歡迎! 今天我們將告訴您如何進行郵件網關的初始設置
讓我們從當前的佈局開始。 如下圖所示。
在右側我們看到外部用戶的計算機,我們將從該計算機向內部網絡上的用戶發送郵件。 內部網絡包含用戶的計算機、運行 DNS 服務器的域控制器以及郵件服務器。 在網絡的邊緣有一個防火牆——FortiGate,其主要功能是配置SMTP和DNS流量轉發。
讓我們特別關注 DNS。
有兩個 DNS 記錄用於在 Internet 上路由電子郵件:A 記錄和 MX 記錄。 通常,這些 DNS 記錄配置在公共 DNS 服務器上,但由於佈局限制,我們只是通過防火牆轉發 DNS(即外部用戶將地址 10.10.30.210 註冊為 DNS 服務器)。
MX記錄是包含服務該域的郵件服務器的名稱以及該郵件服務器的優先級的記錄。 在我們的例子中,它看起來像這樣:test.local -> mail.test.local 10。
記錄是將域名轉換為IP地址的記錄,對於我們來說是:mail.test.local -> 10.10.30.210。
當我們的外部用戶嘗試發送電子郵件至 [電子郵件保護],它將查詢其 DNS MX 服務器以獲取 test.local 域記錄。 我們的 DNS 服務器將使用郵件服務器的名稱 - mail.test.local 進行響應。 現在用戶需要獲取該服務器的IP地址,因此他再次訪問DNS以獲取A記錄並收到IP地址10.10.30.210(是的,又是他的:))。 你可以寄一封信。 因此,它嘗試與端口 25 上接收到的 IP 地址建立連接。 使用防火牆上的規則,此連接被轉發到郵件服務器。
讓我們檢查一下當前佈局狀態下郵件的功能。 為此,我們將在外部用戶的計算機上使用 swaks 實用程序。 借助它的幫助,您可以通過向收件人發送帶有一組各種參數的信件來測試 SMTP 的性能。 之前,已經在郵件服務器上創建了擁有郵箱的用戶 [電子郵件保護]。 讓我們嘗試給他寫一封信:
現在讓我們轉到內部用戶的計算機並確保信件已到達:
這封信確實到達了(它在列表中突出顯示)。 這意味著佈局工作正常。 現在是時候轉向 FortiMail 了。 讓我們添加到我們的佈局中:
FortiMail 可以以三種模式部署:
- 網關 - 充當成熟的 MTA:它接管所有郵件,檢查郵件,然後將其轉發到郵件服務器;
- 透明 - 或者換句話說,透明模式。 它安裝在服務器前面並檢查傳入和傳出的郵件。 之後,它將其傳輸到服務器。 不需要更改網絡配置。
- 服務器 - 在這種情況下,FortiMail 是一個成熟的郵件服務器,能夠創建郵箱、接收和發送郵件以及其他功能。
我們將以網關模式部署 FortiMail。 讓我們進入虛擬機設置。 登錄名是admin,沒有指定密碼。 首次登錄時,必須設置新密碼。
現在讓我們配置虛擬機以訪問 Web 界面。 該機器還必須能夠訪問互聯網。 讓我們設置界面。 我們只需要端口1。 在它的幫助下,我們將連接到網絡界面,它也將用於訪問互聯網。 需要訪問互聯網來更新服務(防病毒簽名等)。 對於配置,請輸入命令:
配置系統界面
編輯端口1
設置IP 192.168.1.40 255.255.255.0
設置允許訪問 https http ssh ping
結束
現在讓我們配置路由。 為此,您需要輸入以下命令:
配置系統路由
編輯1
設置網關192.168.1.1
設置接口端口1
結束
輸入命令時,您可以使用製表符來避免完整輸入命令。 另外,如果您忘記接下來應該執行哪個命令,可以使用“?”鍵。
現在讓我們檢查您的互聯網連接。 為此,讓我們 ping Google DNS:
正如你所看到的,我們現在有了互聯網。 所有 Fortinet 設備的典型初始設置均已完成,您現在可以通過 Web 界面進行配置。 為此,請打開管理頁面:
請注意,您需要點擊格式中的鏈接/行政。 否則,您將無法訪問管理頁面。 默認情況下,頁面處於標準配置模式。 對於設置,我們需要高級模式。 讓我們進入管理->查看菜單並將模式切換為高級:
現在我們需要下載試用許可證。 這可以在菜單“許可證信息”→“虛擬機”→“更新”中完成:
