FortiMail:FAQ
FortiMail:FAQ
Ich weiss, dieses FAQ ist ziemlich veraltet – es ist, als würde man einen antiken Schatz ausgraben! Aber keine Sorge, ich arbeite fleissig daran, alle Artikel, Dokumente und Bilder auf den neuesten Stand zu bringen. Danke für deine Geduld, bald wird alles funkeln wie neu! add 28.05.2024 - 4Tinu |
Vorwort
Diese FAQ's sind für FortiMail Systeme basierend auf FortiOS 5.x!
Datenschutz
********************************************************************* * * * THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY * * PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING, * * DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM * * ALSO SCHWEIZ AG SWITZERLAND. * * * ********************************************************************* "Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne schriftliche Zustimmung von der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht bekannt gemacht werden"
FAQ
License
Wie wird ein FortiMail unter VMware lizensiert?
Eine FortiMail Lizenz basiert auf folgender Matrix:
Wird somit einer VMWare Intanz mehr CPU's zugewiesen für eine entsprechende Version und die Lizenz wird eingespielt erscheint im entsprechenden License Widget folgende Fehlermeldung:
'Invalid license presented'
Somit muessen die zugewiesenen CPU's (Cores) reduziert werden gemäss Abbildung und entsprechenden Version und ein Neustart ausgeführt werden. Eine Lizenz eines FortiMail ist im Gegensatz zu einem zB FortiManager nicht IP Abhängig dh. die Lizenz wird registriert wie ein FortiManager jedoch ohne die Definition der IP Adresse! Bei der Lizensierung dh. neben den Hardware Komponenten sind die "Max Values" unter FortiMail zu berücksichtigen. Weitere Informationen siehe nachfolgneden Artikel:
FortiMail:FAQ#Was_sind_die_.22Maximum_Values.22_eines_FortiMails.3F
Wie wird eine License für FortiMail für VMware registriert und eingespielt?
Wenn man einen FortiMail für VMware installiert fällt einem auf, dass dieser keine Serien Nummer aufweist! Diese Serien Nummer wird erstellt beim Registrierungsvorgang. Dies bedeutet, als License Lieferung erhält man folgendes Dokument:
NOTE In der nachfolgenden Doku wird gezeigt wie ein FortiManager Lizenz registriert wird. Der Vorgang Unterscheidet sich nur in der Definition der IP die benutzt wird bei einem FortiManager. Bei einem FortiMail ist nicht nötig dh. FortiMail ist nicht Lizenztechnisch gesehen IP Abhängig!
Datei:FMVM0002306.pdf
In diesem Dokument ist ein "Registration Code" angegeben dh. anhand dieses "Registration Code" wird die Registrierung durchgeführt und in dieser Registrierung wird die Serien Nummer erstellt sowie das effektive License File. Um die Registrierung durchzuführen gehe auf folgende Seite:
http://support.fortinet.com NOTE Auf dieser Support Seit muss für den Registrierungsprozess eingeloggt werden. Ist "noch" kein Account vorhanden so führe den ersten Teil (erstellen eines Accounts) der folgende Anweisungen durch: FortiGate-5.0-5.2:FAQ#Wie_wird_ein_Fortinet_Device.2FGer.C3.A4t_Registriert.3F Wenn ein Account existiert logge dich anhand des Usernamens und Passwortes auf http://support.fortinet.com ein. Danach wähle unter "Asset Management" die Position "Register/Renew". Es erscheint folgender Dialog: Datei:Fortinet-212.jpg
Datei:Fortinet-216.jpg
Datei:Fortinet-217.jpg
Datei:Fortinet-218.jpg NOTE Auf diser Seite kann unter der Positon "License File Download" das Licens File, dass auf dem FortiMail eingespielt werden muss runtergeladen werden!
Sobald das Lizenz File runtergeladen wurde kann es unter folgender Position auf dem FortiMai Mgmt. Web Interface eingspielt werden:
System Status > License Information > VMWare > [Update...] NOTE Es wird ein Neustart durchgeführt! Die Lizenz ist nicht IP Abhängig! Dies bedeutet immer die letzte Instanz meldet sich in der FortiCloud (FortiGuard) dh. alle älteren Instanzen werden automatisch inaktiv gesetzt! In der Console wird eine Meldung nach dem Neustart angezeigt: License Registration Status changed to VALID
Nachdem erneuten einloggen kann nun die Serial Nummer dieser Installation aus folgender Position ausgelesen werden:
System Status > License Information
Diese Serial Nummer identifiziert diese Installation bei Support Fällen bei Fortinet und muss bei einem Support Case angegeben werden.
Documentation
Wo findet ich die Dokumente wie Datasheets, Quick Start Guide, User Guide etc. ?
Ueber folgenden internen Link findet man Datasheets und Quick Start Guide betreffend FortiMail Devices:
Auf folgender Seite findet man alle orginal Dokumente betreffend FortiMail:
- Dokumente FortiMail Version 7.0
- Dokumente FortiMail Version 7.2
- Dokumente FortiMail Version 7.4
- Dokumente FortiMail Version 7.6
Legacy Dokumente:
FortiMail FAQ Dokument Datei:FortiMail-FAQ.pdf (FortiMail Secure Email Gateway Appliances FAQ) Datei:FortiMail-Cloud-FAQ.pdf (FortiMail Cloud - Secure Email Managed Service FAQ)
Diverse Dokumente Datei:Fortimail-aws-deployment.pdf (FortiMail Amazon Web Services Deployment Guide) Datei:Fortimail-adc-deployment.pdf (FortiMail ADC Deployment Guide) Datei:FortiMail-Office365.pdf (Securing Your Enterprise Office 365 with FortiMail)
edit 23.08.2024 - 4Tinu
Gibt es einen Link auf die Fortinet Knowledgebase auf der die Artikel gelistet sind?
add 28.05.2024 - 4Tinu
Wo finde ich die AdminGuides fuer den FortiMail?
Hier sind die Adminguides der GA Releases 7.0 bis 7.6 aufgeführt.
- Datei:FortiMail-AdminGuide-70.pdf 7.0.7
- Datei:FortiMail-AdminGuide-72.pdf 7.2.6
- Datei:FortiMail-AdminGuide-74.pdf 7.4.3
- Datei:FortiMail-AdminGuide-76.pdf 7.6.1
Cookbooks:
edit 23.08.2024 - 4Tinu
Wo finde ich die CLI Kommandos fuer den FortiMail?
Hier sind die CLI Guides der GA Releases 7.0 bis 7.4 aufgeführt.
- Datei:FortiMail-CLI-70.pdf 7.0.7
- Datei:FortiMail-CLI-72.pdf 7.2.6
- Datei:FortiMail-CLI-74.pdf 7.4.3
add 23.085.2024 - 4Tinu
Wo finde ich die Log Referenzen fuer den FortiMail?
Hier sind die CLI Guides der GA Releases 7.0 bis 7.4 aufgeführt.
- Datei:FortiMail-LogMessageReference-70.pdf 7.0.0
- Datei:FortiMail-LogMessageReference-72.pdf 7.2.0
- Datei:FortiMail-LogMessageReference-74.pdf 7.4.0
add 28.05.2024 - 4Tinu
Wo finde ich die Syntaxe um den FortiMail mit RestAPI zu konfigurieren?
Hier sind die REST API Reference Guides der GA Releases 7.0 bis 7.4 aufgeführt.
- Datei:FortiMail-REST-API-Reference-70.pdf 7.0.0
- Datei:FortiMail-REST-API-Reference-72.pdf 7.2.0
- Datei:FortiMail-REST-API-Reference-74.pdf 7.4.0
add 28.05.2024 - 4Tinu
Wo finde ich die maximal moeglichen Werte (Maximale Values) vom FortiMail?
