Fortinet PowerPoint Template - consulting.erc.ua...39 Fortinet Confidential 8. Access Control Rules •Избегайте Open Relay!!! »Всегда пытайтесь настроить

1 Fortinet Confidential

December 9, 2013

FortiMail 5.0

Руководство по быстрой настройке


Упрощенная схема обработки электронной почты

1 2

3

4

5

6

;; ANSWER SECTION:

example3.com 3600 IN MX 50 relay.example2.net

example3.com 3600 IN MX 100 mail.example3.com


Стадия планирования

» Выбор топологии

» Выбор HA настроек

» Сбор информации, нужной для настроек

Стадия внедрения

» Установка последней версии стабильной прошивки

» Выбор операционного режима

• (Gateway/Server/Transparent)

» Настройка в соответствии с Шагами быстрой настройки


Выбор топологии

Deploy on-site or in the cloud to

relay mail to destination

Gateway

Network and application

transparent

Transparent Inline

Full mail server and groupware

functionality

Server

Варианты

внедрения


Какую отказоустойчивую конфигурацию лучше

использовать ? – особенности архитектуры

Варианты внедрения: перед firewall периметра – меньше трафика на firewall , режимы Gateway/TP

в DMZ – более безопасно – больше трафика на firewall , режимы Gateway/TP

во внутренней сети – режим Server Mode

Варианты отказоустойчивых конфигураций: HA – только синхронизация настроек (от 2 до 25 устройств в режиме Active/Active )

или Active/Passive кластер с полной синхронизацией настроек и данных (2 устройства)




• FML в режиме Config Only для HA

» применим для Gateway или Transparent режимов

» две или более записи MX

» От двух до 25 устройств Fortimail в Config-only HA




• FML в Active – Passive конфигурации для HA

» Работает для любого режима, но очень рекомендован для режима Server

» 2 устройства FortiMail в HA группе

» Полная синхронизацией настроек и данных


Перечень данных для инсталяции

DNS / MX

Access

AV/AS

MTA / MAA

Inbox Storage

MUA

Помните

• Все начинается с

проектирования

• Внедрение будет более простым

и быстрым, если

предварительно будут собраны

необходимые данные.

ISP 1

ISP 2


Шаги быстрой настройки

1. Сетевые настройки

2. Маршрутизация

3. Системные настройки

4. HA (опционально)

5. DNS сервер

6. Настройка Local Host

7. Настройка Protected Domains

8. Настройка Access Control

9. Настройка Recipient Policies (Inbound and Outbound)

10. Настройка Users

11. Опционально: Настройка LDAP

12. Опционально: Настройка IBE

13. Настройка архивации



• Настройка из консоли

Используйте имя пользователя “admin“ с пустым паролем



• Настройде IP адрес для интерфейса


Доступ к web интерфейсу управления

Используйте https://ip-address/admin для доступа к интерфейсу управления


Доступ к web интерфейсу управления

Используйте имя пользователя “admin“ с пустым паролем



a) Настройте IP/netmask и доступ

b) Отключите интерфейсы, которые не используются.

Edit or double click


2. Маршрутизация

a) Настройте шлюз по умолчанию.


3. Версия ПО, лицензии, операционный режим,

системное время

Проверьте настройки системного времени!!!




**Version 5.0 GA Build (107)**




a) ВАЖНО!

b) Сейчас Вы настраиваете операционный режим(OPERATION

MODE)

c) Режимом по умолчанию является Gateway

d) Gateway является наиболее часто используемым режимом

e) Изменение операционного режима может сбросить некоторые

настройки


4. Настройка HA (опционально)


4. Настройка HA (опционально). Config only mode


5. DNS Configuration

a) Проверьте настройки DNS.

b) Primary DNS: всегда лучше использовать локальный DNS

c) Secondary DNS: может быть как внешний, так и второй

локальный DNS



a) Host Name (проверьте, что DNS настроен на разрешение Host

Name)

b) Local Domain Name

c) SMTP over SSL/TLS

Использование шифрования



Нет опции STARTTLS

SMTP соединения должны

быть без шифрования..

Разрешает шифрованные

соединения от SMTP клиентов,

которые требуют SSL/TLS.



a) Режим GTW :

a) Protected Domain Name

b) Relay_type (host, mx_lookup, ip_pool, Ldap_domain_routing)

b) Режим Server :

a) Protected Domain Name

b) LDAP Profile (опционально)



режим GTW : Relay Type

• Позволяет балансировать соединения на несколько серверов



режим GTW : настройка домена

• настройка Protected Domain



режим GTW : настройка домена

• настройка Protected Domain


8. Access Control Rules

• Access Control:

» Access control rules начинают действовать после того, как FortiMail инициировал или

получил IP и TCP-level соединение

» FortiMail инициировал SMTP сессию Delivery Tab

» FortiMail является назначением SMTP сессии Receiving Tab

• Когда нужно настраивать?

