FortiMail:FAQ: Unterschied zwischen den Versionen

FortiMail:FAQ

Ich weiss, dieses FAQ ist ziemlich veraltet – es ist, als würde man einen antiken Schatz ausgraben! Aber keine Sorge, ich arbeite fleissig daran, alle Artikel, Dokumente und Bilder auf den neuesten Stand zu bringen. Danke für deine Geduld, bald wird alles funkeln wie neu! add 28.05.2024 - 4Tinu

Vorwort

Diese FAQ's sind für FortiMail Systeme basierend auf FortiOS 5.x!

Datenschutz

        *********************************************************************
        *                                                                   *
        *  THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY  *
        *      PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING,      *
        *    DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM     *
        *                  ALSO SCHWEIZ AG SWITZERLAND.                     *
        *                                                                   *
        *********************************************************************

"Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne
schriftliche Zustimmung von der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht 
                         bekannt gemacht werden"

FAQ

License

Wie wird ein FortiMail unter VMware lizensiert?

Eine FortiMail Lizenz basiert auf folgender Matrix:

Wird somit einer VMWare Intanz mehr CPU's zugewiesen für eine entsprechende Version und die Lizenz wird eingespielt erscheint im entsprechenden License Widget folgende Fehlermeldung:

       'Invalid license presented'

Somit muessen die zugewiesenen CPU's (Cores) reduziert werden gemäss Abbildung und entsprechenden Version und ein Neustart ausgeführt werden. Eine Lizenz eines FortiMail ist im Gegensatz zu einem zB FortiManager nicht IP Abhängig dh. die Lizenz wird registriert wie ein FortiManager jedoch ohne die Definition der IP Adresse! Bei der Lizensierung dh. neben den Hardware Komponenten sind die "Max Values" unter FortiMail zu berücksichtigen. Weitere Informationen siehe nachfolgneden Artikel:

       FortiMail:FAQ#Was_sind_die_.22Maximum_Values.22_eines_FortiMails.3F

Wie wird eine License für FortiMail für VMware registriert und eingespielt?

Wenn man einen FortiMail für VMware installiert fällt einem auf, dass dieser keine Serien Nummer aufweist! Diese Serien Nummer wird erstellt beim Registrierungsvorgang. Dies bedeutet, als License Lieferung erhält man folgendes Dokument:

       NOTE In der nachfolgenden Doku wird gezeigt wie ein FortiManager Lizenz registriert wird. Der Vorgang
            Unterscheidet sich nur in der Definition der IP die benutzt wird bei einem FortiManager. Bei einem
            FortiMail ist nicht nötig dh. FortiMail ist nicht Lizenztechnisch gesehen IP Abhängig!

       Datei:FMVM0002306.pdf

In diesem Dokument ist ein "Registration Code" angegeben dh. anhand dieses "Registration Code" wird die Registrierung durchgeführt und in dieser Registrierung wird die Serien Nummer erstellt sowie das effektive License File. Um die Registrierung durchzuführen gehe auf folgende Seite:

       http://support.fortinet.com
       
       NOTE Auf dieser Support Seit muss für den Registrierungsprozess eingeloggt werden. Ist "noch" 
            kein Account vorhanden so führe den ersten Teil (erstellen eines Accounts) der folgende
            Anweisungen durch:
       
       FortiGate-5.0-5.2:FAQ#Wie_wird_ein_Fortinet_Device.2FGer.C3.A4t_Registriert.3F
       
       Wenn ein Account existiert logge dich anhand des Usernamens und Passwortes auf http://support.fortinet.com ein.
       Danach wähle unter "Asset Management" die Position "Register/Renew". Es erscheint folgender Dialog:
       
       Datei:Fortinet-212.jpg

       Datei:Fortinet-216.jpg

       Datei:Fortinet-217.jpg

       Datei:Fortinet-218.jpg
       
       NOTE Auf diser Seite kann unter der Positon "License File Download" das Licens File, dass auf dem FortiMail
            eingespielt werden muss runtergeladen werden!

Sobald das Lizenz File runtergeladen wurde kann es unter folgender Position auf dem FortiMai Mgmt. Web Interface eingspielt werden:

       System Status > License Information > VMWare > [Update...]
       
       NOTE Es wird ein Neustart durchgeführt! Die Lizenz ist nicht IP Abhängig! Dies bedeutet immer die letzte
            Instanz meldet sich in der FortiCloud (FortiGuard) dh. alle älteren Instanzen werden automatisch 
            inaktiv gesetzt! In der Console wird eine Meldung nach dem Neustart angezeigt:
            
            License Registration Status changed to VALID

Nachdem erneuten einloggen kann nun die Serial Nummer dieser Installation aus folgender Position ausgelesen werden:

       System Status > License Information

Diese Serial Nummer identifiziert diese Installation bei Support Fällen bei Fortinet und muss bei einem Support Case angegeben werden.

Documentation

Wo findet ich die Dokumente wie Datasheets, Quick Start Guide, User Guide etc. ?

Ueber folgenden internen Link findet man Datasheets und Quick Start Guide betreffend FortiMail Devices:

• Fortinet:ProduktInfo#FortiMail

Auf folgender Seite findet man alle orginal Dokumente betreffend FortiMail:

• Dokumente FortiMail Version 7.0
• Dokumente FortiMail Version 7.2
• Dokumente FortiMail Version 7.4
• Dokumente FortiMail Version 7.6

Legacy Dokumente:

       FortiMail FAQ Dokument
       Datei:FortiMail-FAQ.pdf                             (FortiMail Secure Email Gateway Appliances FAQ)
       Datei:FortiMail-Cloud-FAQ.pdf                       (FortiMail Cloud - Secure Email Managed Service FAQ)

       Diverse Dokumente
       Datei:Fortimail-aws-deployment.pdf                  (FortiMail Amazon Web Services Deployment Guide)
       Datei:Fortimail-adc-deployment.pdf                  (FortiMail ADC Deployment Guide)
       Datei:FortiMail-Office365.pdf                       (Securing Your Enterprise Office 365 with FortiMail)

edit 23.08.2024 - 4Tinu

Gibt es einen Link auf die Fortinet Knowledgebase auf der die Artikel gelistet sind?

• https://community.fortinet.com/t5/FortiMail/tkb-p/TKB21

add 28.05.2024 - 4Tinu

Wo finde ich die AdminGuides fuer den FortiMail?

Hier sind die Adminguides der GA Releases 7.0 bis 7.6 aufgeführt.

• Datei:FortiMail-AdminGuide-70.pdf 7.0.7
• Datei:FortiMail-AdminGuide-72.pdf 7.2.6
• Datei:FortiMail-AdminGuide-74.pdf 7.4.3
• Datei:FortiMail-AdminGuide-76.pdf 7.6.1

Cookbooks:

• Datei:FortiMail-Cookbook-70.pdf
• Datei:FortiMail-Cookbook-72.pdf
• Datei:FortiMail-Cookbook-74.pdf

edit 23.08.2024 - 4Tinu

Wo finde ich die CLI Kommandos fuer den FortiMail?

Hier sind die CLI Guides der GA Releases 7.0 bis 7.4 aufgeführt.

• Datei:FortiMail-CLI-70.pdf 7.0.7
• Datei:FortiMail-CLI-72.pdf 7.2.6
• Datei:FortiMail-CLI-74.pdf 7.4.3

add 23.085.2024 - 4Tinu

Wo finde ich die Log Referenzen fuer den FortiMail?

Hier sind die CLI Guides der GA Releases 7.0 bis 7.4 aufgeführt.

• Datei:FortiMail-LogMessageReference-70.pdf 7.0.0
• Datei:FortiMail-LogMessageReference-72.pdf 7.2.0
• Datei:FortiMail-LogMessageReference-74.pdf 7.4.0

add 28.05.2024 - 4Tinu

Wo finde ich die Syntaxe um den FortiMail mit RestAPI zu konfigurieren?

Hier sind die REST API Reference Guides der GA Releases 7.0 bis 7.4 aufgeführt.

• Datei:FortiMail-REST-API-Reference-70.pdf 7.0.0
• Datei:FortiMail-REST-API-Reference-72.pdf 7.2.0
• Datei:FortiMail-REST-API-Reference-74.pdf 7.4.0

add 28.05.2024 - 4Tinu

Wo finde ich die maximal moeglichen Werte (Maximale Values) vom FortiMail?

Hier sind die Maximalen Values der GA Releases von 7.0 bis 7.4 aufgeführt.

• Datei:FortiMail-MaximumValues-70.pdf 7.0.7
• Datei:FortiMail-MaximumValues-72.pdf 7.2.6
• Datei:FortiMail-MaximumValues-74.pdf 7.4.3
• Datei:FortiMail-MaximumValues-76.pdf 7.6.1

edit 23.08.2024 - 4Tinu

Hardware

Was für ein Kabel benötige ich für den Consolen Anschluss (Seriell RS232) einer Fortinet?

Weitere Informationen siehe folgender Artikle:

       FortiGate-5.0-5.2:FAQ#Was_f.C3.BCr_ein_Kabel_ben.C3.B6tige_ich_f.C3.BCr_den_Consolen_Anschluss_.28Seriell_RS232.29_einer_Fortinet.3F

Setup

Wie kann ein FortiMail Device eingesetzt/implementiert werden?

Ein FortiMail Device ist variable einsetzbar dh. je nach Bedürfniss kann ein FortiMail folgendermassen implementiert werden:

       --> Gateway: Mail Router (MTA)
       --> Transparent (IP Router or Layer 2 Switch)
       --> Mail Server
       
       NOTE Die vers. Modi können nicht parallel betrieben werden. Wenn ein neuer Modus aktiviert wird
            geht die bestehende Konfiguration verloren!

Nachfolgende Abbilungen zeigt auf wie solche Implementationen in den verschiedenen Modi aussehen kann:

       Mode GATEWAY
       
       NOTE Diese Abbildungen zeigen wie ein FortiMail im Gateway Mode durch eine Firewall geschützt wird. 
            Ein FortiMail Device ist ein gehärteter Device dh. das Outbound Interface kann ohne Probleme
            direkt zum Internet verbunden werden und das LAN Interface direkt ins LAN. Somit wird die FW
            nicht zusätzlich belastet und es muss kein NAT Implementiert werden. Ob dies durchgeführt wird
            hängt von den Gegebenheiten ab dh. ob mehrer Public IP's zur Verfügung stehen oder zB ob die
            Firewall Auslastung zu hoch wird etc!?
       
       Datei:Fortinet-624.jpg        Datei:Fortinet-625.jpg

       Mode TRANSPARENT
       
       Datei:Fortinet-626.jpg        Datei:Fortinet-627.jpg

       Mode MAIL SERVER
       
       Datei:Fortinet-628.jpg        Datei:Fortinet-629.jpg

Was unterscheidet FortiMail in seiner Funktion von anderen Mail Gateways/Server (MTA/MUA)?

Wenn man mit FortiMail arbeitet sei es als Gateway (MTA), Server (MUA) oder im Transparent Modus fragt man sich wieso man nicht effektiv mit Interfaces zB Inbound Interface und/oder Outbound Interfaces arbeitet resp. Konfigurationen durchführt. Bei anderen Mail Systemen werden die Relays, Zugriff auf die Server auf Interfaces konfiguriert dh. der SMTP Deamon (Port 25) läuft auf einer bestimmten IP. Bei FortiMail ist dies so nicht der Fall dh. FortiMail arbeitet mit Policies die einem Grundsatz folgende und zwar:

       Protect Domain (Eine Domaine die erfasst/konfiguriert wurde auf dem FortiMail)
       Unprotected Domain (Eine Domaine die NICHT erfasst wurde auf dem FortiMail)

Die Grundlage eines FortiMail Installation stellt das Routing dar sprich dabei spielt es eigentlich keine Rolle wie ein FortiMail in eine Umgebung eingebunden wird dh. mit zwei oder mehreren Interfaces (ausser aus Performance Gründen). Aus diesem Grund -so wie FortiMail arbeitet- kann eine FortiMail Installation durchaus nur mit einem Interface (speziell für MTA Mode resp. Gateway Mode) in eine Umgebung eingebunden werden. Denn wenn eine Policy abgearbeitet wird geht FortiMail im Grundsatz nach folgenden Schema vor:

       1. Recipient Adresse und/oder Sender Adresse werden analysiert sprich diese stellt eine bestimmt Domaine dar!
       2. Die Recipient Adresse und/oder Sender Adresse werden verifiziert als "Protected Domain" oder als "Unprotected Domaine"!
       3. Die entsprechende Domaine/n werden anhand DNS (MX Records / Reverse Lookup) betreffend IP verifiziert!
       4. Die verifiziert IP wird lokalisiert dh. stimmt überein mit "Protected Domain" oder "Unprotected Domaine" (Externe Adresse)!
       5. Anhand der verifizierten IP Adresse, wird nach der Abarbeitung der entsprechenden Policies, das Routing ausgelöst!