Hier sind die Maximalen Values der GA Releases von 7.0 bis 7.4 aufgeführt.
- Datei:FortiMail-MaximumValues-70.pdf 7.0.7
- Datei:FortiMail-MaximumValues-72.pdf 7.2.6
- Datei:FortiMail-MaximumValues-74.pdf 7.4.3
- Datei:FortiMail-MaximumValues-76.pdf 7.6.1
edit 23.08.2024 - 4Tinu
Hardware
Was für ein Kabel benötige ich für den Consolen Anschluss (Seriell RS232) einer Fortinet?
Weitere Informationen siehe folgender Artikle:
FortiGate-5.0-5.2:FAQ#Was_f.C3.BCr_ein_Kabel_ben.C3.B6tige_ich_f.C3.BCr_den_Consolen_Anschluss_.28Seriell_RS232.29_einer_Fortinet.3F
Setup
Wie kann ein FortiMail Device eingesetzt/implementiert werden?
Ein FortiMail Device ist variable einsetzbar dh. je nach Bedürfniss kann ein FortiMail folgendermassen implementiert werden:
--> Gateway: Mail Router (MTA) --> Transparent (IP Router or Layer 2 Switch) --> Mail Server NOTE Die vers. Modi können nicht parallel betrieben werden. Wenn ein neuer Modus aktiviert wird geht die bestehende Konfiguration verloren!
Nachfolgende Abbilungen zeigt auf wie solche Implementationen in den verschiedenen Modi aussehen kann:
Mode GATEWAY NOTE Diese Abbildungen zeigen wie ein FortiMail im Gateway Mode durch eine Firewall geschützt wird. Ein FortiMail Device ist ein gehärteter Device dh. das Outbound Interface kann ohne Probleme direkt zum Internet verbunden werden und das LAN Interface direkt ins LAN. Somit wird die FW nicht zusätzlich belastet und es muss kein NAT Implementiert werden. Ob dies durchgeführt wird hängt von den Gegebenheiten ab dh. ob mehrer Public IP's zur Verfügung stehen oder zB ob die Firewall Auslastung zu hoch wird etc!? Datei:Fortinet-624.jpg Datei:Fortinet-625.jpg
Mode TRANSPARENT Datei:Fortinet-626.jpg Datei:Fortinet-627.jpg
Mode MAIL SERVER Datei:Fortinet-628.jpg Datei:Fortinet-629.jpg
Was unterscheidet FortiMail in seiner Funktion von anderen Mail Gateways/Server (MTA/MUA)?
Wenn man mit FortiMail arbeitet sei es als Gateway (MTA), Server (MUA) oder im Transparent Modus fragt man sich wieso man nicht effektiv mit Interfaces zB Inbound Interface und/oder Outbound Interfaces arbeitet resp. Konfigurationen durchführt. Bei anderen Mail Systemen werden die Relays, Zugriff auf die Server auf Interfaces konfiguriert dh. der SMTP Deamon (Port 25) läuft auf einer bestimmten IP. Bei FortiMail ist dies so nicht der Fall dh. FortiMail arbeitet mit Policies die einem Grundsatz folgende und zwar:
Protect Domain (Eine Domaine die erfasst/konfiguriert wurde auf dem FortiMail) Unprotected Domain (Eine Domaine die NICHT erfasst wurde auf dem FortiMail)
Die Grundlage eines FortiMail Installation stellt das Routing dar sprich dabei spielt es eigentlich keine Rolle wie ein FortiMail in eine Umgebung eingebunden wird dh. mit zwei oder mehreren Interfaces (ausser aus Performance Gründen). Aus diesem Grund -so wie FortiMail arbeitet- kann eine FortiMail Installation durchaus nur mit einem Interface (speziell für MTA Mode resp. Gateway Mode) in eine Umgebung eingebunden werden. Denn wenn eine Policy abgearbeitet wird geht FortiMail im Grundsatz nach folgenden Schema vor:
1. Recipient Adresse und/oder Sender Adresse werden analysiert sprich diese stellt eine bestimmt Domaine dar! 2. Die Recipient Adresse und/oder Sender Adresse werden verifiziert als "Protected Domain" oder als "Unprotected Domaine"! 3. Die entsprechende Domaine/n werden anhand DNS (MX Records / Reverse Lookup) betreffend IP verifiziert! 4. Die verifiziert IP wird lokalisiert dh. stimmt überein mit "Protected Domain" oder "Unprotected Domaine" (Externe Adresse)! 5. Anhand der verifizierten IP Adresse, wird nach der Abarbeitung der entsprechenden Policies, das Routing ausgelöst!
Dies zeigt auf, dass FortiMail Domaine basierend ist resp. von "Protected Domains" oder "Unprotected Domains" ausgeht und nicht mit IP basierenden Inbound/Outbound Interfaces arbeitet resp. mit SMTP Deamons die auf einer bestimmten Interface/IP konfiguriert ist/sind. Dies ist zu verinnerlichen wenn mit FortiMail gearbeitet wird um die korrekten Policies zu implementierten!
Wie sieht die Grundkonfiguration (Netzwerk) eines FortiMail aus?
Wenn man zB über VMware einen FortiMail installiert (über ovf File) so muss dieser über die Console der VMware für den ersten Zugriff Grundkonfiguriert werden (Gilt auch für den Device) dh. damit später über das WebInterface zugegriffen werden kann. Diese Grundkonfiguration sieht folgendermassen aus (Login User "admin" no password):
Interface Konfiguration # config system interface # edit port1 # set ip [IP Adresse/Netmask] # set allowaccess http ping # end
Default Gateway # config system route # edit 1 # set gateway [Gateway IP Adresse] # end
Danach kann anhand der gesetzten IP auf das WebInterface zugegriffen werden:
http://[IP Adresse]/admin NOTE Bei der Installation kann es ohne Lizenz im https Mode zu Problemen kommen! Der Grund ist die Low Level Encrption. Aus diesem Grund empfehlen wir solange keine Reguläre Lizenz eingespielt ist http Mode zu benutzen um das Problem zu umgehen. Sobald die Lizenz eingespielt ist kann auf https Mode umgestellt werden. Detaillierte Informationen zu diesem Thema siehe folgender Artikel: Fortinet:EvaluationNFR#Es_ist_nicht_m.C3.B6glich_anhand_meines_Broswer.27s_auf_meine_Fortinet_VMware_Installation_.28Eval.29_zu_zugreifen.3F
Wo kann ich den Hostnamen/Domaine für einen FortiMail Server setzen?
Der Hostname kann auf einem FortiMail Server unter folgender Position gesetzt werden:
Mail Settings > Settings > Mail Server Settings > [Host name | Local domain name]
Wenn der Hostname und/oder die Domain über Kommandozeile konfiguriert werden soll benütze folgende Kommandos:
# config system global # set hostname [Host Name] # set local-domain-name [Domaine Name # end
Welche Ports benützt eine FortiMail Installation?
Folgende Tabelle zeigt welche Ports durch einen FortiMail Installation benutzt wird:
• Ports die benützt werden durch den FortiMail selber (outbound ports) • Ports die benützt werden durch den FortiMail um Traffic zu erhalten (listening ports) • Ports die benützt werden durch den FortiMail im Zusammenhang mit dem FortiGuard Distribution Network Service (FDN ports)
NOTE Die nachfolgende Auflistung zeigt ALLE Ports die möglich sind dh. je nach benutzten Optionen in der Konfiguration sind diese Ports offen oder in Gebrauch!
Nachfolgende Grafik zeigt auf wie diese Ports im Process Flow benützt werden:
Können innerhalb eines FortiMail Cluster's verschiedenen FortiMail Devices eingesetzt werden?
