослідженні логів. Для цього перейдемо в меню System → Configuration:
Також налаштуємо DNS. Як основний DNS сервер ми налаштуємо внутрішній DNS сервер, а як резервний — залишимо DNS сервер, який надає Fortinet.
Тепер перейдемо до найцікавішого. Як ви, мабуть, помітили, за замовчуванням у пристрої встановлено режим Gateway. Тому нам міняти його не треба. Перейдіть у поле Domain & User → Domain. Створимо новий домен, який потрібно захищати. Тут нам потрібно вказати лише назву домену та адресу поштового сервера (можна також вказати його доменне ім'я, у нашому випадку mail.test.local):
Тепер нам потрібно вказати ім'я для нашого поштового шлюзу. Воно буде використовуватися в MX та A записах, які нам потрібно буде поміняти пізніше:
З пунктів Host Name та Local Domain Name складається FQDN, що використовується в записах DNS. У нашому випадку, FQDN = fortimail.test.local.
Тепер налаштуємо правило отримання. Нам необхідно, щоб усі листи, які надходять ззовні та призначаються користувачеві в домені, пересилалися на поштовий сервер. Для цього перейдемо до меню Policy → Access Control. Приклад налаштування наведено нижче:
Погляньмо на вкладку Recipient Policy. Тут можна встановлювати певні правила перевірки листів: якщо пошта надходить з домену example1.com, потрібно перевіряти її механізмами, спеціально налаштованими під цей домен. Там уже встановлено правило за замовчуванням для всієї пошти, і зараз воно нас влаштовує. Ознайомитись з цим правилом можна на малюнку нижче:
На цьому налаштування на FortiMail можна вважати закінченим. Насправді можливих параметрів набагато більше, але якщо ми почнемо розглядати їх усі – можна буде написати книгу:) А наша мета – з мінімальними зусиллями запустити FortiMail у тестовому режимі.
Залишилося дві речі – змінити MX та A записи, а також змінити правила прокидання портів на міжмережевому екрані.
MX запис test.local -> mail.test.local 10 необхідно поміняти на test.local -> fortimail.test.local 10. Але зазвичай під час пілотів додається другий MX запис із вищим пріоритетом. Наприклад:
test.local -> mail.test.local 10
test.local -> fortimail.test.local 5
Нагадаю, що менше порядковий номер переваги поштового сервера в MX записи, тим вище її пріоритет.
A запис змінити не можна, тому просто створимо новий: fortimail.test.local -> 10.10.30.210. Зовнішній користувач звертатиметься на адресу 10.10.30.210 по 25 порту, і міжмережевий екран буде прокидати з'єднання на FortiMail.
Для того, щоб змінити правило прокидання на FortiGate, необхідно змінити адресу у відповідному об'єкті Virtual IP:
Все готово. Давайте перевіримо. Знову відправимо лист із комп'ютера зовнішнього користувача. Тепер перейдемо на FortiMail у меню Monitor → Logs. У полі History можна побачити запис про те, що лист був прийнятий. Для отримання додаткової інформації можна натиснути на запис правою кнопкою миші і вибрати пункт Details:
Для повноти картини перевіримо, чи може FortiMail у поточній конфігурації блокувати листи, які містять спам та віруси. Для цього відправимо тестовий вірус eicar та тестовий лист, знайдений в одній із баз спам листів (http://untroubled.org/spam/). Після цього знову перейдемо в меню перегляду логів:
Як бачимо, і спам, і лист із вірусом були успішно пізнані.
Даної конфігурації достатньо для того, щоб забезпечити базовий захист від вірусів та спаму. Але на цьому функціонал FortiMail не обмежується. Для більш ефективного захисту необхідно вивчити наявні механізми та налаштувати їх під свої потреби. Надалі ми плануємо висвітлити інші, більш просунуті можливості даного поштового шлюзу.
Якщо у вас виникли складності або питання щодо вирішення, пишіть їх у коментарях, ми постараємося оперативно на них відповісти.
Заявку на запит тріальної ліцензії для тестування рішення ви можете залишити .
Автор: Олексій Нікулін. Інженер з інформаційної безпеки Fortiservice.
Джерело: habr.com