FortiMail:FAQ
FortiMail:FAQ
Vorwort
Diese FAQ's sind für FortiMail Systeme basierend auf FortiOS 5.x!
Datenschutz
*********************************************************************
* *
* THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY *
* PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING, *
* DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM *
* ALSO SCHWEIZ AG SWITZERLAND. *
* *
*********************************************************************
"Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne
schriftliche Zustimmung von der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht
bekannt gemacht werden"
FAQ
License
Wie wird ein FortiMail unter VMware lizensiert?
Eine FortiMail Lizenz basiert auf folgender Matrix:
Wird somit einer VMWare Intanz mehr CPU's zugewiesen für eine entsprechende Version und die Lizenz wird eingespielt erscheint im entsprechenden License Widget folgende Fehlermeldung:
'Invalid license presented'
Somit muessen die zugewiesenen CPU's (Cores) reduziert werden gemäss Abbildung und entsprechenden Version und ein Neustart ausgeführt werden. Eine Lizenz eines FortiMail ist im Gegensatz zu einem zB FortiManager nicht IP Abhängig dh. die Lizenz wird registriert wie ein FortiManager jedoch ohne die Definition der IP Adresse! Bei der Lizensierung dh. neben den Hardware Komponenten sind die "Max Values" unter FortiMail zu berücksichtigen. Weitere Informationen siehe nachfolgneden Artikel:
FortiMail:FAQ#Was_sind_die_.22Maximum_Values.22_eines_FortiMails.3F
Wie wird eine License für FortiMail für VMware registriert und eingespielt?
Wenn man einen FortiMail für VMware installiert fällt einem auf, dass dieser keine Serien Nummer aufweist! Diese Serien Nummer wird erstellt beim Registrierungsvorgang. Dies bedeutet, als License Lieferung erhält man folgendes Dokument:
NOTE In der nachfolgenden Doku wird gezeigt wie ein FortiManager Lizenz registriert wird. Der Vorgang
Unterscheidet sich nur in der Definition der IP die benutzt wird bei einem FortiManager. Bei einem
FortiMail ist nicht nötig dh. FortiMail ist nicht Lizenztechnisch gesehen IP Abhängig!
Datei:FMVM0002306.pdf
In diesem Dokument ist ein "Registration Code" angegeben dh. anhand dieses "Registration Code" wird die Registrierung durchgeführt und in dieser Registrierung wird die Serien Nummer erstellt sowie das effektive License File. Um die Registrierung durchzuführen gehe auf folgende Seite:
http://support.fortinet.com NOTE Auf dieser Support Seit muss für den Registrierungsprozess eingeloggt werden. Ist "noch" kein Account vorhanden so führe den ersten Teil (erstellen eines Accounts) der folgende Anweisungen durch: FortiGate-5.0-5.2:FAQ#Wie_wird_ein_Fortinet_Device.2FGer.C3.A4t_Registriert.3F Wenn ein Account existiert logge dich anhand des Usernamens und Passwortes auf http://support.fortinet.com ein. Danach wähle unter "Asset Management" die Position "Register/Renew". Es erscheint folgender Dialog: Datei:Fortinet-212.jpg
Datei:Fortinet-216.jpg
Datei:Fortinet-217.jpg
Datei:Fortinet-218.jpg NOTE Auf diser Seite kann unter der Positon "License File Download" das Licens File, dass auf dem FortiMail eingespielt werden muss runtergeladen werden!
Sobald das Lizenz File runtergeladen wurde kann es unter folgender Position auf dem FortiMai Mgmt. Web Interface eingspielt werden:
System Status > License Information > VMWare > [Update...]
NOTE Es wird ein Neustart durchgeführt! Die Lizenz ist nicht IP Abhängig! Dies bedeutet immer die letzte
Instanz meldet sich in der FortiCloud (FortiGuard) dh. alle älteren Instanzen werden automatisch
inaktiv gesetzt! In der Console wird eine Meldung nach dem Neustart angezeigt:
License Registration Status changed to VALID
Nachdem erneuten einloggen kann nun die Serial Nummer dieser Installation aus folgender Position ausgelesen werden:
System Status > License Information
Diese Serial Nummer identifiziert diese Installation bei Support Fällen bei Fortinet und muss bei einem Support Case angegeben werden.
Documentation
Wo findet ich die Dokumente wie Datasheets, Quick Start Guide, User Guide etc. ?
Ueber folgenden internen Link findet man Datasheets und Quick Start Guide betreffend FortiMail Devices:
Fortinet:ProduktInfo
Ebenfalls lohnt es sich folgenden Link anzuschauen der "Cookbook" ähnliche Dokumente und Video's beinhaltet:
http://community.fortinet.com/
Auf folgender Seite findet man alle orginal Dokumente betreffend FortiMail:
http://docs.fortinet.com/fmail.html
FortiMail FAQ Dokument
Datei:FortiMail-FAQ.pdf (FortiMail Secure Email Gateway Appliances FAQ)
Datei:FortiMail-Cloud-FAQ.pdf (FortiMail Cloud - Secure Email Managed Service FAQ)
Diverse Dokumente
Datei:Fortimail-aws-deployment.pdf (FortiMail Amazon Web Services Deployment Guide)
Datei:Fortimail-adc-deployment.pdf (FortiMail ADC Deployment Guide)
Datei:FortiMail-Office365.pdf (Securing Your Enterprise Office 365 with FortiMail)
FortiMail FortiOS 4.0
| FortiMail Administration Guide |
| FortiMail CLI Reference |
| FortiMail Log Message Refrence |
| VM-Install Guide 4.0 MR3 |
FortiMail FortiOS 5.0 bis 5.3
| FortiMail Administration Guide |
| FortiMail CLI Reference |
| FortiMail Log Message Refrence |
| FortiMail Whats New? |
| FortiMail Rest API Reference |
| Creating a customized resource profile (disk quota) for any group of users |
FortiMail FortiOS 5.4
| FortiMail Release Notes |
| FortiMail Administrations Guide |
| FortiMail CLI Reference |
| FortiMail Rest API Reference |
FortiMail FortiOS 6.0
| FortiMail Release Notes |
| FortiMail Administration Guide |
| FortiMail CLI Reference |
| FortiMail REST API Reference |
Gibt es einen Link auf die Fortinet Knowledgebase auf der die Artikel gelistet sind?
http://pub.kb.fortinet.com/index/
Hardware
Was für ein Kabel benötige ich für den Consolen Anschluss (Seriell RS232) einer Fortinet?
Weitere Informationen siehe folgender Artikle:
FortiGate-5.0-5.2:FAQ#Was_f.C3.BCr_ein_Kabel_ben.C3.B6tige_ich_f.C3.BCr_den_Consolen_Anschluss_.28Seriell_RS232.29_einer_Fortinet.3F
Setup
Wie kann ein FortiMail Device eingesetzt/implementiert werden?
Ein FortiMail Device ist variable einsetzbar dh. je nach Bedürfniss kann ein FortiMail folgendermassen implementiert werden:
--> Gateway: Mail Router (MTA)
--> Transparent (IP Router or Layer 2 Switch)
--> Mail Server
NOTE Die vers. Modi können nicht parallel betrieben werden. Wenn ein neuer Modus aktiviert wird
geht die bestehende Konfiguration verloren!
Nachfolgende Abbilungen zeigt auf wie solche Implementationen in den verschiedenen Modi aussehen kann:
Mode GATEWAY
NOTE Diese Abbildungen zeigen wie ein FortiMail im Gateway Mode durch eine Firewall geschützt wird.
Ein FortiMail Device ist ein gehärteter Device dh. das Outbound Interface kann ohne Probleme
direkt zum Internet verbunden werden und das LAN Interface direkt ins LAN. Somit wird die FW
nicht zusätzlich belastet und es muss kein NAT Implementiert werden. Ob dies durchgeführt wird
hängt von den Gegebenheiten ab dh. ob mehrer Public IP's zur Verfügung stehen oder zB ob die
Firewall Auslastung zu hoch wird etc!?
Datei:Fortinet-624.jpg Datei:Fortinet-625.jpg
Mode TRANSPARENT
Datei:Fortinet-626.jpg Datei:Fortinet-627.jpg
Mode MAIL SERVER
Datei:Fortinet-628.jpg Datei:Fortinet-629.jpg
Was unterscheidet FortiMail in seiner Funktion von anderen Mail Gateways/Server (MTA/MUA)?
Wenn man mit FortiMail arbeitet sei es als Gateway (MTA), Server (MUA) oder im Transparent Modus fragt man sich wieso man nicht effektiv mit Interfaces zB Inbound Interface und/oder Outbound Interfaces arbeitet resp. Konfigurationen durchführt. Bei anderen Mail Systemen werden die Relays, Zugriff auf die Server auf Interfaces konfiguriert dh. der SMTP Deamon (Port 25) läuft auf einer bestimmten IP. Bei FortiMail ist dies so nicht der Fall dh. FortiMail arbeitet mit Policies die einem Grundsatz folgende und zwar:
Protect Domain (Eine Domaine die erfasst/konfiguriert wurde auf dem FortiMail)
Unprotected Domain (Eine Domaine die NICHT erfasst wurde auf dem FortiMail)
Die Grundlage eines FortiMail Installation stellt das Routing dar sprich dabei spielt es eigentlich keine Rolle wie ein FortiMail in eine Umgebung eingebunden wird dh. mit zwei oder mehreren Interfaces (ausser aus Performance Gründen). Aus diesem Grund -so wie FortiMail arbeitet- kann eine FortiMail Installation durchaus nur mit einem Interface (speziell für MTA Mode resp. Gateway Mode) in eine Umgebung eingebunden werden. Denn wenn eine Policy abgearbeitet wird geht FortiMail im Grundsatz nach folgenden Schema vor:
1. Recipient Adresse und/oder Sender Adresse werden analysiert sprich diese stellt eine bestimmt Domaine dar!
2. Die Recipient Adresse und/oder Sender Adresse werden verifiziert als "Protected Domain" oder als "Unprotected Domaine"!
3. Die entsprechende Domaine/n werden anhand DNS (MX Records / Reverse Lookup) betreffend IP verifiziert!
4. Die verifiziert IP wird lokalisiert dh. stimmt überein mit "Protected Domain" oder "Unprotected Domaine" (Externe Adresse)!
5. Anhand der verifizierten IP Adresse, wird nach der Abarbeitung der entsprechenden Policies, das Routing ausgelöst!
Dies zeigt auf, dass FortiMail Domaine basierend ist resp. von "Protected Domains" oder "Unprotected Domains" ausgeht und nicht mit IP basierenden Inbound/Outbound Interfaces arbeitet resp. mit SMTP Deamons die auf einer bestimmten Interface/IP konfiguriert ist/sind. Dies ist zu verinnerlichen wenn mit FortiMail gearbeitet wird um die korrekten Policies zu implementierten!
Wie sieht die Grundkonfiguration (Netzwerk) eines FortiMail aus?