Ja dies ist möglich! Ein FortiMail Cluster kann in folgenden "Mode's" betrieben werden:
Active-Passive Config-Only
Active-passive HA Config-only HA 2 FortiMail units in the HA group 2-25 FortiMail units in the HA group Typically deployed behind a switch Typically deployed behind a load balancer Both configuration* and data synchronized Only configuration* synchronized Only primary unit processes email All units process email No data loss when hardware fails Data loss when hardware fails Failover protection, but no increased processing capacity Increased processing capacity, but no failover protection
In beiden Mode's sind bei der Konfiguration folgende Komponenten ausgenommen sprich werden "nicht" Synchronisiert:
Operation Mode Host Name Static Route Interface Konfiguration Management IP Adresse SNMP System Information Radi Konfiguration HA Konfiguration HA Deamon Konfiguration HA Service Monitoring Konfiguration System Apperarance Config Only HA
Nachfolgend zwei Beispiele aus dem "Admin Guide" die diese zwei Modes aufzeigen:
NOTE Weitere "wichtige" Informationen betreffend diesen zwei Mode's sowie deren Konfiguration findet man im "Admin Guide" von FortiMail: FortiMail:FAQ#Wo_findet_ich_die_Dokumente_wie_Datasheets.2C_Quick_Start_Guide.2C_User_Guide_etc._.3F
Wenn FortiMail Devices/Modelle in einem Cluster gemischt werden werden die Konfigurationen limitiert nach dem "grössten" Modell. Dabei ist zu beachten das bei den Konfigurationen das "kleinere" Modell resp. die max. Values nicht überschritten werden. Grundvorraussetzung um vers FortiMail Modelle in einem Cluster Verbund zu mischen ist, dass auf den vers. Devices die "gleiche" Firmware eingesetzt wird.
Wie ändere ich für einen FortiMail den Mode damit ich diesen im Server, Gateway oder Transparent Mode betreiben kann?
Ein FortiMail kann in verschiedenen Modi betrieben werden (siehe Artikel FortiMail:FAQ#Wie_kann_ein_FortiMail_Device_eingesetzt.2Fimplementiert_werden.3F). Um den entsprechenden Mode umzustellen führe folgendes aus:
System Status > System Information > Operation Mode > Server NOTE es wird ein Neustart durchgeführt und eine bestehende Konfiguration geht verloren ausser die Netzwerk Konfiguration!
Wo können auf einer FortiMail die Administrations Ports definiert werden dh. für HTTP, HTTPS, Telnet sowie SSH?
Die Administrations Port kann man unter den System Einstellungen definieren:
Konfiguration über das WebGui: | Konfiguration über die CLI: |
---|---|
System > Configuration > Option > Administration Ports |
config system global set port-http <gewünschter Wert eingeben> -> Admin Port für HTTP definieren set port-https <gewünschter Wert eingeben> -> Admin Port für HTTPS definieren set port-ssh <gewünschter Wert eingeben> -> Admin Port für SSH definieren set port-telnet <gewünschter Wert eingeben> -> Admin Port für TELNET definieren end |
Wie schalte ich nicht benötigte Service auf einem FortiMail ab wie zB SMTP Auth?
Je nach Konfiguration eines FortiMails sollten die "nicht benötigten" jedoch per Standard zur Verfügung stehenden Protokolle wie zB "SMTP Auth" abgeschaltet werden. Wird auf einem FortiMail IMAPS, SMTPS konfiguration laufen per Standard die "nicht" verschlüsselten Protokolle mit. Um diese gänzlich abzuschalten kann folgendes durchgeführt werden:
# config system mailserver # set smtp-auth [enable | disable] # set smtp-auth-over-tls [enable | disable] # set smtp-auth-smtps [enable | disable] # set smtps-tls-status [enable | disable] # set smtp-auth-smtps [enable | disable] # set pop3-service [enable | disable] # set imap-service [enable | disable] # end
Ebenfalls können unter dieser Konfiguration die Ports der einzelnen Service definiert werden:
# config system mailserver # set smtp-port 25 # set smtp-msa-port 587 # set smtps-port 465 # set pop3-port 110 # end
Server Mode
Wie führe ich ein Grundsetup durch um einen FortiMail im Server Mode zu installieren/konfigurieren?
Folgende Aufstellung/Information zeigt ein Konfigurations-Ablauf auf für einen FortiMail im Server Mode. Je nach Konfiguration und Vorraussetzungen entfallen bestimmte Konfigurationspunkte:
0. Vorbereitung der Implementierung / Grundkonfiguration Netzwerk FortiMail:FAQ#Wie_kann_ein_FortiMail_Device_eingesetzt.2Fimplementiert_werden.3F FortiMail:FAQ#Was_unterscheidet_FortiMail_in_seiner_Funktion_von_anderen_Mail_Gateways.2FServer_.28MTA.2FMUA.29.3F FortiMail:FAQ#Was_ist_ein_MX_Record_und_wieso_ist_dies_eine_absolute_Grundvoraussetzung.3F FortiMail:FAQ#Wie_sieht_die_Grundkonfiguration_.28Netzwerk.29_eines_FortiMail_aus.3F 1. Lizenz einspielen FortiMail:FAQ#Wie_wird_ein_FortiMail_unter_VMware_lizensiert.3F FortiMail:FAQ#Wie_wird_eine_License_f.C3.BCr_FortiMail_f.C3.BCr_VMware_registriert_und_eingespielt.3F 2. Server Mode wählen FortiMail:FAQ#Wie_.C3.A4ndere_ich_f.C3.BCr_einen_FortiMail_den_Mode_damit_ich_diesen_im_Server.2C_Gateway_oder_Transparent_Mode_betreiben_kann.3F 3. Grundkonfiguration FortiMail "Server Mode" FortiMail:FAQ#Wie_kann_ich_die_Initial_Grundkonfig_eines_Server_Mode_konfigurieren.3F 4. Administration Access FortiMail:FAQ#Wo_k.C3.B6nnen_auf_einer_FortiMail_die_Administrations_Ports_definiert_werden_dh._f.C3.BCr_HTTP.2C_HTTPS.2C_Telnet_sowie_SSH.3F FortiMail:FAQ#Wo_kann_ich_den_Hostnamen.2FDomaine_f.C3.BCr_einen_FortiMail_Server_setzen.3F FortiMail:FAQ#Wo_kann_ich_das_Passwort_des_Administrator.27s_neu_setzen.3F FortiMail:FAQ#Wo_kann_ich_das_Timeout_des_Administrators_neu_anpassen.3F 5. Routing Konfiguration FortiMail:FAQ#Wie_kann_ich_einen_Routing_Eintrag_erstellen_auf_einem_FortiMail.3F 6. DNS Konfiguration FortiMail:FAQ#Wie_konfiguriere_ich_auf_einem_FortiMail_entsprechende_DNS_Server.3F 7. Datum / Zeit sowie NTP Konfiguration FortiMail:FAQ#Wie_kann_ich_auf_einem_FortiMail_die_korrekte_Timezone_setzen.3F FortiMail:FAQ#Wie_kann_ich_das_Datum_und_die_Zeit_auf_einem_FortiMail_setzen.3F FortiMail:FAQ#Wie_kann_ich_einen_NTP_Server_definieren_auf_einem_FortiMail.3F 8. Hostname / Domaine FortiMail:FAQ#Wo_kann_ich_den_Hostnamen.2FDomaine_f.C3.BCr_einen_FortiMail_Server_setzen.3F 9 Domain Relaying FortiMail:FAQ#Wo_kann_ich_eine_.22Domain.22_konfigurieren_f.C3.BCr_die_ein_FortiMail_die_Zust.C3.A4ndigkeit_.C3.BCbernimmt.3F 10. Relay / Access Control FortiMail:FAQ#Was_ist_.22Access_Control.22_und_was_ist_dabei_zu_ber.C3.BCcksichtigen_auf_einem_FortiMail.3F FortiMail:FAQ#Wo_kann_ich_auf_einer_FortiMail_einen_sogenannten_.22Relay.22_konfigurieren.3F FortiMail:FAQ#Welche_Bedeutung_haben_in_den_Access_Control_.22Internal.22_und.2Foder_.22External.22.3F 11. Profiles FortiMail:FAQ#Wo_kann_ich_die_Anzahl_Verbindungen_pro_Client_eingrenzen_.28Session_Profile.29.3F FortiMail:FAQ#Wo_kann_ich_die_AntiSpam_Funktion_konfigurieren_.28AntiSpam_Profile.29.3F FortiMail:FAQ#Wo_kann_ich_die_AntiVirus_Funktion_konfigurieren_.28AntiVirus_Profile.29.3F FortiMail:FAQ#Wo_kann_ich_die_Content_Funktion_konfigurieren_.28Content_Profile.29.3F FortiMail:FAQ#Wo_kann_ich_die_Resource_Funktion_konfigurieren_.28Resource_Profile.29.3F 12. IP-based Policies / Recipient Policies FortiMail:FAQ#Was_ist_der_Unterschied_zwischen_.22IP-based_Policies.22_und.2Foder_.22Recipient_Policies.22.3F 13. Logging / Reports FortiMail:FAQ#Kann_ich_die_Logs_eines_FortiMails_dem_FortiAnalyzer_.C3.BCbermitteln.3F 14. Backup / Restore FortiMail:FAQ#Wie_kann_ich_bei_Outgoing_EMails_die_.22Internen_Header.22_Informationen_automatisch_entfernen_lassen.3F FortiMail:FAQ#Wie_kann_ich_f.C3.BCr_ein_FortiMail_Server_ein_Restore_durchf.C3.BChren.3F
Wie kann ich die Initial Grundkonfig eines Server Mode konfigurieren?