Dies zeigt auf, dass FortiMail Domaine basierend ist resp. von "Protected Domains" oder "Unprotected Domains" ausgeht und nicht mit IP basierenden Inbound/Outbound Interfaces arbeitet resp. mit SMTP Deamons die auf einer bestimmten Interface/IP konfiguriert ist/sind. Dies ist zu verinnerlichen wenn mit FortiMail gearbeitet wird um die korrekten Policies zu implementierten!

Wie sieht die Grundkonfiguration (Netzwerk) eines FortiMail aus?

Wenn man zB über VMware einen FortiMail installiert (über ovf File) so muss dieser über die Console der VMware für den ersten Zugriff Grundkonfiguriert werden (Gilt auch für den Device) dh. damit später über das WebInterface zugegriffen werden kann. Diese Grundkonfiguration sieht folgendermassen aus (Login User "admin" no password):

       Interface Konfiguration
       
       # config system interface
       # edit port1
       # set ip [IP Adresse/Netmask]
       # set allowaccess http ping
       # end

       Default Gateway
       
       # config system route
       # edit 1
       # set gateway [Gateway IP Adresse]
       # end

Danach kann anhand der gesetzten IP auf das WebInterface zugegriffen werden:

       http://[IP Adresse]/admin
       
       NOTE Bei der Installation kann es ohne Lizenz im https Mode zu Problemen kommen! Der Grund ist die Low Level
            Encrption. Aus diesem Grund empfehlen wir solange keine Reguläre Lizenz eingespielt ist http Mode zu 
            benutzen um das Problem zu umgehen. Sobald die Lizenz eingespielt ist kann auf https Mode umgestellt 
            werden. Detaillierte Informationen zu diesem Thema siehe folgender Artikel:
            
            Fortinet:EvaluationNFR#Es_ist_nicht_m.C3.B6glich_anhand_meines_Broswer.27s_auf_meine_Fortinet_VMware_Installation_.28Eval.29_zu_zugreifen.3F

Wo kann ich den Hostnamen/Domaine für einen FortiMail Server setzen?

Der Hostname kann auf einem FortiMail Server unter folgender Position gesetzt werden:

       Mail Settings > Settings > Mail Server Settings > [Host name | Local domain name]

Wenn der Hostname und/oder die Domain über Kommandozeile konfiguriert werden soll benütze folgende Kommandos:

       # config system global
       # set hostname [Host Name]
       # set local-domain-name [Domaine Name
       # end

Welche Ports benützt eine FortiMail Installation?

Folgende Tabelle zeigt welche Ports durch einen FortiMail Installation benutzt wird:

      • Ports die benützt werden durch den FortiMail selber (outbound ports)
      • Ports die benützt werden durch den FortiMail um Traffic zu erhalten (listening ports)
      • Ports die benützt werden durch den FortiMail im Zusammenhang mit dem FortiGuard Distribution Network Service (FDN ports)

      NOTE Die nachfolgende Auflistung zeigt ALLE Ports die möglich sind dh. je nach benutzten Optionen in der
           Konfiguration sind diese Ports offen oder in Gebrauch!

Nachfolgende Grafik zeigt auf wie diese Ports im Process Flow benützt werden:

Können innerhalb eines FortiMail Cluster's verschiedenen FortiMail Devices eingesetzt werden?

Ja dies ist möglich! Ein FortiMail Cluster kann in folgenden "Mode's" betrieben werden:

       Active-Passive
       Config-Only

       Active-passive                                                     HA Config-only HA
       2 FortiMail units in the HA group                                  2-25 FortiMail units in the HA group
       Typically deployed behind a switch                                 Typically deployed behind a load balancer
       Both configuration* and data synchronized                          Only configuration* synchronized
       Only primary unit processes email                                  All units process email
       No data loss when hardware fails                                   Data loss when hardware fails
       Failover protection, but no increased processing capacity          Increased processing capacity, but no failover protection

In beiden Mode's sind bei der Konfiguration folgende Komponenten ausgenommen sprich werden "nicht" Synchronisiert:

       Operation Mode
       Host Name
       Static Route
       Interface Konfiguration
       Management IP Adresse
       SNMP System Information
       Radi Konfiguration
       HA Konfiguration
       HA Deamon Konfiguration
       HA Service Monitoring Konfiguration
       System Apperarance
       Config Only HA

Nachfolgend zwei Beispiele aus dem "Admin Guide" die diese zwei Modes aufzeigen:

        
       
       NOTE Weitere "wichtige" Informationen betreffend diesen zwei Mode's sowie deren 
            Konfiguration findet man im "Admin Guide" von FortiMail:
            
            FortiMail:FAQ#Wo_findet_ich_die_Dokumente_wie_Datasheets.2C_Quick_Start_Guide.2C_User_Guide_etc._.3F

Wenn FortiMail Devices/Modelle in einem Cluster gemischt werden werden die Konfigurationen limitiert nach dem "grössten" Modell. Dabei ist zu beachten das bei den Konfigurationen das "kleinere" Modell resp. die max. Values nicht überschritten werden. Grundvorraussetzung um vers FortiMail Modelle in einem Cluster Verbund zu mischen ist, dass auf den vers. Devices die "gleiche" Firmware eingesetzt wird.

Wie ändere ich für einen FortiMail den Mode damit ich diesen im Server, Gateway oder Transparent Mode betreiben kann?

Ein FortiMail kann in verschiedenen Modi betrieben werden (siehe Artikel FortiMail:FAQ#Wie_kann_ein_FortiMail_Device_eingesetzt.2Fimplementiert_werden.3F). Um den entsprechenden Mode umzustellen führe folgendes aus:

       System Status > System Information > Operation Mode > Server
       
       NOTE es wird ein Neustart durchgeführt und eine bestehende Konfiguration geht
            verloren ausser die Netzwerk Konfiguration!

Wo können auf einer FortiMail die Administrations Ports definiert werden dh. für HTTP, HTTPS, Telnet sowie SSH?

Die Administrations Port kann man unter den System Einstellungen definieren:

config system global
   set port-http <gewünschter Wert eingeben>    -> Admin Port für HTTP definieren
   set port-https <gewünschter Wert eingeben>   -> Admin Port für HTTPS definieren
   set port-ssh <gewünschter Wert eingeben>     -> Admin Port für SSH definieren
   set port-telnet <gewünschter Wert eingeben>  -> Admin Port für TELNET definieren
end

Wie schalte ich nicht benötigte Service auf einem FortiMail ab wie zB SMTP Auth?

Je nach Konfiguration eines FortiMails sollten die "nicht benötigten" jedoch per Standard zur Verfügung stehenden Protokolle wie zB "SMTP Auth" abgeschaltet werden. Wird auf einem FortiMail IMAPS, SMTPS konfiguration laufen per Standard die "nicht" verschlüsselten Protokolle mit. Um diese gänzlich abzuschalten kann folgendes durchgeführt werden:

       # config system mailserver
       # set smtp-auth [enable | disable]
       # set smtp-auth-over-tls [enable | disable]
       # set smtp-auth-smtps [enable | disable]
       # set smtps-tls-status [enable | disable]
       # set smtp-auth-smtps [enable | disable]
       # set pop3-service [enable | disable]
       # set imap-service [enable | disable]
       # end 

Ebenfalls können unter dieser Konfiguration die Ports der einzelnen Service definiert werden:

       # config system mailserver
       # set smtp-port 25
       # set smtp-msa-port 587
       # set smtps-port 465
       # set pop3-port 110
       # end

Server Mode

Wie führe ich ein Grundsetup durch um einen FortiMail im Server Mode zu installieren/konfigurieren?

Folgende Aufstellung/Information zeigt ein Konfigurations-Ablauf auf für einen FortiMail im Server Mode. Je nach Konfiguration und Vorraussetzungen entfallen bestimmte Konfigurationspunkte:

       0.  Vorbereitung der Implementierung / Grundkonfiguration Netzwerk       FortiMail:FAQ#Wie_kann_ein_FortiMail_Device_eingesetzt.2Fimplementiert_werden.3F
                                                                                FortiMail:FAQ#Was_unterscheidet_FortiMail_in_seiner_Funktion_von_anderen_Mail_Gateways.2FServer_.28MTA.2FMUA.29.3F
                                                                                FortiMail:FAQ#Was_ist_ein_MX_Record_und_wieso_ist_dies_eine_absolute_Grundvoraussetzung.3F
                                                                                FortiMail:FAQ#Wie_sieht_die_Grundkonfiguration_.28Netzwerk.29_eines_FortiMail_aus.3F
       1.  Lizenz einspielen                                                    FortiMail:FAQ#Wie_wird_ein_FortiMail_unter_VMware_lizensiert.3F
                                                                                FortiMail:FAQ#Wie_wird_eine_License_f.C3.BCr_FortiMail_f.C3.BCr_VMware_registriert_und_eingespielt.3F
       2.  Server Mode wählen                                                   FortiMail:FAQ#Wie_.C3.A4ndere_ich_f.C3.BCr_einen_FortiMail_den_Mode_damit_ich_diesen_im_Server.2C_Gateway_oder_Transparent_Mode_betreiben_kann.3F
       3.  Grundkonfiguration FortiMail "Server Mode"                           FortiMail:FAQ#Wie_kann_ich_die_Initial_Grundkonfig_eines_Server_Mode_konfigurieren.3F
       4.  Administration Access                                                FortiMail:FAQ#Wo_k.C3.B6nnen_auf_einer_FortiMail_die_Administrations_Ports_definiert_werden_dh._f.C3.BCr_HTTP.2C_HTTPS.2C_Telnet_sowie_SSH.3F
                                                                                FortiMail:FAQ#Wo_kann_ich_den_Hostnamen.2FDomaine_f.C3.BCr_einen_FortiMail_Server_setzen.3F
                                                                                FortiMail:FAQ#Wo_kann_ich_das_Passwort_des_Administrator.27s_neu_setzen.3F
                                                                                FortiMail:FAQ#Wo_kann_ich_das_Timeout_des_Administrators_neu_anpassen.3F
       5.  Routing Konfiguration                                                FortiMail:FAQ#Wie_kann_ich_einen_Routing_Eintrag_erstellen_auf_einem_FortiMail.3F
       6.  DNS Konfiguration                                                    FortiMail:FAQ#Wie_konfiguriere_ich_auf_einem_FortiMail_entsprechende_DNS_Server.3F
       7.  Datum / Zeit sowie NTP Konfiguration                                 FortiMail:FAQ#Wie_kann_ich_auf_einem_FortiMail_die_korrekte_Timezone_setzen.3F
                                                                                FortiMail:FAQ#Wie_kann_ich_das_Datum_und_die_Zeit_auf_einem_FortiMail_setzen.3F
                                                                                FortiMail:FAQ#Wie_kann_ich_einen_NTP_Server_definieren_auf_einem_FortiMail.3F
       8.  Hostname / Domaine                                                   FortiMail:FAQ#Wo_kann_ich_den_Hostnamen.2FDomaine_f.C3.BCr_einen_FortiMail_Server_setzen.3F
       9   Domain Relaying                                                      FortiMail:FAQ#Wo_kann_ich_eine_.22Domain.22_konfigurieren_f.C3.BCr_die_ein_FortiMail_die_Zust.C3.A4ndigkeit_.C3.BCbernimmt.3F
      10.  Relay / Access Control                                               FortiMail:FAQ#Was_ist_.22Access_Control.22_und_was_ist_dabei_zu_ber.C3.BCcksichtigen_auf_einem_FortiMail.3F
                                                                                FortiMail:FAQ#Wo_kann_ich_auf_einer_FortiMail_einen_sogenannten_.22Relay.22_konfigurieren.3F
                                                                                FortiMail:FAQ#Welche_Bedeutung_haben_in_den_Access_Control_.22Internal.22_und.2Foder_.22External.22.3F
      11.  Profiles                                                             FortiMail:FAQ#Wo_kann_ich_die_Anzahl_Verbindungen_pro_Client_eingrenzen_.28Session_Profile.29.3F
                                                                                FortiMail:FAQ#Wo_kann_ich_die_AntiSpam_Funktion_konfigurieren_.28AntiSpam_Profile.29.3F
                                                                                FortiMail:FAQ#Wo_kann_ich_die_AntiVirus_Funktion_konfigurieren_.28AntiVirus_Profile.29.3F
                                                                                FortiMail:FAQ#Wo_kann_ich_die_Content_Funktion_konfigurieren_.28Content_Profile.29.3F
                                                                                FortiMail:FAQ#Wo_kann_ich_die_Resource_Funktion_konfigurieren_.28Resource_Profile.29.3F
      12.  IP-based Policies  / Recipient Policies                              FortiMail:FAQ#Was_ist_der_Unterschied_zwischen_.22IP-based_Policies.22_und.2Foder_.22Recipient_Policies.22.3F
      13.  Logging / Reports                                                    FortiMail:FAQ#Kann_ich_die_Logs_eines_FortiMails_dem_FortiAnalyzer_.C3.BCbermitteln.3F
      14.  Backup / Restore                                                     FortiMail:FAQ#Wie_kann_ich_bei_Outgoing_EMails_die_.22Internen_Header.22_Informationen_automatisch_entfernen_lassen.3F
                                                                                FortiMail:FAQ#Wie_kann_ich_f.C3.BCr_ein_FortiMail_Server_ein_Restore_durchf.C3.BChren.3F

Wie kann ich die Initial Grundkonfig eines Server Mode konfigurieren?

