欢迎! 今天我们将告诉您如何进行邮件网关的初始设置 – Fortinet 电子邮件安全解决方案。 在本文中,我们将查看我们将使用的布局并执行配置 ,是接收和检查信件所必需的,我们也会测试它的性能。 根据我们的经验,我们可以有把握地说,该过程非常简单,即使经过最少的配置,您也可以看到结果。
让我们从当前的布局开始。 如下图所示。
在右侧我们看到外部用户的计算机,我们将从该计算机向内部网络上的用户发送邮件。 内部网络包含用户的计算机、运行 DNS 服务器的域控制器以及邮件服务器。 在网络的边缘有一个防火墙——FortiGate,其主要功能是配置SMTP和DNS流量转发。
让我们特别关注 DNS。
有两个 DNS 记录用于在 Internet 上路由电子邮件:A 记录和 MX 记录。 通常,这些 DNS 记录配置在公共 DNS 服务器上,但由于布局限制,我们只是通过防火墙转发 DNS(即外部用户将地址 10.10.30.210 注册为 DNS 服务器)。
MX记录是包含服务该域的邮件服务器的名称以及该邮件服务器的优先级的记录。 在我们的例子中,它看起来像这样:test.local -> mail.test.local 10。
记录是将域名转换为IP地址的记录,对于我们来说是:mail.test.local -> 10.10.30.210。
当我们的外部用户尝试发送电子邮件至 [电子邮件保护],它将查询其 DNS MX 服务器以获取 test.local 域记录。 我们的 DNS 服务器将使用邮件服务器的名称 - mail.test.local 进行响应。 现在用户需要获取该服务器的IP地址,因此他再次访问DNS以获取A记录并收到IP地址10.10.30.210(是的,又是他的:))。 你可以寄一封信。 因此,它尝试与端口 25 上接收到的 IP 地址建立连接。 使用防火墙上的规则,此连接被转发到邮件服务器。
让我们检查一下当前布局状态下邮件的功能。 为此,我们将在外部用户的计算机上使用 swaks 实用程序。 借助它的帮助,您可以通过向收件人发送带有一组各种参数的信件来测试 SMTP 的性能。 之前,已经在邮件服务器上创建了拥有邮箱的用户 [电子邮件保护]。 让我们尝试给他写一封信:
现在让我们转到内部用户的计算机并确保信件已到达:
这封信确实到达了(它在列表中突出显示)。 这意味着布局工作正常。 现在是时候转向 FortiMail 了。 让我们添加到我们的布局中:
FortiMail 可以以三种模式部署:
- 网关 - 充当成熟的 MTA:它接管所有邮件,检查邮件,然后将其转发到邮件服务器;
- 透明 - 或者换句话说,透明模式。 它安装在服务器前面并检查传入和传出的邮件。 之后,它将其传输到服务器。 不需要更改网络配置。
- 服务器 - 在这种情况下,FortiMail 是一个成熟的邮件服务器,能够创建邮箱、接收和发送邮件以及其他功能。
我们将以网关模式部署 FortiMail。 让我们进入虚拟机设置。 登录名是admin,没有指定密码。 首次登录时,必须设置新密码。
现在让我们配置虚拟机以访问 Web 界面。 该机器还必须能够访问互联网。 让我们设置界面。 我们只需要端口1。 在它的帮助下,我们将连接到网络界面,它也将用于访问互联网。 需要访问互联网来更新服务(防病毒签名等)。 对于配置,请输入命令:
配置系统界面
编辑端口1
设置IP 192.168.1.40 255.255.255.0
设置允许访问 https http ssh ping
结束
现在让我们配置路由。 为此,您需要输入以下命令:
配置系统路由
编辑1
设置网关192.168.1.1
设置接口端口1
结束
输入命令时,您可以使用制表符来避免完整输入命令。 另外,如果您忘记接下来应该执行哪个命令,可以使用“?”键。
现在让我们检查您的互联网连接。 为此,让我们 ping Google DNS:
正如你所看到的,我们现在有了互联网。 所有 Fortinet 设备的典型初始设置均已完成,您现在可以通过 Web 界面进行配置。 为此,请打开管理页面:
请注意,您需要点击格式中的链接/行政。 否则,您将无法访问管理页面。 默认情况下,页面处于标准配置模式。 对于设置,我们需要高级模式。 让我们进入管理->查看菜单并将模式切换为高级:
现在我们需要下载试用许可证。 这可以在菜单“许可证信息”→“虚拟机”→“更新”中完成:
如果您没有试用许可证,可以通过联系申请一个 .