Wenn man zB über VMware einen FortiMail installiert (über ovf File) so muss dieser über die Console der VMware für den ersten Zugriff Grundkonfiguriert werden (Gilt auch für den Device) dh. damit später über das WebInterface zugegriffen werden kann. Diese Grundkonfiguration sieht folgendermassen aus (Login User "admin" no password):
Interface Konfiguration
# config system interface
# edit port1
# set ip [IP Adresse/Netmask]
# set allowaccess http ping
# end
Default Gateway
# config system route
# edit 1
# set gateway [Gateway IP Adresse]
# end
Danach kann anhand der gesetzten IP auf das WebInterface zugegriffen werden:
http://[IP Adresse]/admin
NOTE Bei der Installation kann es ohne Lizenz im https Mode zu Problemen kommen! Der Grund ist die Low Level
Encrption. Aus diesem Grund empfehlen wir solange keine Reguläre Lizenz eingespielt ist http Mode zu
benutzen um das Problem zu umgehen. Sobald die Lizenz eingespielt ist kann auf https Mode umgestellt
werden. Detaillierte Informationen zu diesem Thema siehe folgender Artikel:
Fortinet:EvaluationNFR#Es_ist_nicht_m.C3.B6glich_anhand_meines_Broswer.27s_auf_meine_Fortinet_VMware_Installation_.28Eval.29_zu_zugreifen.3F
Wo kann ich den Hostnamen/Domaine für einen FortiMail Server setzen?
Der Hostname kann auf einem FortiMail Server unter folgender Position gesetzt werden:
Mail Settings > Settings > Mail Server Settings > [Host name | Local domain name]
Wenn der Hostname und/oder die Domain über Kommandozeile konfiguriert werden soll benütze folgende Kommandos:
# config system global
# set hostname [Host Name]
# set local-domain-name [Domaine Name
# end
Welche Ports benützt eine FortiMail Installation?
Folgende Tabelle zeigt welche Ports durch einen FortiMail Installation benutzt wird:
• Ports die benützt werden durch den FortiMail selber (outbound ports)
• Ports die benützt werden durch den FortiMail um Traffic zu erhalten (listening ports)
• Ports die benützt werden durch den FortiMail im Zusammenhang mit dem FortiGuard Distribution Network Service (FDN ports)
NOTE Die nachfolgende Auflistung zeigt ALLE Ports die möglich sind dh. je nach benutzten Optionen in der
Konfiguration sind diese Ports offen oder in Gebrauch!
Nachfolgende Grafik zeigt auf wie diese Ports im Process Flow benützt werden:
Was sind die "Maximum Values" eines FortiMails?
Nachfolgend eine Aufstellung (Matrix) der Maximum Values eines FortiMails basierend auf 6.0.3:
| FortiMail Maximum Values v6.0.3 |
|---|
|
|
|
Das ganze als File zum Download: |
Können innerhalb eines FortiMail Cluster's verschiedenen FortiMail Devices eingesetzt werden?
Ja dies ist möglich! Ein FortiMail Cluster kann in folgenden "Mode's" betrieben werden:
Active-Passive
Config-Only
Active-passive HA Config-only HA
2 FortiMail units in the HA group 2-25 FortiMail units in the HA group
Typically deployed behind a switch Typically deployed behind a load balancer
Both configuration* and data synchronized Only configuration* synchronized
Only primary unit processes email All units process email
No data loss when hardware fails Data loss when hardware fails
Failover protection, but no increased processing capacity Increased processing capacity, but no failover protection
In beiden Mode's sind bei der Konfiguration folgende Komponenten ausgenommen sprich werden "nicht" Synchronisiert:
Operation Mode
Host Name
Static Route
Interface Konfiguration
Management IP Adresse
SNMP System Information
Radi Konfiguration
HA Konfiguration
HA Deamon Konfiguration
HA Service Monitoring Konfiguration
System Apperarance
Config Only HA
Nachfolgend zwei Beispiele aus dem "Admin Guide" die diese zwei Modes aufzeigen:
NOTE Weitere "wichtige" Informationen betreffend diesen zwei Mode's sowie deren Konfiguration findet man im "Admin Guide" von FortiMail: FortiMail:FAQ#Wo_findet_ich_die_Dokumente_wie_Datasheets.2C_Quick_Start_Guide.2C_User_Guide_etc._.3F
Wenn FortiMail Devices/Modelle in einem Cluster gemischt werden werden die Konfigurationen limitiert nach dem "grössten" Modell. Dabei ist zu beachten das bei den Konfigurationen das "kleinere" Modell resp. die max. Values nicht überschritten werden. Grundvorraussetzung um vers FortiMail Modelle in einem Cluster Verbund zu mischen ist, dass auf den vers. Devices die "gleiche" Firmware eingesetzt wird.
Wie ändere ich für einen FortiMail den Mode damit ich diesen im Server, Gateway oder Transparent Mode betreiben kann?
Ein FortiMail kann in verschiedenen Modi betrieben werden (siehe Artikel FortiMail:FAQ#Wie_kann_ein_FortiMail_Device_eingesetzt.2Fimplementiert_werden.3F). Um den entsprechenden Mode umzustellen führe folgendes aus:
System Status > System Information > Operation Mode > Server
NOTE es wird ein Neustart durchgeführt und eine bestehende Konfiguration geht
verloren ausser die Netzwerk Konfiguration!
Wo können auf einer FortiMail die Administrations Ports definiert werden dh. für HTTP, HTTPS, Telnet sowie SSH?
Die Administrations Port kann man unter den System Einstellungen definieren:
| Konfiguration über das WebGui: | Konfiguration über die CLI: |
|---|---|
|
System > Configuration > Option > Administration Ports
|
config system global set port-http <gewünschter Wert eingeben> -> Admin Port für HTTP definieren set port-https <gewünschter Wert eingeben> -> Admin Port für HTTPS definieren set port-ssh <gewünschter Wert eingeben> -> Admin Port für SSH definieren set port-telnet <gewünschter Wert eingeben> -> Admin Port für TELNET definieren end |
Wie schalte ich nicht benötigte Service auf einem FortiMail ab wie zB SMTP Auth?
Je nach Konfiguration eines FortiMails sollten die "nicht benötigten" jedoch per Standard zur Verfügung stehenden Protokolle wie zB "SMTP Auth" abgeschaltet werden. Wird auf einem FortiMail IMAPS, SMTPS konfiguration laufen per Standard die "nicht" verschlüsselten Protokolle mit. Um diese gänzlich abzuschalten kann folgendes durchgeführt werden:
# config system mailserver
# set smtp-auth [enable | disable]
# set smtp-auth-over-tls [enable | disable]
# set smtp-auth-smtps [enable | disable]
# set smtps-tls-status [enable | disable]
# set smtp-auth-smtps [enable | disable]
# set pop3-service [enable | disable]
# set imap-service [enable | disable]
# end
Ebenfalls können unter dieser Konfiguration die Ports der einzelnen Service definiert werden:
# config system mailserver
# set smtp-port 25
# set smtp-msa-port 587
# set smtps-port 465
# set pop3-port 110
# end
Server Mode
Wie führe ich ein Grundsetup durch um einen FortiMail im Server Mode zu installieren/konfigurieren?
Folgende Aufstellung/Information zeigt ein Konfigurations-Ablauf auf für einen FortiMail im Server Mode. Je nach Konfiguration und Vorraussetzungen entfallen bestimmte Konfigurationspunkte:
0. Vorbereitung der Implementierung / Grundkonfiguration Netzwerk FortiMail:FAQ#Wie_kann_ein_FortiMail_Device_eingesetzt.2Fimplementiert_werden.3F FortiMail:FAQ#Was_unterscheidet_FortiMail_in_seiner_Funktion_von_anderen_Mail_Gateways.2FServer_.28MTA.2FMUA.29.3F FortiMail:FAQ#Was_ist_ein_MX_Record_und_wieso_ist_dies_eine_absolute_Grundvoraussetzung.3F FortiMail:FAQ#Wie_sieht_die_Grundkonfiguration_.28Netzwerk.29_eines_FortiMail_aus.3F 1. Lizenz einspielen FortiMail:FAQ#Wie_wird_ein_FortiMail_unter_VMware_lizensiert.3F FortiMail:FAQ#Wie_wird_eine_License_f.C3.BCr_FortiMail_f.C3.BCr_VMware_registriert_und_eingespielt.3F 2. Server Mode wählen FortiMail:FAQ#Wie_.C3.A4ndere_ich_f.C3.BCr_einen_FortiMail_den_Mode_damit_ich_diesen_im_Server.2C_Gateway_oder_Transparent_Mode_betreiben_kann.3F 3. Grundkonfiguration FortiMail "Server Mode" FortiMail:FAQ#Wie_kann_ich_die_Initial_Grundkonfig_eines_Server_Mode_konfigurieren.3F 4. Administration Access FortiMail:FAQ#Wo_k.C3.B6nnen_auf_einer_FortiMail_die_Administrations_Ports_definiert_werden_dh._f.C3.BCr_HTTP.2C_HTTPS.2C_Telnet_sowie_SSH.3F FortiMail:FAQ#Wo_kann_ich_den_Hostnamen.2FDomaine_f.C3.BCr_einen_FortiMail_Server_setzen.3F FortiMail:FAQ#Wo_kann_ich_das_Passwort_des_Administrator.27s_neu_setzen.3F FortiMail:FAQ#Wo_kann_ich_das_Timeout_des_Administrators_neu_anpassen.3F 5. Routing Konfiguration FortiMail:FAQ#Wie_kann_ich_einen_Routing_Eintrag_erstellen_auf_einem_FortiMail.3F 6. DNS Konfiguration FortiMail:FAQ#Wie_konfiguriere_ich_auf_einem_FortiMail_entsprechende_DNS_Server.3F 7. Datum / Zeit sowie NTP Konfiguration FortiMail:FAQ#Wie_kann_ich_auf_einem_FortiMail_die_korrekte_Timezone_setzen.3F FortiMail:FAQ#Wie_kann_ich_das_Datum_und_die_Zeit_auf_einem_FortiMail_setzen.3F FortiMail:FAQ#Wie_kann_ich_einen_NTP_Server_definieren_auf_einem_FortiMail.3F 8. Hostname / Domaine FortiMail:FAQ#Wo_kann_ich_den_Hostnamen.2FDomaine_f.C3.BCr_einen_FortiMail_Server_setzen.3F 9 Domain Relaying FortiMail:FAQ#Wo_kann_ich_eine_.22Domain.22_konfigurieren_f.C3.BCr_die_ein_FortiMail_die_Zust.C3.A4ndigkeit_.C3.BCbernimmt.3F 10. Relay / Access Control FortiMail:FAQ#Was_ist_.22Access_Control.22_und_was_ist_dabei_zu_ber.C3.BCcksichtigen_auf_einem_FortiMail.3F FortiMail:FAQ#Wo_kann_ich_auf_einer_FortiMail_einen_sogenannten_.22Relay.22_konfigurieren.3F FortiMail:FAQ#Welche_Bedeutung_haben_in_den_Access_Control_.22Internal.22_und.2Foder_.22External.22.3F 11. Profiles FortiMail:FAQ#Wo_kann_ich_die_Anzahl_Verbindungen_pro_Client_eingrenzen_.28Session_Profile.29.3F FortiMail:FAQ#Wo_kann_ich_die_AntiSpam_Funktion_konfigurieren_.28AntiSpam_Profile.29.3F FortiMail:FAQ#Wo_kann_ich_die_AntiVirus_Funktion_konfigurieren_.28AntiVirus_Profile.29.3F FortiMail:FAQ#Wo_kann_ich_die_Content_Funktion_konfigurieren_.28Content_Profile.29.3F FortiMail:FAQ#Wo_kann_ich_die_Resource_Funktion_konfigurieren_.28Resource_Profile.29.3F 12. IP-based Policies / Recipient Policies FortiMail:FAQ#Was_ist_der_Unterschied_zwischen_.22IP-based_Policies.22_und.2Foder_.22Recipient_Policies.22.3F 13. Logging / Reports FortiMail:FAQ#Kann_ich_die_Logs_eines_FortiMails_dem_FortiAnalyzer_.C3.BCbermitteln.3F 14. Backup / Restore FortiMail:FAQ#Wie_kann_ich_bei_Outgoing_EMails_die_.22Internen_Header.22_Informationen_automatisch_entfernen_lassen.3F FortiMail:FAQ#Wie_kann_ich_f.C3.BCr_ein_FortiMail_Server_ein_Restore_durchf.C3.BChren.3F
Wie kann ich die Initial Grundkonfig eines Server Mode konfigurieren?