Eine Initial Grundkonfig eines "Server Mode's" wird am besten anhand des zur Verfügung stehenden "Wizards" durchgeführt! Dabei muss berücksichtigt werden das dieser bei Ausführung sämtliche bestehende Konfiguration löscht. Dies bedeutet der Wizard "purged" die Datenbank und konfiguriert diese neu anhand eines Templates das wiederum anhand des Wizards abgefüllt wird. Um den Wizard auszuführen für den Server Mode muss der FortiMail Server auf den "Server Mode" umgestellt werden. Weitere Informationen dazu siehe folgender Artikel:

       FortiMail:FAQ#Wie_.C3.A4ndere_ich_f.C3.BCr_einen_FortiMail_den_Mode_damit_ich_diesen_im_Server.2C_Gateway_oder_Transparent_Mode_betreiben_kann.3F

Danach kann der Wizard ausgeführt werden:

       Starte nun den Wizard in der oberen Ecke Rechts:
       
       

       NOTE Definiere sofern nötig abermalls das Passwort für den Superadmin User "admin"!

       
       
       NOTE Gebe hier die "Domain" an für die der Mailserver zuständig sein wird. Wenn mehrere "Domainen" 
            existieren füge für jede einen Eintrag hinzu. Diese können auch nachträglich hinzugefügt werden!

       
       
       NOTE Füge eine Eintrag mit einer entsprechenden IP hinzu für jeden Server der berrechtigt ist intern den 
            "FortiMail" im "Server Mode" als SMTP Server zu benutzen resp. EMails zuübermitteln.

Nun wird eine Zusammenfassung angezeigt die Kontrolliert werden kann. Mit "Back" kann eine etweilige Korrektur durchgeführt werden. Bestätige die Konfiguration mit dem "OK" Button. Es wird eine Neustart ausgeführt! Nachdem Neustart sollten die verschiedenen Konfigurationspunkte des Wizard durchkontrolliert sowie etweilige Ergänzungen hinzugefügt werden:

       Erstelle eine Verbindung zum WebMgmt:
       
       https://198.18.0.13/admin/
       
       NOTE Um die Kontrolle durchzuführen siehe folgender Artikel:
       
            FortiMail:FAQ#Wie_f.C3.BChre_ich_ein_Grundsetup_durch_um_einen_FortiMail_im_Server_Mode_zu_installieren.2Fkonfigurieren.3F

Wie kann ich die Anzahl der lokalen Postfaecher auf dem FortiMail im Servermodus erhöhen?

Jedes FortiMail Modell hat eine bestimmte anzahl Postfächer welche im Servermodus auf dem System erstellt werden können. Diese Limmite kann im Datenblatt unter folgender Spalte entnommen werden:
Server mode local mailboxes

Auf einer VM01 sind somit 150 Mailboxen möglich auf dem System einzurichten. Diese Anzahl bezieht sich auf alle auf dem FortiMail eingerichteten Domainen!

Falls folgende Meldung beim Einrichten eines Postfaches erscheint, aber die Limmite noch nicht erreicht ist, muss in der entsprechenden Domaine das maximum angepasst werden.

Das Maximum kann folgendermassen angepasst werden.

Wichtig du musst dich als Systemadministrator einloggen, ansonsten wirst du das folgende nicht durchführen können:

Konfiguration über das WebGui:

Navigiere auf das Menu Domain & User → Domain. Falls du mehrere Email Domainen eingerichtet hast, wähle die Domaine in welcher du erweitern möchtest. In diesem Fall existiert nur eine Domaine die also-solutions.ch. Wähle diese an (doppelklick) oder edit

Nun unter den Advanced Setting die Option Other auswählen.

Erweitere das Menu Service Setting

In diesem Fall sind der Domaine zehn Postfächer zugewiesen. Du kannst jetzt deine gewünschte Anzahl Postfächer konfigurieren: In diesem Beispiel erweitern wir von Zehn auf 50ig Postfächer. Mit OK kannst du die Änderung aktivieren.

add 27.05.2024 - 4Tinu

Transparent Mode

Was ist der Unterschied zwischen Gateway Mode und/oder Transparent Mode?

       Gateway mode:     • Incoming : Protected domain
                         • Outgoing : Unprotected domain

       Transparent mode  • Incoming : Protected IP
                         • Outgoing : Unprotected IP

       Implicit rules    • Incoming : RELAY
                         • Outgoing : REJECT
                         • No domain defined = Outgoing : REJECT

Was sind die Auswirkungen wenn ein FortiMail Device im Transparent Mode den Proxy aktiviert hat?

Wenn auf einem FortiMail Device im Transparent Mode den Proxy aktiviert wird so wird ein Mail vom Ausgangs Server direkt zum Ziel Server gesendet. Dies bedeutet schickt Client "A" ein Mail anhand des Server "A" zum Client "B" wird der Server "A" direkt Server "B" kontaktieren. Dies bedeutet wiederum der FortiMail Device wird benutzt um die SMTP Verbindung zu proxifizieren. Wenn Server "B" nicht erreichbar ist so wird das Mail in der Queue von Server "A" beibehalten und nicht auf dem FortiMail Device im Transparent Mode und aktiviertem Proxy. Somit gelten für die erneute Uebermittlungen die Einstellungen der Queue des Servers "A". Um diese Mode auf einem FortiMail Device mit Transparent Mode zu aktivieren benutze folgendes:

       Incoming:
       
       Benutze auf dem WebGui folgendes:
       
       Mail Settings > Domains > [Wähle die entsprechende Domain] > Transparent Mode Options > Use this domain’s SMTP to deliver the email
       
       Benutze auf der CLI folgendes:
       
       # config domain
       # edit [Definiere den Domain Name]
       # config domain-setting
       # set tp-use-domain-mta yes
       # end
       # next
       # end

       Outgoing:
       
       Benutze auf dem WebGui folgendes:
       
       Mail Settings > Domains > Use client-specified SMTP server to send email
       
       Benutze auf der CLI folgendes:
       
       # config mailsetting proxy-smtp
       # set proxy-original enable
       # end

Auf dem FortiMail Server ist der Traffic resp. die Verbindung per Standard nicht im Log ersichtlich (Siehe Artikel FortiMail:FAQ#Wie_aktiviere_ich_das_Logging_auf_einer_FortiMail_im_Transparent_Mode.3F_2). Die Konfiguration kann für "incoming" Domain basierend gesetzt werden jedoch für "outgoing" ist die Konfiguration Global!

Was passiert betreffend Interfaces wenn eine FortiMail in den Transparend Mode gesetzt wird?

Wenn ein FortiMail Device in den Transparent Mode gesetzt wird so werden ALLE Interfaces auf dem Device Mitglied einer Bridge! Dies bedeutet es ist Vorsicht geboten da eine "loop" Gefahr besteht.

Wie aktiviere ich das Logging auf einer FortiMail im Transparent Mode?

Siehe Artikel:

       FortiMail:FAQ#Wie_aktiviere_ich_das_Logging_auf_einer_FortiMail_im_Transparent_Mode.3F_2

Wie kann ich in einem Mail die Infos betreffend einem FortiMail Server im Transparent Mode verstecken/entfernen?

Dies kann durchgeführt werden jedoch muss dies für Incoming und/oder Outgoing gesetzt werden:

       Incoming:
       
       Mail Settings > Domains > [Wähle den entsprechenden Domain Eintrag] > Transparent Mode Options > Hide the transparent box
       
       # config domain
       # edit [Definiere den Domain Name]
       # config domain-setting
       # set tp-hidden yes
       # end
       # next
       # end

       Outgoing:
       
       Profile > Session > [Wähle das entsprechende Profile] > Connection Settings > Hide this box from the mail server
       
       # config profile session
       # edit [Definiere den Session Namen]
       # set conn-hidden enable
       # next
       # end

Domain

Wo kann ich eine "Domain" konfigurieren für die ein FortiMail die Zuständigkeit übernimmt?

Wenn eine E-Mail an eine bestimmte Domain gesendet wird, wird über die DNS-Einträge (MX Records) verifiziert, welcher Gateway für diese Domain zuständig ist. Damit der FortiMail-Server diese E-Mail entgegennehmen kann, muss ihm mitgeteilt werden, dass er für diese bestimmte Domain zuständig ist. Die zu konfigurierende Domain wird unter folgendem Punkt erstellt:

Konfiguration über das WebGui:

Gilt für Server und Gateway Modus: Über das Menu System → Domain & User → Domain→ + New

FortiMail im Gateway Mode Trage nun den entsprechenden Informationen ein: Domain Name eingeben Relay Typ auswählen SMTP Server IP Adresse und Service Port (default tcp25) eingeben. Testfunktion zum die Konfiguration zu überprüfen. (siehe weiter unten Details) mit OK konfiguration abschliessen. Durch die Konfiguration des "SMTP Server" kannst Du dem FortiMail-Gerät mitteilen, über welche IP-Adresse ("SMTP server") es Nachrichten für eine bestimmte Domain entgegennehmen soll. Dies bedeutet, dass bei einem FortiMail-Gerät mit mehreren Interfaces die korrekte IP unter "SMTP server" angegeben werden muss, damit auf dem zuständigen Interface, auf dem die angegebene IP konfiguriert ist, die Nachrichten für diese Domain entgegengenommen werden. Zusätzliche Domains können entweder mit einem separaten Eintrag konfiguriert werden oder durch die Funktion "Domain Association". Werden diese mit einem separaten Eintrag konfiguriert, können diese einzelnen Einträge durch die Funktion "Is subdomain" (Main domain) der Hauptdomain zugewiesen werden. Testfunktion: über die Testfunktion kannst du die erreichbarkeit überprüfen:

FortiMail im Server Mode Wenn ein FortiMail im Server-Modus betrieben wird, ist der IP-Eintrag "SMTP server" irrelevant, da der Server ausschliesslich auf die Domain hört und nicht auf die IP-Adresse. Dies bedeutet, dass die Domain automatisch die IP-Adresse des FortiMail im Server-Modus übernimmt.

edit 28.05.2024 - 4Tinu

Wie kann ich MX Records überprüfen?

Die folgenden Hinweise zeigen dir, wie du eine manuelle DNS-Test-/Anfrage durchführen kannst. Beachte jedoch, dass diese Hinweise nicht mit allen gängigen Betriebssystemen funktionieren. "nslookup" ist unter allen gängigen Betriebssystemen wie Windows, UNIX oder LINUX verfügbar. Das Kommando "dig" steht normalerweise für UNIX und/oder LINUX zur Verfügung.

Überprüfung von MX Records mittels "nslookup":'

# nslookup -q=mx mydomain.ch Server: dns1.mydomain.ch Address: 192.168.100.125 mydomain.ch MX preference = 5, mail exchanger = smtp1.mydomain.ch mydomain.ch MX preference = 10, mail exchanger = mail.mydomain.ch mydomain.ch MX preference = 50, mail exchanger = smtp2.mydomain.ch mydomain.ch nameserver = dns2.mydomain.ch mydomain.ch nameserver = dns1.mydomain.ch smtp1.mydomain.ch internet address = 192.168.100.123 dns1.mydomain.ch internet address = 192.168.100.125 dns2.mydomain.ch internet address = 192.168.100.194 In diesem Beispiel existieren 3 MX Records mit den Prioritäten 5, 10 und 50. Die zuständigen DNS-Server sind dns1.mydomain.ch und dns2.mydomain.ch (nameserver=). Wenn ein fremder DNS-Server bezüglich der Domain "mydomain.ch" und der MX Records angefragt wird, erscheint die Meldung "Nicht autorisierende Antwort". Dies bedeutet, dass der angefragte fremde DNS-Server nicht für die Domain zuständig ist.

