FortiMail:FAQ

Aus Fortinet Wiki
Zur Navigation springen Zur Suche springen

FortiMail:FAQ

Vorwort

Diese FAQ's sind für FortiMail Systeme basierend auf FortiOS 5.x!

Datenschutz

        *********************************************************************
        *                                                                   *
        *  THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY  *
        *      PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING,      *
        *    DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM     *
        *                  ALSO SCHWEIZ AG SWITZERLAND.                     *
        *                                                                   *
        *********************************************************************

"Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne
schriftliche Zustimmung von der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht 
                         bekannt gemacht werden"

FAQ

License

Wie wird ein FortiMail unter VMware lizensiert?

Eine FortiMail Lizenz basiert auf folgender Matrix:

       Fortinet-1310.jpg
       Fortinet-1311.jpg

Wird somit einer VMWare Intanz mehr CPU's zugewiesen für eine entsprechende Version und die Lizenz wird eingespielt erscheint im entsprechenden License Widget folgende Fehlermeldung:

       'Invalid license presented'

Somit muessen die zugewiesenen CPU's (Cores) reduziert werden gemäss Abbildung und entsprechenden Version und ein Neustart ausgeführt werden. Eine Lizenz eines FortiMail ist im Gegensatz zu einem zB FortiManager nicht IP Abhängig dh. die Lizenz wird registriert wie ein FortiManager jedoch ohne die Definition der IP Adresse! Bei der Lizensierung dh. neben den Hardware Komponenten sind die "Max Values" unter FortiMail zu berücksichtigen. Weitere Informationen siehe nachfolgneden Artikel:

       FortiMail:FAQ#Was_sind_die_.22Maximum_Values.22_eines_FortiMails.3F

Wie wird eine License für FortiMail für VMware registriert und eingespielt?

Wenn man einen FortiMail für VMware installiert fällt einem auf, dass dieser keine Serien Nummer aufweist! Diese Serien Nummer wird erstellt beim Registrierungsvorgang. Dies bedeutet, als License Lieferung erhält man folgendes Dokument:

       NOTE In der nachfolgenden Doku wird gezeigt wie ein FortiManager Lizenz registriert wird. Der Vorgang
            Unterscheidet sich nur in der Definition der IP die benutzt wird bei einem FortiManager. Bei einem
            FortiMail ist nicht nötig dh. FortiMail ist nicht Lizenztechnisch gesehen IP Abhängig!
       Datei:FMVM0002306.pdf

In diesem Dokument ist ein "Registration Code" angegeben dh. anhand dieses "Registration Code" wird die Registrierung durchgeführt und in dieser Registrierung wird die Serien Nummer erstellt sowie das effektive License File. Um die Registrierung durchzuführen gehe auf folgende Seite:

       http://support.fortinet.com
       
       NOTE Auf dieser Support Seit muss für den Registrierungsprozess eingeloggt werden. Ist "noch" 
            kein Account vorhanden so führe den ersten Teil (erstellen eines Accounts) der folgende
            Anweisungen durch:
       
       FortiGate-5.0-5.2:FAQ#Wie_wird_ein_Fortinet_Device.2FGer.C3.A4t_Registriert.3F
       
       Wenn ein Account existiert logge dich anhand des Usernamens und Passwortes auf http://support.fortinet.com ein.
       Danach wähle unter "Asset Management" die Position "Register/Renew". Es erscheint folgender Dialog:
       
       Datei:Fortinet-212.jpg
       Datei:Fortinet-216.jpg
       Datei:Fortinet-217.jpg
       Datei:Fortinet-218.jpg
       
       NOTE Auf diser Seite kann unter der Positon "License File Download" das Licens File, dass auf dem FortiMail
            eingespielt werden muss runtergeladen werden!

Sobald das Lizenz File runtergeladen wurde kann es unter folgender Position auf dem FortiMai Mgmt. Web Interface eingspielt werden:

       System Status > License Information > VMWare > [Update...]
       
       NOTE Es wird ein Neustart durchgeführt! Die Lizenz ist nicht IP Abhängig! Dies bedeutet immer die letzte
            Instanz meldet sich in der FortiCloud (FortiGuard) dh. alle älteren Instanzen werden automatisch 
            inaktiv gesetzt! In der Console wird eine Meldung nach dem Neustart angezeigt:
            
            License Registration Status changed to VALID

Nachdem erneuten einloggen kann nun die Serial Nummer dieser Installation aus folgender Position ausgelesen werden:

       System Status > License Information

Diese Serial Nummer identifiziert diese Installation bei Support Fällen bei Fortinet und muss bei einem Support Case angegeben werden.

Documentation

Wo findet ich die Dokumente wie Datasheets, Quick Start Guide, User Guide etc. ?

Ueber folgenden internen Link findet man Datasheets und Quick Start Guide betreffend FortiMail Devices:

       Fortinet:ProduktInfo

Ebenfalls lohnt es sich folgenden Link anzuschauen der "Cookbook" ähnliche Dokumente und Video's beinhaltet:

       http://community.fortinet.com/

Auf folgender Seite findet man alle orginal Dokumente betreffend Fortigate:

       http://docs.fortinet.com/fmail.html
       FortiMail FortiOS 4.0
       Datei:Fortimail-admin-40-mr3.pdf                    (FortiMail v4.0 MR3 Administration Guide)
       Datei:Fortimail-cli-40-mr3.pdf                      (FortiMail Secure Messaging Platform v4.3 CLI Reference)
       Datei:Fortimail-log-message-reference-40-mr3.pdf    (FortiMail Secure Messaging Platform v4.0 MR3 Log Message Refrence)
       Datei:Fortimail-vm-install-40-mr3.pdf               (Install Guide 4.0 MR3)
       FortiMail FortiOS 5.0
       Datei:Fortimail-admin-50.pdf                        (FortiMail Secure Messaging Platform FortiOS 5.0 Administration Guide)
       Datei:Fortimail-cli-50.pdf                          (FortiMail Secure Messaging Platform FortiOS 5.0 CLI Reference)
       SysAdmin's Notebook FortiOS 4.0/5.0
       Datei:FortiMail disk quota.pdf                      (Creating a customized resource profile (disk quota) for any group of users)
       FortiMail FortiOS 5.1
       Datei:Fortimail-admin-51.pdf                        (FortiMail Secure Messaging Platform FortiOS 5.1 Administration Guide)
       Datei:Fortimail-cli-51.pdf                          (FortiMail Secure Messaging Platform FortiOS 5.1 CLI Reference)
       
       Datei:Fortimail-log-message-reference-50.pdf        (FortiMail Secure Messaging Platform FortiOS 5.0 Log Message Reference)
       FortiMail FortiOS 5.2
       Datei:Fortimail-admin-52.pdf                        (FortiMail Secure Messaging Platform FortiOS 5.2 Administration Guide)
       Datei:Fortimail-cli-52.pdf                          (FortiMail Secure Messaging Platform FortiOS 5.2 CLI Reference)
       Datei:Fortimail-whatsnew-52.pdf                     (FortiMail Secure Messaging Platform FortiOS 5.2 Whats New)
       
       Datei:Fortimail-log-message-reference-52.pdf        (FortiMail Secure Messaging Platform FortiOS 5.2 Log Message Reference)
       FortiMail FortiOS 5.3
       Datei:Fortimail-admin-53.pdf                        (FortiMail Secure Messaging Platform FortiOS 5.3 Administration Guide)
       Datei:Fortimail-cli-53.pdf                          (FortiMail Secure Messaging Platform FortiOS 5.3 CLI Reference)
       
       Datei:Fortimail-log-message-reference-53.pdf        (FortiMail Secure Messaging Platform FortiOS 5.3 Log Message Reference)
       Datei:Fortimail-REST-API-Reference-53.pdf           (FortiMail Rest API Reference FortiOS 5.3)
       Diverse Dokumente
       Datei:Fortimail-aws-deployment.pdf                  (FortiMail Amazon Web Services Deployment Guide)
       Datei:Fortimail-adc-deployment.pdf                  (FortiMail ADC Deployment Guide)
       Datei:FortiMail-Office365.pdf                       (Securing Your Enterprise Office 365 with FortiMail)

Gibt es einen Link auf die Fortinet Knowledgebase auf der die Artikel gelistet sind?

       http://pub.kb.fortinet.com/index/

Hardware

Was für ein Kabel benötige ich für den Consolen Anschluss (Seriell RS232) einer Fortinet?

Weitere Informationen siehe folgender Artikle:

       FortiGate-5.0-5.2:FAQ#Was_f.C3.BCr_ein_Kabel_ben.C3.B6tige_ich_f.C3.BCr_den_Consolen_Anschluss_.28Seriell_RS232.29_einer_Fortinet.3F

Setup

Wie kann ein FortiMail Device eingesetzt/implementiert werden?

Ein FortiMail Device ist variable einsetzbar dh. je nach Bedürfniss kann ein FortiMail folgendermassen implementiert werden:

       --> Gateway: Mail Router (MTA)
       --> Transparent (IP Router or Layer 2 Switch)
       --> Mail Server
       
       NOTE Die vers. Modi können nicht parallel betrieben werden. Wenn ein neuer Modus aktiviert wird
            geht die bestehende Konfiguration verloren!

Nachfolgende Abbilungen zeigt auf wie solche Implementationen in den verschiedenen Modi aussehen kann:

       Mode GATEWAY
       
       NOTE Diese Abbildungen zeigen wie ein FortiMail im Gateway Mode durch eine Firewall geschützt wird. 
            Ein FortiMail Device ist ein gehärteter Device dh. das Outbound Interface kann ohne Probleme
            direkt zum Internet verbunden werden und das LAN Interface direkt ins LAN. Somit wird die FW
            nicht zusätzlich belastet und es muss kein NAT Implementiert werden. Ob dies durchgeführt wird
            hängt von den Gegebenheiten ab dh. ob mehrer Public IP's zur Verfügung stehen oder zB ob die
            Firewall Auslastung zu hoch wird etc!?
       
       Datei:Fortinet-624.jpg        Datei:Fortinet-625.jpg
       Mode TRANSPARENT
       
       Datei:Fortinet-626.jpg        Datei:Fortinet-627.jpg
       Mode MAIL SERVER
       
       Datei:Fortinet-628.jpg        Datei:Fortinet-629.jpg
       Fortinet-985.jpg

Was unterscheidet FortiMail in seiner Funktion von anderen Mail Gateways/Server (MTA/MUA)?

Wenn man mit FortiMail arbeitet sei es als Gateway (MTA), Server (MUA) oder im Transparent Modus fragt man sich wieso man nicht effektiv mit Interfaces zB Inbound Interface und/oder Outbound Interfaces arbeitet resp. Konfigurationen durchführt. Bei anderen Mail Systemen werden die Relays, Zugriff auf die Server auf Interfaces konfiguriert dh. der SMTP Deamon (Port 25) läuft auf einer bestimmten IP. Bei FortiMail ist dies so nicht der Fall dh. FortiMail arbeitet mit Policies die einem Grundsatz folgende und zwar:

       Protect Domain (Eine Domaine die erfasst/konfiguriert wurde auf dem FortiMail)
       Unprotected Domain (Eine Domaine die NICHT erfasst wurde auf dem FortiMail)

Die Grundlage eines FortiMail Installation stellt das Routing dar sprich dabei spielt es eigentlich keine Rolle wie ein FortiMail in eine Umgebung eingebunden wird dh. mit zwei oder mehreren Interfaces (ausser aus Performance Gründen). Aus diesem Grund -so wie FortiMail arbeitet- kann eine FortiMail Installation durchaus nur mit einem Interface (speziell für MTA Mode resp. Gateway Mode) in eine Umgebung eingebunden werden. Denn wenn eine Policy abgearbeitet wird geht FortiMail im Grundsatz nach folgenden Schema vor:

       1. Recipient Adresse und/oder Sender Adresse werden analysiert sprich diese stellt eine bestimmt Domaine dar!
       2. Die Recipient Adresse und/oder Sender Adresse werden verifiziert als "Protected Domain" oder als "Unprotected Domaine"!
       3. Die entsprechende Domaine/n werden anhand DNS (MX Records / Reverse Lookup) betreffend IP verifiziert!
       4. Die verifiziert IP wird lokalisiert dh. stimmt überein mit "Protected Domain" oder "Unprotected Domaine" (Externe Adresse)!
       5. Anhand der verifizierten IP Adresse, wird nach der Abarbeitung der entsprechenden Policies, das Routing ausgelöst!