Eine Initial Grundkonfig eines "Server Mode's" wird am besten anhand des zur Verfügung stehenden "Wizards" durchgeführt! Dabei muss berücksichtigt werden das dieser bei Ausführung sämtliche bestehende Konfiguration löscht. Dies bedeutet der Wizard "purged" die Datenbank und konfiguriert diese neu anhand eines Templates das wiederum anhand des Wizards abgefüllt wird. Um den Wizard auszuführen für den Server Mode muss der FortiMail Server auf den "Server Mode" umgestellt werden. Weitere Informationen dazu siehe folgender Artikel:
FortiMail:FAQ#Wie_.C3.A4ndere_ich_f.C3.BCr_einen_FortiMail_den_Mode_damit_ich_diesen_im_Server.2C_Gateway_oder_Transparent_Mode_betreiben_kann.3F
Danach kann der Wizard ausgeführt werden:
Starte nun den Wizard in der oberen Ecke Rechts:
NOTE Definiere sofern nötig abermalls das Passwort für den Superadmin User "admin"!
NOTE Gebe hier die "Domain" an für die der Mailserver zuständig sein wird. Wenn mehrere "Domainen"
existieren füge für jede einen Eintrag hinzu. Diese können auch nachträglich hinzugefügt werden!
NOTE Füge eine Eintrag mit einer entsprechenden IP hinzu für jeden Server der berrechtigt ist intern den
"FortiMail" im "Server Mode" als SMTP Server zu benutzen resp. EMails zuübermitteln.
Nun wird eine Zusammenfassung angezeigt die Kontrolliert werden kann. Mit "Back" kann eine etweilige Korrektur durchgeführt werden. Bestätige die Konfiguration mit dem "OK" Button. Es wird eine Neustart ausgeführt! Nachdem Neustart sollten die verschiedenen Konfigurationspunkte des Wizard durchkontrolliert sowie etweilige Ergänzungen hinzugefügt werden:
Erstelle eine Verbindung zum WebMgmt:
https://198.18.0.13/admin/
NOTE Um die Kontrolle durchzuführen siehe folgender Artikel:
FortiMail:FAQ#Wie_f.C3.BChre_ich_ein_Grundsetup_durch_um_einen_FortiMail_im_Server_Mode_zu_installieren.2Fkonfigurieren.3F
Transparent Mode
Was ist der Unterschied zwischen Gateway Mode und/oder Transparent Mode?
Gateway mode: • Incoming : Protected domain
• Outgoing : Unprotected domain
Transparent mode • Incoming : Protected IP
• Outgoing : Unprotected IP
Implicit rules • Incoming : RELAY
• Outgoing : REJECT
• No domain defined = Outgoing : REJECT
Was sind die Auswirkungen wenn ein FortiMail Device im Transparent Mode den Proxy aktiviert hat?
Wenn auf einem FortiMail Device im Transparent Mode den Proxy aktiviert wird so wird ein Mail vom Ausgangs Server direkt zum Ziel Server gesendet. Dies bedeutet schickt Client "A" ein Mail anhand des Server "A" zum Client "B" wird der Server "A" direkt Server "B" kontaktieren. Dies bedeutet wiederum der FortiMail Device wird benutzt um die SMTP Verbindung zu proxifizieren. Wenn Server "B" nicht erreichbar ist so wird das Mail in der Queue von Server "A" beibehalten und nicht auf dem FortiMail Device im Transparent Mode und aktiviertem Proxy. Somit gelten für die erneute Uebermittlungen die Einstellungen der Queue des Servers "A". Um diese Mode auf einem FortiMail Device mit Transparent Mode zu aktivieren benutze folgendes:
Incoming:
Benutze auf dem WebGui folgendes:
Mail Settings > Domains > [Wähle die entsprechende Domain] > Transparent Mode Options > Use this domain’s SMTP to deliver the email
Benutze auf der CLI folgendes:
# config domain
# edit [Definiere den Domain Name]
# config domain-setting
# set tp-use-domain-mta yes
# end
# next
# end
Outgoing:
Benutze auf dem WebGui folgendes:
Mail Settings > Domains > Use client-specified SMTP server to send email
Benutze auf der CLI folgendes:
# config mailsetting proxy-smtp
# set proxy-original enable
# end
Auf dem FortiMail Server ist der Traffic resp. die Verbindung per Standard nicht im Log ersichtlich (Siehe Artikel FortiMail:FAQ#Wie_aktiviere_ich_das_Logging_auf_einer_FortiMail_im_Transparent_Mode.3F_2). Die Konfiguration kann für "incoming" Domain basierend gesetzt werden jedoch für "outgoing" ist die Konfiguration Global!
Was passiert betreffend Interfaces wenn eine FortiMail in den Transparend Mode gesetzt wird?
Wenn ein FortiMail Device in den Transparent Mode gesetzt wird so werden ALLE Interfaces auf dem Device Mitglied einer Bridge! Dies bedeutet es ist Vorsicht geboten da eine "loop" Gefahr besteht.
Wie aktiviere ich das Logging auf einer FortiMail im Transparent Mode?
Siehe Artikel:
FortiMail:FAQ#Wie_aktiviere_ich_das_Logging_auf_einer_FortiMail_im_Transparent_Mode.3F_2
Wie kann ich in einem Mail die Infos betreffend einem FortiMail Server im Transparent Mode verstecken/entfernen?
Dies kann durchgeführt werden jedoch muss dies für Incoming und/oder Outgoing gesetzt werden:
Incoming:
Mail Settings > Domains > [Wähle den entsprechenden Domain Eintrag] > Transparent Mode Options > Hide the transparent box
# config domain
# edit [Definiere den Domain Name]
# config domain-setting
# set tp-hidden yes
# end
# next
# end
Outgoing:
Profile > Session > [Wähle das entsprechende Profile] > Connection Settings > Hide this box from the mail server
# config profile session
# edit [Definiere den Session Namen]
# set conn-hidden enable
# next
# end
Domain
Wo kann ich eine "Domain" konfigurieren für die ein FortiMail die Zuständigkeit übernimmt?
Wenn ein Mail zu einer bestimmten Domain gesendet wird so wird über die DNS Einträge (MX Records) verifiziert welcher Gateway zuständig ist für diese Domain. Damit dieser FortiMail Device dieses EMail entgegen nimmt muss dem FortiMail Device mitgeteilt werden, dass dieser für diese bestimmte Domain zuständig ist. Die zu konfigurierende Domaine wird unter folgenden Punkt erstellt:
Mail Settings > Domains > New
"Gateway Mode"
Datei:Fortinet-632.jpg
"Server Mode"
NOTE Wenn ein FortiMail Device im Server Mode betrieben wird ist die IP Eintrag "SMTP server"
irrelevant da der Server "nur" auf die Domaine hört und nicht auf die IP. Dies bedeutet
die Domaine nimmt automatisch die IP des FortiMail Devices im Server Mode.
Trage nun den entsprechenden Informationen ein:
Domain Name
Relay type
SMTP server
Durch die "SMTP Server" Konfiguration kann dem FortiMail Device mitgeteilt werden, über welche IP ("SMTP server") der FortiMail Device Nachrichten für die bestimmte Domain entgegen nehmen soll. Dies bedeutet hat ein FortiMail Device mehrer Interface, muss unter "SMTP server" die korrekte IP angegeben werden damit auf dem zuständigen Interface -auf dem die angegebene IP konfiguriert ist- die Nachrichten für diese Domaine entgegen genommen werden. Zusätzliche Domains können entweder mit einem separaten Eintrag konfiguriert werden oder durch die Funktion "Domain Association". Werden diese mit seperaten Eintrag konfiguriert können diese einzelnen Einträge durch die Funktion "Is subdomain" (Main domain) wiederum der "Main Domain" zugewiesen werden.
Profile
Wie kann ich unter "Policy" innerhalb der "Profiles" den Advanced Mode aktivieren?
Grundsätzlich kann man für die "Profiles" den "Advanced Mode" aktivieren. Dies bedeutet ist dieser nicht aktiviert (Per Standard) steht einem innerhalb der "Profiles" am ende des Menüs kein "Advanced Control" zur Verfügung. Möchte man diesen Advanced aktivieren führe folgendes durch:
# config system global
# set mta-adv-ctrl-status enable
# end
NOTE Dies wird nur unter FortiOS 5.x untersützt!
Sobald dieser Mode aktiviert wurde, steht einem innerhalb des entsprechenden Policy am ende eine neue Menüposition zur Verfügung dh. "Advanced Control".
Wo kann ich die Anzahl Verbindungen pro Client eingrenzen (Session Profile)?
Diese können über eine Profile unter "Sessions" konfiguriert werden und limitieren die Anzahl Verbindungen die ein Client/Host zum FortiMail Server öffnen kann dh.:
Profile > Session > New > Connection Settings
NOTE Ein guter Start ist die vorkonfigurierten Session Profiles zu verwenden die auf einem
FortiMail zur Verfügung stehen!
Dieses Profile kann anschliessend in eine entsprechende "IP Policies" eingebunden werden unter:
Policy > Policies > IP Policies
Gebe das entsprechende Profile unter "Session" an. Achte darauf das die neu erstellte Policy greift dh. es gilt innerhalb Policies "top down first match wins"!
Wo kann ich die AntiSpam Funktion konfigurieren (AntiSpam Profile)?
Diese können über eine Profile unter "AntiSpam" konfiguriert werden und beinhalten vers. Techniken für die Antispam Funktion dh.:
Profile > AntiSpam > New
NOTE Ein guter Start ist die vorkonfigurierten AntiSpam Profiles resp. Templates zu verwenden die auf einem
FortiMail zur Verfügung stehen! Weitere Informationen dazu siehe Artikel:
FortiMail:FAQ#Mit_welchen_AntiSpam_Profile.2FFunktionen_sollte_ein_FortiMail_zu_Beginn_konfiguriert_werden.3F
Nach der Konfiguration kann das Profile unter folgender Position eingebunden werden:
Policy > Policies > [IP-based Policies oder Recipient Policies]
Wo kann ich die AntiVirus Funktion konfigurieren (AntiVirus Profile)?
Das AntiVirus Profile kann unter folgender Position konfiguriert werden:
Profile > AntiVirus > New
NOTE Ein guter Start ist die vorkonfigurierten AntiVirus Profiles resp. Templates zu verwenden die auf einem
FortiMail zur Verfügung stehen!