Überprüfung von MX Records mittels "nslookup":

# dig mydomain.ch MX +answer ; <<>> DiG 9.7.0-P1 <<>> .mydomain.ch MX +answer ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 21400 ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 2, ADDITIONAL: 3 ;; QUESTION SECTION: ;.mydomain.ch. IN MX ;; ANSWER SECTION: .mydomain.ch. 86400 IN MX 5 smtp1.mydomain.ch. .mydomain.ch. 86400 IN MX 10 mail.mydomain.ch. .mydomain.ch. 86400 IN MX 50 smtp2.mydomain.ch. ;; AUTHORITY SECTION: .mydomain.ch. 86400 IN NS dns1.mydomain.ch. .mydomain.ch. 86400 IN NS dns2.mydomain.ch. ;; ADDITIONAL SECTION: smtp1.mydomain.ch. 86400 IN A 192.168.100.123 dns1.mydomain.ch. 86400 IN A 192.168.100.125 dns2.mydomain.ch. 86400 IN A 192.168.100.194 ;; Query time: 4 msec ;; SERVER: 192.168.100.125#53(192.168.100.125) ;; WHEN: Sat May 15 09:26:21 2010 ;; MSG SIZE rcvd: 181 Dieses Beispiel ähnelt demjenigen, das mit "nslookup" ausgeführt wurde. Der Vorteil von "dig" liegt darin, dass unter dem Abschnitt "AUTHORITY SECTION" angezeigt wird, WER für die Domain zuständig ist.

Um nur die MX Records ohne zusätzliche Informationen anzuzeigen, verwende: # dig mydomain.ch MX +answer ; <<>> DiG 9.7.0-P1 <<>> akb.ch MX +noall +answer ;; global options: +cmd mydomain.ch. 86161 IN MX 5 smtp1.mydomain.ch. mydomain.ch. 86161 IN MX 10 mail.mydomain.ch. mydomain.ch. 86161 IN MX 50 smtp2.mydomain.ch.

edit 28.05.2024 - 4Tinu

Profile

Wie kann ich unter "Policy" innerhalb der "Profiles" den Advanced Mode aktivieren?

Grundsätzlich kann man für die "Profiles" den "Advanced Mode" aktivieren. Dies bedeutet ist dieser nicht aktiviert (Per Standard) steht einem innerhalb der "Profiles" am ende des Menüs kein "Advanced Control" zur Verfügung. Möchte man diesen Advanced aktivieren führe folgendes durch:

       # config system global
       # set mta-adv-ctrl-status enable
       # end
       
       NOTE Dies wird nur unter FortiOS 5.x untersützt!

Sobald dieser Mode aktiviert wurde, steht einem innerhalb des entsprechenden Policy am ende eine neue Menüposition zur Verfügung dh. "Advanced Control".

Wo kann ich die Anzahl Verbindungen pro Client eingrenzen (Session Profile)?

Diese können über eine Profile unter "Sessions" konfiguriert werden und limitieren die Anzahl Verbindungen die ein Client/Host zum FortiMail Server öffnen kann dh.:

       Profile > Session > New > Connection Settings
       
       NOTE Ein guter Start ist die vorkonfigurierten Session Profiles zu verwenden die auf einem
            FortiMail zur Verfügung stehen!

Dieses Profile kann anschliessend in eine entsprechende "IP Policies" eingebunden werden unter:

       Policy > Policies > IP Policies

Gebe das entsprechende Profile unter "Session" an. Achte darauf das die neu erstellte Policy greift dh. es gilt innerhalb Policies "top down first match wins"!

Wo kann ich die AntiSpam Funktion konfigurieren (AntiSpam Profile)?

Diese können über eine Profile unter "AntiSpam" konfiguriert werden und beinhalten vers. Techniken für die Antispam Funktion dh.:

       Profile > AntiSpam > New
       
       NOTE Ein guter Start ist die vorkonfigurierten AntiSpam Profiles resp. Templates zu verwenden die auf einem
            FortiMail zur Verfügung stehen! Weitere Informationen dazu siehe Artikel:
            
            FortiMail:FAQ#Mit_welchen_AntiSpam_Profile.2FFunktionen_sollte_ein_FortiMail_zu_Beginn_konfiguriert_werden.3F

Nach der Konfiguration kann das Profile unter folgender Position eingebunden werden:

       Policy > Policies > [IP-based Policies  oder Recipient Policies]

Wo kann ich die AntiVirus Funktion konfigurieren (AntiVirus Profile)?

Das AntiVirus Profile kann unter folgender Position konfiguriert werden:

       Profile > AntiVirus > New
       
       NOTE Ein guter Start ist die vorkonfigurierten AntiVirus Profiles resp. Templates zu verwenden die auf einem
            FortiMail zur Verfügung stehen!

Weitere Informationen dazu WAS in einer Nachricht betreffend AntiVirus kontrolliert wird findet man im folgenden Artikel:

       FortiMail:FAQ#Was_wird_bei_einer_Nachricht_betreffend_AntiVirus_kontrolliert.3F

Nach der Konfiguration kann das Profile unter folgender Position eingebunden werden:

       Policy > Policies > [IP-based Policies  oder Recipient Policies]

Wo kann ich die Content Funktion konfigurieren (Content Profile)?

Der Content Filter kann unter folgender Position konfiguriert werden:

       Profile > Content > Content
       
       NOTE Ein guter Start ist die vorkonfiguirerten Content Profile die auf einem FortiMail zur Verfügung stehen zu benutzen
            dh. "content_basic".

Nach der Konfiguration kann das Profile unter folgender Position eingebunden werden:

       Policy > Policies > [IP-based Policies  oder Recipient Policies]

Weitere Informationen dazu WAS in einem Nachricht betreffend Content Filter kontrolliert wird findet man im folgenden Artikel:

       FortiMail:FAQ#Was_wird_bei_einer_Nachricht_betreffend_Content_Filter_kontrolliert.3F

Wo kann ich die Resource Funktion konfigurieren (Resource Profile)?

Ein Resource Profile kann unter folgender Position konfiguriert werden:

       Profile > Resource > Resource
       
       NOTE Ein guter Start ist die vorkonfiguirerten Resource Profile die auf einem FortiMail zur Verfügung stehen zu benutzen
            dh. "misc_basic-predefined".

Nach der Konfiguration kann das Profile unter folgender Position eingebunden werden:

       Policy > Policies > [Recipient Policies]

Weitere Informationen um was es sich bei einem Resource Profile handelt siehe nachfolgenden Artikel:

       FortiMail:FAQ#Wie_kann_ich_die_zur_Verf.C3.BCgung_stehenden_Resourcen_f.C3.BCr_die_User.2FMailboxen_konfigurieren.3F

Relay / Access Control

Was ist "Access Control" und was ist dabei auf einem FortiMail zu berücksichtigen?

Access Control, auch ACL genannt, ist eine wesentliche Grundfunktion von FortiMail. Diese Regel entscheidet, ob ein SMTP-Client/Host eine Nachricht über den Server übermitteln kann. Wenn ein SMTP-Client/Host eine Nachricht an FortiMail übermittelt, überprüft FortiMail, ob eine Access Control Rule zutrifft. Dieses "Matching" erfolgt bei der Verbindungsaufnahme anhand der Kommandos, die vom SMTP-Client/Host an FortiMail übermittelt werden:

MAIL FROM:

RCPT TO:

AUTH

STARTTLS

Die Access Control Rules werden in der Reihenfolge überprüft, in der sie aufgelistet sind, nach dem Prinzip "top down, first match wins". Wenn alle Attribute einer Access Control übereinstimmen, wird diese angewandt und nicht weiter evaluiert.

Nur eine Access Control kann für eine SMTP-Session angewandt werden!

Wenn keine Access Control übereinstimmt und der SMTP-Client/Host nicht für eine Authentifizierung konfiguriert ist, führt FortiMail die Standardaktion aus, das heisst die RCPT TO: Überprüfung.
Dies bedeutet:

• Für eine konfigurierte Domain wird ein RELAY ausgeführt. FortiMail überprüft beim Mailserver anhand von RCPT TO, ob der Benutzer existiert.
• Für eine nicht konfigurierte Domain wird ein REJECT ausgeführt.

Ein RCPT TO wird dann ausgeführt, wenn kein LDAP konfiguriert wurde. Andernfalls wird der RCPT TO nicht ausgeführt und es wird über LDAP überprüft, ob der Benutzer existiert. Die meisten Mailserver unterstützen die Funktion RCPT TO. Ist der Benutzer auf dem Mailserver nicht vorhanden, wird eine "unknown" Meldung zurückgegeben und FortiMail beendet die Session zum SMTP-Client/Host. Wenn keine Access Control zutrifft und die Domain existiert, kann der Client zwar eine Nachricht an die konfigurierte (geschützte) Domain übermitteln, jedoch werden nicht konfigurierte Domains abgelehnt.

Achte darauf, dass keine Access Control existiert, die im "Sender Pattern" sowie im "Recipient Pattern" ein "*" (Wildcard), "Authentication" Any, "TLS" None und "Action" Relay konfiguriert hat. Andernfalls besteht die Gefahr eines "Open Relays"!

edit 15.07.2024 - 4Tinu

Welche Bedeutung haben in den Access Control "Internal" und/oder "External"?

In den Access Control kann auf vers. Positionen "Internal" und/oder "External" definiert werden. Diese haben folgende Bedeutung:

• Internal: Beinhaltet jede E-Mail Adresse einer erstellten/konfigurierten Domaine auf dem FortiMail (protected domain)
• External: Beinhaltet jede E-Mail Adresse einer NCIHT erstellten/konfigurierten Domaine auf dem FortiMail (unprotected domain)

edit 15.07.2024 - 4Tinu

Wo kann ich auf einer FortiMail einen sogenannten "Relay" konfigurieren?

Ein "Relay" Eintrag stellt einen Device/Host/Subnet/IP dar, die auf dem FortiMail Device erlaubt ist/sind. Dies bedeutet: bekommt der FortiMail Device Nachricht von einem eingetragenen Device/Host/Subnet/IP, nimmt der FortiMail Device diese Nachrichten entgegen und verarbeitet diese. Dabei ist zu beachten was FortiMail durchführt wenn kein entsprechender Eintrag vorhanden ist. Dazu siehe folgender Artikel:

       FortiMail:FAQ#Was_ist_.22Access_Control.22_und_was_ist_dabei_zu_ber.C3.BCcksichtigen_auf_einem_FortiMail.3F

Um einen Device als "Relay" zum FortiMail hinzu zu fügen, muss auf dem FortiMail eine sogenannte "Access Control" erstellt werden. Eine "Access Control" ist ein Filter der FortiMail mitteilt wer Zugriff erlangt auf den FortiMail Server sei es als interner Host, als Authentifizierender User usw. Eine "Access Control" wird über folgende Position erstellt:

       Policy > Access Control > New
       
       Datei:Fortinet-633.jpg
       
       NOTE In diesem Beispiel wird einem einzelnen "Internal" Host mit der IP "192.168.140.10/32" erlaubt
            Nachrichten an den FortiMail zu übermitteln wobei die "Recipient pattern" (Destination EMail
            Adresse) keine Rolle spielt und der Server sich nicht Authentifizieren muss! Durch die verschiedenen 
            Konfigurationsmöglichkeiten wie zB "Recipient pattern" kann der Filter weiter eingeschränkt oder 
            modifiziert werden! Soll zB der Server nur EMail Adressen der lokalen Domain entgegen nehmen wie 
            mydomain.ch, würde man als "Recipient pattern" folgendes eintragen:
            
            *@mydomain.ch

Was sind die Aktionen einer Access Controll Regel auf dem FortiMail?

Die Access Controll Regeln ermöglichen es dir, zu kontrollieren, wie E-Mail-Nachrichten an, von und durch den FortiMail gesendet werden. Mit Hilfe der Access Controll Regeln kann der FortiMail E-Mail-Nachrichten analysieren und basierend auf dem Ergebnis Massnahmen ergreifen. Nachrichten können entsprechend der Absender-E-Mail-Adresse, der Empfänger-E-Mail-Adresse und der IP-Adresse oder des Hostnamens des Systems, das die E-Mail-Nachricht zustellt, geprüft werden.

Jede Zugriffssteuerungsregel legt eine Aktion fest, die für übereinstimmende Nachrichten ausgeführt werden soll. Folgende Aktionen stehen zu verfügung:

250 OK

550 Relaying denied

250 OK

add 15.07.2024 - 4Tinu

Policy

Was ist der Unterschied zwischen "IP-based Policies" und "Recipient Policies"?

IP-based Policies

Eine IP-based Policies basiert auf der IP-Adresse des SMTP-Clients oder Hosts, sowohl im Server- als auch im Gateway-Modus. Diese IP-basierten Regeln werden hauptsächlich als ausgehende Regeln verwendet, das heisst, wenn der Empfänger keine bekannte oder konfigurierte Domain ist.

Recipient-based Policies

Eine Recipient-based Policies solltest Du verwenden, wenn die E-Mail-Adresse bzw. die Domain des Empfängers bekannt ist. Seit Version 4.x und höher wird ebenfalls der Absender ("Sender Patterns") überprüft.

Wenn Du mit einer Vielzahl von Domains arbeitest, zum Beispiel als ISP, solltest Du IP-based Policies verwenden, da Recipient-based Policies ressourcenintensiver sind.