Eine Initial Grundkonfig eines "Server Mode's" wird am besten anhand des zur Verfügung stehenden "Wizards" durchgeführt! Dabei muss berücksichtigt werden das dieser bei Ausführung sämtliche bestehende Konfiguration löscht. Dies bedeutet der Wizard "purged" die Datenbank und konfiguriert diese neu anhand eines Templates das wiederum anhand des Wizards abgefüllt wird. Um den Wizard auszuführen für den Server Mode muss der FortiMail Server auf den "Server Mode" umgestellt werden. Weitere Informationen dazu siehe folgender Artikel:
FortiMail:FAQ#Wie_.C3.A4ndere_ich_f.C3.BCr_einen_FortiMail_den_Mode_damit_ich_diesen_im_Server.2C_Gateway_oder_Transparent_Mode_betreiben_kann.3F
Danach kann der Wizard ausgeführt werden:
Starte nun den Wizard in der oberen Ecke Rechts:
NOTE Definiere sofern nötig abermalls das Passwort für den Superadmin User "admin"!
NOTE Gebe hier die "Domain" an für die der Mailserver zuständig sein wird. Wenn mehrere "Domainen" existieren füge für jede einen Eintrag hinzu. Diese können auch nachträglich hinzugefügt werden!
NOTE Füge eine Eintrag mit einer entsprechenden IP hinzu für jeden Server der berrechtigt ist intern den "FortiMail" im "Server Mode" als SMTP Server zu benutzen resp. EMails zuübermitteln.
Nun wird eine Zusammenfassung angezeigt die Kontrolliert werden kann. Mit "Back" kann eine etweilige Korrektur durchgeführt werden. Bestätige die Konfiguration mit dem "OK" Button. Es wird eine Neustart ausgeführt! Nachdem Neustart sollten die verschiedenen Konfigurationspunkte des Wizard durchkontrolliert sowie etweilige Ergänzungen hinzugefügt werden:
Erstelle eine Verbindung zum WebMgmt: https://198.18.0.13/admin/ NOTE Um die Kontrolle durchzuführen siehe folgender Artikel: FortiMail:FAQ#Wie_f.C3.BChre_ich_ein_Grundsetup_durch_um_einen_FortiMail_im_Server_Mode_zu_installieren.2Fkonfigurieren.3F
Wie kann ich die Anzahl der lokalen Postfaecher auf dem FortiMail im Servermodus erhöhen?
Jedes FortiMail Modell hat eine bestimmte anzahl Postfächer welche im Servermodus auf dem System erstellt werden können. Diese Limmite kann im Datenblatt unter folgender Spalte entnommen werden: Server mode local mailboxes
Auf einer VM01 sind somit 150 Mailboxen möglich auf dem System einzurichten. Diese Anzahl bezieht sich auf alle auf dem FortiMail eingerichteten Domainen!
Falls folgende Meldung beim Einrichten eines Postfaches erscheint, aber die Limmite noch nicht erreicht ist, muss in der entsprechenden Domaine das maximum angepasst werden.
Das Maximum kann folgendermassen angepasst werden.
Wichtig du musst dich als Systemadministrator einloggen, ansonsten wirst du das folgende nicht durchführen können:
Konfiguration über das WebGui: |
Navigiere auf das Menu |
Nun unter den Advanced Setting die Option |
Erweitere das Menu |
In diesem Fall sind der Domaine zehn Postfächer zugewiesen. Du kannst jetzt deine gewünschte Anzahl Postfächer konfigurieren: In diesem Beispiel erweitern wir von Zehn auf 50ig Postfächer. Mit |
add 27.05.2024 - 4Tinu
Transparent Mode
Was ist der Unterschied zwischen Gateway Mode und/oder Transparent Mode?
Gateway mode: • Incoming : Protected domain • Outgoing : Unprotected domain
Transparent mode • Incoming : Protected IP • Outgoing : Unprotected IP
Implicit rules • Incoming : RELAY • Outgoing : REJECT • No domain defined = Outgoing : REJECT
Was sind die Auswirkungen wenn ein FortiMail Device im Transparent Mode den Proxy aktiviert hat?
Wenn auf einem FortiMail Device im Transparent Mode den Proxy aktiviert wird so wird ein Mail vom Ausgangs Server direkt zum Ziel Server gesendet. Dies bedeutet schickt Client "A" ein Mail anhand des Server "A" zum Client "B" wird der Server "A" direkt Server "B" kontaktieren. Dies bedeutet wiederum der FortiMail Device wird benutzt um die SMTP Verbindung zu proxifizieren. Wenn Server "B" nicht erreichbar ist so wird das Mail in der Queue von Server "A" beibehalten und nicht auf dem FortiMail Device im Transparent Mode und aktiviertem Proxy. Somit gelten für die erneute Uebermittlungen die Einstellungen der Queue des Servers "A". Um diese Mode auf einem FortiMail Device mit Transparent Mode zu aktivieren benutze folgendes:
Incoming: Benutze auf dem WebGui folgendes: Mail Settings > Domains > [Wähle die entsprechende Domain] > Transparent Mode Options > Use this domain’s SMTP to deliver the email Benutze auf der CLI folgendes: # config domain # edit [Definiere den Domain Name] # config domain-setting # set tp-use-domain-mta yes # end # next # end
Outgoing: Benutze auf dem WebGui folgendes: Mail Settings > Domains > Use client-specified SMTP server to send email Benutze auf der CLI folgendes: # config mailsetting proxy-smtp # set proxy-original enable # end
Auf dem FortiMail Server ist der Traffic resp. die Verbindung per Standard nicht im Log ersichtlich (Siehe Artikel FortiMail:FAQ#Wie_aktiviere_ich_das_Logging_auf_einer_FortiMail_im_Transparent_Mode.3F_2). Die Konfiguration kann für "incoming" Domain basierend gesetzt werden jedoch für "outgoing" ist die Konfiguration Global!
Was passiert betreffend Interfaces wenn eine FortiMail in den Transparend Mode gesetzt wird?
