Xush kelibsiz! Bugun biz sizga pochta shlyuzining dastlabki sozlamalarini qanday qilishni aytamiz – Fortinet elektron pochta xavfsizligi yechimlari. Maqolada biz ishlaydigan tartibni ko'rib chiqamiz, konfiguratsiyani amalga oshiramiz , bu xatlarni qabul qilish va tekshirish uchun zarur, shuningdek, uning ishlashini sinab ko'ring. Bizning tajribamizga asoslanib, biz ishonch bilan aytishimiz mumkinki, jarayon juda oddiy va hatto minimal konfiguratsiyadan keyin ham natijalarni ko'rishingiz mumkin.
Keling, joriy tartib bilan boshlaylik. Bu quyidagi rasmda ko'rsatilgan.
O'ng tomonda biz tashqi foydalanuvchining kompyuterini ko'ramiz, undan biz ichki tarmoqdagi foydalanuvchiga pochta jo'natamiz. Ichki tarmoqda foydalanuvchining kompyuteri, DNS-serverga ega domen kontrolleri va pochta serveri joylashgan. Tarmoqning chetida xavfsizlik devori - FortiGate mavjud bo'lib, uning asosiy xususiyati SMTP va DNS trafigini yo'naltirish konfiguratsiyasidir.
Keling, DNS-ga alohida e'tibor beraylik.
Internetda elektron pochtani yo'naltirish uchun ikkita DNS yozuvlari, A yozuvi va MX yozuvi ishlatiladi. Odatda, bu DNS yozuvlari umumiy DNS serverida konfiguratsiya qilinadi, lekin tartib cheklovlari tufayli biz DNS-ni xavfsizlik devori orqali yo'naltiramiz (ya'ni tashqi foydalanuvchi DNS serveri sifatida 10.10.30.210 manziliga ega).
MX yozuvi - domenga xizmat ko'rsatadigan pochta serveri nomini, shuningdek, ushbu pochta serverining ustuvorligini o'z ichiga olgan yozuv. Bizning holatda, u quyidagicha ko'rinadi: test.local -> mail.test.local 10.
Yozuv - bu domen nomini IP-manzilga aylantiruvchi yozuv, bizda bu mavjud: mail.test.local -> 10.10.30.210.
Bizning tashqi foydalanuvchi elektron pochta xabarini yuborishga harakat qilganda [elektron pochta bilan himoyalangan], u o'zining DNS MX serverini test.local domen yozuvi uchun so'raydi. Bizning DNS serverimiz pochta serverining nomi bilan javob beradi - mail.test.local. Endi foydalanuvchi ushbu serverning IP-manzilini olishi kerak, shuning uchun u A yozuvi uchun DNS-ga qaytadi va 10.10.30.210 IP-manzilini oladi (ha, uning yana :) ). Siz xat yuborishingiz mumkin. Shuning uchun u 25-portda qabul qilingan IP-manzil bilan aloqa o'rnatishga harakat qiladi. Xavfsizlik devoridagi qoidalar yordamida bu ulanish pochta serveriga uzatiladi.
Keling, joylashuvning joriy holatida pochtaning funksionalligini tekshiramiz. Buning uchun tashqi foydalanuvchi kompyuterida biz swaks yordam dasturidan foydalanamiz. Uning yordami bilan siz turli xil parametrlar to'plami bilan qabul qiluvchiga elektron pochta xabarini yuborish orqali SMTP ishlashini tekshirishingiz mumkin. Ilgari pochta serverida pochta qutisi bo'lgan foydalanuvchi allaqachon o'rnatilgan [elektron pochta bilan himoyalangan]. Keling, unga elektron pochta xabarini yuborishga harakat qilaylik:
Endi ichki foydalanuvchi mashinasiga o'tamiz va xat kelganiga ishonch hosil qilamiz:
Xat haqiqatan ham keldi (u ro'yxatda ta'kidlangan). Shunday qilib, tartib to'g'ri ishlaydi. FortiMail-ga o'tish vaqti keldi. Keling, sxemamizni qo'shamiz:
FortiMail-ni uchta rejimda joylashtirish mumkin:
- Gateway - to'liq huquqli MTA vazifasini bajaradi: u barcha xatlarni o'ziga oladi, tekshiradi va keyin uni pochta serveriga yuboradi;
- Shaffof - yoki boshqacha, shaffof rejim. Server oldida o'rnatiladi va kiruvchi va chiquvchi xatlarni tekshiradi. Shundan so'ng, u uni serverga yuboradi. Tarmoq konfiguratsiyasini o'zgartirishni talab qilmaydi.