Grundsätzlich kannst Du ausschliesslich mit Recipient-based Policies arbeiten. Innerhalb der Regeln gilt das Prinzip "Top-Down, First Match Wins". Es gilt jedoch nicht, dass IP-based Policies vor oder nach Recipient-based Policies angewandt werden, sondern die Regeln werden gleichzeitig zusammen mit ihren Profilen wie Antispam, Antivirus etc. angewandt.

Wenn Du mit Recipient-based Policies arbeitest, musst Du folgendes berücksichtigen:

Grundsätzlich werden zwei Arten von Recipient-based Policies unterschieden: "Incoming" und "Outgoing".

FortiMail wendet "Incoming"-Regeln auf eingehende Nachrichten und "Outgoing"-Regeln auf ausgehende Nachrichten an.

Ob eine Nachricht "Incoming" oder "Outgoing" ist, wird über die Domain in der "Recipient E-Mail Address" definiert.

Die Domain in der "Recipient E-Mail Address" wird als eingehend oder ausgehend definiert durch:

Auflösung der Domain (MX) in eine IP-Adresse (SMTP-Server) und Vergleich dieser mit den im FortiMail konfigurierten Domains.

• Übereinstimmung = Incoming (Incoming Policy)
• Keine Übereinstimmung = Outgoing (Outgoing Policy)

Wenn die "Recipient E-Mail Address" mehrere unterschiedliche Empfänger (verschiedene E-Mail-Domainen) enthält, wird jede einzelne Adresse gemäss der oben beschriebenen Methode definiert und die entsprechenden Regeln werden angewandt.

edit 28.05.2024 - 4Tinu

Routing

Wie kann ein Routing-Eintrag auf einem FortiMail erstellt werden?

Auf dem Mgmt. Web Interface kann ein Routing Eintrag unter folgender Position durchgeführt werden:

Konfiguration über das WebGui:

Über das Menu System → Network → Routing Um eine neue Route anzulegen die Option + New anwählen. Um eine Route zu editieren Edit benutzen.

Gib das IP-Netz und die Netzmaske an, die geroutet werden sollen. Definiere das Interface, über welches der Gateway erreicht wird. Gib die IP-Adresse des Gateways (Routers) an. Schließe die DNS-Konfiguration mit dem Befehl OK ab.

Falls du die Erstellung über die Kommandozeile durchführen möchtest, verwende die folgenden Befehle:

Konfiguration über die CLI:

Alle Möglichen Operationen über die CLI: config system route edit [Gebe einen entsprechenden Integer an zB 1] set destination [IPv4 Adresse inklusive Subnet Mask] set gateway [IPv4 Adressse] set interface [Ausgehendes Interface] end Beispiel Konfiguration: config system route edit 1 set destination 0.0.0.0/0 set gateway 198.18.0.1 set interface port1 next end

edit 28.05.2024 - 4Tinu

DNS

Wie konfiguriere ich auf einem FortiMail den DNS Server?

Über das Web-Management-Interface können die DNS-Server an folgender Stelle konfiguriert werden:

Konfiguration über das WebGui:

Über das Menu System → Network → DNS Mit Apply die DNS Konfiguration abschliessen.

Möchte man die DNS Server über Kommandozeile konfigurieren benütze folgende Kommandos:

Konfiguration über die CLI:

Alle Möglichen Operationen über die CLI: config system dns set primary [IP-Adresse Primärer DNS] set secondary [IP-Adresse Sekundärer DNS] set ptr-query-option [enable | disable | public-ip-only] set cache [enable | disable] set named [disable | enable] set truncate-handling [tcp-retry | disable] set protected-domain-dns-state [disable |disable] set protected-domain-dns-servers [IP-Adressen der DNS-Server für geschützte Domains] set cache-min-ttl [Integer Wert] (default 300) end Beispiel Konfiguration: config system dns set primary 198.18.0.1 set secondary 8.8.4.4 set cache enable set cache-min-ttl 300 end

edit 27.05.2024 - 4Tinu

Wie kann ich auf einem FortiMail Device den DNS Cache löschen?

Wenn DNS-Änderungen vorgenommen werden und der FortiMail diese nicht aktualisiert, kann es sein, dass die alten DNS-Informationen noch im DNS-Cache des FortiMail-Systems gespeichert sind. Um den DNS-Cache zu leeren, führe folgende Schritte auf der CLI des FortiMail durch:

Konfiguration über die CLI:

execute reload dnscached Restart dnscached? Do you want to continue? (y/n)y Danach kann die entsprechende Information zur DNS-Modifikation mit folgendem Befehl auf der FortiMail-CLI abgefragt und überprüft werden: execute nslookup name mydomain.ch type mx

edit 27.05.2024 - 4Tinu

LDAP

Wie kann ich über eine LDAP Abfrage eine "User Recipient Verification" durchführen?

Eine "User Recipient Verification" ist unabdingbar für den Betrieb eines FortiMail im Server Mode da bei der entgegennahme eines Mails dies überprüft wird. Ist der User nicht vorhanden wird die Uebermittlung des Mail abgelehnt. Somit wenn "keine" solche Verifizierung durchgeführt wird werden Resourcen auf dem FortiMail Device belegt die nicht nötig wären und somit der Device unnötig belastet. Die einfachste Art und Weise so eine Verifizierung durchzuführen ist die Informationen aus dem Active Directory (LDAP) zu benutzen. Um eine LDAP Verifizierung zu konfigurieren wähle:

       Profile > LDAP > New
       
       Datei:Fortinet-634.jpg

Nachdem Speichern des LDAP Profils öffne dieses abermalls und teste die Erfassung des LDAP's anhand einer E-Mail Adresse über die Position:

       [Test LDAP Query...]

Somit wird verifiziert "ob" die Anbindung zum LDAP funktioniert dh. anhand der angegebenen EMail Adresse wird eine Abfrage durchgeführt und die EMail Adresse resp. der User verifiziert. Wenn es zu Problemen kommt mit der Abfrage muss die "Base DN" sowie "Bind DN" überprüft werden. Dies kann zB anhand eines Tools durchgeführt werden wie:

       Softerra LDAP Browser http://www.softerra.com/download.htm

Nun damit die "Recipient User Verfication" über die Recipient Adresse durchgeführt wird muss das entsprechende vorgängige LDAP Profile an dem entsprechenden Eintrag der Domain eingebunden werden. Dazu wähle:

       Mail Settings > Domain > [Wähle den entsprechenden Eintrag für die Domain] > Edit > Recipient Address Verification > [Wähle das entsprechende LDAP Profile]
       
       Datei:Fortinet-635.jpg

       Datei:Fortinet-636.jpg

Nun sollte ein entsprechender Test durchgeführt werden dh. von Extern an eine gültig und nicht gültig Email Adresse eine Nachricht versendet werden. Im Log sieht man nun die Verification:

       Monitor > Log

In der entpsrechenden Spalte sieht man nun für die eingehende Nachricht den Hinweis:

       Recipient Verification

Wenn die entsprechende EMail Adresse nicht existiert erhält der Absender eine Fehlernachricht die folgendermassen aussieht:

       The original message was received at Tue, 22 Jan 2013 13:37:07 +0100
       from:
       <user1@anywhere.com>
       
       ----- The following addresses had permanent fatal errors -----
       <unknown@mydomain.com>
       (reason: 550 5.1.1 <unknown@mydomain.com>... User unknown)
       
       ----- Transcript of session follows -----
       ... while talking to fml.mydomain.com.:
       >>> DATA
       <<< 550 5.1.1 <unknown@mydomain.com>... User unknown
       550 5.1.1 User unknown
       <<< 503 5.0.0 Need RCPT (recipient)

User

Wie kann ich das Administratoren Passwort zurücksetzen wenn dieses nicht mehr bekannt ist?

Wenn das Administratoren Passwort auf einer Fortimail nicht mehr bekannt ist gehe folgendermassen vor:

      -> Erstelle eine Serielle Console.
      -> Schalte den Device aus und ein oder starte diesen neu.
      -> Sobald der Login erscheint gebe ein:
       
       login: maintainer
       Password: [bcpb[Serien Nummer des Gerätes dh. zB FE400C3M12000048; ergiebt demnach bcpbFE400C3M12000048]
       
       Nun wird ein Login anhand des User "maintainer" durchgeführt! Sobald dieser Vorgang vollendet ist führe folgendes durch um das Administratoren Passwort zurückzusetzen:

       # set sys admin user [Username dh. "admin"] password [Passwort]
       
       NOTE Gebe ein Passwort an unter [Passwort]; Wenn kein Passwort angegeben werden soll vergebe folgendes ""!

Nun kann über das Mgmt. Interface wieder eingeloggt werden.

Wo kann ich das Passwort des Administrator's neu setzen?

Im Web Mgmt. Interface kann unter folgender Position das Passwort des Administrators gesetzt werden:

       System > Administrator > [Wähle "admin"]

Danach wähle "Change Password". Nun kann das Passwort durch die Angabe des alten Passwortes -sofern dieses existiert- neu gesetzt werden! Soll das Passwort über Kommandozeile neu gesetzt werden gebe folgendes ein:

       # config system admin
       # edit admin
       # set password
       # end

Wo kann ich das Timeout des Administrators neu anpassen?

Das Timeout des Administrators kann unter folgender Position im Web Mgmt. Interface angepasst werden:

       System > Configuration > Options > Idle timeout

Ueber Kommandozeile wird das Admin Timeout folgendermassen angepasst:

       # config system global
       # set admin-idle-timeout [Angabe in Minuten]
       # end

Content Filter

Was wird bei einer Nachricht betreffend Content Filter kontrolliert?

Der Content Filter auf einem FortiMail kontrolliert folgende Komponenten einer Nachricht:

       Subject Line
       Message Body
       Attachemenets

In einem Content Filter stehen folgende Positionen zur Konfguration zur Verfügung:

       Profile > Content > Content > [Wähle New oder ein entsprechendes Profile]

Unter "Content Monitor Filter" können PDF, MSOffice und Archive anhand vorhandener "Dictionary" (SOX) oder selbsterstellter "Dictionary" durchsucht werden. Dieser Filter kommt einer DLP Funktion gleich;

Nach der Konfiguration kann das Profile unter folgender Position eingebunden werden:

       Policy > Policies > [IP-based Policies  oder Recipient Policies]

Wie kann ich eine bestimmte File Extension wie .exe in einer Nachricht auf einem FortiMail blocken?

Diese Konfiguration kann über den "Attachement Filtering" Funktion innerhalb des "Content Filter" Profile durchgeführt werden den man unter folgender Position findet:

       Profile > Content > Content > [Wähle New oder ein entsprechendes Profile] > Attachement Filtering

Nach der Konfiguration kann das Profile unter folgender Position eingebunden werden:

       Policy > Policies > [IP-based Policies  oder Recipient Policies]

Gibt es auf einem FortiMail eine Funktion die eine Nachricht durchsucht nach bestimmten Kriterien und diese blocken kann (DLP)?

Diese Funktion die einer DLP (Data Loss Prevention) gleichkommt kann über einen "Content Filter" auf einem FortiMail konfiguriert werden. Dazu führe folgendes aus:

       Profile > Content > Content > [Wähle New oder ein entsprechendes Profile] > Content Monitor and Filtering > New 

       Wähle innerhalb "Content Monitor and Filtering" New:

Nach der Konfiguration kann das Profile unter folgender Position eingebunden werden:

       Policy > Policies > [IP-based Policies  oder Recipient Policies]

Wie kann ich eine Nachricht basierend auf einem bestimmten Sender (FROM:) zu einem bestimmten Mail Server übermitteln?