Dies zeigt auf, dass FortiMail Domaine basierend ist resp. von "Protected Domains" oder "Unprotected Domains" ausgeht und nicht mit IP basierenden Inbound/Outbound Interfaces arbeitet resp. mit SMTP Deamons die auf einer bestimmten Interface/IP konfiguriert ist/sind. Dies ist zu verinnerlichen wenn mit FortiMail gearbeitet wird um die korrekten Policies zu implementierten!

Wie sieht die Grundkonfiguration (Netzwerk) eines FortiMail aus?

Wenn man zB über VMware einen FortiMail installiert (über ovf File) so muss dieser über die Console der VMware für den ersten Zugriff Grundkonfiguriert werden (Gilt auch für den Device) dh. damit später über das WebInterface zugegriffen werden kann. Diese Grundkonfiguration sieht folgendermassen aus (Login User "admin" no password):

       Interface Konfiguration
       
       # config system interface
       # edit port1
       # set ip [IP Adresse/Netmask]
       # set allowaccess http ping
       # end
       Default Gateway
       
       # config system route
       # edit 1
       # set gateway [Gateway IP Adresse]
       # end

Danach kann anhand der gesetzten IP auf das WebInterface zugegriffen werden:

       http://[IP Adresse]/admin
       
       NOTE Bei der Installation kann es ohne Lizenz im https Mode zu Problemen kommen! Der Grund ist die Low Level
            Encrption. Aus diesem Grund empfehlen wir solange keine Reguläre Lizenz eingespielt ist http Mode zu 
            benutzen um das Problem zu umgehen. Sobald die Lizenz eingespielt ist kann auf https Mode umgestellt 
            werden. Detaillierte Informationen zu diesem Thema siehe folgender Artikel:
            
            Fortinet:EvaluationNFR#Es_ist_nicht_m.C3.B6glich_anhand_meines_Broswer.27s_auf_meine_Fortinet_VMware_Installation_.28Eval.29_zu_zugreifen.3F

Wo kann ich den Hostnamen/Domaine für einen FortiMail Server setzen?

Der Hostname kann auf einem FortiMail Server unter folgender Position gesetzt werden:

       Mail Settings > Settings > Mail Server Settings > [Host name | Local domain name]

Wenn der Hostname und/oder die Domain über Kommandozeile konfiguriert werden soll benütze folgende Kommandos:

       # config system global
       # set hostname [Host Name]
       # set local-domain-name [Domaine Name
       # end

Welche Ports benützt eine FortiMail Installation?

Folgende Tabelle zeigt welche Ports durch einen FortiMail Installation benutzt wird:

      • Ports die benützt werden durch den FortiMail selber (outbound ports)
      • Ports die benützt werden durch den FortiMail um Traffic zu erhalten (listening ports)
      • Ports die benützt werden durch den FortiMail im Zusammenhang mit dem FortiGuard Distribution Network Service (FDN ports)
      NOTE Die nachfolgende Auflistung zeigt ALLE Ports die möglich sind dh. je nach benutzten Optionen in der
           Konfiguration sind diese Ports offen oder in Gebrauch!
       Fortinet-970.jpg
       Fortinet-971.jpg
       Fortinet-972.jpg

Nachfolgende Grafik zeigt auf wie diese Ports im Process Flow benützt werden:

       Fortinet-973.jpg

Was sind die "Maximum Values" eines FortiMails?

Nachfolgend eine Aufstellung (Matrix) der Maximum Values eines FortiMails basierend auf 5.0.x:

       Datei:Fortinet-981.jpg
       Datei:Fortinet-982.jpg
       Datei:Fortinet-983.jpg
       Datei:Fortinet-984.jpg

Nachfolgend eine weitere Uebersicht die zeigt wie die Unterscheide zwischen der virtuellen Version und hardware Version aussieht sowie zwischen der Version 5.0.x sowie 5.2.x:

       Datei:Fortinet-1370.jpg

Können innerhalb eines FortiMail Cluster's verschiedenen FortiMail Devices eingesetzt werden?

Ja dies ist möglich! Ein FortiMail Cluster kann in folgenden "Mode's" betrieben werden:

       Active-Passive
       Config-Only
       Active-passive                                                     HA Config-only HA
       2 FortiMail units in the HA group                                  2-25 FortiMail units in the HA group
       Typically deployed behind a switch                                 Typically deployed behind a load balancer
       Both configuration* and data synchronized                          Only configuration* synchronized
       Only primary unit processes email                                  All units process email
       No data loss when hardware fails                                   Data loss when hardware fails
       Failover protection, but no increased processing capacity          Increased processing capacity, but no failover protection

In beiden Mode's sind bei der Konfiguration folgende Komponenten ausgenommen sprich werden "nicht" Synchronisiert:

       Operation Mode
       Host Name
       Static Route
       Interface Konfiguration
       Management IP Adresse
       SNMP System Information
       Radi Konfiguration
       HA Konfiguration
       HA Deamon Konfiguration
       HA Service Monitoring Konfiguration
       System Apperarance
       Config Only HA

Nachfolgend zwei Beispiele aus dem "Admin Guide" die diese zwei Modes aufzeigen:

       Fortinet-1113.jpg Fortinet-1114.jpg
       
       NOTE Weitere "wichtige" Informationen betreffend diesen zwei Mode's sowie deren 
            Konfiguration findet man im "Admin Guide" von FortiMail:
            
            FortiMail:FAQ#Wo_findet_ich_die_Dokumente_wie_Datasheets.2C_Quick_Start_Guide.2C_User_Guide_etc._.3F

Wenn FortiMail Devices/Modelle in einem Cluster gemischt werden werden die Konfigurationen limitiert nach dem "grössten" Modell. Dabei ist zu beachten das bei den Konfigurationen das "kleinere" Modell resp. die max. Values nicht überschritten werden. Grundvorraussetzung um vers FortiMail Modelle in einem Cluster Verbund zu mischen ist, dass auf den vers. Devices die "gleiche" Firmware eingesetzt wird.

Wie ändere ich für einen FortiMail den Mode damit ich diesen im Server, Gateway oder Transparent Mode betreiben kann?

Ein FortiMail kann in verschiedenen Modi betrieben werden (siehe Artikel FortiMail:FAQ#Wie_kann_ein_FortiMail_Device_eingesetzt.2Fimplementiert_werden.3F). Um den entsprechenden Mode umzustellen führe folgendes aus:

       System Status > System Information > Operation Mode > Server
       
       NOTE es wird ein Neustart durchgeführt und eine bestehende Konfiguration geht
            verloren ausser die Netzwerk Konfiguration!

Wo können auf einer FortiMail die Administrations Ports definiert werden dh. für HTTP, HTTPS, Telnet sowie SSH?

Diese Einstellung findet man unter:

       System > Configuration > Options > Administration Ports

Wie schalte ich nicht benötigte Service auf einem FortiMail ab wie zB SMTP Auth?

Je nach Konfiguration eines FortiMails sollten die "nicht benötigten" jedoch per Standard zur Verfügung stehenden Protokolle wie zB "SMTP Auth" abgeschaltet werden. Wird auf einem FortiMail IMAPS, SMTPS konfiguration laufen per Standard die "nicht" verschlüsselten Protokolle mit. Um diese gänzlich abzuschalten kann folgendes durchgeführt werden:

       # config system mailserver
       # set smtp-auth [enable | disable]
       # set smtp-auth-over-tls [enable | disable]
       # set smtp-auth-smtps [enable | disable]
       # set smtps-tls-status [enable | disable]
       # set smtp-auth-smtps [enable | disable]
       # set pop3-service [enable | disable]
       # set imap-service [enable | disable]
       # end 

Ebenfalls können unter dieser Konfiguration die Ports der einzelnen Service definiert werden:

       # config system mailserver
       # set smtp-port 25
       # set smtp-msa-port 587
       # set smtps-port 465
       # set pop3-port 110
       # end

Server Mode

Wie führe ich ein Grundsetup durch um einen FortiMail im Server Mode zu installieren/konfigurieren?

Folgende Aufstellung/Information zeigt ein Konfigurations-Ablauf auf für einen FortiMail im Server Mode. Je nach Konfiguration und Vorraussetzungen entfallen bestimmte Konfigurationspunkte:

       0.  Vorbereitung der Implementierung / Grundkonfiguration Netzwerk       FortiMail:FAQ#Wie_kann_ein_FortiMail_Device_eingesetzt.2Fimplementiert_werden.3F
                                                                                FortiMail:FAQ#Was_unterscheidet_FortiMail_in_seiner_Funktion_von_anderen_Mail_Gateways.2FServer_.28MTA.2FMUA.29.3F
                                                                                FortiMail:FAQ#Was_ist_ein_MX_Record_und_wieso_ist_dies_eine_absolute_Grundvoraussetzung.3F
                                                                                FortiMail:FAQ#Wie_sieht_die_Grundkonfiguration_.28Netzwerk.29_eines_FortiMail_aus.3F
       1.  Lizenz einspielen                                                    FortiMail:FAQ#Wie_wird_ein_FortiMail_unter_VMware_lizensiert.3F
                                                                                FortiMail:FAQ#Wie_wird_eine_License_f.C3.BCr_FortiMail_f.C3.BCr_VMware_registriert_und_eingespielt.3F
       2.  Server Mode wählen                                                   FortiMail:FAQ#Wie_.C3.A4ndere_ich_f.C3.BCr_einen_FortiMail_den_Mode_damit_ich_diesen_im_Server.2C_Gateway_oder_Transparent_Mode_betreiben_kann.3F
       3.  Grundkonfiguration FortiMail "Server Mode"                           FortiMail:FAQ#Wie_kann_ich_die_Initial_Grundkonfig_eines_Server_Mode_konfigurieren.3F
       4.  Administration Access                                                FortiMail:FAQ#Wo_k.C3.B6nnen_auf_einer_FortiMail_die_Administrations_Ports_definiert_werden_dh._f.C3.BCr_HTTP.2C_HTTPS.2C_Telnet_sowie_SSH.3F
                                                                                FortiMail:FAQ#Wo_kann_ich_den_Hostnamen.2FDomaine_f.C3.BCr_einen_FortiMail_Server_setzen.3F
                                                                                FortiMail:FAQ#Wo_kann_ich_das_Passwort_des_Administrator.27s_neu_setzen.3F
                                                                                FortiMail:FAQ#Wo_kann_ich_das_Timeout_des_Administrators_neu_anpassen.3F
       5.  Routing Konfiguration                                                FortiMail:FAQ#Wie_kann_ich_einen_Routing_Eintrag_erstellen_auf_einem_FortiMail.3F
       6.  DNS Konfiguration                                                    FortiMail:FAQ#Wie_konfiguriere_ich_auf_einem_FortiMail_entsprechende_DNS_Server.3F
       7.  Datum / Zeit sowie NTP Konfiguration                                 FortiMail:FAQ#Wie_kann_ich_auf_einem_FortiMail_die_korrekte_Timezone_setzen.3F
                                                                                FortiMail:FAQ#Wie_kann_ich_das_Datum_und_die_Zeit_auf_einem_FortiMail_setzen.3F
                                                                                FortiMail:FAQ#Wie_kann_ich_einen_NTP_Server_definieren_auf_einem_FortiMail.3F
       8.  Hostname / Domaine                                                   FortiMail:FAQ#Wo_kann_ich_den_Hostnamen.2FDomaine_f.C3.BCr_einen_FortiMail_Server_setzen.3F
       9   Domain Relaying                                                      FortiMail:FAQ#Wo_kann_ich_eine_.22Domain.22_konfigurieren_f.C3.BCr_die_ein_FortiMail_die_Zust.C3.A4ndigkeit_.C3.BCbernimmt.3F
      10.  Relay / Access Control                                               FortiMail:FAQ#Was_ist_.22Access_Control.22_und_was_ist_dabei_zu_ber.C3.BCcksichtigen_auf_einem_FortiMail.3F
                                                                                FortiMail:FAQ#Wo_kann_ich_auf_einer_FortiMail_einen_sogenannten_.22Relay.22_konfigurieren.3F
                                                                                FortiMail:FAQ#Welche_Bedeutung_haben_in_den_Access_Control_.22Internal.22_und.2Foder_.22External.22.3F
      11.  Profiles                                                             FortiMail:FAQ#Wo_kann_ich_die_Anzahl_Verbindungen_pro_Client_eingrenzen_.28Session_Profile.29.3F
                                                                                FortiMail:FAQ#Wo_kann_ich_die_AntiSpam_Funktion_konfigurieren_.28AntiSpam_Profile.29.3F
                                                                                FortiMail:FAQ#Wo_kann_ich_die_AntiVirus_Funktion_konfigurieren_.28AntiVirus_Profile.29.3F
                                                                                FortiMail:FAQ#Wo_kann_ich_die_Content_Funktion_konfigurieren_.28Content_Profile.29.3F
                                                                                FortiMail:FAQ#Wo_kann_ich_die_Resource_Funktion_konfigurieren_.28Resource_Profile.29.3F
      12.  IP-based Policies  / Recipient Policies                              FortiMail:FAQ#Was_ist_der_Unterschied_zwischen_.22IP-based_Policies.22_und.2Foder_.22Recipient_Policies.22.3F
      13.  Logging / Reports                                                    FortiMail:FAQ#Kann_ich_die_Logs_eines_FortiMails_dem_FortiAnalyzer_.C3.BCbermitteln.3F
      14.  Backup / Restore                                                     FortiMail:FAQ#Wie_kann_ich_bei_Outgoing_EMails_die_.22Internen_Header.22_Informationen_automatisch_entfernen_lassen.3F
                                                                                FortiMail:FAQ#Wie_kann_ich_f.C3.BCr_ein_FortiMail_Server_ein_Restore_durchf.C3.BChren.3F