Wenn ein FortiMail Device in den Transparent Mode gesetzt wird so werden ALLE Interfaces auf dem Device Mitglied einer Bridge! Dies bedeutet es ist Vorsicht geboten da eine "loop" Gefahr besteht.
Wie aktiviere ich das Logging auf einer FortiMail im Transparent Mode?
Siehe Artikel:
FortiMail:FAQ#Wie_aktiviere_ich_das_Logging_auf_einer_FortiMail_im_Transparent_Mode.3F_2
Wie kann ich in einem Mail die Infos betreffend einem FortiMail Server im Transparent Mode verstecken/entfernen?
Dies kann durchgeführt werden jedoch muss dies für Incoming und/oder Outgoing gesetzt werden:
Incoming: Mail Settings > Domains > [Wähle den entsprechenden Domain Eintrag] > Transparent Mode Options > Hide the transparent box # config domain # edit [Definiere den Domain Name] # config domain-setting # set tp-hidden yes # end # next # end
Outgoing: Profile > Session > [Wähle das entsprechende Profile] > Connection Settings > Hide this box from the mail server # config profile session # edit [Definiere den Session Namen] # set conn-hidden enable # next # end
Domain
Wo kann ich eine "Domain" konfigurieren für die ein FortiMail die Zuständigkeit übernimmt?
Wenn eine E-Mail an eine bestimmte Domain gesendet wird, wird über die DNS-Einträge (MX Records) verifiziert, welcher Gateway für diese Domain zuständig ist. Damit der FortiMail-Server diese E-Mail entgegennehmen kann, muss ihm mitgeteilt werden, dass er für diese bestimmte Domain zuständig ist. Die zu konfigurierende Domain wird unter folgendem Punkt erstellt:
Konfiguration über das WebGui: |
Gilt für Server und Gateway Modus: Über das Menu |
FortiMail im Gateway Mode Trage nun den entsprechenden Informationen ein:
Durch die Konfiguration des "SMTP Server" kannst Du dem FortiMail-Gerät mitteilen, über welche IP-Adresse ("SMTP server") es Nachrichten für eine bestimmte Domain entgegennehmen soll. Dies bedeutet, dass bei einem FortiMail-Gerät mit mehreren Interfaces die korrekte IP unter "SMTP server" angegeben werden muss, damit auf dem zuständigen Interface, auf dem die angegebene IP konfiguriert ist, die Nachrichten für diese Domain entgegengenommen werden. Zusätzliche Domains können entweder mit einem separaten Eintrag konfiguriert werden oder durch die Funktion "Domain Association". Werden diese mit einem separaten Eintrag konfiguriert, können diese einzelnen Einträge durch die Funktion "Is subdomain" (Main domain) der Hauptdomain zugewiesen werden. Testfunktion: |
FortiMail im Server Mode Wenn ein FortiMail im Server-Modus betrieben wird, ist der IP-Eintrag "SMTP server" irrelevant, da der Server ausschliesslich auf die Domain hört und nicht auf die IP-Adresse. Dies bedeutet, dass die Domain automatisch die IP-Adresse des FortiMail im Server-Modus übernimmt. |
edit 28.05.2024 - 4Tinu
Wie kann ich MX Records überprüfen?
Die folgenden Hinweise zeigen dir, wie du eine manuelle DNS-Test-/Anfrage durchführen kannst. Beachte jedoch, dass diese Hinweise nicht mit allen gängigen Betriebssystemen funktionieren. "nslookup" ist unter allen gängigen Betriebssystemen wie Windows, UNIX oder LINUX verfügbar. Das Kommando "dig" steht normalerweise für UNIX und/oder LINUX zur Verfügung.
Überprüfung von MX Records mittels "nslookup":' |
# nslookup -q=mx mydomain.ch Server: dns1.mydomain.ch Address: 192.168.100.125 mydomain.ch MX preference = 5, mail exchanger = smtp1.mydomain.ch mydomain.ch MX preference = 10, mail exchanger = mail.mydomain.ch mydomain.ch MX preference = 50, mail exchanger = smtp2.mydomain.ch mydomain.ch nameserver = dns2.mydomain.ch mydomain.ch nameserver = dns1.mydomain.ch smtp1.mydomain.ch internet address = 192.168.100.123 dns1.mydomain.ch internet address = 192.168.100.125 dns2.mydomain.ch internet address = 192.168.100.194 In diesem Beispiel existieren 3 MX Records mit den Prioritäten 5, 10 und 50. Die zuständigen DNS-Server sind dns1.mydomain.ch und dns2.mydomain.ch (nameserver=). Wenn ein fremder DNS-Server bezüglich der Domain "mydomain.ch" und der MX Records angefragt wird, erscheint die Meldung "Nicht autorisierende Antwort". Dies bedeutet, dass der angefragte fremde DNS-Server nicht für die Domain zuständig ist. |
Überprüfung von MX Records mittels "nslookup": |
# dig mydomain.ch MX +answer ; <<>> DiG 9.7.0-P1 <<>> .mydomain.ch MX +answer ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 21400 ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 2, ADDITIONAL: 3 ;; QUESTION SECTION: ;.mydomain.ch. IN MX ;; ANSWER SECTION: .mydomain.ch. 86400 IN MX 5 smtp1.mydomain.ch. .mydomain.ch. 86400 IN MX 10 mail.mydomain.ch. .mydomain.ch. 86400 IN MX 50 smtp2.mydomain.ch. ;; AUTHORITY SECTION: .mydomain.ch. 86400 IN NS dns1.mydomain.ch. .mydomain.ch. 86400 IN NS dns2.mydomain.ch. ;; ADDITIONAL SECTION: smtp1.mydomain.ch. 86400 IN A 192.168.100.123 dns1.mydomain.ch. 86400 IN A 192.168.100.125 dns2.mydomain.ch. 86400 IN A 192.168.100.194 ;; Query time: 4 msec ;; SERVER: 192.168.100.125#53(192.168.100.125) ;; WHEN: Sat May 15 09:26:21 2010 ;; MSG SIZE rcvd: 181 Dieses Beispiel ähnelt demjenigen, das mit "nslookup" ausgeführt wurde. Der Vorteil von "dig" liegt darin, dass unter dem Abschnitt "AUTHORITY SECTION" angezeigt wird, WER für die Domain zuständig ist. |
Um nur die MX Records ohne zusätzliche Informationen anzuzeigen, verwende: # dig mydomain.ch MX +answer ; <<>> DiG 9.7.0-P1 <<>> akb.ch MX +noall +answer ;; global options: +cmd mydomain.ch. 86161 IN MX 5 smtp1.mydomain.ch. mydomain.ch. 86161 IN MX 10 mail.mydomain.ch. mydomain.ch. 86161 IN MX 50 smtp2.mydomain.ch. |
edit 28.05.2024 - 4Tinu
Profile
Wie kann ich unter "Policy" innerhalb der "Profiles" den Advanced Mode aktivieren?
Grundsätzlich kann man für die "Profiles" den "Advanced Mode" aktivieren. Dies bedeutet ist dieser nicht aktiviert (Per Standard) steht einem innerhalb der "Profiles" am ende des Menüs kein "Advanced Control" zur Verfügung. Möchte man diesen Advanced aktivieren führe folgendes durch:
# config system global # set mta-adv-ctrl-status enable # end NOTE Dies wird nur unter FortiOS 5.x untersützt!
Sobald dieser Mode aktiviert wurde, steht einem innerhalb des entsprechenden Policy am ende eine neue Menüposition zur Verfügung dh. "Advanced Control".
Wo kann ich die Anzahl Verbindungen pro Client eingrenzen (Session Profile)?