- Server - bu holda, FortiMail pochta qutilarini yaratish, pochta qabul qilish va jo'natish, shuningdek, boshqa funktsiyalarga ega bo'lgan to'liq huquqli pochta serveridir.
Biz FortiMail-ni Gateway rejimida joylashtiramiz. Keling, virtual mashina sozlamalariga o'tamiz. Kirish admin, parol o'rnatilmagan. Birinchi marta kirganingizda, siz yangi parol o'rnatishingiz kerak.
Endi veb-interfeysga kirish uchun virtual mashinani sozlaymiz. Mashinaning Internetga kirishi ham zarur. Keling, interfeysni o'rnatamiz. Bizga faqat port 1 kerak. Uning yordamida biz veb-interfeysga ulanamiz va u Internetga kirish uchun ham foydalaniladi. Xizmatlarni yangilash uchun Internetga kirish kerak (antivirus imzolari va boshqalar). Sozlash uchun buyruqlarni kiriting:
tizim interfeysini sozlash
1-portni tahrirlash
o'rnatish ip 192.168.1.40 255.255.255.0
https http ssh ping ruxsatini o'rnating
oxiri
Endi marshrutlashni o'rnatamiz. Buning uchun quyidagi buyruqlarni kiriting:
tizim yo'nalishini sozlash
tahrirlash 1
192.168.1.1 shlyuzini o'rnating
interfeys portini o'rnating1
oxiri
Buyruqlarni kiritishda ularni to'liq yozmaslik uchun yorliqlardan foydalanishingiz mumkin. Bundan tashqari, qaysi buyruq keyingi o'tishini unutgan bo'lsangiz, "?" tugmasidan foydalanishingiz mumkin.
Endi internet ulanishingizni tekshiramiz. Buning uchun Google DNS-ga ping yuboring:
Ko'rib turganingizdek, bizda Internet mavjud. Barcha Fortinet qurilmalariga xos bo'lgan dastlabki sozlamalar tugallandi, endi siz veb-interfeys orqali konfiguratsiyaga o'tishingiz mumkin. Buning uchun boshqaruv sahifasini oching:
Iltimos, formatdagi havolaga amal qilishingiz kerakligini unutmang /admin. Aks holda, siz nazorat sahifasiga kira olmaysiz. Odatiy bo'lib, sahifa standart konfiguratsiya rejimida. Sozlamalar uchun bizga Kengaytirilgan rejim kerak. Keling, admin->Ko'rish menyusiga o'tamiz va rejimni Kengaytirilganga o'tkazamiz:
Endi biz sinov litsenziyasini yuklab olishimiz kerak. Buni Litsenziya haqida ma'lumot → VM → Yangilash menyusida qilishingiz mumkin:
Agar sizda sinov litsenziyasi bo'lmasa, uni bog'lanish orqali so'rashingiz mumkin .
Litsenziyani kiritgandan so'ng, qurilma qayta ishga tushishi kerak. Kelajakda u o'z ma'lumotlar bazalarining yangilanishlarini serverlardan tortib olishni boshlaydi. Agar bu avtomatik ravishda sodir bo'lmasa, tizim → FortiGuard menyusiga o'ting va Antivirus, Antispam yorliqlaridagi Hozir yangilash tugmasini bosing.
Agar bu yordam bermasa, siz yangilanishlar uchun ishlatiladigan portlarni o'zgartirishingiz mumkin. Odatda bundan keyin barcha litsenziyalar paydo bo'ladi. Oxirida u quyidagicha ko'rinishi kerak:
Keling, to'g'ri vaqt mintaqasini o'rnatamiz, bu jurnallarni tekshirishda foydali bo'ladi. Buning uchun tizim → Konfiguratsiya menyusiga o'ting:
Biz DNS-ni ham sozlaymiz. Asosiy DNS server sifatida biz ichki DNS serverni o'rnatamiz va zaxira sifatida Fortinet tomonidan taqdim etilgan DNS serverni qoldiramiz.
Endi eng qiziqarlisiga o'tamiz. Siz sezganingizdek, qurilma sukut bo'yicha Gateway rejimiga o'rnatiladi. Shuning uchun biz uni o'zgartirishimiz shart emas. Keling, Domen va Foydalanuvchi → Domen maydoniga o'tamiz. Keling, himoyalanishi kerak bo'lgan yangi domen yarataylik. Bu erda biz faqat domen nomini va pochta serveri manzilini ko'rsatishimiz kerak (siz uning domen nomini ham belgilashingiz mumkin, bizning holatlarimizda mail.test.local):
Endi biz pochta shlyuzimiz uchun nom berishimiz kerak. U MX va A yozuvlarida qo'llaniladi, ularni keyinroq o'zgartirishimiz kerak bo'ladi:
Xost nomi va mahalliy domen nomi elementlari DNS yozuvlarida ishlatiladigan FQDN ni tashkil qiladi. Bizning holatda, FQDN = fortimail.test.local.