Wie kann ich die Initial Grundkonfig eines Server Mode konfigurieren?

Eine Initial Grundkonfig eines "Server Mode's" wird am besten anhand des zur Verfügung stehenden "Wizards" durchgeführt! Dabei muss berücksichtigt werden das dieser bei Ausführung sämtliche bestehende Konfiguration löscht. Dies bedeutet der Wizard "purged" die Datenbank und konfiguriert diese neu anhand eines Templates das wiederum anhand des Wizards abgefüllt wird. Um den Wizard auszuführen für den Server Mode muss der FortiMail Server auf den "Server Mode" umgestellt werden. Weitere Informationen dazu siehe folgender Artikel:

       FortiMail:FAQ#Wie_.C3.A4ndere_ich_f.C3.BCr_einen_FortiMail_den_Mode_damit_ich_diesen_im_Server.2C_Gateway_oder_Transparent_Mode_betreiben_kann.3F

Danach kann der Wizard ausgeführt werden:

       Starte nun den Wizard in der oberen Ecke Rechts:
       
       Fortinet-932.jpg
       NOTE Definiere sofern nötig abermalls das Passwort für den Superadmin User "admin"!
       Fortinet-933.jpg
       Fortinet-934.jpg
       Fortinet-935.jpg
       Fortinet-936.jpg
       
       NOTE Gebe hier die "Domain" an für die der Mailserver zuständig sein wird. Wenn mehrere "Domainen" 
            existieren füge für jede einen Eintrag hinzu. Diese können auch nachträglich hinzugefügt werden!
       Fortinet-937.jpg
       Fortinet-938.jpg
       Fortinet-939.jpg
       
       NOTE Füge eine Eintrag mit einer entsprechenden IP hinzu für jeden Server der berrechtigt ist intern den 
            "FortiMail" im "Server Mode" als SMTP Server zu benutzen resp. EMails zuübermitteln.

Nun wird eine Zusammenfassung angezeigt die Kontrolliert werden kann. Mit "Back" kann eine etweilige Korrektur durchgeführt werden. Bestätige die Konfiguration mit dem "OK" Button. Es wird eine Neustart ausgeführt! Nachdem Neustart sollten die verschiedenen Konfigurationspunkte des Wizard durchkontrolliert sowie etweilige Ergänzungen hinzugefügt werden:

       Erstelle eine Verbindung zum WebMgmt:
       
       https://198.18.0.13/admin/
       
       NOTE Um die Kontrolle durchzuführen siehe folgender Artikel:
       
            FortiMail:FAQ#Wie_f.C3.BChre_ich_ein_Grundsetup_durch_um_einen_FortiMail_im_Server_Mode_zu_installieren.2Fkonfigurieren.3F

Transparent Mode

Was ist der Unterschied zwischen Gateway Mode und/oder Transparent Mode?

       Gateway mode:     • Incoming : Protected domain
                         • Outgoing : Unprotected domain
       Transparent mode  • Incoming : Protected IP
                         • Outgoing : Unprotected IP
       Implicit rules    • Incoming : RELAY
                         • Outgoing : REJECT
                         • No domain defined = Outgoing : REJECT

Was sind die Auswirkungen wenn ein FortiMail Device im Transparent Mode den Proxy aktiviert hat?

Wenn auf einem FortiMail Device im Transparent Mode den Proxy aktiviert wird so wird ein Mail vom Ausgangs Server direkt zum Ziel Server gesendet. Dies bedeutet schickt Client "A" ein Mail anhand des Server "A" zum Client "B" wird der Server "A" direkt Server "B" kontaktieren. Dies bedeutet wiederum der FortiMail Device wird benutzt um die SMTP Verbindung zu proxifizieren. Wenn Server "B" nicht erreichbar ist so wird das Mail in der Queue von Server "A" beibehalten und nicht auf dem FortiMail Device im Transparent Mode und aktiviertem Proxy. Somit gelten für die erneute Uebermittlungen die Einstellungen der Queue des Servers "A". Um diese Mode auf einem FortiMail Device mit Transparent Mode zu aktivieren benutze folgendes:

       Incoming:
       
       Benutze auf dem WebGui folgendes:
       
       Mail Settings > Domains > [Wähle die entsprechende Domain] > Transparent Mode Options > Use this domain’s SMTP to deliver the email
       
       Benutze auf der CLI folgendes:
       
       # config domain
       # edit [Definiere den Domain Name]
       # config domain-setting
       # set tp-use-domain-mta yes
       # end
       # next
       # end
       Outgoing:
       
       Benutze auf dem WebGui folgendes:
       
       Mail Settings > Domains > Use client-specified SMTP server to send email
       
       Benutze auf der CLI folgendes:
       
       # config mailsetting proxy-smtp
       # set proxy-original enable
       # end

Auf dem FortiMail Server ist der Traffic resp. die Verbindung per Standard nicht im Log ersichtlich (Siehe Artikel FortiMail:FAQ#Wie_aktiviere_ich_das_Logging_auf_einer_FortiMail_im_Transparent_Mode.3F_2). Die Konfiguration kann für "incoming" Domain basierend gesetzt werden jedoch für "outgoing" ist die Konfiguration Global!

Was passiert betreffend Interfaces wenn eine FortiMail in den Transparend Mode gesetzt wird?

Wenn ein FortiMail Device in den Transparent Mode gesetzt wird so werden ALLE Interfaces auf dem Device Mitglied einer Bridge! Dies bedeutet es ist Vorsicht geboten da eine "loop" Gefahr besteht.

Wie aktiviere ich das Logging auf einer FortiMail im Transparent Mode?

Siehe Artikel:

       FortiMail:FAQ#Wie_aktiviere_ich_das_Logging_auf_einer_FortiMail_im_Transparent_Mode.3F_2

Wie kann ich in einem Mail die Infos betreffend einem FortiMail Server im Transparent Mode verstecken/entfernen?

Dies kann durchgeführt werden jedoch muss dies für Incoming und/oder Outgoing gesetzt werden:

       Incoming:
       
       Mail Settings > Domains > [Wähle den entsprechenden Domain Eintrag] > Transparent Mode Options > Hide the transparent box
       
       # config domain
       # edit [Definiere den Domain Name]
       # config domain-setting
       # set tp-hidden yes
       # end
       # next
       # end
       Outgoing:
       
       Profile > Session > [Wähle das entsprechende Profile] > Connection Settings > Hide this box from the mail server
       
       # config profile session
       # edit [Definiere den Session Namen]
       # set conn-hidden enable
       # next
       # end

Domain

Wo kann ich eine "Domain" konfigurieren für die ein FortiMail die Zuständigkeit übernimmt?

Wenn ein Mail zu einer bestimmten Domain gesendet wird so wird über die DNS Einträge (MX Records) verifiziert welcher Gateway zuständig ist für diese Domain. Damit dieser FortiMail Device dieses EMail entgegen nimmt muss dem FortiMail Device mitgeteilt werden, dass dieser für diese bestimmte Domain zuständig ist. Die zu konfigurierende Domaine wird unter folgenden Punkt erstellt:

       Mail Settings > Domains > New
       
       "Gateway Mode"
       
       Fortinet-632.jpg
       
       "Server Mode"
       
       Fortinet-941.jpg
       
       NOTE Wenn ein FortiMail Device im Server Mode betrieben wird ist die IP Eintrag "SMTP server"
            irrelevant da der Server "nur" auf die Domaine hört und nicht auf die IP. Dies bedeutet
            die Domaine nimmt automatisch die IP des FortiMail Devices im Server Mode.

Trage nun den entsprechenden Informationen ein:

       Domain Name
       Relay type
       SMTP server

Durch die "SMTP Server" Konfiguration kann dem FortiMail Device mitgeteilt werden, über welche IP ("SMTP server") der FortiMail Device Nachrichten für die bestimmte Domain entgegen nehmen soll. Dies bedeutet hat ein FortiMail Device mehrer Interface, muss unter "SMTP server" die korrekte IP angegeben werden damit auf dem zuständigen Interface -auf dem die angegebene IP konfiguriert ist- die Nachrichten für diese Domaine entgegen genommen werden. Zusätzliche Domains können entweder mit einem separaten Eintrag konfiguriert werden oder durch die Funktion "Domain Association". Werden diese mit seperaten Eintrag konfiguriert können diese einzelnen Einträge durch die Funktion "Is subdomain" (Main domain) wiederum der "Main Domain" zugewiesen werden.

Profile

Wie kann ich unter "Policy" innerhalb der "Profiles" den Advanced Mode aktivieren?

Grundsätzlich kann man für die "Profiles" den "Advanced Mode" aktivieren. Dies bedeutet ist dieser nicht aktiviert (Per Standard) steht einem innerhalb der "Profiles" am ende des Menüs kein "Advanced Control" zur Verfügung. Möchte man diesen Advanced aktivieren führe folgendes durch:

       # config system global
       # set mta-adv-ctrl-status enable
       # end
       
       NOTE Dies wird nur unter FortiOS 5.x untersützt!

Sobald dieser Mode aktiviert wurde, steht einem innerhalb des entsprechenden Policy am ende eine neue Menüposition zur Verfügung dh. "Advanced Control".