Diese können über eine Profile unter "Sessions" konfiguriert werden und limitieren die Anzahl Verbindungen die ein Client/Host zum FortiMail Server öffnen kann dh.:
Profile > Session > New > Connection Settings NOTE Ein guter Start ist die vorkonfigurierten Session Profiles zu verwenden die auf einem FortiMail zur Verfügung stehen!
Dieses Profile kann anschliessend in eine entsprechende "IP Policies" eingebunden werden unter:
Policy > Policies > IP Policies
Gebe das entsprechende Profile unter "Session" an. Achte darauf das die neu erstellte Policy greift dh. es gilt innerhalb Policies "top down first match wins"!
Wo kann ich die AntiSpam Funktion konfigurieren (AntiSpam Profile)?
Diese können über eine Profile unter "AntiSpam" konfiguriert werden und beinhalten vers. Techniken für die Antispam Funktion dh.:
Profile > AntiSpam > New NOTE Ein guter Start ist die vorkonfigurierten AntiSpam Profiles resp. Templates zu verwenden die auf einem FortiMail zur Verfügung stehen! Weitere Informationen dazu siehe Artikel: FortiMail:FAQ#Mit_welchen_AntiSpam_Profile.2FFunktionen_sollte_ein_FortiMail_zu_Beginn_konfiguriert_werden.3F
Nach der Konfiguration kann das Profile unter folgender Position eingebunden werden:
Policy > Policies > [IP-based Policies oder Recipient Policies]
Wo kann ich die AntiVirus Funktion konfigurieren (AntiVirus Profile)?
Das AntiVirus Profile kann unter folgender Position konfiguriert werden:
Profile > AntiVirus > New NOTE Ein guter Start ist die vorkonfigurierten AntiVirus Profiles resp. Templates zu verwenden die auf einem FortiMail zur Verfügung stehen!
Weitere Informationen dazu WAS in einer Nachricht betreffend AntiVirus kontrolliert wird findet man im folgenden Artikel:
FortiMail:FAQ#Was_wird_bei_einer_Nachricht_betreffend_AntiVirus_kontrolliert.3F
Nach der Konfiguration kann das Profile unter folgender Position eingebunden werden:
Policy > Policies > [IP-based Policies oder Recipient Policies]
Wo kann ich die Content Funktion konfigurieren (Content Profile)?
Der Content Filter kann unter folgender Position konfiguriert werden:
Profile > Content > Content NOTE Ein guter Start ist die vorkonfiguirerten Content Profile die auf einem FortiMail zur Verfügung stehen zu benutzen dh. "content_basic".
Nach der Konfiguration kann das Profile unter folgender Position eingebunden werden:
Policy > Policies > [IP-based Policies oder Recipient Policies]
Weitere Informationen dazu WAS in einem Nachricht betreffend Content Filter kontrolliert wird findet man im folgenden Artikel:
FortiMail:FAQ#Was_wird_bei_einer_Nachricht_betreffend_Content_Filter_kontrolliert.3F
Wo kann ich die Resource Funktion konfigurieren (Resource Profile)?
Ein Resource Profile kann unter folgender Position konfiguriert werden:
Profile > Resource > Resource NOTE Ein guter Start ist die vorkonfiguirerten Resource Profile die auf einem FortiMail zur Verfügung stehen zu benutzen dh. "misc_basic-predefined".
Nach der Konfiguration kann das Profile unter folgender Position eingebunden werden:
Policy > Policies > [Recipient Policies]
Weitere Informationen um was es sich bei einem Resource Profile handelt siehe nachfolgenden Artikel:
FortiMail:FAQ#Wie_kann_ich_die_zur_Verf.C3.BCgung_stehenden_Resourcen_f.C3.BCr_die_User.2FMailboxen_konfigurieren.3F
Relay / Access Control
Was ist "Access Control" und was ist dabei auf einem FortiMail zu berücksichtigen?
Access Control, auch ACL genannt, ist eine wesentliche Grundfunktion von FortiMail. Diese Regel entscheidet, ob ein SMTP-Client/Host eine Nachricht über den Server übermitteln kann. Wenn ein SMTP-Client/Host eine Nachricht an FortiMail übermittelt, überprüft FortiMail, ob eine Access Control Rule zutrifft. Dieses "Matching" erfolgt bei der Verbindungsaufnahme anhand der Kommandos, die vom SMTP-Client/Host an FortiMail übermittelt werden:
Absender-E-Mail-Adresse des Envelopes: | MAIL FROM: |
Empfänger-E-Mail-Adresse: | RCPT TO: |
Authentifizierung: | AUTH |
TLS: | STARTTLS |
Die Access Control Rules werden in der Reihenfolge überprüft, in der sie aufgelistet sind, nach dem Prinzip "top down, first match wins". Wenn alle Attribute einer Access Control übereinstimmen, wird diese angewandt und nicht weiter evaluiert.
Nur eine Access Control kann für eine SMTP-Session angewandt werden! |
Wenn keine Access Control übereinstimmt und der SMTP-Client/Host nicht für eine Authentifizierung konfiguriert ist,
führt FortiMail die Standardaktion aus, das heisst die RCPT TO:
Überprüfung.
Dies bedeutet:
- Für eine konfigurierte Domain wird ein
RELAY
ausgeführt. FortiMail überprüft beim Mailserver anhand vonRCPT TO
, ob der Benutzer existiert. - Für eine nicht konfigurierte Domain wird ein
REJECT
ausgeführt.
Ein RCPT TO wird dann ausgeführt, wenn kein LDAP konfiguriert wurde. Andernfalls wird der RCPT TO nicht ausgeführt und es wird über LDAP überprüft, ob der Benutzer existiert. Die meisten Mailserver unterstützen die Funktion RCPT TO. Ist der Benutzer auf dem Mailserver nicht vorhanden, wird eine "unknown" Meldung zurückgegeben und FortiMail beendet die Session zum SMTP-Client/Host. Wenn keine Access Control zutrifft und die Domain existiert, kann der Client zwar eine Nachricht an die konfigurierte (geschützte) Domain übermitteln, jedoch werden nicht konfigurierte Domains abgelehnt. |
Achte darauf, dass keine Access Control existiert, die im "Sender Pattern" sowie im "Recipient Pattern" ein "*" (Wildcard), "Authentication" Any, "TLS" None und "Action" Relay konfiguriert hat. Andernfalls besteht die Gefahr eines "Open Relays"! |
edit 15.07.2024 - 4Tinu
Welche Bedeutung haben in den Access Control "Internal" und/oder "External"?
In den Access Control kann auf vers. Positionen "Internal" und/oder "External" definiert werden. Diese haben folgende Bedeutung:
- Internal: Beinhaltet jede E-Mail Adresse einer erstellten/konfigurierten Domaine auf dem FortiMail (protected domain)
- External: Beinhaltet jede E-Mail Adresse einer NCIHT erstellten/konfigurierten Domaine auf dem FortiMail (unprotected domain)
edit 15.07.2024 - 4Tinu
Wo kann ich auf einer FortiMail einen sogenannten "Relay" konfigurieren?
