Поиск по сайту

Полезные статьи

07.05.2020

FortiMail - быстрый старт


Коллеги, приветствуем! Сегодня мы расскажем о том, как можно протестировать решение компании Fortinet для защиты электронной почты - почтовый шлюз FortiMail. Этот процесс очень прост, и даже после минимальной конфигурации можно увидеть впечатляющие результаты. 
Начнем с текущего макета. Он представлен на рисунке ниже. 

Макет

Cправа расположен компьютер внешнего пользователя, с которого мы будем отсылать почту пользователю в нашей внутренней сети.
Во внутренней сети расположен компьютер пользователя, контроллер домена с поднятым на нем DNS сервером и почтовый сервер.
На границе сети стоит межсетевой экран - FortiGate. Главная его особенность - на нем настроен проброс SMTP и DNS трафика.

Стоит особо обговорить DNS

Для маршрутизации электронной почты в Интернете используются две DNS записи - «A» запись и «MX» запись. Обычно данные DNS записи настраиваются на публичном DNS сервере, но из-за ограничений макетирования мы просто пробрасываем DNS через межсетевой экран (то есть у внешнего пользователя в качестве DNS сервера прописан адрес 10.10.30.210).

«MX» запись - запись, содержащая имя почтового сервера, который обслуживает его домен, а также приоритет данного почтового сервера. В нашем случае она выглядит так: test.local -> mail.test.local 10.
«A» запись - запись, преобразующая доменное имя в IP адрес, в нашем случае mail.test.local -> 10.10.30.210.

Когда наш внешний пользователь попытается отправить письмо на адрес an@test.local, он запросит у своего DNS сервера «MX» запись домена test.local. Наш DNS сервер ответит именем почтового сервера - mail.test.local. Теперь пользователю необходимо получить IP адрес данного сервера, поэтому он снова обращается к DNS за A записью и получает IP адрес 10.10.30.210 (да, снова его:) ). Можно отправлять письмо. Поэтому он пытается установить соединение с полученным IP адресом по 25 порту. С помощью правил на межсетевом экране это подключение пробрасывается на почтовый сервер.

Проверим работоспособность почты в текущем состоянии макета. Для этого на компьютере внешнего пользователя воспользуемся утилитой swaks. С её помощью можно протестировать работоспособность SMTP, отправив получателю письмо с набором различных параметров. Предварительно, на почтовом сервере уже заведен пользователь с ящиком an@test.local. Попробуем отправить ему письмо:

почтовый шлюз FortiMail

Теперь перейдем на машину внутреннего пользователя и убедимся, что письмо пришло:

тестирование

Письмо действительно пришло ( оно выделено в списке). Значит макет работает. Самое время перейти к FortiMail. Дополним наш макет:


почтовый шлюз FortiMail

FortiMail можно развернуть в трех режимах:

Gateway - действует как полноценный MTA, принимает всю почту на себя, проверяет её, а после пересылает на почтовый сервер;

Transparent - или по другому, прозрачный режим. Устанавливается перед сервером и проверяет входящую и исходящую почту. После этого передает её на сервер. Не требует изменений в конфигурации сети.

Server - в данном случае FortiMail является полноценным почтовым сервером с возможностью заведения почтовых ящиков, приёма и отправки почты, а также с другим функционалом.

Мы будем разворачивать FortiMail в режиме Gateway. Зайдем в настройки виртуальной машины. Логин - admin, пароль не задан. При первом входе нас просят задать пароль:

 FortiMail в режиме Gateway

Теперь сконфигурируем виртуальную машину для доступа к веб интерфейсу. Также необходимо, чтобы машина имела доступ в Интернет. Настроим интерфейс.Нам необходим только port1. С его помощью мы будем подключаться к веб интерфейсу, а также он будет использоваться для выхода в Интернет. Выход в Интернет нужен для обновления сервисов (сигнатур антивируса и т.д).

config system interface
edit port 1
set ip 192.168.1.40 255.255.255.0
set allowaccess https http ssh ping
end

Теперь настроим маршрутизацию. Для этого необходимо ввести следующие команды:

config system route
edit 1
set gateway 192.168.1.1
set interface port1
end

Вводя команды, можно использовать табуляцию, чтобы не печатать их полностью. Также если вы забыли, какая команда должна идти следующей, можно воспользоваться клавишей “?”.

Теперь проверим подключение к Интернету. Для этого пропингуем гугловский DNS:

пропингуем гугловский DNS

Как видим, Интернет у нас появился. Первоначальные настройки, характерные для всех устройств Fortinet выполнены, теперь можно переходить к настройкам через веб интерфейс. Для этого откроем страницу управления:

Переходим к настройкам через веб интерфейс


❗Обратите внимание, переходить нужно по ссылке в формате <ip адрес>/admin. Иначе вы не сможете попасть на страницу управления. По умолчанию страница находится в стандартном режиме конфигурирования.

Для настроек нам понадобится Advanced режим. Перейдем в меню admin->View и переключим режим на Advanced:

Теперь нам необходимо загрузить триальную лицензию. Сделать это можно в меню License Information -> VM -> Update:

Теперь нам необходимо загрузить триальную лицензию


Если у вас нет триальной лицензии, вы можете запросить её, обратитесь к нам.