Wo kann ich die Anzahl Verbindungen pro Client eingrenzen (Session Profile)?

Diese können über eine Profile unter "Sessions" konfiguriert werden und limitieren die Anzahl Verbindungen die ein Client/Host zum FortiMail Server öffnen kann dh.:

       Profile > Session > New > Connection Settings
       
       NOTE Ein guter Start ist die vorkonfigurierten Session Profiles zu verwenden die auf einem
            FortiMail zur Verfügung stehen!

Dieses Profile kann anschliessend in eine entsprechende "IP Policies" eingebunden werden unter:

       Policy > Policies > IP Policies

Gebe das entsprechende Profile unter "Session" an. Achte darauf das die neu erstellte Policy greift dh. es gilt innerhalb Policies "top down first match wins"!

Wo kann ich die AntiSpam Funktion konfigurieren (AntiSpam Profile)?

Diese können über eine Profile unter "AntiSpam" konfiguriert werden und beinhalten vers. Techniken für die Antispam Funktion dh.:

       Profile > AntiSpam > New
       
       NOTE Ein guter Start ist die vorkonfigurierten AntiSpam Profiles resp. Templates zu verwenden die auf einem
            FortiMail zur Verfügung stehen! Weitere Informationen dazu siehe Artikel:
            
            FortiMail:FAQ#Mit_welchen_AntiSpam_Profile.2FFunktionen_sollte_ein_FortiMail_zu_Beginn_konfiguriert_werden.3F

Nach der Konfiguration kann das Profile unter folgender Position eingebunden werden:

       Policy > Policies > [IP-based Policies  oder Recipient Policies]

Wo kann ich die AntiVirus Funktion konfigurieren (AntiVirus Profile)?

Das AntiVirus Profile kann unter folgender Position konfiguriert werden:

       Profile > AntiVirus > New
       
       NOTE Ein guter Start ist die vorkonfigurierten AntiVirus Profiles resp. Templates zu verwenden die auf einem
            FortiMail zur Verfügung stehen!

Weitere Informationen dazu WAS in einer Nachricht betreffend AntiVirus kontrolliert wird findet man im folgenden Artikel:

       FortiMail:FAQ#Was_wird_bei_einer_Nachricht_betreffend_AntiVirus_kontrolliert.3F

Nach der Konfiguration kann das Profile unter folgender Position eingebunden werden:

       Policy > Policies > [IP-based Policies  oder Recipient Policies]

Wo kann ich die Content Funktion konfigurieren (Content Profile)?

Der Content Filter kann unter folgender Position konfiguriert werden:

       Profile > Content > Content
       
       NOTE Ein guter Start ist die vorkonfiguirerten Content Profile die auf einem FortiMail zur Verfügung stehen zu benutzen
            dh. "content_basic".

Nach der Konfiguration kann das Profile unter folgender Position eingebunden werden:

       Policy > Policies > [IP-based Policies  oder Recipient Policies]

Weitere Informationen dazu WAS in einem Nachricht betreffend Content Filter kontrolliert wird findet man im folgenden Artikel:

       FortiMail:FAQ#Was_wird_bei_einer_Nachricht_betreffend_Content_Filter_kontrolliert.3F

Wo kann ich die Resource Funktion konfigurieren (Resource Profile)?

Ein Resource Profile kann unter folgender Position konfiguriert werden:

       Profile > Resource > Resource
       
       NOTE Ein guter Start ist die vorkonfiguirerten Resource Profile die auf einem FortiMail zur Verfügung stehen zu benutzen
            dh. "misc_basic-predefined".

Nach der Konfiguration kann das Profile unter folgender Position eingebunden werden:

       Policy > Policies > [Recipient Policies]

Weitere Informationen um was es sich bei einem Resource Profile handelt siehe nachfolgenden Artikel:

       FortiMail:FAQ#Wie_kann_ich_die_zur_Verf.C3.BCgung_stehenden_Resourcen_f.C3.BCr_die_User.2FMailboxen_konfigurieren.3F

Relay / Access Control

Was ist "Access Control" und was ist dabei zu berücksichtigen auf einem FortiMail?

Der Access Control auf einem FortiMail (auch ACL) genannt kommt eine wichtige Grundfunktion von FortiMail gleich. Bedeutet: diese Rule entscheidet ob ein SMTP Client/Host eine Nachricht über den Server übermitteln kann. Wenn ein SMTP Client/Host eine Nachricht zum FortiMail übermittelt, kontrolliert FortiMail ob eine Access Control Rule "matched". Dieses "matching" wird bei der Verbindungsaufnahem durchgeführt und zwar anhand der Kommandos die durch den SMTP Client/Host dem FortiMail bei der Verbindungsaufnahme (Session) übermittelt wird:

       envelope’s sender email address               MAIL FROM:
       recipient email address                       RCPT TO:
       authentication                                AUTH 
       TLS                                           STARTTLS

Ueberprüft werden die Access Controll Rules so wie diese aufgelistet sind dh. es gilt "top down first match wins". Wenn alle Attribute einer Access Controll übereinstimmen so wird diese Access Control angewandt und nicht mehr weiter evaluiert!

       NOTE Nur eine "Access Control" kann für eine SMTP Session angewandt werden!

Wenn keine Access Control übereinstimmt (match) und der SMTP Client/Host ist NICHT für eine Authentication konfiguriert führt FortiMail die Standard Aktion aus dh. "RCPT TO:" Ueberprüfung. Dies bedeutet:

       --> Für eine konfigurierte Domaine wird ein RELAY ausgeführt. FortiMail überprüft beim Mail Server anhand RCPT TO ob der User existiert!
       --> Für eine NICHT konfigurierte Domaine wird ein REJECT ausgeführt!
       
       NOTE Ein RCP TO wird dann ausgeführt wenn kein LDAP konfiguriert wurde dh. ansonsten wird der RCPT TO
            nicht ausgeführt und über den LDAP kontrolliert ob der User existiert! Die meisten Mail Server unterstützen
            die Funktion RCPT TO dh. ist der User auf dem Mail Server nicht vorhanden wird ein "unknown...." zurückgegeben
            und FortiMail beendet die Session zum SMTP Client/Host. Wenn keine Access Control "matched" und die Domaine 
            existiert kann der Client zwar zur Domaine die konfiguriert (protected) ist auf dem FortiMail eine Nachricht übermitteln
            jedoch nicht konfigurierte Domainen werden REJECT'd. 
       
       ACHTUNG Es ist darauf zu achten das keine Access Control existiert die in den "Sender Pattern" sowie in
               den "Recipient Pattern" ein "*" (Wildcard), "Authentication" Any, "TLS" None und "Action" Relay
               konfiguriert ist. Ist dies der Fall besteht die Gefahr eines "Open Relays"!

Welche Bedeutung haben in den Access Control "Internal" und/oder "External"?

In den Access Control kann auf vers. Positionen "Internal" und/oder "External" definiert werden. Diese haben folgende Bedeutung:

       • Internal: Beinhaltet jede E-Mail Adresse einer erstellten/konfigurierten Domaine auf dem FortiMail (protected domain)
       • External: Beinhaltet jede E-Mail Adresse einer NCIHT erstellten/konfigurierten Domaine auf dem FortiMail (unprotected domain)

Wo kann ich auf einer FortiMail einen sogenannten "Relay" konfigurieren?

Ein "Relay" Eintrag stellt einen Device/Host/Subnet/IP dar, die auf dem FortiMail Device erlaubt ist/sind. Dies bedeutet: bekommt der FortiMail Device Nachricht von einem eingetragenen Device/Host/Subnet/IP, nimmt der FortiMail Device diese Nachrichten entgegen und verarbeitet diese. Dabei ist zu beachten was FortiMail durchführt wenn kein entsprechender Eintrag vorhanden ist. Dazu siehe folgender Artikel:

       FortiMail:FAQ#Was_ist_.22Access_Control.22_und_was_ist_dabei_zu_ber.C3.BCcksichtigen_auf_einem_FortiMail.3F

Um einen Device als "Relay" zum FortiMail hinzu zu fügen, muss auf dem FortiMail eine sogenannte "Access Control" erstellt werden. Eine "Access Control" ist ein Filter der FortiMail mitteilt wer Zugriff erlangt auf den FortiMail Server sei es als interner Host, als Authentifizierender User usw. Eine "Access Control" wird über folgende Position erstellt:

       Policy > Access Control > New
       
       Datei:Fortinet-633.jpg
       
       NOTE In diesem Beispiel wird einem einzelnen "Internal" Host mit der IP "192.168.140.10/32" erlaubt
            Nachrichten an den FortiMail zu übermitteln wobei die "Recipient pattern" (Destination EMail
            Adresse) keine Rolle spielt und der Server sich nicht Authentifizieren muss! Durch die verschiedenen 
            Konfigurationsmöglichkeiten wie zB "Recipient pattern" kann der Filter weiter eingeschränkt oder 
            modifiziert werden! Soll zB der Server nur EMail Adressen der lokalen Domain entgegen nehmen wie 
            mydomain.ch, würde man als "Recipient pattern" folgendes eintragen:
            
            *@mydomain.ch

Policy

Was ist der Unterschied zwischen "IP-based Policies" und/oder "Recipient Policies"?

       • IP-based policies
       Eine IP-based Policy basiert auf der IP Adresse des SMTP Client/Host sei es im Server Mode und/oder
       im Gateway Mode. Diese IP-based Policies werden hauptsächlich als Outgoing Policies genutzt dh. wenn
       der Empfänger keine bekannte/konfigurierte Domaine ist.
       • Recipient-based policies
       Eine Recipient Policy sollte dann benützt werden wenn die E-Mail Adresse resp. die Domaine als
       Empfänger bekannt ist. Seit der Version 4.x und höher wird ebenfalls der Sender "Sender Patterns"
       überprüft!
       
       NOTE Wenn mit einer Vielzahl von Domain's gearbeitet wird dh. zB ISP so ist darauf zu achten das IP-based
            Policies benutzt wird da Recipient-based Policies Performance Intensiver sind!

Grundsätzlich kann "nur" mit "Recipient Policies" gearbeitet werden. Es gilt zwar innerhalb der Policies "top down first match wins" jedoch gilt nicht IP-based Policy vor und/oder nach Recipient Policies sondern die Policies werden "gleichzeitig" angewandt zusammen mit deren Profiles wie Antispam, Antivirus etc.! Wenn mit "Recipient Policies" gearbeitet wird muss folgendes berücksichtigt werden:

       Grundsätzlich werden zwei Recipient Policies unterschieden dh. "Incoming" und/oder "Outgoing". FortiMail wendet 
       "Incoming" Policies für eingehende Nachrichten an und "Outgoing" Policies für ausgehende Nachrichten. Definiert
       wird eine Nachricht ob diese "Incoming" oder "Outgoing" ist über die Domaine in der "Recipient EMail Address". Die
       Domaine in der "Recipient Email Address" wird definiert als Inbound oder Outbound über:
       Auflösung der Domaine (MX) in IP Adresse (SMTP Server) und Vergleich dieser anhand der im FortiMail konfigurierten Domainen
       
           Uebereinstimmung       = Incoming (Incoming Policy)
           Keine Uebereinstimmung = Outgoing (Outgoing Policy)
       
       NOTE Wenn die "Recipient Email Address" über mehrere unterschiedliche Empfänger (vers. EMail Adress Domainen)
            verfügt wird jede Einzelne gemäss der oberen Beschreibung definiert und zuständige Policies angewendet!

Routing

Wie kann ich einen Routing Eintrag erstellen auf einem FortiMail?

Auf dem Mgmt. Web Interface kann ein Routing Eintrag unter folgender Position durchgeführt werden:

       System > Network > Routing

Wenn dies per Kommandozeile durchgeführt werden soll benütze folgende Kommandos:

       # config system route
       # edit [Gebe einen entsprechenden Integer an zB 1]
       # set destination [IPv4 Adresse inkl. Subnet Mask]
       # set gateway [IPv4 Adressse]
       # end

DNS

Wie konfiguriere ich auf einem FortiMail entsprechende DNS Server?