Weitere Informationen dazu WAS in einer Nachricht betreffend AntiVirus kontrolliert wird findet man im folgenden Artikel:
FortiMail:FAQ#Was_wird_bei_einer_Nachricht_betreffend_AntiVirus_kontrolliert.3F
Nach der Konfiguration kann das Profile unter folgender Position eingebunden werden:
Policy > Policies > [IP-based Policies oder Recipient Policies]
Wo kann ich die Content Funktion konfigurieren (Content Profile)?
Der Content Filter kann unter folgender Position konfiguriert werden:
Profile > Content > Content
NOTE Ein guter Start ist die vorkonfiguirerten Content Profile die auf einem FortiMail zur Verfügung stehen zu benutzen
dh. "content_basic".
Nach der Konfiguration kann das Profile unter folgender Position eingebunden werden:
Policy > Policies > [IP-based Policies oder Recipient Policies]
Weitere Informationen dazu WAS in einem Nachricht betreffend Content Filter kontrolliert wird findet man im folgenden Artikel:
FortiMail:FAQ#Was_wird_bei_einer_Nachricht_betreffend_Content_Filter_kontrolliert.3F
Wo kann ich die Resource Funktion konfigurieren (Resource Profile)?
Ein Resource Profile kann unter folgender Position konfiguriert werden:
Profile > Resource > Resource
NOTE Ein guter Start ist die vorkonfiguirerten Resource Profile die auf einem FortiMail zur Verfügung stehen zu benutzen
dh. "misc_basic-predefined".
Nach der Konfiguration kann das Profile unter folgender Position eingebunden werden:
Policy > Policies > [Recipient Policies]
Weitere Informationen um was es sich bei einem Resource Profile handelt siehe nachfolgenden Artikel:
FortiMail:FAQ#Wie_kann_ich_die_zur_Verf.C3.BCgung_stehenden_Resourcen_f.C3.BCr_die_User.2FMailboxen_konfigurieren.3F
Relay / Access Control
Was ist "Access Control" und was ist dabei zu berücksichtigen auf einem FortiMail?
Der Access Control auf einem FortiMail (auch ACL) genannt kommt eine wichtige Grundfunktion von FortiMail gleich. Bedeutet: diese Rule entscheidet ob ein SMTP Client/Host eine Nachricht über den Server übermitteln kann. Wenn ein SMTP Client/Host eine Nachricht zum FortiMail übermittelt, kontrolliert FortiMail ob eine Access Control Rule "matched". Dieses "matching" wird bei der Verbindungsaufnahem durchgeführt und zwar anhand der Kommandos die durch den SMTP Client/Host dem FortiMail bei der Verbindungsaufnahme (Session) übermittelt wird:
envelope’s sender email address MAIL FROM:
recipient email address RCPT TO:
authentication AUTH
TLS STARTTLS
Ueberprüft werden die Access Controll Rules so wie diese aufgelistet sind dh. es gilt "top down first match wins". Wenn alle Attribute einer Access Controll übereinstimmen so wird diese Access Control angewandt und nicht mehr weiter evaluiert!
NOTE Nur eine "Access Control" kann für eine SMTP Session angewandt werden!
Wenn keine Access Control übereinstimmt (match) und der SMTP Client/Host ist NICHT für eine Authentication konfiguriert führt FortiMail die Standard Aktion aus dh. "RCPT TO:" Ueberprüfung. Dies bedeutet:
--> Für eine konfigurierte Domaine wird ein RELAY ausgeführt. FortiMail überprüft beim Mail Server anhand RCPT TO ob der User existiert!
--> Für eine NICHT konfigurierte Domaine wird ein REJECT ausgeführt!
NOTE Ein RCP TO wird dann ausgeführt wenn kein LDAP konfiguriert wurde dh. ansonsten wird der RCPT TO
nicht ausgeführt und über den LDAP kontrolliert ob der User existiert! Die meisten Mail Server unterstützen
die Funktion RCPT TO dh. ist der User auf dem Mail Server nicht vorhanden wird ein "unknown...." zurückgegeben
und FortiMail beendet die Session zum SMTP Client/Host. Wenn keine Access Control "matched" und die Domaine
existiert kann der Client zwar zur Domaine die konfiguriert (protected) ist auf dem FortiMail eine Nachricht übermitteln
jedoch nicht konfigurierte Domainen werden REJECT'd.
ACHTUNG Es ist darauf zu achten das keine Access Control existiert die in den "Sender Pattern" sowie in
den "Recipient Pattern" ein "*" (Wildcard), "Authentication" Any, "TLS" None und "Action" Relay
konfiguriert ist. Ist dies der Fall besteht die Gefahr eines "Open Relays"!
Welche Bedeutung haben in den Access Control "Internal" und/oder "External"?
In den Access Control kann auf vers. Positionen "Internal" und/oder "External" definiert werden. Diese haben folgende Bedeutung:
• Internal: Beinhaltet jede E-Mail Adresse einer erstellten/konfigurierten Domaine auf dem FortiMail (protected domain)
• External: Beinhaltet jede E-Mail Adresse einer NCIHT erstellten/konfigurierten Domaine auf dem FortiMail (unprotected domain)
Wo kann ich auf einer FortiMail einen sogenannten "Relay" konfigurieren?
Ein "Relay" Eintrag stellt einen Device/Host/Subnet/IP dar, die auf dem FortiMail Device erlaubt ist/sind. Dies bedeutet: bekommt der FortiMail Device Nachricht von einem eingetragenen Device/Host/Subnet/IP, nimmt der FortiMail Device diese Nachrichten entgegen und verarbeitet diese. Dabei ist zu beachten was FortiMail durchführt wenn kein entsprechender Eintrag vorhanden ist. Dazu siehe folgender Artikel:
FortiMail:FAQ#Was_ist_.22Access_Control.22_und_was_ist_dabei_zu_ber.C3.BCcksichtigen_auf_einem_FortiMail.3F
Um einen Device als "Relay" zum FortiMail hinzu zu fügen, muss auf dem FortiMail eine sogenannte "Access Control" erstellt werden. Eine "Access Control" ist ein Filter der FortiMail mitteilt wer Zugriff erlangt auf den FortiMail Server sei es als interner Host, als Authentifizierender User usw. Eine "Access Control" wird über folgende Position erstellt:
Policy > Access Control > New
Datei:Fortinet-633.jpg
NOTE In diesem Beispiel wird einem einzelnen "Internal" Host mit der IP "192.168.140.10/32" erlaubt
Nachrichten an den FortiMail zu übermitteln wobei die "Recipient pattern" (Destination EMail
Adresse) keine Rolle spielt und der Server sich nicht Authentifizieren muss! Durch die verschiedenen
Konfigurationsmöglichkeiten wie zB "Recipient pattern" kann der Filter weiter eingeschränkt oder
modifiziert werden! Soll zB der Server nur EMail Adressen der lokalen Domain entgegen nehmen wie
mydomain.ch, würde man als "Recipient pattern" folgendes eintragen:
*@mydomain.ch
Policy
Was ist der Unterschied zwischen "IP-based Policies" und/oder "Recipient Policies"?
• IP-based policies
Eine IP-based Policy basiert auf der IP Adresse des SMTP Client/Host sei es im Server Mode und/oder
im Gateway Mode. Diese IP-based Policies werden hauptsächlich als Outgoing Policies genutzt dh. wenn
der Empfänger keine bekannte/konfigurierte Domaine ist.
• Recipient-based policies
Eine Recipient Policy sollte dann benützt werden wenn die E-Mail Adresse resp. die Domaine als
Empfänger bekannt ist. Seit der Version 4.x und höher wird ebenfalls der Sender "Sender Patterns"
überprüft!
NOTE Wenn mit einer Vielzahl von Domain's gearbeitet wird dh. zB ISP so ist darauf zu achten das IP-based
Policies benutzt wird da Recipient-based Policies Performance Intensiver sind!
Grundsätzlich kann "nur" mit "Recipient Policies" gearbeitet werden. Es gilt zwar innerhalb der Policies "top down first match wins" jedoch gilt nicht IP-based Policy vor und/oder nach Recipient Policies sondern die Policies werden "gleichzeitig" angewandt zusammen mit deren Profiles wie Antispam, Antivirus etc.! Wenn mit "Recipient Policies" gearbeitet wird muss folgendes berücksichtigt werden:
Grundsätzlich werden zwei Recipient Policies unterschieden dh. "Incoming" und/oder "Outgoing". FortiMail wendet
"Incoming" Policies für eingehende Nachrichten an und "Outgoing" Policies für ausgehende Nachrichten. Definiert
wird eine Nachricht ob diese "Incoming" oder "Outgoing" ist über die Domaine in der "Recipient EMail Address". Die
Domaine in der "Recipient Email Address" wird definiert als Inbound oder Outbound über:
Auflösung der Domaine (MX) in IP Adresse (SMTP Server) und Vergleich dieser anhand der im FortiMail konfigurierten Domainen
Uebereinstimmung = Incoming (Incoming Policy)
Keine Uebereinstimmung = Outgoing (Outgoing Policy)
NOTE Wenn die "Recipient Email Address" über mehrere unterschiedliche Empfänger (vers. EMail Adress Domainen)
verfügt wird jede Einzelne gemäss der oberen Beschreibung definiert und zuständige Policies angewendet!
Routing
Wie kann ich einen Routing Eintrag erstellen auf einem FortiMail?
Auf dem Mgmt. Web Interface kann ein Routing Eintrag unter folgender Position durchgeführt werden:
System > Network > Routing
Wenn dies per Kommandozeile durchgeführt werden soll benütze folgende Kommandos:
# config system route
# edit [Gebe einen entsprechenden Integer an zB 1]
# set destination [IPv4 Adresse inkl. Subnet Mask]
# set gateway [IPv4 Adressse]
# end
DNS
Wie konfiguriere ich auf einem FortiMail entsprechende DNS Server?
Ueber das Web Mgmt. Interface können die DNS Server unter folgender Position konfiguriert werden:
System > Network > DNS
Möchte man die DNS Server über Kommandozeile konfigurieren benütze folgende Kommandos:
# config system dns
# set cache [enable | disable]
# set primary [ipv4_Addresse]
# set secondary [ipv4_Addresse]
# end
Wie kann ich auf einem FortiMail Device den DNS Cache löschen?
Wenn man DNS Manipulationen durchführt und nachträglich der FortiMail Device diese nicht abbildet, kann es sein das die alten DNS Information noch im DNS Cache des FortiMails besteht. Um diese zu löschen führe folgendes auf der CLI des FortiMail Devices durch:
# execute reload dnscached
# Restart dnscached?
# Do you want to continue? (y/n)y
Danach kann mit folgendem Befehl auf der FortiMail CLI die entsprechende Information betreffend DNS Modifikation abgefragt und überprüft werden:
# execute nslookup name mydomain.ch type mx
LDAP
Wie kann ich über eine LDAP Abfrage eine "User Recipient Verification" durchführen?
Eine "User Recipient Verification" ist unabdingbar für den Betrieb eines FortiMail im Server Mode da bei der entgegennahme eines Mails dies überprüft wird. Ist der User nicht vorhanden wird die Uebermittlung des Mail abgelehnt. Somit wenn "keine" solche Verifizierung durchgeführt wird werden Resourcen auf dem FortiMail Device belegt die nicht nötig wären und somit der Device unnötig belastet. Die einfachste Art und Weise so eine Verifizierung durchzuführen ist die Informationen aus dem Active Directory (LDAP) zu benutzen. Um eine LDAP Verifizierung zu konfigurieren wähle:
Profile > LDAP > New
Datei:Fortinet-634.jpg
Nachdem Speichern des LDAP Profils öffne dieses abermalls und teste die Erfassung des LDAP's anhand einer E-Mail Adresse über die Position:
[Test LDAP Query...]