如果您沒有試用許可證,可以通過聯繫申請一個
輸入許可證後,設備應重新啟動。 將來,它將開始從服務器提取數據庫更新。 如果這沒有自動發生,您可以轉到系統 → FortiGuard 菜單,然後在防病毒、反垃圾郵件選項卡中單擊立即更新按鈕。
如果這沒有幫助,您可以更改用於更新的端口。 通常在此之後所有許可證都會出現。 最後它應該看起來像這樣:
讓我們設置正確的時區,這在檢查日誌時很有用。 為此,請轉到“系統”→“配置”菜單:
我們還將配置 DNS。 我們將內部 DNS 服務器配置為主 DNS 服務器,並保留 Fortinet 提供的 DNS 服務器作為備份 DNS 服務器。
現在讓我們繼續有趣的部分。 您可能已經註意到,設備默認設置為網關模式。 因此,我們不需要改變它。 讓我們轉到域和用戶 → 域字段。 讓我們創建一個需要保護的新域。 這裡我們只需要指定域名和郵件服務器地址(你也可以指定它的域名,在我們的例子中為mail.test.local):
現在我們需要為郵件網關提供一個名稱。 這將在 MX 和 A 記錄中使用,我們稍後需要更改:
根據主機名和本地域名,編譯 FQDN,用於 DNS 記錄。 在我們的例子中,FQDN = fortimail.test.local。
現在我們來設置接收規則。 我們需要將所有來自外部並分配給域中用戶的電子郵件轉發到郵件服務器。 為此,請轉至菜單“策略”→“訪問控制”。 示例設置如下所示:
讓我們看一下“收件人策略”選項卡。 在這裡您可以設置某些檢查信件的規則:如果郵件來自域 example1.com,您需要使用專門為此域配置的機制來檢查它。 所有郵件已經有一個默認規則,目前它適合我們。 你可以在下圖中看到這個規則:
至此,FortiMail 上的設置就可以認為完成了。 事實上,還有更多可能的參數,但如果我們開始考慮所有參數,我們可以寫一本書:)我們的目標是以最小的努力在測試模式下啟動 FortiMail。
剩下兩件事 - 更改 MX 和 A 記錄,並更改防火牆上的端口轉發規則。
MX 記錄 test.local -> mail.test.local 10 必須更改為 test.local -> fortimail.test.local 10。但通常在試點期間會添加具有更高優先級的第二個 MX 記錄。 例如:
測試.本地 -> 郵件.測試.本地 10
test.local -> fortimail.test.local 5
讓我提醒您,MX 記錄中郵件服務器首選項的序號越低,其優先級越高。
並且該條目無法更改,因此我們只需創建一個新條目:fortimail.test.local -> 10.10.30.210。 外部用戶將在端口 10.10.30.210 上聯繫地址 25,防火牆會將連接轉發到 FortiMail。
為了更改 FortiGate 上的轉發規則,您需要更改相應虛擬 IP 對像中的地址:
一切準備就緒。 讓我們檢查。 讓我們從外部用戶的計算機再次發送信件。 現在讓我們進入“監控”→“日誌”菜單中的 FortiMail。 在“歷史記錄”字段中,您可以看到該信件被接受的記錄。 有關詳細信息,您可以右鍵單擊該條目並選擇“詳細信息”:
為了完成這個圖片,讓我們檢查當前配置的 FortiMail 是否可以阻止包含垃圾郵件和病毒的電子郵件。 為此,我們將發送 eicar 測試病毒和在垃圾郵件數據庫之一 (http://untroubled.org/spam/) 中找到的測試信件。 之後,我們回到日誌查看菜單:
正如我們所看到的,垃圾郵件和帶有病毒的信件均被成功識別。
此配置足以提供針對病毒和垃圾郵件的基本保護。 但FortiMail的功能並不限於此。 為了獲得更有效的保護,您需要研究可用的機制並對其進行定制以滿足您的需求。 將來,我們計劃重點介紹該郵件網關的其他更高級的功能。
如果您對解決方案有任何困難或疑問,請將其寫在評論中,我們將盡力及時答复。
您可以提交試用許可證請求來測試解決方案
作者:阿列克謝·尼庫林。 Fortiservice 信息安全工程師。
來源: www.habr.com