Wenn ein FortiMail im Gateway Mode ist so wird über die entsprechende Konfiguration bestimmt wohin diese Nachrichten ausgeliefert werden. Diese Konfiguration findet man unter folgendem Konfigurationspunkt:

       Mail Settings > Domains

In dieser Konfiguration wird der entsprechende Relay Host definiert für die entsprechende Domaine. Somit basiert diese Konfiguration auf der Empfänger Domaine (TO:). Möchte man jedoch einen bestimmte Sender Domain (FROM:) zu einem anderen Relay Host übermitteln, kann dies nicht über diese Konfiguration konfiguriert werden da dieser Konfigurationspunkt keine Konfiguration zulässt basierend auf FROM: (Sender). Diese Konfiguration kann jedoch über eine Content Action anhand eines Dictionary Profiles durchgeführt werden. Dies bedeutet: Ueber ein Dictionary Profile wird jedoch Nachricht im "header" überprüft betreffend der Position "FROM:" und wird einen Uebereinstimmung gefunden wird die Content Action in der Recipient Policy ausgeführt dh. die Nachricht zu einem bestimmten Relay Host übermittelt. Somit muss zu Beginn ein Dictionary Profile Konfiguriert werden:

       Profile > Dictionary > Dictionary > New

Vergebe dem Dictionary Profile einen entsprechenden Namen und erstelle einen Dictionary Eintrag:

Anhand eines "Regex" wird nun definiert, was im "header" der Nachricht durchsucht werden soll sowie welche Uebereinstimmungen gesucht werden. Dabei definiert "From: .*@(domain\\.com|domain\\.lab)" die entsprechenden Domainen die im "header" für FROM: gesucht werden um diese nachträglich zu einem entsprechenden Relay Host zu übermitteln:

Speichere die Konfiguration des Dictionary Eintrages sowie erstellt anhand "Create" das Dictionary Profile:

Möchte man diese Konfiguration unter CLI durchführen führe folgendes aus:

       # config profile dictionary 
       # edit domain_list 
       # config item 
       # edit 10 
       # set pattern "[EHeAdEr]^From: .*@(domain\\.com|domain\\.lab)" 
       # set pattern-scan-area header 
       # set comment "Deliver message based on FROM to alternate host"
       # next 
       # end 
       # next 
       # end 

Wie schon erwähnt wird über einen Content Profile in einem späteren Zeitpunkt eine Content Action ausgeführt. Damit diese Content Action in ein entsprechendes Content Profile definiert werden kann, muss diese Action erstellt werden:

       Profile > Content > Action > New

Die Action definiert das Dictionary Profile "deliver_to_alternate" für "incoming". Wenn im "header" für FROM: die Regex Definition "From: .*@(domain\\.com|domain\\.lab)" gefunden wird, so wird die Action "deliver to alternate host" ausgeführt:

Möchte man diese Konfiguration unter CLI durchführen führe folgendes aus:

       # config profile content-action 
       # edit deliver_to_alternate 
       # set alternate-host-status enable 
       # set alternate-host [Definiere die entsprechende IPv4 Adresse des Relay Host]
       # next 
       # end 

Nun muss die Content Action zu einem bestehenden Content Profile hinzugefügt werden oder zu einem neuen Content Profile. Wenn unter der Recipient Policy bereits ein bestehendes Content Profile exisitert sollte diese benutzt werden. Nachfolgendes Beispiel zeigt wie ein neues Content Profile erstellt wird:

       Profile > Content > Content > New

Vergebe einen entsprechenden Namen für das Content Profile sowie definiere das Content Profile für "incoming". Nun erstelle ein "Content and Monitoring Filtering" Eintrag:

Definiere das entsprechende Dictionary Profile das wir erstellt haben "domain_list" sowie die Content Action "deliver_to_alternate":

Speichere nun das neue Content Profile mit "Create":

Möchte man diese Konfiguration unter CLI durchführen führe folgendes aus:

       # config profile content 
       # edit alternate_relay 
       # config attachment-scan 
       # end 
       # config monitor 
       # edit 1 
       # set dictionary-profile domain_list 
       # set action deliver_to_alternate 
       # next 
       # end 
       # next 
       # end 

Nun muss das Content Profile zur Recipient Policy hinzugefügt werden. Wie schon erwähnt sollte bereits ein Content Profile in der Recipient Policy bestehen sollte dieses benutzt werden um dieses für das Dictionary Profile mit der entsprechenden Content Action zu erweitern:

       Policies > Policy > [Markiere den entsprechenden Recipient Policy Eintrag] > Edit

Definiere unter Profiles das entsprechende Content Profile in unser Beispiel das neu erstellte Content Profile "alternate_relay":

Nun kann die Konfiguration getestet werden!

AntiVirus

Was wird bei einer Nachricht betreffend AntiVirus kontrolliert?

Wenn eine Nachricht anhand eines AntiVirus Profiles kontrolliert wird so werden folgende Komponenten einer Nachricht gescannt:

       EMail Header
       EMail Body
       EMail Attachements (inkl. Kompromierte Files wie ZIP, PKZIP, LHA, ARJ sowie RAR)

Die entsprechende Position für das "Antivirus Profile" zu konfigurieren findet man unter folgender Position:

       Profile > AntiVirus > AntiVirus > [Wähle New oder ein entsprechendes Profile]

Nach der Konfiguration kann das Profile unter folgender Position eingebunden werden:

       Policy > Policies > [IP-based Policies  oder Recipient Policies]

Was bedeutet innerhalb des AntiVirus Profiles die Funktion "greyware scanning"?

Greyware wird im AntiVirus Bereich als seperate Kategorie benutzt, um Software zu bezeichnen wie Spyware und Adware oder andere Varianten! Diese Art von Software beeinträchtigen die Systemfunktionen auf einem System nicht direkt jedoch sammeln zB Daten über das System, Blenden Werbung ein usw.

AntiSpam

Wir wird AntiSpam auf einem FortiMail abgearbeitet (Antispam Sequenz)?

Antispam wird auf einem FortiMail folgendermassen abgearbeitet:

       NOTE Wenn "alle" Antispam Funktionen aktiviert sind wird gilt für die unten aufgeführte Tabelle
            Top -> Down! Der PDF File Type Scan wird in der unteren Tabelle nicht aufgelistet. Wenn 
            PDF Scan aktiviert ist, wird das PDF umkonvertiert in ein Format indem "heuristic, banned
            word und image spam Scanner die Information des PDF lesen und analysieren können. Dies wird
            durchgeführt im Moment indem der "message body" Analysiert wird! Die Analyse des PDF umfasst
            die erste Seite des PDF!

Mit welchen AntiSpam Profile/Funktionen sollte ein FortiMail zu Beginn konfiguriert werden?

Nun es stehen verschiedene Templates auf dem FortiMail zur Verfügung die ein AntiSpam Profile mit seinen Funktionen vordefiniert:

       Profile > AntiSpam > AntiSpam > [Wähle New oder ein entsprechendes Profile]

Zu Beginn sollte ein "medium" Template eingesetzt werden um den Traffic/Spam zu Analysieren. Wird ein "high" Template zu Beginn eingesetzt ist die Gefahr für "False Positive" relativ gross!

Nach der Konfiguration kann das Profile unter folgender Position eingebunden werden:

       Policy > Policies > [IP-based Policies  oder Recipient Policies]

Was ist und bedeutet FortiIP (Absender-IP-Reputation-Datenbank)?

Die meisten Spam's werden derzeit von falsch konfiguriert oder Virus-infizierten Hosts gesendet. FortiGuard Antispam Service verfügt über ein Weltweites IP-Reputation-Datenbank in der die Reputation der einzelnen IP's geführt und basiert auf vers. Eigenschaften der IP-Adressen -die aus verschiedenen Quellen gesammelt werden- beinhaltet. Die Eigenschaften einer IP-Adresse enthalten vers. Informationen wie:

       - Whois
       - Geografische Lage
       - Service-Provider
       - Offenes Relay
       - Hijacked Host

Eine der wichtigsten Eigenschaften die verwendet wird, ist das E-Mail-Volumenen vom Absender das über "FortiGuard Service Network" gesammelt wird. FortiGuard Antispam Service überprüft die Reputation in der Reputation Database in Echtzeit.

Was ist und bedeutet FortiSig (Signature)?

FortiSig wird in 3 Kategorieren unterteilt dh.:

       FortiSig1 (Spamvertised URLs)
       Etwa 90% der Spam hat eine oder mehrere URLs im Nachrichtentext. Diese URLs verlinken auf Spammer-Websites, die ihre Produkte und Dienstleistungen 
       auf diesen Sites anbieten oder den Client durch Trojaner infisziert (Bot Net). Ein Beispiel sind Phishing-Spam's. Diese URLs leiten den User direkt 
       zu einer gefälschten Site (Bank) oder einem anderen Finanzinstitut.  Auf dieser Site wird versucht an finanzielle Informationen des User zu kommen 
       um diesen nachträglich zu schädigen. Solche URLs werden von den Spam-Proben (Durch Kunden/User übermittelt etc.) extrahiert und durchlaufen eine 
       strenge QA-Prozesse bevor diese in die FortiSig Datenbank aufgenommen werden. Die URLs unterliegen einer Expiration in der veraltete Elemente nach 
       einer definierten Zeitspanne entfernt werden.

       FortiSig2 (Spamvertised E-Mail-Adressen)
       Ähnlich wie bei der spamvertised URLs (FortiSig1) werden in dieser Datenbank Email Adressen geführt die im Nachrichten Text vorkommen und User etc. 
       auffordern Informationen zu diesen E-Mail Adressen aufzunehmen etc.

       FortiSig3 (Spam Objekt Prüfsummen)
       Mit Hilfe eines proprietären Algorithmus, werden Objekte in Spam Mails identifiziert und eine Fuzzy-Prüfsumme wird aus diesen Objekt berechnet. 
       Das Objekt kann Teil der Nachricht oder eine Anlage sein. Die Prüfsumme wird dann in die Datenbank FortiSig hinzugefügt.

Was ist und bedeutet FortiRule (Dynamic Heuristic Rules)?

FortiRule verwendet dynamisch aktualisierte und heuristische Regeln um Spam zu identifizieren sowie die Nutzung verschiedener Attribute in der Spam-Nachrichten-Header, Body, MIME-Header und-Anhänge.

Wie kann ich feststellen ob eine IP in der "Reputation Database", "Black Listed" oder "Signature Database" ist?

Auf nachfolgenden Link kann eine IP eingegeben werden um zu überprüfen ob diese in der "Reputation Database", "Black Listed" oder in der "Signature Databse" ist:

       http://www.fortiguard.com/tools/ip_lookup.html

Wie kann ich Fortinet ein Spam False Positiv betreffend FortiMail (inkl. Fortigate) melden?

Wenn durch die Spam Technik/Methodik eines FortiMail (inkl. Fortigate) ein Mail irrtümlicherweise als Spam deklariert wird (False Positiv), kann dies Fortinet über folgende EMail Adresse gemeldet werden (Mail anhängen nicht weiterleiten sondern als Attachement an das Mail anhängen damit die Headers des orginal Mails ersichtlich bleiben):

       removespam@fortinet.com

Ein dediziertes Service Team von Fortinet kümmert sich um diese Anfragen und hat die Vorgabe diese inerhalb von 24 Stunden zu beantworten/erledigen. Dieses Team analysiert dieses Mail und führt betreffend FortiIP und FortiSig DB ein Update durch damit dieses False Positiv nicht mehr auftritt.

Weitere Informationen WIE so ein False Positiv übermittelt werden soll findet man unter folgendem Link:

       http://www.fortiguard.com/antispam/antispam.html

Der folgende Link beinhaltet ebenfalls ein "Signature Lookup" der es ermöglichkt eine IP Adresse abzufragen wie diese in der Reputation Database gelistet ist. Dies gilt ebenfalls für URL sowie für Email Adressen.

Resource

Wie kann ich die zur Verfügung stehenden Resourcen für die User/Mailboxen konfigurieren?

Unter folgenden Position können vers. Resourcen für User/Mailboxen konfiguriert werden:

       Profile > Resource > Resource > [Wähle New oder ein entsprechendes Profile]

Das bestehende Profile "misc_basic_predefined" existiert per Standard und definiert die Standard Werte einer User/Mailbox:

Nach der Konfiguration kann das Profile unter folgender Position eingebunden werden:

       Policy > Policies > [Recipient Policies]
       
       NOTE Ein "Resource Profile" kann nicht als "IP-based Policies" implementiert werden da die User Mailboxen
            auf einer konfigurierten Domaine basieren resp. eine Protected Domain angehören! 

Wie kann ich einem einzelnen User oder einer Gruppe den Webmail Access, Mobile Device Access oder Address Book deaktiveren?

Dies kann über ein Resource Profile konfiguriert werden. Dies bedeutet: Geht man davon aus, dass das "misc_basic_predefined" als Profile unter folgender Position für eine "Protected Domain" konfiguriert wurde haben alle User Access zu allen Resourcen wie Webmail, Mobile Device Access usw.:

       Policy > Policies > [Recipient Policies]

Unter "Recipient Policies" ist zB folgendes konfiguriert:

Das "misc_basic_predefined" ist unter Resource Konfiguriert und sieht folgendermassen aus:

Nun erstellt man einfach ein neues "Resource Profile" unter folgender Position:

       Profile > Resource > Resource > [Wähle New]
       
       - Vergebe einen Namen zB "misc_basic_predefined_user1" und deaktiviere zB für den User1 den "Webmail" Access

Nun erstelle eine neue "Recipient Policies" und definiere folgendes in der "Recipient Policies":

       - Definiere "Incoming" und unter Recipient "user1@mydomain.ch" sowie gebe das neue "Resource Profile" an
       - Achte darauf das diese neue "Recipient Policy" vor der existierenden aufgelistet ist (top down first match wins)

Nun kann die Konfiguration getestet werden!

IBE (Identity Based Mail)

Was ist IBE (Identity Based Mail) Mail Veschlüsselung?