输入许可证后,设备应重新启动。 将来,它将开始从服务器提取数据库更新。 如果这没有自动发生,您可以转到系统 → FortiGuard 菜单,然后在防病毒、反垃圾邮件选项卡中单击立即更新按钮。
如果这没有帮助,您可以更改用于更新的端口。 通常在此之后所有许可证都会出现。 最后它应该看起来像这样:
让我们设置正确的时区,这在检查日志时很有用。 为此,请转到“系统”→“配置”菜单:
我们还将配置 DNS。 我们将内部 DNS 服务器配置为主 DNS 服务器,并保留 Fortinet 提供的 DNS 服务器作为备份 DNS 服务器。
现在让我们继续有趣的部分。 您可能已经注意到,设备默认设置为网关模式。 因此,我们不需要改变它。 让我们转到域和用户 → 域字段。 让我们创建一个需要保护的新域。 这里我们只需要指定域名和邮件服务器地址(你也可以指定它的域名,在我们的例子中为mail.test.local):
现在我们需要为邮件网关提供一个名称。 这将在 MX 和 A 记录中使用,我们稍后需要更改:
根据主机名和本地域名,编译 FQDN,用于 DNS 记录。 在我们的例子中,FQDN = fortimail.test.local。
现在我们来设置接收规则。 我们需要将所有来自外部并分配给域中用户的电子邮件转发到邮件服务器。 为此,请转至菜单“策略”→“访问控制”。 示例设置如下所示:
让我们看一下“收件人策略”选项卡。 在这里您可以设置某些检查信件的规则:如果邮件来自域 example1.com,您需要使用专门为此域配置的机制来检查它。 所有邮件已经有一个默认规则,目前它适合我们。 你可以在下图中看到这个规则:
至此,FortiMail 上的设置就可以认为完成了。 事实上,还有更多可能的参数,但如果我们开始考虑所有参数,我们可以写一本书:)我们的目标是以最小的努力在测试模式下启动 FortiMail。
剩下两件事 - 更改 MX 和 A 记录,并更改防火墙上的端口转发规则。
MX 记录 test.local -> mail.test.local 10 必须更改为 test.local -> fortimail.test.local 10。但通常在试点期间会添加具有更高优先级的第二个 MX 记录。 例如:
测试.本地 -> 邮件.测试.本地 10
test.local -> fortimail.test.local 5
让我提醒您,MX 记录中邮件服务器首选项的序号越低,其优先级越高。
并且该条目无法更改,因此我们只需创建一个新条目:fortimail.test.local -> 10.10.30.210。 外部用户将在端口 10.10.30.210 上联系地址 25,防火墙会将连接转发到 FortiMail。
为了更改 FortiGate 上的转发规则,您需要更改相应虚拟 IP 对象中的地址:
一切准备就绪。 让我们检查。 让我们从外部用户的计算机再次发送信件。 现在让我们进入“监控”→“日志”菜单中的 FortiMail。 在“历史记录”字段中,您可以看到该信件被接受的记录。 有关详细信息,您可以右键单击该条目并选择“详细信息”:
为了完成这个图片,让我们检查当前配置下的 FortiMail 是否可以阻止包含垃圾邮件和病毒的电子邮件。 为此,我们将发送 eicar 测试病毒和在垃圾邮件数据库之一 (http://untroubled.org/spam/) 中找到的测试信件。 之后,我们回到日志查看菜单:
正如我们所看到的,垃圾邮件和带有病毒的信件均被成功识别。
此配置足以提供针对病毒和垃圾邮件的基本保护。 但FortiMail的功能并不限于此。 为了获得更有效的保护,您需要研究可用的机制并对其进行定制以满足您的需求。 将来,我们计划重点介绍该邮件网关的其他更高级的功能。
如果您对解决方案有任何困难或疑问,请将其写在评论中,我们将尽力及时答复。
您可以提交试用许可证请求来测试解决方案 .
作者:阿列克谢·尼库林。 Fortiservice 信息安全工程师。
来源: habr.com