Ueber das Web Mgmt. Interface können die DNS Server unter folgender Position konfiguriert werden:

       System > Network > DNS

Möchte man die DNS Server über Kommandozeile konfigurieren benütze folgende Kommandos:

      # config system dns
      # set cache [enable | disable]
      # set primary [ipv4_Addresse]
      # set secondary [ipv4_Addresse]
      # end

Wie kann ich auf einem FortiMail Device den DNS Cache löschen?

Wenn man DNS Manipulationen durchführt und nachträglich der FortiMail Device diese nicht abbildet, kann es sein das die alten DNS Information noch im DNS Cache des FortiMails besteht. Um diese zu löschen führe folgendes auf der CLI des FortiMail Devices durch:

       # execute reload dnscached
       # Restart dnscached?
       # Do you want to continue? (y/n)y

Danach kann mit folgendem Befehl auf der FortiMail CLI die entsprechende Information betreffend DNS Modifikation abgefragt und überprüft werden:

       # execute nslookup name mydomain.ch type mx

LDAP

Wie kann ich über eine LDAP Abfrage eine "User Recipient Verification" durchführen?

Eine "User Recipient Verification" ist unabdingbar für den Betrieb eines FortiMail im Server Mode da bei der entgegennahme eines Mails dies überprüft wird. Ist der User nicht vorhanden wird die Uebermittlung des Mail abgelehnt. Somit wenn "keine" solche Verifizierung durchgeführt wird werden Resourcen auf dem FortiMail Device belegt die nicht nötig wären und somit der Device unnötig belastet. Die einfachste Art und Weise so eine Verifizierung durchzuführen ist die Informationen aus dem Active Directory (LDAP) zu benutzen. Um eine LDAP Verifizierung zu konfigurieren wähle:

       Profile > LDAP > New
       
       Datei:Fortinet-634.jpg

Nachdem Speichern des LDAP Profils öffne dieses abermalls und teste die Erfassung des LDAP's anhand einer E-Mail Adresse über die Position:

       [Test LDAP Query...]

Somit wird verifiziert "ob" die Anbindung zum LDAP funktioniert dh. anhand der angegebenen EMail Adresse wird eine Abfrage durchgeführt und die EMail Adresse resp. der User verifiziert. Wenn es zu Problemen kommt mit der Abfrage muss die "Base DN" sowie "Bind DN" überprüft werden. Dies kann zB anhand eines Tools durchgeführt werden wie:

       Softerra LDAP Browser http://www.softerra.com/download.htm

Nun damit die "Recipient User Verfication" über die Recipient Adresse durchgeführt wird muss das entsprechende vorgängige LDAP Profile an dem entsprechenden Eintrag der Domain eingebunden werden. Dazu wähle:

       Mail Settings > Domain > [Wähle den entsprechenden Eintrag für die Domain] > Edit > Recipient Address Verification > [Wähle das entsprechende LDAP Profile]
       
       Datei:Fortinet-635.jpg
       Datei:Fortinet-636.jpg

Nun sollte ein entsprechender Test durchgeführt werden dh. von Extern an eine gültig und nicht gültig Email Adresse eine Nachricht versendet werden. Im Log sieht man nun die Verification:

       Monitor > Log

In der entpsrechenden Spalte sieht man nun für die eingehende Nachricht den Hinweis:

       Recipient Verification

Wenn die entsprechende EMail Adresse nicht existiert erhält der Absender eine Fehlernachricht die folgendermassen aussieht:

       The original message was received at Tue, 22 Jan 2013 13:37:07 +0100
       from:
       <user1@anywhere.com>
       
       ----- The following addresses had permanent fatal errors -----
       <unknown@mydomain.com>
       (reason: 550 5.1.1 <unknown@mydomain.com>... User unknown)
       
       ----- Transcript of session follows -----
       ... while talking to fml.mydomain.com.:
       >>> DATA
       <<< 550 5.1.1 <unknown@mydomain.com>... User unknown
       550 5.1.1 User unknown
       <<< 503 5.0.0 Need RCPT (recipient)

User

Wie kann ich das Administratoren Passwort zurücksetzen wenn dieses nicht mehr bekannt ist?

Wenn das Administratoren Passwort auf einer Fortimail nicht mehr bekannt ist gehe folgendermassen vor:

      -> Erstelle eine Serielle Console.
      -> Schalte den Device aus und ein oder starte diesen neu.
      -> Sobald der Login erscheint gebe ein:
       
       login: maintainer
       Password: [bcpb[Serien Nummer des Gerätes dh. zB FE400C3M12000048; ergiebt demnach bcpbFE400C3M12000048]
       
       Nun wird ein Login anhand des User "maintainer" durchgeführt! Sobald dieser Vorgang vollendet ist führe folgendes durch um das Administratoren Passwort zurückzusetzen:
       # set sys admin user [Username dh. "admin"] password [Passwort]
       
       NOTE Gebe ein Passwort an unter [Passwort]; Wenn kein Passwort angegeben werden soll vergebe folgendes ""!

Nun kann über das Mgmt. Interface wieder eingeloggt werden.

Wo kann ich das Passwort des Administrator's neu setzen?

Im Web Mgmt. Interface kann unter folgender Position das Passwort des Administrators gesetzt werden:

       System > Administrator > [Wähle "admin"]

Danach wähle "Change Password". Nun kann das Passwort durch die Angabe des alten Passwortes -sofern dieses existiert- neu gesetzt werden! Soll das Passwort über Kommandozeile neu gesetzt werden gebe folgendes ein:

       # config system admin
       # edit admin
       # set password
       # end

Wo kann ich das Timeout des Administrators neu anpassen?

Das Timeout des Administrators kann unter folgender Position im Web Mgmt. Interface angepasst werden:

       System > Configuration > Options > Idle timeout

Ueber Kommandozeile wird das Admin Timeout folgendermassen angepasst:

       # config system global
       # set admin-idle-timeout [Angabe in Minuten]
       # end

Content Filter

Was wird bei einer Nachricht betreffend Content Filter kontrolliert?

Der Content Filter auf einem FortiMail kontrolliert folgende Komponenten einer Nachricht:

       Subject Line
       Message Body
       Attachemenets

In einem Content Filter stehen folgende Positionen zur Konfguration zur Verfügung:

       Profile > Content > Content > [Wähle New oder ein entsprechendes Profile]
       Fortinet-986.jpg
       Fortinet-987.jpg
       Fortinet-988.jpg
       Fortinet-989.jpg

Unter "Content Monitor Filter" können PDF, MSOffice und Archive anhand vorhandener "Dictionary" (SOX) oder selbsterstellter "Dictionary" durchsucht werden. Dieser Filter kommt einer DLP Funktion gleich;

       Fortinet-990.jpg

Nach der Konfiguration kann das Profile unter folgender Position eingebunden werden:

       Policy > Policies > [IP-based Policies  oder Recipient Policies]

Wie kann ich eine bestimmte File Extension wie .exe in einer Nachricht auf einem FortiMail blocken?

Diese Konfiguration kann über den "Attachement Filtering" Funktion innerhalb des "Content Filter" Profile durchgeführt werden den man unter folgender Position findet:

       Profile > Content > Content > [Wähle New oder ein entsprechendes Profile] > Attachement Filtering
       Fortinet-986.jpg
       Fortinet-987.jpg

Nach der Konfiguration kann das Profile unter folgender Position eingebunden werden:

       Policy > Policies > [IP-based Policies  oder Recipient Policies]

Gibt es auf einem FortiMail eine Funktion die eine Nachricht durchsucht nach bestimmten Kriterien und diese blocken kann (DLP)?

Diese Funktion die einer DLP (Data Loss Prevention) gleichkommt kann über einen "Content Filter" auf einem FortiMail konfiguriert werden. Dazu führe folgendes aus:

       Profile > Content > Content > [Wähle New oder ein entsprechendes Profile] > Content Monitor and Filtering > New 
       Fortinet-989.jpg
       Wähle innerhalb "Content Monitor and Filtering" New:
       Fortinet-990.jpg

Nach der Konfiguration kann das Profile unter folgender Position eingebunden werden:

       Policy > Policies > [IP-based Policies  oder Recipient Policies]

Wie kann ich eine Nachricht basierend auf einem bestimmten Sender (FROM:) zu einem bestimmten Mail Server übermitteln?

Wenn ein FortiMail im Gateway Mode ist so wird über die entsprechende Konfiguration bestimmt wohin diese Nachrichten ausgeliefert werden. Diese Konfiguration findet man unter folgendem Konfigurationspunkt:

       Mail Settings > Domains

In dieser Konfiguration wird der entsprechende Relay Host definiert für die entsprechende Domaine. Somit basiert diese Konfiguration auf der Empfänger Domaine (TO:). Möchte man jedoch einen bestimmte Sender Domain (FROM:) zu einem anderen Relay Host übermitteln, kann dies nicht über diese Konfiguration konfiguriert werden da dieser Konfigurationspunkt keine Konfiguration zulässt basierend auf FROM: (Sender). Diese Konfiguration kann jedoch über eine Content Action anhand eines Dictionary Profiles durchgeführt werden. Dies bedeutet: Ueber ein Dictionary Profile wird jedoch Nachricht im "header" überprüft betreffend der Position "FROM:" und wird einen Uebereinstimmung gefunden wird die Content Action in der Recipient Policy ausgeführt dh. die Nachricht zu einem bestimmten Relay Host übermittelt. Somit muss zu Beginn ein Dictionary Profile Konfiguriert werden:

       Profile > Dictionary > Dictionary > New
       Fortinet-2210.jpg

Vergebe dem Dictionary Profile einen entsprechenden Namen und erstelle einen Dictionary Eintrag:

       Fortinet-2211.jpg

Anhand eines "Regex" wird nun definiert, was im "header" der Nachricht durchsucht werden soll sowie welche Uebereinstimmungen gesucht werden. Dabei definiert "From: .*@(domain\\.com|domain\\.lab)" die entsprechenden Domainen die im "header" für FROM: gesucht werden um diese nachträglich zu einem entsprechenden Relay Host zu übermitteln:

       Fortinet-2212.jpg

Speichere die Konfiguration des Dictionary Eintrages sowie erstellt anhand "Create" das Dictionary Profile:

       Fortinet-2213.jpg

Möchte man diese Konfiguration unter CLI durchführen führe folgendes aus:

       # config profile dictionary 
       # edit domain_list 
       # config item 
       # edit 10 
       # set pattern "[EHeAdEr]^From: .*@(domain\\.com|domain\\.lab)" 
       # set pattern-scan-area header 
       # set comment "Deliver message based on FROM to alternate host"
       # next 
       # end 
       # next 
       # end 

Wie schon erwähnt wird über einen Content Profile in einem späteren Zeitpunkt eine Content Action ausgeführt. Damit diese Content Action in ein entsprechendes Content Profile definiert werden kann, muss diese Action erstellt werden:

       Profile > Content > Action > New
       Fortinet-2214.jpg

Die Action definiert das Dictionary Profile "deliver_to_alternate" für "incoming". Wenn im "header" für FROM: die Regex Definition "From: .*@(domain\\.com|domain\\.lab)" gefunden wird, so wird die Action "deliver to alternate host" ausgeführt:

       Fortinet-2215.jpg

Möchte man diese Konfiguration unter CLI durchführen führe folgendes aus:

       # config profile content-action 
       # edit deliver_to_alternate 
       # set alternate-host-status enable 
       # set alternate-host [Definiere die entsprechende IPv4 Adresse des Relay Host]
       # next 
       # end 

Nun muss die Content Action zu einem bestehenden Content Profile hinzugefügt werden oder zu einem neuen Content Profile. Wenn unter der Recipient Policy bereits ein bestehendes Content Profile exisitert sollte diese benutzt werden. Nachfolgendes Beispiel zeigt wie ein neues Content Profile erstellt wird:

       Profile > Content > Content > New
       Fortinet-2216.jpg

Vergebe einen entsprechenden Namen für das Content Profile sowie definiere das Content Profile für "incoming". Nun erstelle ein "Content and Monitoring Filtering" Eintrag:

       Fortinet-2217.jpg

Definiere das entsprechende Dictionary Profile das wir erstellt haben "domain_list" sowie die Content Action "deliver_to_alternate":

       Fortinet-2218.jpg

Speichere nun das neue Content Profile mit "Create":

       Fortinet-2219.jpg

Möchte man diese Konfiguration unter CLI durchführen führe folgendes aus:

       # config profile content 
       # edit alternate_relay 
       # config attachment-scan 
       # end 
       # config monitor 
       # edit 1 
       # set dictionary-profile domain_list 
       # set action deliver_to_alternate 
       # next 
       # end 
       # next 
       # end 

Nun muss das Content Profile zur Recipient Policy hinzugefügt werden. Wie schon erwähnt sollte bereits ein Content Profile in der Recipient Policy bestehen sollte dieses benutzt werden um dieses für das Dictionary Profile mit der entsprechenden Content Action zu erweitern:

       Policies > Policy > [Markiere den entsprechenden Recipient Policy Eintrag] > Edit
       Fortinet-2220.jpg

Definiere unter Profiles das entsprechende Content Profile in unser Beispiel das neu erstellte Content Profile "alternate_relay":

       Fortinet-2221.jpg

Nun kann die Konfiguration getestet werden!