Endi qabul qilish qoidasini o'rnatamiz. Pochta serveriga yuborish uchun bizga tashqaridan kelgan va domendagi foydalanuvchiga tayinlangan barcha elektron pochta xabarlari kerak. Buning uchun Siyosat → Kirishni boshqarish menyusiga o'ting. O'rnatish misoli quyida ko'rsatilgan:
Keling, Qabul qiluvchi siyosati yorlig'ini ko'rib chiqaylik. Bu erda siz xabarlarni tekshirish uchun muayyan qoidalarni o'rnatishingiz mumkin: agar pochta example1.com domenidan kelgan bo'lsa, uni ushbu domen uchun maxsus tuzilgan mexanizmlar bilan tekshirishingiz kerak. Barcha pochta uchun allaqachon standart qoida o'rnatilgan va hozircha u bizga mos keladi. Ushbu qoidani quyidagi rasmda ko'rishingiz mumkin:
Bu FortiMail-da sozlashni yakunlaydi. Aslida, yana ko'p mumkin bo'lgan parametrlar mavjud, ammo ularning barchasini ko'rib chiqa boshlasak, kitob yozishimiz mumkin :) Va bizning maqsadimiz FortiMailni test rejimida minimal kuch bilan ishga tushirishdir.
Ikki narsa qoldi - MX va A yozuvlarini o'zgartiring, shuningdek, xavfsizlik devoridagi portni yo'naltirish qoidalarini o'zgartiring.
MX rekordi test.local -> mail.test.local 10 test.local -> fortimail.test.local 10 ga o'zgartirilishi kerak. Lekin odatda uchuvchilar davomida ikkinchi yuqoriroq MX yozuvi qo'shiladi. Masalan:
test.local -> mail.test.local 10
test.local -> fortimail.test.local 5
Eslatib o'taman, MX yozuvidagi pochta serverining afzal raqami qanchalik past bo'lsa, uning ustuvorligi shunchalik yuqori bo'ladi.
Yozuvni o'zgartirib bo'lmaydi, shuning uchun yangisini yarataylik: fortimail.test.local -> 10.10.30.210. Tashqi foydalanuvchi 10.10.30.210-portda 25 manziliga murojaat qiladi va xavfsizlik devori ulanishni FortiMail-ga yo'naltiradi.
FortiGate-da yo'naltirish qoidasini o'zgartirish uchun tegishli Virtual IP ob'ektidagi manzilni o'zgartirishingiz kerak:
Hammasi tayyor. Keling, tekshiramiz. Keling, tashqi foydalanuvchining kompyuteridan yana elektron pochta xabarini yuboraylik. Endi Monitor → Jurnallar menyusida FortiMail-ga o'tamiz. Tarix maydonida siz xat qabul qilinganligi haqidagi yozuvni ko'rishingiz mumkin. Qo'shimcha ma'lumot olish uchun siz yozuvni sichqonchaning o'ng tugmasi bilan bosib, "Tafsilotlar" ni tanlashingiz mumkin:
Rasmni yakunlash uchun joriy konfiguratsiyadagi FortiMail spam va viruslarni o'z ichiga olgan xatlarni bloklashi mumkinligini tekshirib ko'raylik. Buning uchun spam ma'lumotlar bazalaridan birida (http://untroubled.org/spam/) topilgan test eicar virusi va test elektron pochta xabarini yuboramiz. Shundan so'ng, jurnalni ko'rish menyusiga qaytaylik:
Ko'rib turganingizdek, spam ham, virusli xat ham muvaffaqiyatli aniqlandi.
Ushbu konfiguratsiya viruslar va spamlardan asosiy himoyani ta'minlash uchun etarli. Ammo FortiMailning funksionalligi bu bilan cheklanmaydi. Samaraliroq himoya qilish uchun siz mavjud mexanizmlarni o'rganishingiz va ularni ehtiyojlaringizga moslashtirishingiz kerak. Kelajakda biz ushbu pochta shlyuzining boshqa, yanada rivojlangan xususiyatlarini qamrab olishni rejalashtirmoqdamiz.
Agar sizda yechim bo'yicha biron bir qiyinchilik yoki savollaringiz bo'lsa, ularni sharhlarda yozing, biz ularga zudlik bilan javob berishga harakat qilamiz.
Yechimni sinab ko'rish uchun sinov litsenziyasi so'rovini qoldirishingiz mumkin .
Muallif: Aleksey Nikulin. Fortiservice axborot xavfsizligi muhandisi.
Manba: www.habr.com