1 Fortinet Confidential

December 9, 2013

FortiMail 5.0

Руководство по быстрой настройке

2 Fortinet Confidential

Упрощенная схема обработки электронной почты

1 2

3

4

5

6

;; ANSWER SECTION:

example3.com 3600 IN MX 50 relay.example2.net

example3.com 3600 IN MX 100 mail.example3.com

3 Fortinet Confidential

Стадия планирования

» Выбор топологии

» Выбор HA настроек

» Сбор информации, нужной для настроек

Стадия внедрения

» Установка последней версии стабильной прошивки

» Выбор операционного режима

• (Gateway/Server/Transparent)

» Настройка в соответствии с Шагами быстрой настройки

4 Fortinet Confidential

Выбор топологии

Deploy on-site or in the cloud to

relay mail to destination

Gateway

Network and application

transparent

Transparent Inline

Full mail server and groupware

functionality

Server

Варианты

внедрения

5 Fortinet Confidential

Какую отказоустойчивую конфигурацию лучше

использовать ? – особенности архитектуры

Варианты внедрения: перед firewall периметра – меньше трафика на firewall , режимы Gateway/TP

в DMZ – более безопасно – больше трафика на firewall , режимы Gateway/TP

во внутренней сети – режим Server Mode

Варианты отказоустойчивых конфигураций: HA – только синхронизация настроек (от 2 до 25 устройств в режиме Active/Active )

или Active/Passive кластер с полной синхронизацией настроек и данных (2 устройства)

6 Fortinet Confidential

Какую отказоустойчивую конфигурацию лучше

использовать ? – особенности архитектуры

• FML в режиме Config Only для HA

» применим для Gateway или Transparent режимов

» две или более записи MX

» От двух до 25 устройств Fortimail в Config-only HA

7 Fortinet Confidential

Какую отказоустойчивую конфигурацию лучше

использовать ? – особенности архитектуры

• FML в Active – Passive конфигурации для HA

» Работает для любого режима, но очень рекомендован для режима Server

» 2 устройства FortiMail в HA группе

» Полная синхронизацией настроек и данных

8 Fortinet Confidential

Перечень данных для инсталяции

DNS / MX

Access

AV/AS

MTA / MAA

Inbox Storage

MUA

Помните

• Все начинается с

проектирования

• Внедрение будет более простым

и быстрым, если

предварительно будут собраны

необходимые данные.

ISP 1

ISP 2

15 Fortinet Confidential

Шаги быстрой настройки

1. Сетевые настройки

2. Маршрутизация

3. Системные настройки

4. HA (опционально)

5. DNS сервер

6. Настройка Local Host

7. Настройка Protected Domains

8. Настройка Access Control

9. Настройка Recipient Policies (Inbound and Outbound)

10. Настройка Users

11. Опционально: Настройка LDAP

12. Опционально: Настройка IBE

13. Настройка архивации

16 Fortinet Confidential

1. Сетевые настройки

• Настройка из консоли

Используйте имя пользователя “admin“ с пустым паролем

17 Fortinet Confidential

1. Сетевые настройки

• Настройде IP адрес для интерфейса

18 Fortinet Confidential

Доступ к web интерфейсу управления

Используйте https://ip-address/admin для доступа к интерфейсу управления

19 Fortinet Confidential

Доступ к web интерфейсу управления

Используйте имя пользователя “admin“ с пустым паролем

20 Fortinet Confidential

1. Сетевые настройки

a) Настройте IP/netmask и доступ

b) Отключите интерфейсы, которые не используются.

Edit or double click

21 Fortinet Confidential

2. Маршрутизация

a) Настройте шлюз по умолчанию.

22 Fortinet Confidential

3. Версия ПО, лицензии, операционный режим,

системное время

Проверьте настройки системного времени!!!