Somit wird verifiziert "ob" die Anbindung zum LDAP funktioniert dh. anhand der angegebenen EMail Adresse wird eine Abfrage durchgeführt und die EMail Adresse resp. der User verifiziert. Wenn es zu Problemen kommt mit der Abfrage muss die "Base DN" sowie "Bind DN" überprüft werden. Dies kann zB anhand eines Tools durchgeführt werden wie:
Softerra LDAP Browser http://www.softerra.com/download.htm
Nun damit die "Recipient User Verfication" über die Recipient Adresse durchgeführt wird muss das entsprechende vorgängige LDAP Profile an dem entsprechenden Eintrag der Domain eingebunden werden. Dazu wähle:
Mail Settings > Domain > [Wähle den entsprechenden Eintrag für die Domain] > Edit > Recipient Address Verification > [Wähle das entsprechende LDAP Profile]
Datei:Fortinet-635.jpg
Datei:Fortinet-636.jpg
Nun sollte ein entsprechender Test durchgeführt werden dh. von Extern an eine gültig und nicht gültig Email Adresse eine Nachricht versendet werden. Im Log sieht man nun die Verification:
Monitor > Log
In der entpsrechenden Spalte sieht man nun für die eingehende Nachricht den Hinweis:
Recipient Verification
Wenn die entsprechende EMail Adresse nicht existiert erhält der Absender eine Fehlernachricht die folgendermassen aussieht:
The original message was received at Tue, 22 Jan 2013 13:37:07 +0100
from:
<user1@anywhere.com>
----- The following addresses had permanent fatal errors -----
<unknown@mydomain.com>
(reason: 550 5.1.1 <unknown@mydomain.com>... User unknown)
----- Transcript of session follows -----
... while talking to fml.mydomain.com.:
>>> DATA
<<< 550 5.1.1 <unknown@mydomain.com>... User unknown
550 5.1.1 User unknown
<<< 503 5.0.0 Need RCPT (recipient)
User
Wie kann ich das Administratoren Passwort zurücksetzen wenn dieses nicht mehr bekannt ist?
Wenn das Administratoren Passwort auf einer Fortimail nicht mehr bekannt ist gehe folgendermassen vor:
-> Erstelle eine Serielle Console.
-> Schalte den Device aus und ein oder starte diesen neu.
-> Sobald der Login erscheint gebe ein:
login: maintainer
Password: [bcpb[Serien Nummer des Gerätes dh. zB FE400C3M12000048; ergiebt demnach bcpbFE400C3M12000048]
Nun wird ein Login anhand des User "maintainer" durchgeführt! Sobald dieser Vorgang vollendet ist führe folgendes durch um das Administratoren Passwort zurückzusetzen:
# set sys admin user [Username dh. "admin"] password [Passwort]
NOTE Gebe ein Passwort an unter [Passwort]; Wenn kein Passwort angegeben werden soll vergebe folgendes ""!
Nun kann über das Mgmt. Interface wieder eingeloggt werden.
Wo kann ich das Passwort des Administrator's neu setzen?
Im Web Mgmt. Interface kann unter folgender Position das Passwort des Administrators gesetzt werden:
System > Administrator > [Wähle "admin"]
Danach wähle "Change Password". Nun kann das Passwort durch die Angabe des alten Passwortes -sofern dieses existiert- neu gesetzt werden! Soll das Passwort über Kommandozeile neu gesetzt werden gebe folgendes ein:
# config system admin
# edit admin
# set password
# end
Wo kann ich das Timeout des Administrators neu anpassen?
Das Timeout des Administrators kann unter folgender Position im Web Mgmt. Interface angepasst werden:
System > Configuration > Options > Idle timeout
Ueber Kommandozeile wird das Admin Timeout folgendermassen angepasst:
# config system global
# set admin-idle-timeout [Angabe in Minuten]
# end
Content Filter
Was wird bei einer Nachricht betreffend Content Filter kontrolliert?
Der Content Filter auf einem FortiMail kontrolliert folgende Komponenten einer Nachricht:
Subject Line
Message Body
Attachemenets
In einem Content Filter stehen folgende Positionen zur Konfguration zur Verfügung:
Profile > Content > Content > [Wähle New oder ein entsprechendes Profile]
Unter "Content Monitor Filter" können PDF, MSOffice und Archive anhand vorhandener "Dictionary" (SOX) oder selbsterstellter "Dictionary" durchsucht werden. Dieser Filter kommt einer DLP Funktion gleich;
Nach der Konfiguration kann das Profile unter folgender Position eingebunden werden:
Policy > Policies > [IP-based Policies oder Recipient Policies]
Wie kann ich eine bestimmte File Extension wie .exe in einer Nachricht auf einem FortiMail blocken?
Diese Konfiguration kann über den "Attachement Filtering" Funktion innerhalb des "Content Filter" Profile durchgeführt werden den man unter folgender Position findet:
Profile > Content > Content > [Wähle New oder ein entsprechendes Profile] > Attachement Filtering
Nach der Konfiguration kann das Profile unter folgender Position eingebunden werden:
Policy > Policies > [IP-based Policies oder Recipient Policies]
Gibt es auf einem FortiMail eine Funktion die eine Nachricht durchsucht nach bestimmten Kriterien und diese blocken kann (DLP)?
Diese Funktion die einer DLP (Data Loss Prevention) gleichkommt kann über einen "Content Filter" auf einem FortiMail konfiguriert werden. Dazu führe folgendes aus:
Profile > Content > Content > [Wähle New oder ein entsprechendes Profile] > Content Monitor and Filtering > New
Wähle innerhalb "Content Monitor and Filtering" New:
Nach der Konfiguration kann das Profile unter folgender Position eingebunden werden:
Policy > Policies > [IP-based Policies oder Recipient Policies]
Wie kann ich eine Nachricht basierend auf einem bestimmten Sender (FROM:) zu einem bestimmten Mail Server übermitteln?
Wenn ein FortiMail im Gateway Mode ist so wird über die entsprechende Konfiguration bestimmt wohin diese Nachrichten ausgeliefert werden. Diese Konfiguration findet man unter folgendem Konfigurationspunkt:
Mail Settings > Domains
In dieser Konfiguration wird der entsprechende Relay Host definiert für die entsprechende Domaine. Somit basiert diese Konfiguration auf der Empfänger Domaine (TO:). Möchte man jedoch einen bestimmte Sender Domain (FROM:) zu einem anderen Relay Host übermitteln, kann dies nicht über diese Konfiguration konfiguriert werden da dieser Konfigurationspunkt keine Konfiguration zulässt basierend auf FROM: (Sender). Diese Konfiguration kann jedoch über eine Content Action anhand eines Dictionary Profiles durchgeführt werden. Dies bedeutet: Ueber ein Dictionary Profile wird jedoch Nachricht im "header" überprüft betreffend der Position "FROM:" und wird einen Uebereinstimmung gefunden wird die Content Action in der Recipient Policy ausgeführt dh. die Nachricht zu einem bestimmten Relay Host übermittelt. Somit muss zu Beginn ein Dictionary Profile Konfiguriert werden:
Profile > Dictionary > Dictionary > New
Vergebe dem Dictionary Profile einen entsprechenden Namen und erstelle einen Dictionary Eintrag:
Anhand eines "Regex" wird nun definiert, was im "header" der Nachricht durchsucht werden soll sowie welche Uebereinstimmungen gesucht werden. Dabei definiert "From: .*@(domain\\.com|domain\\.lab)" die entsprechenden Domainen die im "header" für FROM: gesucht werden um diese nachträglich zu einem entsprechenden Relay Host zu übermitteln:
Speichere die Konfiguration des Dictionary Eintrages sowie erstellt anhand "Create" das Dictionary Profile:
Möchte man diese Konfiguration unter CLI durchführen führe folgendes aus:
# config profile dictionary
# edit domain_list
# config item
# edit 10
# set pattern "[EHeAdEr]^From: .*@(domain\\.com|domain\\.lab)"
# set pattern-scan-area header
# set comment "Deliver message based on FROM to alternate host"
# next
# end
# next
# end
Wie schon erwähnt wird über einen Content Profile in einem späteren Zeitpunkt eine Content Action ausgeführt. Damit diese Content Action in ein entsprechendes Content Profile definiert werden kann, muss diese Action erstellt werden:
Profile > Content > Action > New
Die Action definiert das Dictionary Profile "deliver_to_alternate" für "incoming". Wenn im "header" für FROM: die Regex Definition "From: .*@(domain\\.com|domain\\.lab)" gefunden wird, so wird die Action "deliver to alternate host" ausgeführt:
Möchte man diese Konfiguration unter CLI durchführen führe folgendes aus:
# config profile content-action
# edit deliver_to_alternate
# set alternate-host-status enable
# set alternate-host [Definiere die entsprechende IPv4 Adresse des Relay Host]
# next
# end
Nun muss die Content Action zu einem bestehenden Content Profile hinzugefügt werden oder zu einem neuen Content Profile. Wenn unter der Recipient Policy bereits ein bestehendes Content Profile exisitert sollte diese benutzt werden. Nachfolgendes Beispiel zeigt wie ein neues Content Profile erstellt wird:
Profile > Content > Content > New
Vergebe einen entsprechenden Namen für das Content Profile sowie definiere das Content Profile für "incoming". Nun erstelle ein "Content and Monitoring Filtering" Eintrag:
Definiere das entsprechende Dictionary Profile das wir erstellt haben "domain_list" sowie die Content Action "deliver_to_alternate":
Speichere nun das neue Content Profile mit "Create":
Möchte man diese Konfiguration unter CLI durchführen führe folgendes aus:
# config profile content
# edit alternate_relay
# config attachment-scan
# end
# config monitor
# edit 1
# set dictionary-profile domain_list
# set action deliver_to_alternate
# next
# end
# next
# end
Nun muss das Content Profile zur Recipient Policy hinzugefügt werden. Wie schon erwähnt sollte bereits ein Content Profile in der Recipient Policy bestehen sollte dieses benutzt werden um dieses für das Dictionary Profile mit der entsprechenden Content Action zu erweitern:
Policies > Policy > [Markiere den entsprechenden Recipient Policy Eintrag] > Edit
Definiere unter Profiles das entsprechende Content Profile in unser Beispiel das neu erstellte Content Profile "alternate_relay":
Nun kann die Konfiguration getestet werden!
AntiVirus
Was wird bei einer Nachricht betreffend AntiVirus kontrolliert?
Wenn eine Nachricht anhand eines AntiVirus Profiles kontrolliert wird so werden folgende Komponenten einer Nachricht gescannt:
EMail Header
EMail Body
EMail Attachements (inkl. Kompromierte Files wie ZIP, PKZIP, LHA, ARJ sowie RAR)
Die entsprechende Position für das "Antivirus Profile" zu konfigurieren findet man unter folgender Position:
Profile > AntiVirus > AntiVirus > [Wähle New oder ein entsprechendes Profile]
Nach der Konfiguration kann das Profile unter folgender Position eingebunden werden:
Policy > Policies > [IP-based Policies oder Recipient Policies]
Was bedeutet innerhalb des AntiVirus Profiles die Funktion "greyware scanning"?