» Если action по умолчанию не является достаточным для доставки почты через FortiMail

» Receiving

• Для защищенных доменов, action по умолчанию - RELAY.

• Для незащищенных доменов, action по умолчанию - REJECT.

» Delivery

• Если нужна гарантия безопасной доставки почты в специфический домен или пользователю

• Опции: TLS для SMTP сессии, secure MIME (S/MIME) для IBE.



режим GTW : простая Outbound Access Control

Policy

Создайте outbound Access rule

Настройки:

Sender = Internal

Recipient = External

Sender IP = Mail Host/32

Authentication = Unauthenticated

Action = RELAY

Applied Access Control policy



• Избегайте Open Relay!!!

» Всегда пытайтесь настроить правило использую /32 конкретный адрес, не

диапазон адресов.

» Не используйте NAT на Firewall

• Правило с использованием IP префикса с маской отличной от /32+ Inbound NAT -

получаем Open Relay! в результате!!!

» MUA клиенты должны использовать аутентификацию

» Проверьте вашу настройку с помощью любого онлайнового Open Relay

тестера (например http://mxtoolbox.com/diagnostic.aspx )

http://mxtoolbox.com/diagnostic.aspx

http://mxtoolbox.com/diagnostic.aspx


9. Политики (Policies)

• Политики (Policies)

» Определяют правила фильтрации трафика и настройки учетных записей

пользователей (auth. Type, disc quota, webmail access)

» Используют профили (profiles): antispam, antivirus, content, authentication, TLS,

или resource profiles

• Recipient Policies

» Базируются на почтовом адресе или группе получателя

• IP Policies

» Базируются на IP адресе SMTP клиента (server mode или gateway mode)

» Базируются на IP адресах SMTP клиента и SMTP сервера (transparent

mode).


9. Policies & Profiles - Best Practice Profiles

• Есть несколько преднастроенных рекомендованных профилей

(Best Practice Profiles)

» AS_Inbound

» AS_Outbound

» AV_In_Discard

» AV_Out_Reject

» CF_Inbound

» CF_Outbound

• В большинстве случаев 99.5% спама фильтруется при

использовании этих профилей.

• Можно настроить дополнительные профили при надобности позже


9. Policies & Profiles – настройка входящей сессии

Настройка Inbound_Session profile

Настройки:

Включите: “FortiGuard Black IP at

сonnection phase”




Настройки:

Выключите: “Check sender domain”




Настройки:

Cap message size: ??KB

(максимальный размер сообщения,

10МВ по умолчанию)


9. Policies & Profiles - настройка исходящей сессии

Настройка Outbound_Session profile

Настройки:

Отключите: “Check recipient domain”

Cap message size: ??Kb


9. Policies & Profiles – входящий AntiSpam Profile

Настройка “AS_Inbound” profile

Включите: URI Filter

Включите: “Suspicious Newsletter”

Включите: “Scan PDF attachment”


9. Policies & Profiles – действие для входящего

AntiSpam

Настройка персонального карантина


9. Policies & Profiles – входящий AntiVirus Profile

AV profile для входящих

сканирования и фильтрации

вирусов


9. Policies & Profiles – исходящий AntiVirus Profile

AV profile для исходящих

сканирования и фильтрации

вирусов


9. Policies & Profiles - Content Filtering Profile

Content Profile для фильтрации

вложений


9. Policies & Profiles – действие для входящего

Content Filter


9. Policies & Profiles – входящяя Recipient Based

Policy

Выберите настроенные ранее

профили (profiles)


9. Policies & Profiles – Policies в итоге


9. Policies & Profiles –

Policies Summary Reference

FortiMail поддерживает 3 типа политик (policies):

• Access control receiving/delivery rules ограничение входящих/исходящих SMTP сессий

• Recipient Policies

» Базируются на почтовом адресе или группе получателя

• IP Policies

» Базируются на IP адресе SMTP клиента (режимы server mode или gateway )

» Базируются на IP адресах SMTP клиента и SMTP сервера (transparent

режим).


10. Пользователи (Users).

• В режиме server мы можем настроить локальные учетные записи

пользователей (почтовых ящиков).

• Две опции: Local или Remote(LDAP) пользователи

• Пользователи могут получать доступ к почтовому ящику

посредством Webmail, POP3 или IMAP.