23 Fortinet Confidential

3. Версия ПО, лицензии, операционный режим,

системное время

**Version 5.0 GA Build (107)**

24 Fortinet Confidential

3. Версия ПО, лицензии, операционный режим,

системное время

a) ВАЖНО!

b) Сейчас Вы настраиваете операционный режим(OPERATION

MODE)

c) Режимом по умолчанию является Gateway

d) Gateway является наиболее часто используемым режимом

e) Изменение операционного режима может сбросить некоторые

настройки

26 Fortinet Confidential

4. Настройка HA (опционально)

27 Fortinet Confidential

4. Настройка HA (опционально). Config only mode

29 Fortinet Confidential

5. DNS Configuration

a) Проверьте настройки DNS.

b) Primary DNS: всегда лучше использовать локальный DNS

c) Secondary DNS: может быть как внешний, так и второй

локальный DNS

30 Fortinet Confidential

6. Настройка Local Host

a) Host Name (проверьте, что DNS настроен на разрешение Host

Name)

b) Local Domain Name

c) SMTP over SSL/TLS

Использование шифрования

31 Fortinet Confidential

6. Настройка Local Host

Нет опции STARTTLS

SMTP соединения должны

быть без шифрования..

Разрешает шифрованные

соединения от SMTP клиентов,

которые требуют SSL/TLS.

32 Fortinet Confidential

7. Настройка Protected Domains

a) Режим GTW :

a) Protected Domain Name

b) Relay_type (host, mx_lookup, ip_pool, Ldap_domain_routing)

b) Режим Server :

a) Protected Domain Name

b) LDAP Profile (опционально)

33 Fortinet Confidential

7. Настройка Protected Domains

режим GTW : Relay Type

• Позволяет балансировать соединения на несколько серверов

35 Fortinet Confidential

7. Настройка Protected Domains

режим GTW : настройка домена

• настройка Protected Domain

36 Fortinet Confidential

7. Настройка Protected Domains

режим GTW : настройка домена

• настройка Protected Domain

37 Fortinet Confidential

8. Access Control Rules

• Access Control:

» Access control rules начинают действовать после того, как FortiMail инициировал или

получил IP и TCP-level соединение

» FortiMail инициировал SMTP сессию Delivery Tab

» FortiMail является назначением SMTP сессии Receiving Tab

• Когда нужно настраивать?

» Если action по умолчанию не является достаточным для доставки почты через FortiMail

» Receiving

• Для защищенных доменов, action по умолчанию - RELAY.

• Для незащищенных доменов, action по умолчанию - REJECT.

» Delivery

• Если нужна гарантия безопасной доставки почты в специфический домен или пользователю

• Опции: TLS для SMTP сессии, secure MIME (S/MIME) для IBE.

38 Fortinet Confidential

8. Access Control Rules

режим GTW : простая Outbound Access Control

Policy

Создайте outbound Access rule

Настройки:

Sender = Internal

Recipient = External

Sender IP = Mail Host/32

Authentication = Unauthenticated

Action = RELAY

Applied Access Control policy

39 Fortinet Confidential

8. Access Control Rules

• Избегайте Open Relay!!!

» Всегда пытайтесь настроить правило использую /32 конкретный адрес, не

диапазон адресов.

» Не используйте NAT на Firewall

• Правило с использованием IP префикса с маской отличной от /32+ Inbound NAT -

получаем Open Relay! в результате!!!

» MUA клиенты должны использовать аутентификацию

» Проверьте вашу настройку с помощью любого онлайнового Open Relay

тестера (например http://mxtoolbox.com/diagnostic.aspx )

40 Fortinet Confidential

9. Политики (Policies)

• Политики (Policies)

» Определяют правила фильтрации трафика и настройки учетных записей

пользователей (auth. Type, disc quota, webmail access)

» Используют профили (profiles): antispam, antivirus, content, authentication, TLS,

или resource profiles

• Recipient Policies

» Базируются на почтовом адресе или группе получателя

• IP Policies

» Базируются на IP адресе SMTP клиента (server mode или gateway mode)

» Базируются на IP адресах SMTP клиента и SMTP сервера (transparent

mode).

41 Fortinet Confidential

9. Policies & Profiles - Best Practice Profiles

• Есть несколько преднастроенных рекомендованных профилей

(Best Practice Profiles)

» AS_Inbound

» AS_Outbound

» AV_In_Discard

» AV_Out_Reject

» CF_Inbound

» CF_Outbound

• В большинстве случаев 99.5% спама фильтруется при

использовании этих профилей.