Greyware wird im AntiVirus Bereich als seperate Kategorie benutzt, um Software zu bezeichnen wie Spyware und Adware oder andere Varianten! Diese Art von Software beeinträchtigen die Systemfunktionen auf einem System nicht direkt jedoch sammeln zB Daten über das System, Blenden Werbung ein usw.
AntiSpam
Wir wird AntiSpam auf einem FortiMail abgearbeitet (Antispam Sequenz)?
Antispam wird auf einem FortiMail folgendermassen abgearbeitet:
NOTE Wenn "alle" Antispam Funktionen aktiviert sind wird gilt für die unten aufgeführte Tabelle
Top -> Down! Der PDF File Type Scan wird in der unteren Tabelle nicht aufgelistet. Wenn
PDF Scan aktiviert ist, wird das PDF umkonvertiert in ein Format indem "heuristic, banned
word und image spam Scanner die Information des PDF lesen und analysieren können. Dies wird
durchgeführt im Moment indem der "message body" Analysiert wird! Die Analyse des PDF umfasst
die erste Seite des PDF!
Mit welchen AntiSpam Profile/Funktionen sollte ein FortiMail zu Beginn konfiguriert werden?
Nun es stehen verschiedene Templates auf dem FortiMail zur Verfügung die ein AntiSpam Profile mit seinen Funktionen vordefiniert:
Profile > AntiSpam > AntiSpam > [Wähle New oder ein entsprechendes Profile]
Zu Beginn sollte ein "medium" Template eingesetzt werden um den Traffic/Spam zu Analysieren. Wird ein "high" Template zu Beginn eingesetzt ist die Gefahr für "False Positive" relativ gross!
Nach der Konfiguration kann das Profile unter folgender Position eingebunden werden:
Policy > Policies > [IP-based Policies oder Recipient Policies]
Was ist und bedeutet FortiIP (Absender-IP-Reputation-Datenbank)?
Die meisten Spam's werden derzeit von falsch konfiguriert oder Virus-infizierten Hosts gesendet. FortiGuard Antispam Service verfügt über ein Weltweites IP-Reputation-Datenbank in der die Reputation der einzelnen IP's geführt und basiert auf vers. Eigenschaften der IP-Adressen -die aus verschiedenen Quellen gesammelt werden- beinhaltet. Die Eigenschaften einer IP-Adresse enthalten vers. Informationen wie:
- Whois
- Geografische Lage
- Service-Provider
- Offenes Relay
- Hijacked Host
Eine der wichtigsten Eigenschaften die verwendet wird, ist das E-Mail-Volumenen vom Absender das über "FortiGuard Service Network" gesammelt wird. FortiGuard Antispam Service überprüft die Reputation in der Reputation Database in Echtzeit.
Was ist und bedeutet FortiSig (Signature)?
FortiSig wird in 3 Kategorieren unterteilt dh.:
FortiSig1 (Spamvertised URLs)
Etwa 90% der Spam hat eine oder mehrere URLs im Nachrichtentext. Diese URLs verlinken auf Spammer-Websites, die ihre Produkte und Dienstleistungen
auf diesen Sites anbieten oder den Client durch Trojaner infisziert (Bot Net). Ein Beispiel sind Phishing-Spam's. Diese URLs leiten den User direkt
zu einer gefälschten Site (Bank) oder einem anderen Finanzinstitut. Auf dieser Site wird versucht an finanzielle Informationen des User zu kommen
um diesen nachträglich zu schädigen. Solche URLs werden von den Spam-Proben (Durch Kunden/User übermittelt etc.) extrahiert und durchlaufen eine
strenge QA-Prozesse bevor diese in die FortiSig Datenbank aufgenommen werden. Die URLs unterliegen einer Expiration in der veraltete Elemente nach
einer definierten Zeitspanne entfernt werden.
FortiSig2 (Spamvertised E-Mail-Adressen)
Ähnlich wie bei der spamvertised URLs (FortiSig1) werden in dieser Datenbank Email Adressen geführt die im Nachrichten Text vorkommen und User etc.
auffordern Informationen zu diesen E-Mail Adressen aufzunehmen etc.
FortiSig3 (Spam Objekt Prüfsummen)
Mit Hilfe eines proprietären Algorithmus, werden Objekte in Spam Mails identifiziert und eine Fuzzy-Prüfsumme wird aus diesen Objekt berechnet.
Das Objekt kann Teil der Nachricht oder eine Anlage sein. Die Prüfsumme wird dann in die Datenbank FortiSig hinzugefügt.
Was ist und bedeutet FortiRule (Dynamic Heuristic Rules)?
FortiRule verwendet dynamisch aktualisierte und heuristische Regeln um Spam zu identifizieren sowie die Nutzung verschiedener Attribute in der Spam-Nachrichten-Header, Body, MIME-Header und-Anhänge.
Wie kann ich feststellen ob eine IP in der "Reputation Database", "Black Listed" oder "Signature Database" ist?
Auf nachfolgenden Link kann eine IP eingegeben werden um zu überprüfen ob diese in der "Reputation Database", "Black Listed" oder in der "Signature Databse" ist:
http://www.fortiguard.com/tools/ip_lookup.html
Wie kann ich Fortinet ein Spam False Positiv betreffend FortiMail (inkl. Fortigate) melden?
Wenn durch die Spam Technik/Methodik eines FortiMail (inkl. Fortigate) ein Mail irrtümlicherweise als Spam deklariert wird (False Positiv), kann dies Fortinet über folgende EMail Adresse gemeldet werden (Mail anhängen nicht weiterleiten sondern als Attachement an das Mail anhängen damit die Headers des orginal Mails ersichtlich bleiben):
removespam@fortinet.com
Ein dediziertes Service Team von Fortinet kümmert sich um diese Anfragen und hat die Vorgabe diese inerhalb von 24 Stunden zu beantworten/erledigen. Dieses Team analysiert dieses Mail und führt betreffend FortiIP und FortiSig DB ein Update durch damit dieses False Positiv nicht mehr auftritt.
Weitere Informationen WIE so ein False Positiv übermittelt werden soll findet man unter folgendem Link:
http://www.fortiguard.com/antispam/antispam.html
Der folgende Link beinhaltet ebenfalls ein "Signature Lookup" der es ermöglichkt eine IP Adresse abzufragen wie diese in der Reputation Database gelistet ist. Dies gilt ebenfalls für URL sowie für Email Adressen.
Resource
Wie kann ich die zur Verfügung stehenden Resourcen für die User/Mailboxen konfigurieren?
Unter folgenden Position können vers. Resourcen für User/Mailboxen konfiguriert werden:
Profile > Resource > Resource > [Wähle New oder ein entsprechendes Profile]
Das bestehende Profile "misc_basic_predefined" existiert per Standard und definiert die Standard Werte einer User/Mailbox:
Nach der Konfiguration kann das Profile unter folgender Position eingebunden werden:
Policy > Policies > [Recipient Policies]
NOTE Ein "Resource Profile" kann nicht als "IP-based Policies" implementiert werden da die User Mailboxen
auf einer konfigurierten Domaine basieren resp. eine Protected Domain angehören!
Wie kann ich einem einzelnen User oder einer Gruppe den Webmail Access, Mobile Device Access oder Address Book deaktiveren?
Dies kann über ein Resource Profile konfiguriert werden. Dies bedeutet: Geht man davon aus, dass das "misc_basic_predefined" als Profile unter folgender Position für eine "Protected Domain" konfiguriert wurde haben alle User Access zu allen Resourcen wie Webmail, Mobile Device Access usw.:
Policy > Policies > [Recipient Policies]
Unter "Recipient Policies" ist zB folgendes konfiguriert:
Das "misc_basic_predefined" ist unter Resource Konfiguriert und sieht folgendermassen aus:
Nun erstellt man einfach ein neues "Resource Profile" unter folgender Position:
Profile > Resource > Resource > [Wähle New]
- Vergebe einen Namen zB "misc_basic_predefined_user1" und deaktiviere zB für den User1 den "Webmail" Access
Nun erstelle eine neue "Recipient Policies" und definiere folgendes in der "Recipient Policies":
- Definiere "Incoming" und unter Recipient "user1@mydomain.ch" sowie gebe das neue "Resource Profile" an
- Achte darauf das diese neue "Recipient Policy" vor der existierenden aufgelistet ist (top down first match wins)
Nun kann die Konfiguration getestet werden!
IBE (Identity Based Mail)
Was ist IBE (Identity Based Mail) Mail Veschlüsselung?
IBE wird unterschieden zwischen:
IBE PUSH
IBE PULL
Nachfolgendes Dokument gibt Auskunft über die IBE (Identity Based Mail) Funktion:
Datei:Withpaper-FortiMail IBE Function R2 201306.pdf
Technisch gesehen ist der Unterschied der folgende:
IBE PULL
Dabei sendet der Client ein EMail an den MTA. Dort existiert eine IBE Policy (PULL Encryption Access Policy) die
das Mail auf dem FortMail ablegt und dem Client der dieses Mail erhält ein Mail sendet mit einem entsprechenden Link.
Wenn der Client diesen Link öffnet (HTTPS) erstellt er einen Account anhand Username und Passwort etc. Danach öffnet
sich ein Webmail indem der Client dieses Mail anschauen kann dh. das encrypted Mail auf der FortiMail wird über das
Webmail decrypted und dem User über das Webmail zur Verfügung gestellt.
Nachfolgend ein kurzes Beispiel wie das Formular aussieht, dass der User auszufüllen hat um einen entsprechenden
Account zu erstellen sofern dieser nicht bereits existiert:
NOTE Das Beispiel Formular enthält die Funktion der "Security Question". Diese Funktion resp. Option kann
über folgende Position deaktiviert werden:
User > IBE User > Secure Question
IBE PUSH
Dabei sendet der Client ein EMail an den MTA. Dort existiert eine IBE Policy (PUSH Encryption Access Policy) die
das Mail encrypted und dem Client der dieses Mail (HTMl) erhält ein Mail sendet mit einem Anhang was wiederum das
ursprungs Mail in verschlüsselt form darstellt. Wenn der Client diesen Anhang öffnet wird eine Verbindung zum FortiMail
Server erstellt (HTTPS) und somit den Anhang der das ursprungs Mail darstellt decrypted und somit der User dieses
einsehen kann. Wenn der User der das Mail erhält nicht über einen entsprechenden Account verfügt muss er sich Erstmalig
registrieren (siehe Beispiel Formular Pull Methode).
Welche Verschlüsselungs Methode unterstützt die IBE (Identity Based Encryption) Funktion?
Die IBE (Identity Based Encryption) Funktion unterstützt folgende Verschlüsselungs Methoden:
3DES, AES128, AES192, AES256 und CAST5 128
NOTE Ist die IBE Funktion aus irgendwelchen Gründen nicht erreichbar wird TLS "enforced".
Ist TLS ebenfalls nicht möglich wird die Nachricht verworfen und ein DSN (Delivery Status
Notification) gesendet!
Die Verschlüsselungs Methode resp. "fallback" kann auf dem Mgmt. Gui der FortiMail über folgende Position konfiguriert werden:
Profile > Security > Encryption
Wie konfiguriere ich die IBE Funktion/Verschlüsselung im FortiMail?