После ввода лицензии устройство должно перезагрузиться. После этого оно начнет подтягивать обновления своих баз с серверов. Если этого не происходит автоматически, можно перейти в меню System -> FortiGuard и во вкладках Antivirus, Antispam нажать на кнопку Update Now.

можно перейти в меню System


Если это не помогает, можно поменять порты, используемые для обновлений. Обычно после этого все лицензии появляются. В итоге это должно выглядеть так:

Лицензии появляются

Настроим верный часовой пояс, это пригодится при исследовании логов. Для этого перейдем в меню System->Configuration:

System->Configuration

Также настроим DNS. В качестве основного DNS сервера я настрою внутренний DNS сервер, а в качестве резервного - оставлю DNS сервер, который предоставляет Fortinet.

настрим внутренний DNS сервер

Теперь перейдем к самому интересному

Как вы наверное заметили, по умолчанию у устройства установлен режим Gateway. Поэтому нам менять его не нужно. Перейдем в поле Domain & User -> Domain. Создадим новый домен, который необходимо защищать. Здесь нам нужно указать только название домена и адрес почтового сервера (можно также указать его доменное имя, в нашем случае mail.test.local):

Настройка Domain.PNG

Теперь нам нужно указать имя для для нашего почтового шлюза. Оно будет использоваться в «MX» и «A» записях, которые нам нужно будет поменять позже:

жно указать имя для для нашего почтового шлюза

Из пунктов Host Name и Local Domain Name будет составлено FQDN, будет использоваться в DNS записях. В нашем случае FQDN = fortimail.test.local.

Настроим правило получения

Нам необходимо, чтобы все письма, которые приходят извне и назначаются пользователю в домене, пересылались на почтовый сервер.Для этого перейдем в меню Policy -> Access Control. Пример настройки приведен ниже:

Настройки получения

Посмотрим на вкладку Recipient Policy. Здесь можно устанавливать определенные правила проверки писем. Например - если почта приходит с домена example1.com, проверять её механизмами, настроенными специально под этот домен (например, это доверенный домен, и вам нужно минимальное количество проверок). Там уже установлено правило по умолчанию для всей почты, и на данный момент оно нас устраивает. Ознакомиться с данным правилом можно на рисунке ниже:


Recipient Policy

На этом настройку на FortiMail можно считать законченной.

На самом деле возможных параметров намного больше, но если мы начнем рассматривать их все - можно будет написать книгу:) А наша цель - с минимальными усилиями запустить FortiMail в тестовом режиме.
Осталось две вещи - изменить «MX» и «A» записи, а также изменить правила проброса портов на межсетевом экране.  
«MX» запись test.local -> mail.test.local 10 необходимо поменять на test.local -> fortimail.test.local 10. Но обычно во время пилотов добавляется вторая MX запись с более высоким приоритетом. Например:
test.local -> mail.test.local 10
test.local -> fortimail.test.local 5
Напомню, что чем меньше порядковый номер предпочтения почтового сервера в «MX» записи, тем выше её приоритет. 
«A» запись изменить нельзя, поэтому просто создадим новую: fortimail.test.local -> 10.10.30.210. Внешний пользователь будет обращаться на адрес 10.10.30.210 по 25 порту, и межсетевой экран будет пробрасывать соединение на FortiMail. 

Для того, чтобы поменять правило проброса на FortiGate, необходимо просто изменить адрес в соответствующем объекте Virtual IP:

 чтобы поменять правило проброса на FortiGate, необходимо просто изменить адрес в соответствующем объекте Virtual IP

Все готово!

Давайте проверим. Снова отправим письмо с компьютера внешнего пользователя. Теперь перейдем на FortiMail в меню Monitor -> Logs. В поле History можно увидеть запись о том, что письмо было принято. Для получение дополнительной информации можно кликнуть на запись правой кнопкой мыши и выбрать пункт Details:

Детали лога

Для полноты картины проверим, может ли FortiMail в текущей конфигурации блокировать письма, содержащие спам и вирусы. Для этого отправим тестовый вирус eicar и тестовое письмо, найденное в одной из баз спам писем (http://untroubled.org/spam/).
Снова перейдем в меню просмотра логов:

Почтовый шлюз Fortimail. Просмотр логов

Как видим, и спам, и письмо с вирусом были успешно опознаны.

Данной конфигурации достаточно для того, чтобы обеспечить базовую защиту от вирусов и от спама. Но на этом функционал FortiMail не ограничивается. Для более эффективной защиты необходимо изучить имеющиеся механизмы и настроить их под свои нужды. В дальнейшем мы планируем осветить другие, более продвинутые возможности данного почтового шлюза.


Если у вас возникли вопросы, смело обращайтесь по телефону , почте или заполняйте форму. Специалисты отдела продаж и инженеры помогут с решением задач, касающихся продуктов Fortinet.
Для запроса триальной лицензии напишите нам в почту. В ответном письме вы получите небольшой бриф для заполения, на основании которого мы предоставим лицензию для вас.