• Можно настроить дополнительные профили при надобности позже

43 Fortinet Confidential

9. Policies & Profiles – настройка входящей сессии

Настройка Inbound_Session profile

Настройки:

Включите: “FortiGuard Black IP at

сonnection phase”

44 Fortinet Confidential

9. Policies & Profiles – настройка входящей сессии

Настройка Inbound_Session profile

Настройки:

Выключите: “Check sender domain”

45 Fortinet Confidential

9. Policies & Profiles – настройка входящей сессии

Настройка Inbound_Session profile

Настройки:

Cap message size: ??KB

(максимальный размер сообщения,

10МВ по умолчанию)

46 Fortinet Confidential

9. Policies & Profiles - настройка исходящей сессии

Настройка Outbound_Session profile

Настройки:

Отключите: “Check recipient domain”

Cap message size: ??Kb

49 Fortinet Confidential

9. Policies & Profiles – входящий AntiSpam Profile

Настройка “AS_Inbound” profile

Включите: URI Filter

Включите: “Suspicious Newsletter”

Включите: “Scan PDF attachment”

50 Fortinet Confidential

9. Policies & Profiles – действие для входящего

AntiSpam

Настройка персонального карантина

51 Fortinet Confidential

9. Policies & Profiles – входящий AntiVirus Profile

AV profile для входящих

сканирования и фильтрации

вирусов

52 Fortinet Confidential

9. Policies & Profiles – исходящий AntiVirus Profile

AV profile для исходящих

сканирования и фильтрации

вирусов

53 Fortinet Confidential

9. Policies & Profiles - Content Filtering Profile

Content Profile для фильтрации

вложений

54 Fortinet Confidential

9. Policies & Profiles – действие для входящего

Content Filter

55 Fortinet Confidential

9. Policies & Profiles – входящяя Recipient Based

Policy

Выберите настроенные ранее

профили (profiles)

56 Fortinet Confidential

9. Policies & Profiles – Policies в итоге

58 Fortinet Confidential

9. Policies & Profiles –

Policies Summary Reference

FortiMail поддерживает 3 типа политик (policies):

• Access control receiving/delivery rules ограничение входящих/исходящих SMTP сессий

• Recipient Policies

» Базируются на почтовом адресе или группе получателя

• IP Policies

» Базируются на IP адресе SMTP клиента (режимы server mode или gateway )

» Базируются на IP адресах SMTP клиента и SMTP сервера (transparent

режим).

59 Fortinet Confidential

10. Пользователи (Users).

• В режиме server мы можем настроить локальные учетные записи

пользователей (почтовых ящиков).

• Две опции: Local или Remote(LDAP) пользователи

• Пользователи могут получать доступ к почтовому ящику

посредством Webmail, POP3 или IMAP.

62 Fortinet Confidential

11. Базовая настройка LDAP (Active Directory)

Настройте логин для доступа к AD

(с правами чтения)

User Auth = Search user

Измените Password schema на

«AD»

и включите «Bypass recipient…»

65 Fortinet Confidential

11. LDAP profiles - LDAP аутентификация доступа

к карантину – режим GTW

Настройте политику для

использования LDAP

аутенификации и включите Webmail

access

67 Fortinet Confidential

11. LDAP profiles - LDAP Group Policy

Настройка политики получателя

LDAP Policy

68 Fortinet Confidential

12. Шифрование сообщений

Feature Description

Secure Email Delivery Gateway to Gateway Clientless TLS and S/MIME

Encryption

INTERNET

EMAIL

GATEWAYS

Secure Email Domain Delivery

TLS-S/MIME

69 Fortinet Confidential

12. Шифрование- TLS Delivery Enforcement Policy

(опционально)

Настройка TLS Profile и Delivery

Rule

Примечание: Необходимо

установить root CA

Certificate для удаленного домена

70 Fortinet Confidential

12. Шифрование - Identity Based Encryption - метод

“Pull”