Das nachfolgende Dokument zeigt wie die IBE Funktion/Verschlüsselung auf einem FortiMail konfiguriert wird. Dieses Dokument geht nur auf die Grundkonfiguration ein und ist basierend auf FortiMail 5.2.x:
Datei:Set-IBE-encryption-in-FortiMail-from scratch.pdf
Wo kann ich für IBE (Identity Based Encryption) die Security Questions deaktivieren?
Unter folgender Position können die "Security Questions" deaktiviert sowie verändert oder erweitert werden:
User > IBE User > Secure Question
Kann der Inhalt der Benachrichtigungen für die IBE (Identity Based Encryption) Funktion Pull/Push modifiziert werden?
Ja dies ist möglich! Die Benachrichtigungen sind entweder über Plain Text und/oder über HTML verfügbar und können editiert resp. "customized" werden. Nachfolgend ein kurzes Beispiel einer Push resp. Pull Benachrichtigung:
NTP / Time / Date
Wie kann ich auf einem FortiMail die korrekte Timezone setzen?
Die Timezone auf einem FortiMail kann über das Web Mgmt. Interface gesetzt werden unter folgender Position:
System > Configuration > Time > Time zone
Muss die Timezone auf Kommandozeile gesetzt werden so benütze folgendes Kommando:
# config system time manual
# set zone ?
NOTE Durch "?" werden alle verfügbaren Zeitzonen aufgelistet. Danach kann der richtige Code (Zahl)
benutzt werden um die Zeitzone zu setzen!
# set zone 26
# end
Wenn "daylight saving" deaktiviert werden soll (per Standard aktiviert) muss folgendes Kommando benützt werden:
# config system time manual
# set daylight-saving-time disable
# end
Wie kann ich das Datum und die Zeit auf einem FortiMail setzen?
Die Zeit sowie das Datum lassen sich auf einem FortiMail unter folgender Position setzen:
System > Configuration > Time
Um die Zeit sowie das Datum auf Kommandozeile zu ändern benütze folgendes:
# execute date mm/dd/yyyy hh:mm:ss
Wie kann ich einen NTP Server definieren auf einem FortiMail?
Unter folgender Position lässt sich innerhalb des Web Mgmt. Interface des FortiMail's einen NTP Server definieren:
System > Configuration > Time
Soll die NTP Server Konfiguration über Kommandozeile durchgeführt werden führen auf der Kommandozeile folgendes aus:
# config system time ntp
# set ntpserver [IPv4 Adresse oder FQDN Name]
# set ntpsync [enable | disable]
# set syncinterval [Intervall in Sekunden]
# end
Logging
Wie aktiviere ich das Logging auf einer FortiMail im Transparent Mode?
Wenn eine FortiMail im Transparent Mode ist werden "incoming" Verbindungen nicht im Log aufgezeichet da Incoming nicht als "Interception" Mode agiert dh. die sogenannte "Interception" muss aktiviert werden. Dies wird folgendermassen durchgeführt:
# config system interface
# edit [Name des Interfaces]
# set proxy-smtp-out-mode proxy
# next
# edit edit [Name des Interfaces]
# set proxy-smtp-out-mode proxy
# next
# end
Kann ich die Logs eines FortiMails Version 5.3 dem FortiAnalyzer übermitteln?
Ja dies ist möglich dh. führe folgendes durch:
Log and Report > Log Settings > Remote Log Settings > New...
NOTE Sobald die Konfiguration durchgeführt wurde wird im Hintergrund zum FortiAnalyzer ein Request
abgesetzt. Wenn nun in den FortiAnalyzer eingeloggt wird so wird der Request angezeigt und dieser
kann bestätigt werden! Danach erscheint der FortiMail Device in einer seperaten ADOM mit dem Namen
"Fortimail".
Die "local" Logs sollten deaktiviert werden. Dabei ist jedoch zu berücksichtigen, dass die Reports auf dem FortiMail danach nicht mehr zur Verfügung stehen resp. nicht mehr angewendet werden können da die Logs nicht mehr auf dem FortiMail zur Verfügung stehen. Deshalb ist es gut zu überlegen ob die "local" Logs deaktiviert werden sollen:
NOTE Die Reports die auf dem FortiAnalyzer betreffend FortiMail zur Verfügung stehen sind rudimentär!
In einem der späteren Releases des FortiAnalyzer's wird diesem Umstand Rechnung getragen! Auch
aus diesem Grund ist eine Ueberlegung wert bis zu diesem Zeitpunkt das "local" Log auf dem FortiMail
aktiviert zu lassen und die Reports aus dem FortiMail zu ziehen.
Wie kann ich vom FortiMail Version 6.0 auf einen FortiAnalyzer Logdaten übermitteln?
| Konfiguration über das WebGui: | Ergänzungen: |
|---|---|
|
|
Über folgendes Menu kann man den FortiAnalyzer konfigurieren: |
|
|
|
| Konfiguration über die CLI: |
|---|
config log setting remote
edit alsochlu-fortinet-faz
set status enable
set protocol oftps
set hash-algorithm sha256
set server 198.18.0.12
set event-log-status enable
set event-log-category webmail pop3 imap smtp
set sysevent-log-status enable
set sysevent-log-category configuration admin system ha update
set virus-log-status enable
set spam-log-status enable
set history-log-status enable
set encryption-log-status enable
next
end
|
Auf dem FortiAnalyzer:
| Konfiguration über das WebGui: | Ergänzungen: |
|---|---|
|
Log & Report > Log Settings > Remote > +New
|
Der FortiMail wird in die ADOM FortiMail hinzugefügt. |
|
|
Über die LogView können die Sessions eingesehen werden. Wenn mehrere FortiMails im Einsatz sind, kann im Feld DeviceName der entsprechende Hostname ausgewählt werden. Jetzt sieht man nur noch die Logs des gewünschten FortiMails. |
Quarantine
Wo muss ich die Web Quarantine definieren?
Um die Web Quarantine zu aktivieren muessen folgende Punkte konfiguriert sein:
AntiSpam > Quarantine > Webmail Access Setting > Web release host name/IP
Profile > AntiSpam > [entsprechendes Profile] > [Entsprechende Action unter "Default action"]
Unter "Personal quarantine" muss folgendes aktiviert sein:
Send quarantine report
Web release
NOTE Qurantine Reports werden periodisch übermittelt dh. um die Uebermittlung zu "forcen" wähle:
Monitor > Quarantine
Wähle die entsprechende Mailbox und danach "Send quarantine report to..."
Kalender
Ja, iese Informationen werden als FreeBusy Informationen zur Verfügung gestellt (Https Link):
WebDav
CalDav
Backup / Restore
Wie kann ich ein automatisiertes Backup auf einem FortiMail konfigurieren?
Unter folgender Position kann für FortiMail -sei es im Server oder Gateway Mode- ein automatisiertes Backup konfigurieren:
Maitenance > System > Configuration > Scheduled Backup
Unter dieser Position kann für "FTP" oder "SFTP" ein automatisiertes Backup konfiguriert werden. Das File das gespeichert wird auf dem "Remote" Server trägt den Namen:
config_[Version FortiMail]_[Datum des Backups]-[Zeit des Backups].cfg
Das Backup wird im "clear-text" angelegt und kann mit Wordpad eingesehen werden.
Wie kann ich für ein FortiMail Server ein Restore durchführen?
Basierend auf einem "regulären" Backup das zB automatisiert werden kann kann unter folgender Positioen ein Restore durchgeführt werden:
Maitenance > System > Configuration > Local PC
Für ein "Restore" gilt die Richtlinie:
Ein Restore kann nur dann durchgeführt werden wenn die gleiche Firmware vorhanden ist wie ursprünglich für das Backup!
Wie ein automatisiertes Backup konfiguriert werden kann siehe nachfolgenden Artikel:
FortiMail:FAQ#Wie_kann_ich_ein_automatisiertes_Backup_auf_einem_FortiMail_konfigurieren.3F
Troubleshooting
Wie kann ich den Traffic auf einer FortiMail sniffen?
Auf einer FortiMail steht wie bei einer FortiGate der Befehl "diagnose" zur Verfügung. Anhand dieses Befehls kann folgendes ausgeführt werden:
# diagnose sniffer packet port1 "port 25" 3
NOTE Die Angabe "3" gibt die Tiefe des Sniffen an (Debug Level)!
Weitere Informationen und weitere Kombinationen betreffend dem "diagnose sniffer" Befehl siehe folgender Artikel:
FortiGate-5.0-5.2:FAQ#Sniffen
Was passiert mit einem Mail auf einer FortiMail wenn dieses nicht übermittelt werden kann?
Wenn ein Mail temporär nicht übermittelt werden kann wird dieses Mail in der "Mail Queue" beibehalten. Wie mit dem Mail in so einem Fall verfahren wird bestimmt die Konfiguration der "Mail Queue" unter folgenden Punkt:
Mail Settings > Settings > Mail Server Settings > Mail Queue
NOTE Es kann durchaus 2 - 3 vergehen bis dieses Mail in der "Mail Queue" erscheint!
Die "Mail Queue" kann eingesehen werden unter folgenden Punkt:
Monitor > Mail Queue
In dieser "Mail Queue" kann ebenfalls ein Mail für eine erneute Uebermittlung angewählt und mit "Resend" (force) Uebermittelt werden. Wenn gemäss Einstellungen der "Mail Queue" die Uebermittlungen Fehlschlagen, wird das Mail in die "Dead Mail" verschoben. Dort kann zwar ein Mail anhand "View" angeschaut werden jedoch steht für eine erneute Uebermittlung nicht mehr zur Verfügung. Dies bedeutet das Mail muss vom User abermalls versendet werden!
Wie kann ich bei Outgoing EMails die "Internen Header" Informationen automatisch entfernen lassen?
Wenn ein EMail intern über verschiedene "hop's" zB von einem Server, über ein Mail Server zum Gateway (Relay) ins Internet versendet wird, wird der Weg des EMails in den "Nachrichten Optionen" (Header) aufgezeigt. Somit, wenn das EMail den Empfänger erreicht, kann dieser über die "Nachrichten Optionen" resp. den Header interne Informationen wie Name des Servers, Interne IP sowie Local Domain auslesen. Dies ist zu verhindern und kann unter folgender Position konfiguriert werden:
Mail Settings > Domains > Advanced Settings > Remove received header of outgoing email
Wenn diese Option aktiviert ist, entfernt der Mail Server resp. der Relay Gateway -ausser seiner Informationen- sämtliche vorgängigen Informationen. Wenn das Mail beim Empfänger ankommt sieht dieser unter den "Nachrichten Optioenn" nur den letzten "hop" sprich die Informationen des Mail Servers der die Nachricht gesendet hat. Sämtliche Informationen aus dem internen Netz sind nicht mehr ersichtlich.
Wie kann ich auf einer FortiMail einen Deamon/Prozess neu starten?
In einigen Situation kann es vorkommen das ein bestimmter Deamon resp. Prozess auf einer FortiMail neu gestartet werden muss. Standardsgemäss sollte dies über folgender Kommando durchgeführt werden:
# execute reload [Deamon Name]
Eine andere vorgehensweise ist die über die Funktion "diagnose test application". Dazu kann folgendes ausgeführt werden:
# diagnose test application ?
# diagnose test application [Deamon Name] 99
Die letzte Variante -die jedoch mit Vorsicht zu geniessen wäre- ist den Prozess anhand der PID (Prozess ID) zu beenden. Um dies durchzuführen muss zuerst anhand folgenden Befehls die PID eruiert werden:
# diagnose sys top
Run Time: 2 days, 16 hours and 48 minutes
0U, 0S, 100I; 442T, 154F, 127KF
scanunitd 519 R 4.7 3.2
ipsengine 63 S < 0.0 8.4
pyfcgid 511 S 0.0 4.9
NOTE In diesem Beispiel ist die PID des Deamons "ipsengine" die 63!