11. Базовая настройка LDAP (Active Directory)

Настройте логин для доступа к AD

(с правами чтения)

User Auth = Search user

Измените Password schema на

«AD»

и включите «Bypass recipient…»


11. LDAP profiles - LDAP аутентификация доступа

к карантину – режим GTW

Настройте политику для

использования LDAP

аутенификации и включите Webmail

access


11. LDAP profiles - LDAP Group Policy

Настройка политики получателя

LDAP Policy


12. Шифрование сообщений

Feature Description

Secure Email Delivery Gateway to Gateway Clientless TLS and S/MIME

Encryption

INTERNET

EMAIL

GATEWAYS

Secure Email Domain Delivery

TLS-S/MIME


12. Шифрование- TLS Delivery Enforcement Policy

(опционально)

Настройка TLS Profile и Delivery

Rule

Примечание: Необходимо

установить root CA

Certificate для удаленного домена


12. Шифрование - Identity Based Encryption - метод

“Pull”

⑤ ПОЛУЧАТЕЛЬ

ОТКРЫВАЕТ

ПОЛУЧЕННУЮ

ССЫЛКУ ⑥ ПОЛУЧАТЕЛЬ

РЕГИСТРИРУЕТСЯ И

АУТЕНТИФИЦИРУЕТСЯ

④ СООБЩЕНИЕ С

УВЕДОМЛЕНИЕМ И ССЫЛКОЙ

ОТПРАВЛЯЕТСЯ ПОЛУЧАТЕЛЮ

⑦ СООБЩЕНИЕ

ОТОБРАЖАЕТСЯ ЧЕРЕЗ

WEBMAIL INTERFACE

③ ЗАШИФРОВАННОЕ

СООБЩЕНИЕ ХРАНИТСЯ НА

FORTIMAIL В БЕЗОПАСНОМ

MAILBOX

3

② СООБЩЕНИЕ

СООТВЕТСТВУЕТ

ENCRYPTION

POLICY

7

① СООБЩЕНИЕ

ОТСЫЛАЕТСЯ

EMAIL

КЛИЕНТОМ

1

MTA

4

5

6


12. Шифрование - Identity Based Encryption - метод

“Push”

⑥ ПОЛУЧАТЕЛЬ

РЕГИСТРИРУЕТСЯ И

АУТЕНТИФИЦИРУЕТСЯ

④ УВЕДОМЛЕНИЕ ОТСЫЛАЕТСЯ

ПОЛУЧАТЕЛЮ С HTML

СОДЕРЖИМЫМ КАК

ВЛОЖЕНИЕМ

⑦ СООБЩЕНИЕ

ОТОБРАЖАЕТСЯ ЧЕРЕЗ

WEBMAIL INTERFACE

③ СООБЩЕНИЕ

ШИФРУЕТСЯ В

ФОРМАТЕ HTML

② СООБЩЕНИЕ

СООТВЕТСТВУЕТ

ENCRYPTION

POLICY

7

① СООБЩЕНИЕ

ОТСЫЛАЕТСЯ

EMAIL

КЛИЕНТОМ

1

MTA

5

3 4

⑤ ПОЛУЧАТЕЛЬ

ОТКРЫВАЕТ

ВЛОЖЕНИЕ

6


12. Шифрование – настройка IBE и Encryption

Profile

настройка IBE и Encryption Profile


12. Шифрование - Outbound IBE Policy Content

Filtering

Настройка IBE Policy


12. Шифрование – применение outbound IBE Policy

based Rule

Outbound Content Filtering policy

с content triggered IBE


12. Шифрование - Identity Based Encryption

(IBE) Message, Login, Interface

Secure Message


13. Архивация сообщений

Свойства архивации и исключения


Настройка SNMP - рекомендации

• Всегда используйте систему мониторинга для отслеживание

следующих параметров:

» fmlSysCpuUsage (.1.3.6.1.4.1.12356.105.1.6.0) утилизация CPU (%)

» fmlSysMemUsage (.1.3.6.1.4.1.12356.105.1.7.0) утилизация оперативной

памяти (%).

» fmlSysLogDiskUsage(.1.3.6.1.4.1.12356.105.1.8.0) утилизация лог диска(%).

» fmlSysMailDiskUsage (.1.3.6.1.4.1.12356.105.1.9.0) утилизация хранилища

сообщений(%).

» fmlSysSesCount (.1.3.6.1.4.1.12356.105.1.10.0) текущее количество сессий.



• Настройка границ для SNMP Trap



• Следует использовать Core MIB и MIB для версии прошивки,

которая используется.

» CORE MIB:

• ftp://support.fortinet.com/FortiMail/v5.00/Core%20MIB/FORTINET-CORE-MIB.mib

» 5.0.0 MIBs

• ftp://pftpintl:[email protected]/FortiMail/v5.00/5.0/5.0.0/MIB/FORTINET-

FORTIMAIL-MIB.mib

ftp://support.fortinet.com/FortiMail/v5.00/Core MIB/FORTINET-CORE-MIB.mib






ftp://pftpintl:[email protected]/FortiMail/v5.00/5.0/5.0.0/MIB/FORTINET-FORTIMAIL-MIB.mib






Documents

Fortinet PowerPoint Template - consulting.erc.ua...39 Fortinet Confidential 8. Access Control Rules •Избегайте Open Relay!!! »Всегда пытайтесь настроить