AntiVirus

Was wird bei einer Nachricht betreffend AntiVirus kontrolliert?

Wenn eine Nachricht anhand eines AntiVirus Profiles kontrolliert wird so werden folgende Komponenten einer Nachricht gescannt:

       EMail Header
       EMail Body
       EMail Attachements (inkl. Kompromierte Files wie ZIP, PKZIP, LHA, ARJ sowie RAR)

Die entsprechende Position für das "Antivirus Profile" zu konfigurieren findet man unter folgender Position:

       Profile > AntiVirus > AntiVirus > [Wähle New oder ein entsprechendes Profile]
       Fortinet-991.jpg

Nach der Konfiguration kann das Profile unter folgender Position eingebunden werden:

       Policy > Policies > [IP-based Policies  oder Recipient Policies]

Was bedeutet innerhalb des AntiVirus Profiles die Funktion "greyware scanning"?

Greyware wird im AntiVirus Bereich als seperate Kategorie benutzt, um Software zu bezeichnen wie Spyware und Adware oder andere Varianten! Diese Art von Software beeinträchtigen die Systemfunktionen auf einem System nicht direkt jedoch sammeln zB Daten über das System, Blenden Werbung ein usw.

AntiSpam

Wir wird AntiSpam auf einem FortiMail abgearbeitet (Antispam Sequenz)?

Antispam wird auf einem FortiMail folgendermassen abgearbeitet:

       NOTE Wenn "alle" Antispam Funktionen aktiviert sind wird gilt für die unten aufgeführte Tabelle
            Top -> Down! Der PDF File Type Scan wird in der unteren Tabelle nicht aufgelistet. Wenn 
            PDF Scan aktiviert ist, wird das PDF umkonvertiert in ein Format indem "heuristic, banned
            word und image spam Scanner die Information des PDF lesen und analysieren können. Dies wird
            durchgeführt im Moment indem der "message body" Analysiert wird! Die Analyse des PDF umfasst
            die erste Seite des PDF!
       Fortinet-974.jpg
       Fortinet-975.jpg
       Fortinet-976.jpg
       Fortinet-977.jpg
       Fortinet-978.jpg
       Fortinet-979.jpg
       Fortinet-980.jpg

Mit welchen AntiSpam Profile/Funktionen sollte ein FortiMail zu Beginn konfiguriert werden?

Nun es stehen verschiedene Templates auf dem FortiMail zur Verfügung die ein AntiSpam Profile mit seinen Funktionen vordefiniert:

       Profile > AntiSpam > AntiSpam > [Wähle New oder ein entsprechendes Profile]

Zu Beginn sollte ein "medium" Template eingesetzt werden um den Traffic/Spam zu Analysieren. Wird ein "high" Template zu Beginn eingesetzt ist die Gefahr für "False Positive" relativ gross!

       Fortinet-992.jpg
       Fortinet-993.jpg

Nach der Konfiguration kann das Profile unter folgender Position eingebunden werden:

       Policy > Policies > [IP-based Policies  oder Recipient Policies]

Was ist und bedeutet FortiIP (Absender-IP-Reputation-Datenbank)?

Die meisten Spam's werden derzeit von falsch konfiguriert oder Virus-infizierten Hosts gesendet. FortiGuard Antispam Service verfügt über ein Weltweites IP-Reputation-Datenbank in der die Reputation der einzelnen IP's geführt und basiert auf vers. Eigenschaften der IP-Adressen -die aus verschiedenen Quellen gesammelt werden- beinhaltet. Die Eigenschaften einer IP-Adresse enthalten vers. Informationen wie:

       - Whois
       - Geografische Lage
       - Service-Provider
       - Offenes Relay
       - Hijacked Host

Eine der wichtigsten Eigenschaften die verwendet wird, ist das E-Mail-Volumenen vom Absender das über "FortiGuard Service Network" gesammelt wird. FortiGuard Antispam Service überprüft die Reputation in der Reputation Database in Echtzeit.

Was ist und bedeutet FortiSig (Signature)?

FortiSig wird in 3 Kategorieren unterteilt dh.:

       FortiSig1 (Spamvertised URLs)
       Etwa 90% der Spam hat eine oder mehrere URLs im Nachrichtentext. Diese URLs verlinken auf Spammer-Websites, die ihre Produkte und Dienstleistungen 
       auf diesen Sites anbieten oder den Client durch Trojaner infisziert (Bot Net). Ein Beispiel sind Phishing-Spam's. Diese URLs leiten den User direkt 
       zu einer gefälschten Site (Bank) oder einem anderen Finanzinstitut.  Auf dieser Site wird versucht an finanzielle Informationen des User zu kommen 
       um diesen nachträglich zu schädigen. Solche URLs werden von den Spam-Proben (Durch Kunden/User übermittelt etc.) extrahiert und durchlaufen eine 
       strenge QA-Prozesse bevor diese in die FortiSig Datenbank aufgenommen werden. Die URLs unterliegen einer Expiration in der veraltete Elemente nach 
       einer definierten Zeitspanne entfernt werden.
       FortiSig2 (Spamvertised E-Mail-Adressen)
       Ähnlich wie bei der spamvertised URLs (FortiSig1) werden in dieser Datenbank Email Adressen geführt die im Nachrichten Text vorkommen und User etc. 
       auffordern Informationen zu diesen E-Mail Adressen aufzunehmen etc.
       FortiSig3 (Spam Objekt Prüfsummen)
       Mit Hilfe eines proprietären Algorithmus, werden Objekte in Spam Mails identifiziert und eine Fuzzy-Prüfsumme wird aus diesen Objekt berechnet. 
       Das Objekt kann Teil der Nachricht oder eine Anlage sein. Die Prüfsumme wird dann in die Datenbank FortiSig hinzugefügt.

Was ist und bedeutet FortiRule (Dynamic Heuristic Rules)?

FortiRule verwendet dynamisch aktualisierte und heuristische Regeln um Spam zu identifizieren sowie die Nutzung verschiedener Attribute in der Spam-Nachrichten-Header, Body, MIME-Header und-Anhänge.

Wie kann ich feststellen ob eine IP in der "Reputation Database", "Black Listed" oder "Signature Database" ist?

Auf nachfolgenden Link kann eine IP eingegeben werden um zu überprüfen ob diese in der "Reputation Database", "Black Listed" oder in der "Signature Databse" ist:

       http://www.fortiguard.com/tools/ip_lookup.html

Wie kann ich Fortinet ein Spam False Positiv betreffend FortiMail (inkl. Fortigate) melden?

Wenn durch die Spam Technik/Methodik eines FortiMail (inkl. Fortigate) ein Mail irrtümlicherweise als Spam deklariert wird (False Positiv), kann dies Fortinet über folgende EMail Adresse gemeldet werden (Mail anhängen nicht weiterleiten sondern als Attachement an das Mail anhängen damit die Headers des orginal Mails ersichtlich bleiben):

       removespam@fortinet.com

Ein dediziertes Service Team von Fortinet kümmert sich um diese Anfragen und hat die Vorgabe diese inerhalb von 24 Stunden zu beantworten/erledigen. Dieses Team analysiert dieses Mail und führt betreffend FortiIP und FortiSig DB ein Update durch damit dieses False Positiv nicht mehr auftritt.

Weitere Informationen WIE so ein False Positiv übermittelt werden soll findet man unter folgendem Link:

       http://www.fortiguard.com/antispam/antispam.html

Der folgende Link beinhaltet ebenfalls ein "Signature Lookup" der es ermöglichkt eine IP Adresse abzufragen wie diese in der Reputation Database gelistet ist. Dies gilt ebenfalls für URL sowie für Email Adressen.

Resource

Wie kann ich die zur Verfügung stehenden Resourcen für die User/Mailboxen konfigurieren?

Unter folgenden Position können vers. Resourcen für User/Mailboxen konfiguriert werden:

       Profile > Resource > Resource > [Wähle New oder ein entsprechendes Profile]

Das bestehende Profile "misc_basic_predefined" existiert per Standard und definiert die Standard Werte einer User/Mailbox:

       Fortinet-940.jpg

Nach der Konfiguration kann das Profile unter folgender Position eingebunden werden:

       Policy > Policies > [Recipient Policies]
       
       NOTE Ein "Resource Profile" kann nicht als "IP-based Policies" implementiert werden da die User Mailboxen
            auf einer konfigurierten Domaine basieren resp. eine Protected Domain angehören! 

Wie kann ich einem einzelnen User oder einer Gruppe den Webmail Access, Mobile Device Access oder Address Book deaktiveren?

Dies kann über ein Resource Profile konfiguriert werden. Dies bedeutet: Geht man davon aus, dass das "misc_basic_predefined" als Profile unter folgender Position für eine "Protected Domain" konfiguriert wurde haben alle User Access zu allen Resourcen wie Webmail, Mobile Device Access usw.:

       Policy > Policies > [Recipient Policies]

Unter "Recipient Policies" ist zB folgendes konfiguriert:

       Fortinet-994.jpg

Das "misc_basic_predefined" ist unter Resource Konfiguriert und sieht folgendermassen aus:

       Fortinet-940.jpg

Nun erstellt man einfach ein neues "Resource Profile" unter folgender Position:

       Profile > Resource > Resource > [Wähle New]
       
       - Vergebe einen Namen zB "misc_basic_predefined_user1" und deaktiviere zB für den User1 den "Webmail" Access

Nun erstelle eine neue "Recipient Policies" und definiere folgendes in der "Recipient Policies":

       - Definiere "Incoming" und unter Recipient "user1@mydomain.ch" sowie gebe das neue "Resource Profile" an
       - Achte darauf das diese neue "Recipient Policy" vor der existierenden aufgelistet ist (top down first match wins)

Nun kann die Konfiguration getestet werden!

IBE (Identity Based Mail)

Was ist IBE (Identity Based Mail) Mail Veschlüsselung?