⑤ ПОЛУЧАТЕЛЬ

ОТКРЫВАЕТ

ПОЛУЧЕННУЮ

ССЫЛКУ ⑥ ПОЛУЧАТЕЛЬ

РЕГИСТРИРУЕТСЯ И

АУТЕНТИФИЦИРУЕТСЯ

④ СООБЩЕНИЕ С

УВЕДОМЛЕНИЕМ И ССЫЛКОЙ

ОТПРАВЛЯЕТСЯ ПОЛУЧАТЕЛЮ

⑦ СООБЩЕНИЕ

ОТОБРАЖАЕТСЯ ЧЕРЕЗ

WEBMAIL INTERFACE

③ ЗАШИФРОВАННОЕ

СООБЩЕНИЕ ХРАНИТСЯ НА

FORTIMAIL В БЕЗОПАСНОМ

MAILBOX

3

② СООБЩЕНИЕ

СООТВЕТСТВУЕТ

ENCRYPTION

POLICY

7

① СООБЩЕНИЕ

ОТСЫЛАЕТСЯ

EMAIL

КЛИЕНТОМ

1

MTA

4

5

6

71 Fortinet Confidential

12. Шифрование - Identity Based Encryption - метод

“Push”

⑥ ПОЛУЧАТЕЛЬ

РЕГИСТРИРУЕТСЯ И

АУТЕНТИФИЦИРУЕТСЯ

④ УВЕДОМЛЕНИЕ ОТСЫЛАЕТСЯ

ПОЛУЧАТЕЛЮ С HTML

СОДЕРЖИМЫМ КАК

ВЛОЖЕНИЕМ

⑦ СООБЩЕНИЕ

ОТОБРАЖАЕТСЯ ЧЕРЕЗ

WEBMAIL INTERFACE

③ СООБЩЕНИЕ

ШИФРУЕТСЯ В

ФОРМАТЕ HTML

② СООБЩЕНИЕ

СООТВЕТСТВУЕТ

ENCRYPTION

POLICY

7

① СООБЩЕНИЕ

ОТСЫЛАЕТСЯ

EMAIL

КЛИЕНТОМ

1

MTA

5

3 4

⑤ ПОЛУЧАТЕЛЬ

ОТКРЫВАЕТ

ВЛОЖЕНИЕ

6

72 Fortinet Confidential

12. Шифрование – настройка IBE и Encryption

Profile

настройка IBE и Encryption Profile

73 Fortinet Confidential

12. Шифрование - Outbound IBE Policy Content

Filtering

Настройка IBE Policy

74 Fortinet Confidential

12. Шифрование – применение outbound IBE Policy

based Rule

Outbound Content Filtering policy

с content triggered IBE

75 Fortinet Confidential

12. Шифрование - Identity Based Encryption

(IBE) Message, Login, Interface

Secure Message

93 Fortinet Confidential

13. Архивация сообщений

Свойства архивации и исключения

105 Fortinet Confidential

Настройка SNMP - рекомендации

• Всегда используйте систему мониторинга для отслеживание

следующих параметров:

» fmlSysCpuUsage (.1.3.6.1.4.1.12356.105.1.6.0) утилизация CPU (%)

» fmlSysMemUsage (.1.3.6.1.4.1.12356.105.1.7.0) утилизация оперативной

памяти (%).

» fmlSysLogDiskUsage(.1.3.6.1.4.1.12356.105.1.8.0) утилизация лог диска(%).

» fmlSysMailDiskUsage (.1.3.6.1.4.1.12356.105.1.9.0) утилизация хранилища

сообщений(%).

» fmlSysSesCount (.1.3.6.1.4.1.12356.105.1.10.0) текущее количество сессий.

106 Fortinet Confidential

Настройка SNMP - рекомендации

• Настройка границ для SNMP Trap

107 Fortinet Confidential

Настройка SNMP - рекомендации

• Следует использовать Core MIB и MIB для версии прошивки,

которая используется.

» CORE MIB:

• ftp://support.fortinet.com/FortiMail/v5.00/Core%20MIB/FORTINET-CORE-MIB.mib

» 5.0.0 MIBs

• ftp://pftpintl:F0rt1intl@support.fortinet.com/FortiMail/v5.00/5.0/5.0.0/MIB/FORTINET-

FORTIMAIL-MIB.mib