IBE wird unterschieden zwischen:

       IBE PUSH
       IBE PULL

Nachfolgendes Dokument gibt Auskunft über die IBE (Identity Based Mail) Funktion:

       Datei:Withpaper-FortiMail IBE Function R2 201306.pdf

Technisch gesehen ist der Unterschied der folgende:

       IBE PULL
       Dabei sendet der Client ein EMail an den MTA. Dort existiert eine IBE Policy (PULL Encryption Access Policy) die
       das Mail auf dem FortMail ablegt und dem Client der dieses Mail erhält ein Mail sendet mit einem entsprechenden Link.
       Wenn der Client diesen Link öffnet (HTTPS) erstellt er einen Account anhand Username und Passwort etc. Danach öffnet 
       sich ein Webmail indem der Client dieses Mail anschauen kann dh. das encrypted Mail auf der FortiMail wird über das 
       Webmail decrypted und dem User über das Webmail zur Verfügung gestellt.
       
       
       
       Nachfolgend ein kurzes Beispiel wie das Formular aussieht, dass der User auszufüllen hat um einen entsprechenden 
       Account zu erstellen sofern dieser nicht bereits existiert:
       
       
       
       NOTE Das Beispiel Formular enthält die Funktion der "Security Question". Diese Funktion resp. Option kann
            über folgende Position deaktiviert werden:
             
            User > IBE User > Secure Question

       IBE PUSH
       Dabei sendet der Client ein EMail an den MTA. Dort existiert eine IBE Policy (PUSH Encryption Access Policy) die
       das Mail encrypted und dem Client der dieses Mail (HTMl) erhält ein Mail sendet mit einem Anhang was wiederum das 
       ursprungs Mail in verschlüsselt form darstellt. Wenn der Client diesen Anhang öffnet wird eine Verbindung zum FortiMail 
       Server erstellt (HTTPS) und somit den Anhang der das ursprungs Mail darstellt decrypted und somit der User dieses 
       einsehen kann. Wenn der User der das Mail erhält nicht über einen entsprechenden Account verfügt muss er sich Erstmalig
       registrieren (siehe Beispiel Formular Pull Methode).
       
       

Welche Verschlüsselungs Methode unterstützt die IBE (Identity Based Encryption) Funktion?

Die IBE (Identity Based Encryption) Funktion unterstützt folgende Verschlüsselungs Methoden:

       3DES, AES128, AES192, AES256 und CAST5 128
       
       NOTE Ist die IBE Funktion aus irgendwelchen Gründen nicht erreichbar wird TLS "enforced".
            Ist TLS ebenfalls nicht möglich wird die Nachricht verworfen und ein DSN (Delivery Status
            Notification) gesendet!

Die Verschlüsselungs Methode resp. "fallback" kann auf dem Mgmt. Gui der FortiMail über folgende Position konfiguriert werden:

       Profile > Security > Encryption

Wie konfiguriere ich die IBE Funktion/Verschlüsselung im FortiMail?

Das nachfolgende Dokument zeigt wie die IBE Funktion/Verschlüsselung auf einem FortiMail konfiguriert wird. Dieses Dokument geht nur auf die Grundkonfiguration ein und ist basierend auf FortiMail 5.2.x:

       Datei:Set-IBE-encryption-in-FortiMail-from scratch.pdf

Wo kann ich für IBE (Identity Based Encryption) die Security Questions deaktivieren?

Unter folgender Position können die "Security Questions" deaktiviert sowie verändert oder erweitert werden:

       User > IBE User > Secure Question

Kann der Inhalt der Benachrichtigungen für die IBE (Identity Based Encryption) Funktion Pull/Push modifiziert werden?

Ja dies ist möglich! Die Benachrichtigungen sind entweder über Plain Text und/oder über HTML verfügbar und können editiert resp. "customized" werden. Nachfolgend ein kurzes Beispiel einer Push resp. Pull Benachrichtigung:

NTP / Time / Date

Wie kann ich auf einem FortiMail die korrekte Timezone setzen?

Die Timezone auf einem FortiMail kann über das Web Mgmt. Interface gesetzt werden unter folgender Position:

       System > Configuration > Time > Time zone

Muss die Timezone auf Kommandozeile gesetzt werden so benütze folgendes Kommando:

       # config system time manual
       # set zone ?
       
       NOTE Durch "?" werden alle verfügbaren Zeitzonen aufgelistet. Danach kann der richtige Code (Zahl) 
            benutzt werden um die Zeitzone zu setzen!

       # set zone 26
       # end

Wenn "daylight saving" deaktiviert werden soll (per Standard aktiviert) muss folgendes Kommando benützt werden:

       # config system time manual
       # set daylight-saving-time disable
       # end

Wie kann ich das Datum und die Zeit auf einem FortiMail setzen?

Die Zeit sowie das Datum lassen sich auf einem FortiMail unter folgender Position setzen:

       System > Configuration > Time

Um die Zeit sowie das Datum auf Kommandozeile zu ändern benütze folgendes:

       # execute date mm/dd/yyyy hh:mm:ss

Wie kann ich einen NTP Server definieren auf einem FortiMail?

Unter folgender Position lässt sich innerhalb des Web Mgmt. Interface des FortiMail's einen NTP Server definieren:

       System > Configuration > Time

Soll die NTP Server Konfiguration über Kommandozeile durchgeführt werden führen auf der Kommandozeile folgendes aus:

       # config system time ntp
       # set ntpserver [IPv4 Adresse oder FQDN Name]
       # set ntpsync [enable | disable]
       # set syncinterval [Intervall in Sekunden]
       # end

Logging

Wie aktiviere ich das Logging auf einer FortiMail im Transparent Mode?

Wenn eine FortiMail im Transparent Mode ist werden "incoming" Verbindungen nicht im Log aufgezeichet da Incoming nicht als "Interception" Mode agiert dh. die sogenannte "Interception" muss aktiviert werden. Dies wird folgendermassen durchgeführt:

       # config system interface
       # edit [Name des Interfaces]
       # set proxy-smtp-out-mode proxy
       # next
       # edit edit [Name des Interfaces]
       # set proxy-smtp-out-mode proxy
       # next
       # end

Kann ich die Logs eines FortiMails Version 5.3 dem FortiAnalyzer übermitteln?

Ja dies ist möglich dh. führe folgendes durch:

       Log and Report > Log Settings > Remote Log Settings > New...

       NOTE Sobald die Konfiguration durchgeführt wurde wird im Hintergrund zum FortiAnalyzer ein Request
            abgesetzt. Wenn nun in den FortiAnalyzer eingeloggt wird so wird der Request angezeigt und dieser
            kann bestätigt werden! Danach erscheint der FortiMail Device in einer seperaten ADOM mit dem Namen
            "Fortimail".

Die "local" Logs sollten deaktiviert werden. Dabei ist jedoch zu berücksichtigen, dass die Reports auf dem FortiMail danach nicht mehr zur Verfügung stehen resp. nicht mehr angewendet werden können da die Logs nicht mehr auf dem FortiMail zur Verfügung stehen. Deshalb ist es gut zu überlegen ob die "local" Logs deaktiviert werden sollen:

       NOTE Die Reports die auf dem FortiAnalyzer betreffend FortiMail zur Verfügung stehen sind rudimentär!
            In einem der späteren Releases des FortiAnalyzer's wird diesem Umstand Rechnung getragen! Auch 
            aus diesem Grund ist eine Ueberlegung wert bis zu diesem Zeitpunkt das "local" Log auf dem FortiMail
            aktiviert zu lassen und die Reports aus dem FortiMail zu ziehen.

Wie kann ich vom FortiMail Version 6.0 auf einen FortiAnalyzer Logdaten übermitteln?

config log setting remote
  edit alsochlu-fortinet-faz
    set status enable
    set protocol oftps
    set hash-algorithm sha256
    set server 198.18.0.12
    set event-log-status enable
    set event-log-category webmail pop3 imap smtp 
    set sysevent-log-status enable
    set sysevent-log-category configuration admin system ha update 
    set virus-log-status enable
    set spam-log-status enable
    set history-log-status enable
    set encryption-log-status enable
  next
end

Auf dem FortiAnalyzer:

Quarantine

Wo muss ich die Web Quarantine definieren?

Um die Web Quarantine zu aktivieren muessen folgende Punkte konfiguriert sein:

       AntiSpam > Quarantine > Webmail Access Setting > Web release host name/IP
       
       Profile > AntiSpam > [entsprechendes Profile] > [Entsprechende Action unter "Default action"] 
 

Unter "Personal quarantine" muss folgendes aktiviert sein:

       Send quarantine report
       Web release
       
       NOTE Qurantine Reports werden periodisch übermittelt dh. um die Uebermittlung zu "forcen" wähle:
       
       Monitor > Quarantine
       
       Wähle die entsprechende Mailbox und danach "Send quarantine report to..."

Kalender

Kann ich auf einem FortiMail im Server Mode Kalender Sharen?

Ja, iese Informationen werden als FreeBusy Informationen zur Verfügung gestellt (Https Link):

       WebDav
       CalDav

Backup / Restore

Wie kann ich ein automatisiertes Backup auf einem FortiMail konfigurieren?

Unter folgender Position kann für FortiMail -sei es im Server oder Gateway Mode- ein automatisiertes Backup konfigurieren:

       Maitenance > System > Configuration > Scheduled Backup

Unter dieser Position kann für "FTP" oder "SFTP" ein automatisiertes Backup konfiguriert werden. Das File das gespeichert wird auf dem "Remote" Server trägt den Namen:

       config_[Version FortiMail]_[Datum des Backups]-[Zeit des Backups].cfg

Das Backup wird im "clear-text" angelegt und kann mit Wordpad eingesehen werden.

Wie kann ich für ein FortiMail Server ein Restore durchführen?

Basierend auf einem "regulären" Backup das zB automatisiert werden kann kann unter folgender Positioen ein Restore durchgeführt werden:

       Maitenance > System > Configuration > Local PC

Für ein "Restore" gilt die Richtlinie:

       Ein Restore kann nur dann durchgeführt werden wenn die gleiche Firmware vorhanden ist wie ursprünglich für das Backup!

Wie ein automatisiertes Backup konfiguriert werden kann siehe nachfolgenden Artikel:

       FortiMail:FAQ#Wie_kann_ich_ein_automatisiertes_Backup_auf_einem_FortiMail_konfigurieren.3F

Troubleshooting

Wie kann ich den Traffic auf einer FortiMail sniffen?

Auf einer FortiMail steht wie bei einer FortiGate der Befehl "diagnose" zur Verfügung. Anhand dieses Befehls kann folgendes ausgeführt werden:

       # diagnose sniffer packet port1 "port 25" 3
       
       NOTE Die Angabe "3" gibt die Tiefe des Sniffen an (Debug Level)!

Weitere Informationen und weitere Kombinationen betreffend dem "diagnose sniffer" Befehl siehe folgender Artikel:

       FortiGate-5.0-5.2:FAQ#Sniffen

Was passiert mit einem Mail auf einer FortiMail wenn dieses nicht übermittelt werden kann?

Wenn ein Mail temporär nicht übermittelt werden kann wird dieses Mail in der "Mail Queue" beibehalten. Wie mit dem Mail in so einem Fall verfahren wird bestimmt die Konfiguration der "Mail Queue" unter folgenden Punkt:

       Mail Settings > Settings > Mail Server Settings > Mail Queue
       
       NOTE Es kann durchaus 2 - 3 vergehen bis dieses Mail in der "Mail Queue" erscheint!

Die "Mail Queue" kann eingesehen werden unter folgenden Punkt:

       Monitor > Mail Queue

In dieser "Mail Queue" kann ebenfalls ein Mail für eine erneute Uebermittlung angewählt und mit "Resend" (force) Uebermittelt werden. Wenn gemäss Einstellungen der "Mail Queue" die Uebermittlungen Fehlschlagen, wird das Mail in die "Dead Mail" verschoben. Dort kann zwar ein Mail anhand "View" angeschaut werden jedoch steht für eine erneute Uebermittlung nicht mehr zur Verfügung. Dies bedeutet das Mail muss vom User abermalls versendet werden!

Wie kann ich bei Outgoing EMails die "Internen Header" Informationen automatisch entfernen lassen?

Wenn ein EMail intern über verschiedene "hop's" zB von einem Server, über ein Mail Server zum Gateway (Relay) ins Internet versendet wird, wird der Weg des EMails in den "Nachrichten Optionen" (Header) aufgezeigt. Somit, wenn das EMail den Empfänger erreicht, kann dieser über die "Nachrichten Optionen" resp. den Header interne Informationen wie Name des Servers, Interne IP sowie Local Domain auslesen. Dies ist zu verhindern und kann unter folgender Position konfiguriert werden:

       Mail Settings > Domains > Advanced Settings > Remove received header of outgoing email

Wenn diese Option aktiviert ist, entfernt der Mail Server resp. der Relay Gateway -ausser seiner Informationen- sämtliche vorgängigen Informationen. Wenn das Mail beim Empfänger ankommt sieht dieser unter den "Nachrichten Optioenn" nur den letzten "hop" sprich die Informationen des Mail Servers der die Nachricht gesendet hat. Sämtliche Informationen aus dem internen Netz sind nicht mehr ersichtlich.