IBE wird unterschieden zwischen:

       IBE PUSH
       IBE PULL

Nachfolgendes Dokument gibt Auskunft über die IBE (Identity Based Mail) Funktion:

       Datei:Withpaper-FortiMail IBE Function R2 201306.pdf

Technisch gesehen ist der Unterschied der folgende:

       IBE PULL
       Dabei sendet der Client ein EMail an den MTA. Dort existiert eine IBE Policy (PULL Encryption Access Policy) die
       das Mail auf dem FortMail ablegt und dem Client der dieses Mail erhält ein Mail sendet mit einem entsprechenden Link.
       Wenn der Client diesen Link öffnet (HTTPS) erstellt er einen Account anhand Username und Passwort etc. Danach öffnet 
       sich ein Webmail indem der Client dieses Mail anschauen kann dh. das encrypted Mail auf der FortiMail wird über das 
       Webmail decrypted und dem User über das Webmail zur Verfügung gestellt.
       
       Fortinet-791.jpg
       
       Nachfolgend ein kurzes Beispiel wie das Formular aussieht, dass der User auszufüllen hat um einen entsprechenden 
       Account zu erstellen sofern dieser nicht bereits existiert:
       
       Fortinet-794.jpg
       
       NOTE Das Beispiel Formular enthält die Funktion der "Security Question". Diese Funktion resp. Option kann
            über folgende Position deaktiviert werden:
             
            User > IBE User > Secure Question
       IBE PUSH
       Dabei sendet der Client ein EMail an den MTA. Dort existiert eine IBE Policy (PUSH Encryption Access Policy) die
       das Mail encrypted und dem Client der dieses Mail (HTMl) erhält ein Mail sendet mit einem Anhang was wiederum das 
       ursprungs Mail in verschlüsselt form darstellt. Wenn der Client diesen Anhang öffnet wird eine Verbindung zum FortiMail 
       Server erstellt (HTTPS) und somit den Anhang der das ursprungs Mail darstellt decrypted und somit der User dieses 
       einsehen kann. Wenn der User der das Mail erhält nicht über einen entsprechenden Account verfügt muss er sich Erstmalig
       registrieren (siehe Beispiel Formular Pull Methode).
       
       Fortinet-792.jpg

Welche Verschlüsselungs Methode unterstützt die IBE (Identity Based Encryption) Funktion?

Die IBE (Identity Based Encryption) Funktion unterstützt folgende Verschlüsselungs Methoden:

       3DES, AES128, AES192, AES256 und CAST5 128
       
       NOTE Ist die IBE Funktion aus irgendwelchen Gründen nicht erreichbar wird TLS "enforced".
            Ist TLS ebenfalls nicht möglich wird die Nachricht verworfen und ein DSN (Delivery Status
            Notification) gesendet!

Die Verschlüsselungs Methode resp. "fallback" kann auf dem Mgmt. Gui der FortiMail über folgende Position konfiguriert werden:

       Profile > Security > Encryption

Wie konfiguriere ich die IBE Funktion/Verschlüsselung im FortiMail?

Das nachfolgende Dokument zeigt wie die IBE Funktion/Verschlüsselung auf einem FortiMail konfiguriert wird. Dieses Dokument geht nur auf die Grundkonfiguration ein und ist basierend auf FortiMail 5.2.x:

       Datei:Set-IBE-encryption-in-FortiMail-from scratch.pdf

Wo kann ich für IBE (Identity Based Encryption) die Security Questions deaktivieren?

Unter folgender Position können die "Security Questions" deaktiviert sowie verändert oder erweitert werden:

       User > IBE User > Secure Question

Kann der Inhalt der Benachrichtigungen für die IBE (Identity Based Encryption) Funktion Pull/Push modifiziert werden?

Ja dies ist möglich! Die Benachrichtigungen sind entweder über Plain Text und/oder über HTML verfügbar und können editiert resp. "customized" werden. Nachfolgend ein kurzes Beispiel einer Push resp. Pull Benachrichtigung:

       Fortinet-793.jpg

NTP / Time / Date

Wie kann ich auf einem FortiMail die korrekte Timezone setzen?

Die Timezone auf einem FortiMail kann über das Web Mgmt. Interface gesetzt werden unter folgender Position:

       System > Configuration > Time > Time zone

Muss die Timezone auf Kommandozeile gesetzt werden so benütze folgendes Kommando:

       # config system time manual
       # set zone ?
       
       NOTE Durch "?" werden alle verfügbaren Zeitzonen aufgelistet. Danach kann der richtige Code (Zahl) 
            benutzt werden um die Zeitzone zu setzen!
       # set zone 26
       # end

Wenn "daylight saving" deaktiviert werden soll (per Standard aktiviert) muss folgendes Kommando benützt werden:

       # config system time manual
       # set daylight-saving-time disable
       # end

Wie kann ich das Datum und die Zeit auf einem FortiMail setzen?

Die Zeit sowie das Datum lassen sich auf einem FortiMail unter folgender Position setzen:

       System > Configuration > Time

Um die Zeit sowie das Datum auf Kommandozeile zu ändern benütze folgendes:

       # execute date mm/dd/yyyy hh:mm:ss

Wie kann ich einen NTP Server definieren auf einem FortiMail?

Unter folgender Position lässt sich innerhalb des Web Mgmt. Interface des FortiMail's einen NTP Server definieren:

       System > Configuration > Time

Soll die NTP Server Konfiguration über Kommandozeile durchgeführt werden führen auf der Kommandozeile folgendes aus:

       # config system time ntp
       # set ntpserver [IPv4 Adresse oder FQDN Name]
       # set ntpsync [enable | disable]
       # set syncinterval [Intervall in Sekunden]
       # end

Logging

Wie aktiviere ich das Logging auf einer FortiMail im Transparent Mode?

Wenn eine FortiMail im Transparent Mode ist werden "incoming" Verbindungen nicht im Log aufgezeichet da Incoming nicht als "Interception" Mode agiert dh. die sogenannte "Interception" muss aktiviert werden. Dies wird folgendermassen durchgeführt:

       # config system interface
       # edit [Name des Interfaces]
       # set proxy-smtp-out-mode proxy
       # next
       # edit edit [Name des Interfaces]
       # set proxy-smtp-out-mode proxy
       # next
       # end

Kann ich die Logs eines FortiMails dem FortiAnalyzer übermitteln?

Ja dies ist möglich dh. führe folgendes durch:

       Log and Report > Log Settings > Remote Log Settings > New...
       Fortinet-968.jpg
       NOTE Sobald die Konfiguration durchgeführt wurde wird im Hintergrund zum FortiAnalyzer ein Request
            abgesetzt. Wenn nun in den FortiAnalyzer eingeloggt wird so wird der Request angezeigt und dieser
            kann bestätigt werden! Danach erscheint der FortiMail Device in einer seperaten ADOM mit dem Namen
            "Fortimail".

Die "local" Logs sollten deaktiviert werden. Dabei ist jedoch zu berücksichtigen, dass die Reports auf dem FortiMail danach nicht mehr zur Verfügung stehen resp. nicht mehr angewendet werden können da die Logs nicht mehr auf dem FortiMail zur Verfügung stehen. Deshalb ist es gut zu überlegen ob die "local" Logs deaktiviert werden sollen:

       NOTE Die Reports die auf dem FortiAnalyzer betreffend FortiMail zur Verfügung stehen sind rudimentär!
            In einem der späteren Releases des FortiAnalyzer's wird diesem Umstand Rechnung getragen! Auch 
            aus diesem Grund ist eine Ueberlegung wert bis zu diesem Zeitpunkt das "local" Log auf dem FortiMail
            aktiviert zu lassen und die Reports aus dem FortiMail zu ziehen.
       Fortinet-969.jpg

Quarantine

Wo muss ich die Web Quarantine definieren?

Um die Web Quarantine zu aktivieren muessen folgende Punkte konfiguriert sein:

       AntiSpam > Quarantine > Webmail Access Setting > Web release host name/IP
       
       Profile > AntiSpam > [entsprechendes Profile] > [Entsprechende Action unter "Default action"] 
 

Unter "Personal quarantine" muss folgendes aktiviert sein:

       Send quarantine report
       Web release
       
       NOTE Qurantine Reports werden periodisch übermittelt dh. um die Uebermittlung zu "forcen" wähle:
       
       Monitor > Quarantine
       
       Wähle die entsprechende Mailbox und danach "Send quarantine report to..."

Kalender

Kann ich auf einem FortiMail im Server Mode Kalender Sharen?

Ja, iese Informationen werden als FreeBusy Informationen zur Verfügung gestellt (Https Link):

       WebDav
       CalDav

Backup / Restore

Wie kann ich ein automatisiertes Backup auf einem FortiMail konfigurieren?

Unter folgender Position kann für FortiMail -sei es im Server oder Gateway Mode- ein automatisiertes Backup konfigurieren:

       Maitenance > System > Configuration > Scheduled Backup

Unter dieser Position kann für "FTP" oder "SFTP" ein automatisiertes Backup konfiguriert werden. Das File das gespeichert wird auf dem "Remote" Server trägt den Namen:

       config_[Version FortiMail]_[Datum des Backups]-[Zeit des Backups].cfg

Das Backup wird im "clear-text" angelegt und kann mit Wordpad eingesehen werden.

Wie kann ich für ein FortiMail Server ein Restore durchführen?

Basierend auf einem "regulären" Backup das zB automatisiert werden kann kann unter folgender Positioen ein Restore durchgeführt werden:

       Maitenance > System > Configuration > Local PC

Für ein "Restore" gilt die Richtlinie:

       Ein Restore kann nur dann durchgeführt werden wenn die gleiche Firmware vorhanden ist wie ursprünglich für das Backup!

Wie ein automatisiertes Backup konfiguriert werden kann siehe nachfolgenden Artikel:

       FortiMail:FAQ#Wie_kann_ich_ein_automatisiertes_Backup_auf_einem_FortiMail_konfigurieren.3F

Troubleshooting

Wie kann ich den Traffic auf einer FortiMail sniffen?

Auf einer FortiMail steht wie bei einer FortiGate der Befehl "diagnose" zur Verfügung. Anhand dieses Befehls kann folgendes ausgeführt werden:

       # diagnose sniffer packet port1 "port 25" 3
       
       NOTE Die Angabe "3" gibt die Tiefe des Sniffen an (Debug Level)!

Weitere Informationen und weitere Kombinationen betreffend dem "diagnose sniffer" Befehl siehe folgender Artikel:

       FortiGate-5.0-5.2:FAQ#Sniffen

Was passiert mit einem Mail auf einer FortiMail wenn dieses nicht übermittelt werden kann?

Wenn ein Mail temporär nicht übermittelt werden kann wird dieses Mail in der "Mail Queue" beibehalten. Wie mit dem Mail in so einem Fall verfahren wird bestimmt die Konfiguration der "Mail Queue" unter folgenden Punkt:

       Mail Settings > Settings > Mail Server Settings > Mail Queue
       
       NOTE Es kann durchaus 2 - 3 vergehen bis dieses Mail in der "Mail Queue" erscheint!

Die "Mail Queue" kann eingesehen werden unter folgenden Punkt:

       Monitor > Mail Queue

In dieser "Mail Queue" kann ebenfalls ein Mail für eine erneute Uebermittlung angewählt und mit "Resend" (force) Uebermittelt werden. Wenn gemäss Einstellungen der "Mail Queue" die Uebermittlungen Fehlschlagen, wird das Mail in die "Dead Mail" verschoben. Dort kann zwar ein Mail anhand "View" angeschaut werden jedoch steht für eine erneute Uebermittlung nicht mehr zur Verfügung. Dies bedeutet das Mail muss vom User abermalls versendet werden!

Wie kann ich bei Outgoing EMails die "Internen Header" Informationen automatisch entfernen lassen?