Ein "Relay" Eintrag stellt einen Device/Host/Subnet/IP dar, die auf dem FortiMail Device erlaubt ist/sind. Dies bedeutet: bekommt der FortiMail Device Nachricht von einem eingetragenen Device/Host/Subnet/IP, nimmt der FortiMail Device diese Nachrichten entgegen und verarbeitet diese. Dabei ist zu beachten was FortiMail durchführt wenn kein entsprechender Eintrag vorhanden ist. Dazu siehe folgender Artikel:
FortiMail:FAQ#Was_ist_.22Access_Control.22_und_was_ist_dabei_zu_ber.C3.BCcksichtigen_auf_einem_FortiMail.3F
Um einen Device als "Relay" zum FortiMail hinzu zu fügen, muss auf dem FortiMail eine sogenannte "Access Control" erstellt werden. Eine "Access Control" ist ein Filter der FortiMail mitteilt wer Zugriff erlangt auf den FortiMail Server sei es als interner Host, als Authentifizierender User usw. Eine "Access Control" wird über folgende Position erstellt:
Policy > Access Control > New Datei:Fortinet-633.jpg NOTE In diesem Beispiel wird einem einzelnen "Internal" Host mit der IP "192.168.140.10/32" erlaubt Nachrichten an den FortiMail zu übermitteln wobei die "Recipient pattern" (Destination EMail Adresse) keine Rolle spielt und der Server sich nicht Authentifizieren muss! Durch die verschiedenen Konfigurationsmöglichkeiten wie zB "Recipient pattern" kann der Filter weiter eingeschränkt oder modifiziert werden! Soll zB der Server nur EMail Adressen der lokalen Domain entgegen nehmen wie mydomain.ch, würde man als "Recipient pattern" folgendes eintragen: *@mydomain.ch
Was sind die Aktionen einer Access Controll Regel auf dem FortiMail?
Die Access Controll Regeln ermöglichen es dir, zu kontrollieren, wie E-Mail-Nachrichten an, von und durch den FortiMail gesendet werden. Mit Hilfe der Access Controll Regeln kann der FortiMail E-Mail-Nachrichten analysieren und basierend auf dem Ergebnis Massnahmen ergreifen. Nachrichten können entsprechend der Absender-E-Mail-Adresse, der Empfänger-E-Mail-Adresse und der IP-Adresse oder des Hostnamens des Systems, das die E-Mail-Nachricht zustellt, geprüft werden.
Jede Zugriffssteuerungsregel legt eine Aktion fest, die für übereinstimmende Nachrichten ausgeführt werden soll. Folgende Aktionen stehen zu verfügung:
Aktion: | Beschreiung: | SMTP reply code: |
RELAY | Akzeptiere die E-Mail, unabhängig von der Authentifizierung oder dem geschützten Bereich. Es gibt keine Greylisting. Es wird aber fortfahren mit verbleibenden Antispam- und anderen Scans. Wenn alle Scans bestehen, wird die E-Mail zugestellt. | 250 OK |
REJECT | Der FortiMail akzeptiert die Zustellung der Nachricht nicht. Der FortiMail sendet eine Ablehnungsantwort (Reject) an das System, welches versucht, die E-Mail-Nachricht zu senden. | 550 Relaying denied |
DISCARD | Der FortiMail akzeptiert die Nachricht und löscht sie sofort ohne Zustellung. Der FortiMail informiert den Client nicht. (Silent Drop) | 250 OK |
SAFE |
|
|
SAFE & RELAY |
Wie die Aktion SAFE, ausser ohne Greylisting.
|
|
add 15.07.2024 - 4Tinu
Policy
Was ist der Unterschied zwischen "IP-based Policies" und "Recipient Policies"?
IP-based Policies
Eine IP-based Policies basiert auf der IP-Adresse des SMTP-Clients oder Hosts, sowohl im Server- als auch im Gateway-Modus. Diese IP-basierten Regeln werden hauptsächlich als ausgehende Regeln verwendet, das heisst, wenn der Empfänger keine bekannte oder konfigurierte Domain ist.
Recipient-based Policies
Eine Recipient-based Policies solltest Du verwenden, wenn die E-Mail-Adresse bzw. die Domain des Empfängers bekannt ist. Seit Version 4.x und höher wird ebenfalls der Absender ("Sender Patterns") überprüft.
Wenn Du mit einer Vielzahl von Domains arbeitest, zum Beispiel als ISP, solltest Du IP-based Policies verwenden, da Recipient-based Policies ressourcenintensiver sind. |
Grundsätzlich kannst Du ausschliesslich mit Recipient-based Policies arbeiten. Innerhalb der Regeln gilt das Prinzip "Top-Down, First Match Wins". Es gilt jedoch nicht, dass IP-based Policies vor oder nach Recipient-based Policies angewandt werden, sondern die Regeln werden gleichzeitig zusammen mit ihren Profilen wie Antispam, Antivirus etc. angewandt.
Wenn Du mit Recipient-based Policies arbeitest, musst Du folgendes berücksichtigen:
Grundsätzlich werden zwei Arten von Recipient-based Policies unterschieden: "Incoming" und "Outgoing".
FortiMail wendet "Incoming"-Regeln auf eingehende Nachrichten und "Outgoing"-Regeln auf ausgehende Nachrichten an.
Ob eine Nachricht "Incoming" oder "Outgoing" ist, wird über die Domain in der "Recipient E-Mail Address" definiert.
Die Domain in der "Recipient E-Mail Address" wird als eingehend oder ausgehend definiert durch:
Auflösung der Domain (MX) in eine IP-Adresse (SMTP-Server) und Vergleich dieser mit den im FortiMail konfigurierten Domains.
- Übereinstimmung = Incoming (Incoming Policy)
- Keine Übereinstimmung = Outgoing (Outgoing Policy)
Wenn die "Recipient E-Mail Address" mehrere unterschiedliche Empfänger (verschiedene E-Mail-Domainen) enthält, wird jede einzelne Adresse gemäss der oben beschriebenen Methode definiert und die entsprechenden Regeln werden angewandt. |
edit 28.05.2024 - 4Tinu
Routing
Wie kann ein Routing-Eintrag auf einem FortiMail erstellt werden?
Auf dem Mgmt. Web Interface kann ein Routing Eintrag unter folgender Position durchgeführt werden:
Konfiguration über das WebGui: |
Über das Menu
|
|
Falls du die Erstellung über die Kommandozeile durchführen möchtest, verwende die folgenden Befehle:
Konfiguration über die CLI: |
Alle Möglichen Operationen über die CLI: config system route edit [Gebe einen entsprechenden Integer an zB 1] set destination [IPv4 Adresse inklusive Subnet Mask] set gateway [IPv4 Adressse] set interface [Ausgehendes Interface] end Beispiel Konfiguration: config system route edit 1 set destination 0.0.0.0/0 set gateway 198.18.0.1 set interface port1 next end |
edit 28.05.2024 - 4Tinu
DNS
Wie konfiguriere ich auf einem FortiMail den DNS Server?
Über das Web-Management-Interface können die DNS-Server an folgender Stelle konfiguriert werden:
Konfiguration über das WebGui: |
Über das Menu Mit |
Möchte man die DNS Server über Kommandozeile konfigurieren benütze folgende Kommandos:
Konfiguration über die CLI: |
Alle Möglichen Operationen über die CLI: config system dns set primary [IP-Adresse Primärer DNS] set secondary [IP-Adresse Sekundärer DNS] set ptr-query-option [enable | disable | public-ip-only] set cache [enable | disable] set named [disable | enable] set truncate-handling [tcp-retry | disable] set protected-domain-dns-state [disable |disable] set protected-domain-dns-servers [IP-Adressen der DNS-Server für geschützte Domains] set cache-min-ttl [Integer Wert] (default 300) end Beispiel Konfiguration: config system dns set primary 198.18.0.1 set secondary 8.8.4.4 set cache enable set cache-min-ttl 300 end |
edit 27.05.2024 - 4Tinu
Wie kann ich auf einem FortiMail Device den DNS Cache löschen?
Wenn DNS-Änderungen vorgenommen werden und der FortiMail diese nicht aktualisiert, kann es sein, dass die alten DNS-Informationen noch im DNS-Cache des FortiMail-Systems gespeichert sind. Um den DNS-Cache zu leeren, führe folgende Schritte auf der CLI des FortiMail durch:
Konfiguration über die CLI: |
execute reload dnscached Restart dnscached? Do you want to continue? (y/n)y Danach kann die entsprechende Information zur DNS-Modifikation mit folgendem Befehl auf der FortiMail-CLI abgefragt und überprüft werden: execute nslookup name mydomain.ch type mx |
edit 27.05.2024 - 4Tinu
LDAP
Wie kann ich über eine LDAP Abfrage eine "User Recipient Verification" durchführen?