Wie kann ich auf einer FortiMail einen Deamon/Prozess neu starten?

In einigen Situation kann es vorkommen das ein bestimmter Deamon resp. Prozess auf einer FortiMail neu gestartet werden muss. Standardsgemäss sollte dies über folgender Kommando durchgeführt werden:

       # execute reload [Deamon Name]

Eine andere vorgehensweise ist die über die Funktion "diagnose test application". Dazu kann folgendes ausgeführt werden:

       # diagnose test application ?
       # diagnose test application [Deamon Name] 99

Die letzte Variante -die jedoch mit Vorsicht zu geniessen wäre- ist den Prozess anhand der PID (Prozess ID) zu beenden. Um dies durchzuführen muss zuerst anhand folgenden Befehls die PID eruiert werden:

       # diagnose sys top
       Run Time:  2 days, 16 hours and 48 minutes
       0U, 0S, 100I; 442T, 154F, 127KF
              scanunitd      519      R       4.7     3.2
              ipsengine       63      S <     0.0     8.4
                pyfcgid      511      S       0.0     4.9
       
       NOTE In diesem Beispiel ist die PID des Deamons "ipsengine" die 63!

Sobald die Prozess ID (PID) eruiert wurde kann diese benutzt werden um anhand folgenden Befehls den Deamon zu beenden sowie neu zu starten:

       # diagnose sys kill 15 63
       
       NOTE Die Zahl "15" gibt den "kill level" an dies bedeutet folgendes:
            
            SIGINT   (2): Aehnlich Ctrl + C um in einer Session diese zu beenden. Hat für den "kill" Befehl praktisch keine Auswirkungen. 
            
            SIGTERM (15): Regulärer "kill" Level dh. durch "15" wird versucht den Deamon ordungsgemäss zu beenden ohne Risiko das eine 
                          Konfiguration/Information verloren geht. 
            
            SIGKILL  (9): Durch diesen "kill" Level wird der Deamon unweigerlich beendet dh. es wird auf vorhandenen Konfiguration/Information
                          keine Rücksicht genommen. Dieser "kill" Level sollte nur als letztes Mittel genutzt werden.

Divers

Was ist ein MX Record und wieso ist dies eine absolute Grundvoraussetzung?

MX Records werden genannt in Zusammenhang mit DNS Einträgen. Diese MX Records bedeuten "Mail Exchanger" sprich sind zuständig um mitzuteilen, dass eine bestimmte IP für eine bestimmte Domaine zuständig ist für den Mail Verkehr. Somit sind korrekte MX Records eine absolute Grundvorraussetzung für eine weitere Konfiguration im Zusammenhang mit der Implementation von Mail-Server/Gateway (MUA/MTA). Als Grundvorraussetzung gilt:

       Jeder Mail Server der Incoming World oder Outgoing World Mails verarbeitet MUSS über folgende DNS Einträge verfügen:
       
       - Korrekter MX Record
       - Korrekter PTR Record (Reverse Lookup)
       
       Ein korrekter MX DNS Eintrag sieht dem nach folgendermassen aus:
       
       mydomain.ch. IN MX 10 fortimail.mydomain.ch.
       
       NOTE Dieses Beispiel zeigt einen korrekten Eintrag für Unix Bind Version und bedeutet folgendes:
            
            • Gibt die Domaine an für die diesen Eintrag gilt dh. "mydomain.ch."
            • IN Gibt die "Internet protocol class" an!
            • MX Gibt an, dass es sich bei diesem Eintrag um einen MX Record handelt!
            • 10 Gibt die Präferenz (Priorität) an dh. je grösser der Wert desto tiefer die Präferenz!
            • "fortimail.mydomain.ch." Gibt den zuständigen Mail Server sei es MTA/MUA an!
       
       Nicht zu vergessen ist ein korrekt konfigurierter PTR Record dh. "Reverse Lookup". Ein korrekt funktionierender
       Mail Gateway (MTA) wird nach der ersten Verbindung ein solcher "Revers Lookup" ausführen. Ist dieser PTR Record
       nicht korrekt implementiert wird der Mail Gateway (MTA) diese Verbindung beenden da nicht verifiziert ist ob es
       sich beim Server der die Verbindung erstellt wirklich um den Server handelt da die IP resp. Name nicht verifiziert
       werden kann. Ein korrekter PTR Record sieht folgendermassen aus (Unix Bind):
       
       [IP Adresse letztes Oktet zB "125"] IN PTR fortimail.mydomain.ch.
       
       Sobald die Einträge durchgeführt wurden MUSS getestet werden und zwar kann dies folgendermassen durchgeführt werden:
       
       Allgemein:DasDomänenNamenSystem#Ueberpr.C3.BCfung_von_MX_Records
       Allgemein:DasDomänenNamenSystem#Ueberpr.C3.BCfung_von_Reverse_Lookups_f.C3.BCr_eine_IP

Somit ergiebt sich zB folgendes Beispiel:

       mydomain.ch. IN MX  5 mx1.mydomain.ch.
       mydomain.ch. IN MX 10 mx2.mydomain.ch.
       
       NOTE Dieses Beispiel bedeutet folgendes: Für die Domaine "mydomain.ch" sind die Mail Server "mx1.mydomain.ch" 
            sowie "mx2.mydomain.ch" zuständig! Der Server "mx1.mydomain.ch" wird als "Erstes" angegangen da er über
            eine tiefere "Präferenz" verfügt (5) und somit in einer höheren Priorität liegt. Ist dieser Server nicht
            erreichbar wird Server "mx2.mydomain.ch" angegangen da dieser mit einer höheren "Präferenz" (10) als der
            Server "mx1.mydomain.ch" versehen ist und somit eine tiefere Priorität hat! Nach RFC dürfen die MX Records
            resp. die Server nicht im gleichen Public IP Subnet befinden dh. müssen in unterschiedlichen Public IP Subnet
            sowie unterschiedlichen Lokation befinden!

Oft wird aus "User" Gründen ein zusätzlicher "A" Record hinzugefügt als Alias dh. damit der User nicht für den Mail Server einen komplizierten Namen eingeben werden muss zB im Outlook, IPhone usw. Dies bedeutet möchte man den Usern ermöglichen "mail.mydomain.ch" als SMTP und/oder POP3/IMAP eingeben zu können kann dies durchgeführt werden als CNAME. Folgendes Beispiel:

       Es existieren 2 Mail Gateways (MTA) und 1 Mail Server (MUA) dies sind
       
       mx1.mydomain.ch       (Mail Gateway MTA)
       mx2.mydomian.ch       (Mail Gateway MTA) 
       fortimail.mydomain.ch (Mail Server MUA)
       
       --> Die MTA (mx1/2) nehmen direkt Mail's von Outside World an und übermitteln diese an den MUA (fortimail) sowie können ebenfalls direkt an Outside World Mails übermitteln!
       --> Der MUA nimmt keine Mails direkt von Outside World an (sondern bekommen diese über die MTA's (mx1/2) jedoch kann direkt an Outside World übermitteln (nicht über MTA)!
       --> Zusätzlich wird ermöglich -damit die User nicht den Namen "fortimail.mydomain.ch" benützen müssen- den Namen "mail.mydomain.ch" zu benutzen!
       
       Im DNS Server in der betreffenden Zone "mydomain.ch" sieht das folgendermassen aus:
       
       fortimail    IN A     [IP Adresse fortimail.mydomain.ch]
       
       mydomain.ch. IN MX  5 mx1.mydomain.ch.
       mydomain.ch. IN MX 10 mail
       mydomain.ch. IN MX 50 mx2.mydomain.ch.
       mail         IN CNAME fortimail.mydomain.ch.
       
       NOTE Nach RFC ist ein CNAME Name für Mail Server im Zusammenhang mit den MX Records nicht regulär jedoch funktioniert
            -sofern die MX Records und PTR Records ordnungsgemäss konfiguriert sind- einwandfrei!
       
       Im DNS Server in der betreffenden IN-ADR-ARPA Zone (Reverse Lookup) sieht das folgendermassen aus:
       
       [IP Adresse mx1 letzes Oktet] IN PTR mx1.mydomain.ch.
       [IP Adresse mx1 letzes Oktet] IN PTR fortimail.mydomain.ch.
       
       [IP Adresse mx1 letzes Oktet] IN PTR mx2.mydomain.ch.
       
       NOTE In diesem Beispiel ist Port 25 (SMTP) von Outside World zu mx1/2 offen sowie zu fortimail.mydomain.ch geschlossen!
            Für alle Server ist Port 25 nach Outside World offen!

Es gibt unzählige Varianten wie die MX Records aufgebaut werden können mit deren Mail Servern. Wichtig ist zu wissen wie sich das Failover Scenario ergiebt im Fall eines Ausfalles und wie sich die Mail Server sei es MTA und/oder MUA verhalten in der Ubermittlung! Eine vorgängige korrekte und transparent Planung ist umumgänglich sowie ein absolutes MUSS!

Was ist SMTP (Simple EMail Transfer Protocol) und wie funktioniert es?

Für detailierte Informationen betreffend SMTP (Simple Mail Transfer Protocol RFC 2821) sowie ESMTP (Extended Simple Mail Transfer Protocol RFC 1869) siehe Artikel:

       Allgemein:DasSimpleMailTransferProtocol

Was bedeutet MTA/MUA/MAA im Zusammenhang mit SMTP Protokoll?

Innerhalb des SMTP Protokoll stösst man immer wieder auf die Ausdrücke MTA, MUA sowie MAA. Diese Abkürzungen resp. Ausdrücke bedeuten folgendes:

       MTA - Mail Transfer Agent      (Mail Router / Mail Gateway)
       MUA - Mail User Agent          (Mail Host / Mail Server)
       MAA - Mail Access Agent        (User Authentifizierung und Empfangen)

Wie sieht eine Basic EMail Verbindung (Flow) aus?

Nachfolgende Abbildung zeigt wie ein Basic EMail Flow aussieht dh. wie ein Mail vom Client bis zum Empfänger über die verschiedenen Komponenten abgewickelt werden:

       Datei:Fortinet-630.jpg

Wie teste ich einen Mail Server SMTP Port 25 mit Telnet?

Nachfolgender Artikel zeigt wie man einen Mail Server SMTP Port 25 über Telnet testen kann:

       Allgemein:DasSimpleMailTransferProtocol#Wie_teste_ich_einen_Mail_Server_SMTP_Port_25_mit_Telnet.3F

Wie sieht eine Basic SMTP Session aus?

Wenn ein User eine SMTP Session aufbaut so sieht dies in den Basics folgendermassen aus:

       Datei:Fortinet-631.jpg

Dabei ist -speziell betreffende FortiMail- zu Unterscheiden zwischen:

       --> Envelope Bereich
       --> Data Bereich

Dies bedeutet in den vers. Konfigurationen wird in den Dokumentationen immer wieder darauf hingewiesen WO die verschiedenen Ueberprüfungen und Manipulationen eine Nachricht durchgeführt werden. Diesem Umstand ist umbedingt Rechnung zu tragen um die gewünschte Wirkung zu erzielen.

Wie kann ich einen FortiMail in die SecurityFabric integrieren?

Um einen FortiMail in die Security Fabric auf der FortiGate zu integrieren muss folgendermassen vorgegangen werden:

Konfiguration über das WebGui: FORTIGATE

Konfiguration auf der FortiGate: Menu Security Fabric --> Fabric Connectors --> Create New Wähle Other Fortinet Products: Namen für den Fabric Connector wählen (so wird das Gerät in der Fabric angezeigt) IP Adresse des FortiMails angeben Administrations Port des Fortimails angeben (Default ist 443) Nun den Access token generieren (Generate anwählen) Gib das Login des FortiMails ein damit der Token generiert wird. Kopiere jetzt den generierten Token in die Zwischenablage (am besten in en txt File kurz speichern)

Konfiguration auf dem FortiMail:
Damit die FortiGate den Fortimail in die SecurityFabric integrieren kann muss auf dem FortiMail die API Schnittstelle aktiviert werden. Dies funktioniert über die CLI:

Konfiguration über die CLI: FORTIMAIL

config system global set rest-api enable set fabric-api-token [generierten Token rein kopieren] end

Auf der FortiGate sieht man den FortiMail jetzt in der Fabric Integriert:

Wenn man auf die Übersicht geht erkennt man jetzt den FortiMail eingebunden. In diesem Beispiel ist ein FortiMail im Server und ein FortiMail im Gateway Modus.

Konfiguration über das WebGui: FORTIGATE

Dafür über das Menu: Security Fabric --> Logical Topology Das Laden kann einen Augenblick dauern.