Wenn ein EMail intern über verschiedene "hop's" zB von einem Server, über ein Mail Server zum Gateway (Relay) ins Internet versendet wird, wird der Weg des EMails in den "Nachrichten Optionen" (Header) aufgezeigt. Somit, wenn das EMail den Empfänger erreicht, kann dieser über die "Nachrichten Optionen" resp. den Header interne Informationen wie Name des Servers, Interne IP sowie Local Domain auslesen. Dies ist zu verhindern und kann unter folgender Position konfiguriert werden:

       Mail Settings > Domains > Advanced Settings > Remove received header of outgoing email

Wenn diese Option aktiviert ist, entfernt der Mail Server resp. der Relay Gateway -ausser seiner Informationen- sämtliche vorgängigen Informationen. Wenn das Mail beim Empfänger ankommt sieht dieser unter den "Nachrichten Optioenn" nur den letzten "hop" sprich die Informationen des Mail Servers der die Nachricht gesendet hat. Sämtliche Informationen aus dem internen Netz sind nicht mehr ersichtlich.

Wie kann ich auf einer FortiMail einen Deamon/Prozess neu starten?

In einigen Situation kann es vorkommen das ein bestimmter Deamon resp. Prozess auf einer FortiMail neu gestartet werden muss. Standardsgemäss sollte dies über folgender Kommando durchgeführt werden:

       # execute reload [Deamon Name]

Eine andere vorgehensweise ist die über die Funktion "diagnose test application". Dazu kann folgendes ausgeführt werden:

       # diagnose test application ?
       # diagnose test application [Deamon Name] 99

Die letzte Variante -die jedoch mit Vorsicht zu geniessen wäre- ist den Prozess anhand der PID (Prozess ID) zu beenden. Um dies durchzuführen muss zuerst anhand folgenden Befehls die PID eruiert werden:

       # diagnose sys top
       Run Time:  2 days, 16 hours and 48 minutes
       0U, 0S, 100I; 442T, 154F, 127KF
              scanunitd      519      R       4.7     3.2
              ipsengine       63      S <     0.0     8.4
                pyfcgid      511      S       0.0     4.9
       
       NOTE In diesem Beispiel ist die PID des Deamons "ipsengine" die 63!

Sobald die Prozess ID (PID) eruiert wurde kann diese benutzt werden um anhand folgenden Befehls den Deamon zu beenden sowie neu zu starten:

       # diagnose sys kill 15 63
       
       NOTE Die Zahl "15" gibt den "kill level" an dies bedeutet folgendes:
            
            SIGINT   (2): Aehnlich Ctrl + C um in einer Session diese zu beenden. Hat für den "kill" Befehl praktisch keine Auswirkungen. 
            
            SIGTERM (15): Regulärer "kill" Level dh. durch "15" wird versucht den Deamon ordungsgemäss zu beenden ohne Risiko das eine 
                          Konfiguration/Information verloren geht. 
            
            SIGKILL  (9): Durch diesen "kill" Level wird der Deamon unweigerlich beendet dh. es wird auf vorhandenen Konfiguration/Information
                          keine Rücksicht genommen. Dieser "kill" Level sollte nur als letztes Mittel genutzt werden.

Divers

Was ist ein MX Record und wieso ist dies eine absolute Grundvoraussetzung?

MX Records werden genannt in Zusammenhang mit DNS Einträgen. Diese MX Records bedeuten "Mail Exchanger" sprich sind zuständig um mitzuteilen, dass eine bestimmte IP für eine bestimmte Domaine zuständig ist für den Mail Verkehr. Somit sind korrekte MX Records eine absolute Grundvorraussetzung für eine weitere Konfiguration im Zusammenhang mit der Implementation von Mail-Server/Gateway (MUA/MTA). Als Grundvorraussetzung gilt:

       Jeder Mail Server der Incoming World oder Outgoing World Mails verarbeitet MUSS über folgende DNS Einträge verfügen:
       
       - Korrekter MX Record
       - Korrekter PTR Record (Reverse Lookup)
       
       Ein korrekter MX DNS Eintrag sieht dem nach folgendermassen aus:
       
       mydomain.ch. IN MX 10 fortimail.mydomain.ch.
       
       NOTE Dieses Beispiel zeigt einen korrekten Eintrag für Unix Bind Version und bedeutet folgendes:
            
            • Gibt die Domaine an für die diesen Eintrag gilt dh. "mydomain.ch."
            • IN Gibt die "Internet protocol class" an!
            • MX Gibt an, dass es sich bei diesem Eintrag um einen MX Record handelt!
            • 10 Gibt die Präferenz (Priorität) an dh. je grösser der Wert desto tiefer die Präferenz!
            • "fortimail.mydomain.ch." Gibt den zuständigen Mail Server sei es MTA/MUA an!
       
       Nicht zu vergessen ist ein korrekt konfigurierter PTR Record dh. "Reverse Lookup". Ein korrekt funktionierender
       Mail Gateway (MTA) wird nach der ersten Verbindung ein solcher "Revers Lookup" ausführen. Ist dieser PTR Record
       nicht korrekt implementiert wird der Mail Gateway (MTA) diese Verbindung beenden da nicht verifiziert ist ob es
       sich beim Server der die Verbindung erstellt wirklich um den Server handelt da die IP resp. Name nicht verifiziert
       werden kann. Ein korrekter PTR Record sieht folgendermassen aus (Unix Bind):
       
       [IP Adresse letztes Oktet zB "125"] IN PTR fortimail.mydomain.ch.
       
       Sobald die Einträge durchgeführt wurden MUSS getestet werden und zwar kann dies folgendermassen durchgeführt werden:
       
       Allgemein:DasDomänenNamenSystem#Ueberpr.C3.BCfung_von_MX_Records
       Allgemein:DasDomänenNamenSystem#Ueberpr.C3.BCfung_von_Reverse_Lookups_f.C3.BCr_eine_IP

Somit ergiebt sich zB folgendes Beispiel:

       mydomain.ch. IN MX  5 mx1.mydomain.ch.
       mydomain.ch. IN MX 10 mx2.mydomain.ch.
       
       NOTE Dieses Beispiel bedeutet folgendes: Für die Domaine "mydomain.ch" sind die Mail Server "mx1.mydomain.ch" 
            sowie "mx2.mydomain.ch" zuständig! Der Server "mx1.mydomain.ch" wird als "Erstes" angegangen da er über
            eine tiefere "Präferenz" verfügt (5) und somit in einer höheren Priorität liegt. Ist dieser Server nicht
            erreichbar wird Server "mx2.mydomain.ch" angegangen da dieser mit einer höheren "Präferenz" (10) als der
            Server "mx1.mydomain.ch" versehen ist und somit eine tiefere Priorität hat! Nach RFC dürfen die MX Records
            resp. die Server nicht im gleichen Public IP Subnet befinden dh. müssen in unterschiedlichen Public IP Subnet
            sowie unterschiedlichen Lokation befinden!

Oft wird aus "User" Gründen ein zusätzlicher "A" Record hinzugefügt als Alias dh. damit der User nicht für den Mail Server einen komplizierten Namen eingeben werden muss zB im Outlook, IPhone usw. Dies bedeutet möchte man den Usern ermöglichen "mail.mydomain.ch" als SMTP und/oder POP3/IMAP eingeben zu können kann dies durchgeführt werden als CNAME. Folgendes Beispiel:

       Es existieren 2 Mail Gateways (MTA) und 1 Mail Server (MUA) dies sind
       
       mx1.mydomain.ch       (Mail Gateway MTA)
       mx2.mydomian.ch       (Mail Gateway MTA) 
       fortimail.mydomain.ch (Mail Server MUA)
       
       --> Die MTA (mx1/2) nehmen direkt Mail's von Outside World an und übermitteln diese an den MUA (fortimail) sowie können ebenfalls direkt an Outside World Mails übermitteln!
       --> Der MUA nimmt keine Mails direkt von Outside World an (sondern bekommen diese über die MTA's (mx1/2) jedoch kann direkt an Outside World übermitteln (nicht über MTA)!
       --> Zusätzlich wird ermöglich -damit die User nicht den Namen "fortimail.mydomain.ch" benützen müssen- den Namen "mail.mydomain.ch" zu benutzen!
       
       Im DNS Server in der betreffenden Zone "mydomain.ch" sieht das folgendermassen aus:
       
       fortimail    IN A     [IP Adresse fortimail.mydomain.ch]
       
       mydomain.ch. IN MX  5 mx1.mydomain.ch.
       mydomain.ch. IN MX 10 mail
       mydomain.ch. IN MX 50 mx2.mydomain.ch.
       mail         IN CNAME fortimail.mydomain.ch.
       
       NOTE Nach RFC ist ein CNAME Name für Mail Server im Zusammenhang mit den MX Records nicht regulär jedoch funktioniert
            -sofern die MX Records und PTR Records ordnungsgemäss konfiguriert sind- einwandfrei!
       
       Im DNS Server in der betreffenden IN-ADR-ARPA Zone (Reverse Lookup) sieht das folgendermassen aus:
       
       [IP Adresse mx1 letzes Oktet] IN PTR mx1.mydomain.ch.
       [IP Adresse mx1 letzes Oktet] IN PTR fortimail.mydomain.ch.
       
       [IP Adresse mx1 letzes Oktet] IN PTR mx2.mydomain.ch.
       
       NOTE In diesem Beispiel ist Port 25 (SMTP) von Outside World zu mx1/2 offen sowie zu fortimail.mydomain.ch geschlossen!
            Für alle Server ist Port 25 nach Outside World offen!

Es gibt unzählige Varianten wie die MX Records aufgebaut werden können mit deren Mail Servern. Wichtig ist zu wissen wie sich das Failover Scenario ergiebt im Fall eines Ausfalles und wie sich die Mail Server sei es MTA und/oder MUA verhalten in der Ubermittlung! Eine vorgängige korrekte und transparent Planung ist umumgänglich sowie ein absolutes MUSS!

Was ist SMTP (Simple EMail Transfer Protocol) und wie funktioniert es?

Für detailierte Informationen betreffend SMTP (Simple Mail Transfer Protocol RFC 2821) sowie ESMTP (Extended Simple Mail Transfer Protocol RFC 1869) siehe Artikel:

       Allgemein:DasSimpleMailTransferProtocol

Was bedeutet MTA/MUA/MAA im Zusammenhang mit SMTP Protokoll?

Innerhalb des SMTP Protokoll stösst man immer wieder auf die Ausdrücke MTA, MUA sowie MAA. Diese Abkürzungen resp. Ausdrücke bedeuten folgendes:

       MTA - Mail Transfer Agent      (Mail Router / Mail Gateway)
       MUA - Mail User Agent          (Mail Host / Mail Server)
       MAA - Mail Access Agent        (User Authentifizierung und Empfangen)

Wie sieht eine Basic EMail Verbindung (Flow) aus?

Nachfolgende Abbildung zeigt wie ein Basic EMail Flow aussieht dh. wie ein Mail vom Client bis zum Empfänger über die verschiedenen Komponenten abgewickelt werden:

       Datei:Fortinet-630.jpg

Wie teste ich einen Mail Server SMTP Port 25 mit Telnet?

Nachfolgender Artikel zeigt wie man einen Mail Server SMTP Port 25 über Telnet testen kann:

       Allgemein:DasSimpleMailTransferProtocol#Wie_teste_ich_einen_Mail_Server_SMTP_Port_25_mit_Telnet.3F

Wie sieht eine Basic SMTP Session aus?

Wenn ein User eine SMTP Session aufbaut so sieht dies in den Basics folgendermassen aus:

       Datei:Fortinet-631.jpg

Dabei ist -speziell betreffende FortiMail- zu Unterscheiden zwischen:

       --> Envelope Bereich
       --> Data Bereich

Dies bedeutet in den vers. Konfigurationen wird in den Dokumentationen immer wieder darauf hingewiesen WO die verschiedenen Ueberprüfungen und Manipulationen eine Nachricht durchgeführt werden. Diesem Umstand ist umbedingt Rechnung zu tragen um die gewünschte Wirkung zu erzielen.