Sobald die Prozess ID (PID) eruiert wurde kann diese benutzt werden um anhand folgenden Befehls den Deamon zu beenden sowie neu zu starten:
# diagnose sys kill 15 63
NOTE Die Zahl "15" gibt den "kill level" an dies bedeutet folgendes:
SIGINT (2): Aehnlich Ctrl + C um in einer Session diese zu beenden. Hat für den "kill" Befehl praktisch keine Auswirkungen.
SIGTERM (15): Regulärer "kill" Level dh. durch "15" wird versucht den Deamon ordungsgemäss zu beenden ohne Risiko das eine
Konfiguration/Information verloren geht.
SIGKILL (9): Durch diesen "kill" Level wird der Deamon unweigerlich beendet dh. es wird auf vorhandenen Konfiguration/Information
keine Rücksicht genommen. Dieser "kill" Level sollte nur als letztes Mittel genutzt werden.
Divers
Was ist ein MX Record und wieso ist dies eine absolute Grundvoraussetzung?
MX Records werden genannt in Zusammenhang mit DNS Einträgen. Diese MX Records bedeuten "Mail Exchanger" sprich sind zuständig um mitzuteilen, dass eine bestimmte IP für eine bestimmte Domaine zuständig ist für den Mail Verkehr. Somit sind korrekte MX Records eine absolute Grundvorraussetzung für eine weitere Konfiguration im Zusammenhang mit der Implementation von Mail-Server/Gateway (MUA/MTA). Als Grundvorraussetzung gilt:
Jeder Mail Server der Incoming World oder Outgoing World Mails verarbeitet MUSS über folgende DNS Einträge verfügen:
- Korrekter MX Record
- Korrekter PTR Record (Reverse Lookup)
Ein korrekter MX DNS Eintrag sieht dem nach folgendermassen aus:
mydomain.ch. IN MX 10 fortimail.mydomain.ch.
NOTE Dieses Beispiel zeigt einen korrekten Eintrag für Unix Bind Version und bedeutet folgendes:
• Gibt die Domaine an für die diesen Eintrag gilt dh. "mydomain.ch."
• IN Gibt die "Internet protocol class" an!
• MX Gibt an, dass es sich bei diesem Eintrag um einen MX Record handelt!
• 10 Gibt die Präferenz (Priorität) an dh. je grösser der Wert desto tiefer die Präferenz!
• "fortimail.mydomain.ch." Gibt den zuständigen Mail Server sei es MTA/MUA an!
Nicht zu vergessen ist ein korrekt konfigurierter PTR Record dh. "Reverse Lookup". Ein korrekt funktionierender
Mail Gateway (MTA) wird nach der ersten Verbindung ein solcher "Revers Lookup" ausführen. Ist dieser PTR Record
nicht korrekt implementiert wird der Mail Gateway (MTA) diese Verbindung beenden da nicht verifiziert ist ob es
sich beim Server der die Verbindung erstellt wirklich um den Server handelt da die IP resp. Name nicht verifiziert
werden kann. Ein korrekter PTR Record sieht folgendermassen aus (Unix Bind):
[IP Adresse letztes Oktet zB "125"] IN PTR fortimail.mydomain.ch.
Sobald die Einträge durchgeführt wurden MUSS getestet werden und zwar kann dies folgendermassen durchgeführt werden:
Allgemein:DasDomänenNamenSystem#Ueberpr.C3.BCfung_von_MX_Records
Allgemein:DasDomänenNamenSystem#Ueberpr.C3.BCfung_von_Reverse_Lookups_f.C3.BCr_eine_IP
Somit ergiebt sich zB folgendes Beispiel:
mydomain.ch. IN MX 5 mx1.mydomain.ch.
mydomain.ch. IN MX 10 mx2.mydomain.ch.
NOTE Dieses Beispiel bedeutet folgendes: Für die Domaine "mydomain.ch" sind die Mail Server "mx1.mydomain.ch"
sowie "mx2.mydomain.ch" zuständig! Der Server "mx1.mydomain.ch" wird als "Erstes" angegangen da er über
eine tiefere "Präferenz" verfügt (5) und somit in einer höheren Priorität liegt. Ist dieser Server nicht
erreichbar wird Server "mx2.mydomain.ch" angegangen da dieser mit einer höheren "Präferenz" (10) als der
Server "mx1.mydomain.ch" versehen ist und somit eine tiefere Priorität hat! Nach RFC dürfen die MX Records
resp. die Server nicht im gleichen Public IP Subnet befinden dh. müssen in unterschiedlichen Public IP Subnet
sowie unterschiedlichen Lokation befinden!
Oft wird aus "User" Gründen ein zusätzlicher "A" Record hinzugefügt als Alias dh. damit der User nicht für den Mail Server einen komplizierten Namen eingeben werden muss zB im Outlook, IPhone usw. Dies bedeutet möchte man den Usern ermöglichen "mail.mydomain.ch" als SMTP und/oder POP3/IMAP eingeben zu können kann dies durchgeführt werden als CNAME. Folgendes Beispiel:
Es existieren 2 Mail Gateways (MTA) und 1 Mail Server (MUA) dies sind
mx1.mydomain.ch (Mail Gateway MTA)
mx2.mydomian.ch (Mail Gateway MTA)
fortimail.mydomain.ch (Mail Server MUA)
--> Die MTA (mx1/2) nehmen direkt Mail's von Outside World an und übermitteln diese an den MUA (fortimail) sowie können ebenfalls direkt an Outside World Mails übermitteln!
--> Der MUA nimmt keine Mails direkt von Outside World an (sondern bekommen diese über die MTA's (mx1/2) jedoch kann direkt an Outside World übermitteln (nicht über MTA)!
--> Zusätzlich wird ermöglich -damit die User nicht den Namen "fortimail.mydomain.ch" benützen müssen- den Namen "mail.mydomain.ch" zu benutzen!
Im DNS Server in der betreffenden Zone "mydomain.ch" sieht das folgendermassen aus:
fortimail IN A [IP Adresse fortimail.mydomain.ch]
mydomain.ch. IN MX 5 mx1.mydomain.ch.
mydomain.ch. IN MX 10 mail
mydomain.ch. IN MX 50 mx2.mydomain.ch.
mail IN CNAME fortimail.mydomain.ch.
NOTE Nach RFC ist ein CNAME Name für Mail Server im Zusammenhang mit den MX Records nicht regulär jedoch funktioniert
-sofern die MX Records und PTR Records ordnungsgemäss konfiguriert sind- einwandfrei!
Im DNS Server in der betreffenden IN-ADR-ARPA Zone (Reverse Lookup) sieht das folgendermassen aus:
[IP Adresse mx1 letzes Oktet] IN PTR mx1.mydomain.ch.
[IP Adresse mx1 letzes Oktet] IN PTR fortimail.mydomain.ch.
[IP Adresse mx1 letzes Oktet] IN PTR mx2.mydomain.ch.
NOTE In diesem Beispiel ist Port 25 (SMTP) von Outside World zu mx1/2 offen sowie zu fortimail.mydomain.ch geschlossen!
Für alle Server ist Port 25 nach Outside World offen!
Es gibt unzählige Varianten wie die MX Records aufgebaut werden können mit deren Mail Servern. Wichtig ist zu wissen wie sich das Failover Scenario ergiebt im Fall eines Ausfalles und wie sich die Mail Server sei es MTA und/oder MUA verhalten in der Ubermittlung! Eine vorgängige korrekte und transparent Planung ist umumgänglich sowie ein absolutes MUSS!
Was ist SMTP (Simple EMail Transfer Protocol) und wie funktioniert es?
Für detailierte Informationen betreffend SMTP (Simple Mail Transfer Protocol RFC 2821) sowie ESMTP (Extended Simple Mail Transfer Protocol RFC 1869) siehe Artikel:
Allgemein:DasSimpleMailTransferProtocol
Was bedeutet MTA/MUA/MAA im Zusammenhang mit SMTP Protokoll?
Innerhalb des SMTP Protokoll stösst man immer wieder auf die Ausdrücke MTA, MUA sowie MAA. Diese Abkürzungen resp. Ausdrücke bedeuten folgendes:
MTA - Mail Transfer Agent (Mail Router / Mail Gateway)
MUA - Mail User Agent (Mail Host / Mail Server)
MAA - Mail Access Agent (User Authentifizierung und Empfangen)
Wie sieht eine Basic EMail Verbindung (Flow) aus?
Nachfolgende Abbildung zeigt wie ein Basic EMail Flow aussieht dh. wie ein Mail vom Client bis zum Empfänger über die verschiedenen Komponenten abgewickelt werden:
Datei:Fortinet-630.jpg
Wie teste ich einen Mail Server SMTP Port 25 mit Telnet?
Nachfolgender Artikel zeigt wie man einen Mail Server SMTP Port 25 über Telnet testen kann:
Allgemein:DasSimpleMailTransferProtocol#Wie_teste_ich_einen_Mail_Server_SMTP_Port_25_mit_Telnet.3F
Wie sieht eine Basic SMTP Session aus?
Wenn ein User eine SMTP Session aufbaut so sieht dies in den Basics folgendermassen aus:
Datei:Fortinet-631.jpg
Dabei ist -speziell betreffende FortiMail- zu Unterscheiden zwischen:
--> Envelope Bereich
--> Data Bereich
Dies bedeutet in den vers. Konfigurationen wird in den Dokumentationen immer wieder darauf hingewiesen WO die verschiedenen Ueberprüfungen und Manipulationen eine Nachricht durchgeführt werden. Diesem Umstand ist umbedingt Rechnung zu tragen um die gewünschte Wirkung zu erzielen.
Wie kann ich einen FortiMail in die SecurityFabric integrieren?
Um einen FortiMail in die Security Fabric auf der FortiGate zu integrieren muss folgendermassen vorgegangen werden:
 Konfiguration über das WebGui: FORTIGATE
|
|
Konfiguration auf der FortiGate:
Nun den Access token generieren (Generate anwählen) Gib das Login des FortiMails ein damit der Token generiert wird. Kopiere jetzt den generierten Token in die Zwischenablage (am besten in en txt File kurz speichern) |
Konfiguration auf dem FortiMail:
Damit die FortiGate den Fortimail in die SecurityFabric integrieren kann muss auf dem FortiMail die API Schnittstelle aktiviert werden. Dies funktioniert über die CLI:
 Konfiguration über die CLI: FORTIMAIL
|
config system global set rest-api enable set fabric-api-token [generierten Token rein kopieren] end |
Auf der FortiGate sieht man den FortiMail jetzt in der Fabric Integriert:
Wenn man auf die Übersicht geht erkennt man jetzt den FortiMail eingebunden. In diesem Beispiel ist ein FortiMail im Server und ein FortiMail im Gateway Modus.
| Konfiguration über das WebGui: FORTIGATE
|
|
Dafür über das Menu: Security Fabric --> Logical Topology Das Laden kann einen Augenblick dauern. |