Eine "User Recipient Verification" ist unabdingbar für den Betrieb eines FortiMail im Server Mode da bei der entgegennahme eines Mails dies überprüft wird. Ist der User nicht vorhanden wird die Uebermittlung des Mail abgelehnt. Somit wenn "keine" solche Verifizierung durchgeführt wird werden Resourcen auf dem FortiMail Device belegt die nicht nötig wären und somit der Device unnötig belastet. Die einfachste Art und Weise so eine Verifizierung durchzuführen ist die Informationen aus dem Active Directory (LDAP) zu benutzen. Um eine LDAP Verifizierung zu konfigurieren wähle:
Profile > LDAP > New Datei:Fortinet-634.jpg
Nachdem Speichern des LDAP Profils öffne dieses abermalls und teste die Erfassung des LDAP's anhand einer E-Mail Adresse über die Position:
[Test LDAP Query...]
Somit wird verifiziert "ob" die Anbindung zum LDAP funktioniert dh. anhand der angegebenen EMail Adresse wird eine Abfrage durchgeführt und die EMail Adresse resp. der User verifiziert. Wenn es zu Problemen kommt mit der Abfrage muss die "Base DN" sowie "Bind DN" überprüft werden. Dies kann zB anhand eines Tools durchgeführt werden wie:
Softerra LDAP Browser http://www.softerra.com/download.htm
Nun damit die "Recipient User Verfication" über die Recipient Adresse durchgeführt wird muss das entsprechende vorgängige LDAP Profile an dem entsprechenden Eintrag der Domain eingebunden werden. Dazu wähle:
Mail Settings > Domain > [Wähle den entsprechenden Eintrag für die Domain] > Edit > Recipient Address Verification > [Wähle das entsprechende LDAP Profile] Datei:Fortinet-635.jpg
Datei:Fortinet-636.jpg
Nun sollte ein entsprechender Test durchgeführt werden dh. von Extern an eine gültig und nicht gültig Email Adresse eine Nachricht versendet werden. Im Log sieht man nun die Verification:
Monitor > Log
In der entpsrechenden Spalte sieht man nun für die eingehende Nachricht den Hinweis:
Recipient Verification
Wenn die entsprechende EMail Adresse nicht existiert erhält der Absender eine Fehlernachricht die folgendermassen aussieht:
The original message was received at Tue, 22 Jan 2013 13:37:07 +0100 from: <user1@anywhere.com> ----- The following addresses had permanent fatal errors ----- <unknown@mydomain.com> (reason: 550 5.1.1 <unknown@mydomain.com>... User unknown) ----- Transcript of session follows ----- ... while talking to fml.mydomain.com.: >>> DATA <<< 550 5.1.1 <unknown@mydomain.com>... User unknown 550 5.1.1 User unknown <<< 503 5.0.0 Need RCPT (recipient)
User
Wie kann ich das Administratoren Passwort zurücksetzen wenn dieses nicht mehr bekannt ist?
Wenn das Administratoren Passwort auf einer Fortimail nicht mehr bekannt ist gehe folgendermassen vor:
-> Erstelle eine Serielle Console. -> Schalte den Device aus und ein oder starte diesen neu. -> Sobald der Login erscheint gebe ein: login: maintainer Password: [bcpb[Serien Nummer des Gerätes dh. zB FE400C3M12000048; ergiebt demnach bcpbFE400C3M12000048] Nun wird ein Login anhand des User "maintainer" durchgeführt! Sobald dieser Vorgang vollendet ist führe folgendes durch um das Administratoren Passwort zurückzusetzen:
# set sys admin user [Username dh. "admin"] password [Passwort] NOTE Gebe ein Passwort an unter [Passwort]; Wenn kein Passwort angegeben werden soll vergebe folgendes ""!
Nun kann über das Mgmt. Interface wieder eingeloggt werden.
Wo kann ich das Passwort des Administrator's neu setzen?
Im Web Mgmt. Interface kann unter folgender Position das Passwort des Administrators gesetzt werden:
System > Administrator > [Wähle "admin"]
Danach wähle "Change Password". Nun kann das Passwort durch die Angabe des alten Passwortes -sofern dieses existiert- neu gesetzt werden! Soll das Passwort über Kommandozeile neu gesetzt werden gebe folgendes ein:
# config system admin # edit admin # set password # end
Wo kann ich das Timeout des Administrators neu anpassen?
Das Timeout des Administrators kann unter folgender Position im Web Mgmt. Interface angepasst werden:
System > Configuration > Options > Idle timeout
Ueber Kommandozeile wird das Admin Timeout folgendermassen angepasst:
# config system global # set admin-idle-timeout [Angabe in Minuten] # end
Content Filter
Was wird bei einer Nachricht betreffend Content Filter kontrolliert?
Der Content Filter auf einem FortiMail kontrolliert folgende Komponenten einer Nachricht:
Subject Line Message Body Attachemenets
In einem Content Filter stehen folgende Positionen zur Konfguration zur Verfügung:
Profile > Content > Content > [Wähle New oder ein entsprechendes Profile]
Unter "Content Monitor Filter" können PDF, MSOffice und Archive anhand vorhandener "Dictionary" (SOX) oder selbsterstellter "Dictionary" durchsucht werden. Dieser Filter kommt einer DLP Funktion gleich;
Nach der Konfiguration kann das Profile unter folgender Position eingebunden werden:
Policy > Policies > [IP-based Policies oder Recipient Policies]
Wie kann ich eine bestimmte File Extension wie .exe in einer Nachricht auf einem FortiMail blocken?
Diese Konfiguration kann über den "Attachement Filtering" Funktion innerhalb des "Content Filter" Profile durchgeführt werden den man unter folgender Position findet:
Profile > Content > Content > [Wähle New oder ein entsprechendes Profile] > Attachement Filtering
Nach der Konfiguration kann das Profile unter folgender Position eingebunden werden:
Policy > Policies > [IP-based Policies oder Recipient Policies]
Gibt es auf einem FortiMail eine Funktion die eine Nachricht durchsucht nach bestimmten Kriterien und diese blocken kann (DLP)?
Diese Funktion die einer DLP (Data Loss Prevention) gleichkommt kann über einen "Content Filter" auf einem FortiMail konfiguriert werden. Dazu führe folgendes aus:
Profile > Content > Content > [Wähle New oder ein entsprechendes Profile] > Content Monitor and Filtering > New
Wähle innerhalb "Content Monitor and Filtering" New:
Nach der Konfiguration kann das Profile unter folgender Position eingebunden werden:
Policy > Policies > [IP-based Policies oder Recipient Policies]
Wie kann ich eine Nachricht basierend auf einem bestimmten Sender (FROM:) zu einem bestimmten Mail Server übermitteln?
Wenn ein FortiMail im Gateway Mode ist so wird über die entsprechende Konfiguration bestimmt wohin diese Nachrichten ausgeliefert werden. Diese Konfiguration findet man unter folgendem Konfigurationspunkt:
Mail Settings > Domains
In dieser Konfiguration wird der entsprechende Relay Host definiert für die entsprechende Domaine. Somit basiert diese Konfiguration auf der Empfänger Domaine (TO:). Möchte man jedoch einen bestimmte Sender Domain (FROM:) zu einem anderen Relay Host übermitteln, kann dies nicht über diese Konfiguration konfiguriert werden da dieser Konfigurationspunkt keine Konfiguration zulässt basierend auf FROM: (Sender). Diese Konfiguration kann jedoch über eine Content Action anhand eines Dictionary Profiles durchgeführt werden. Dies bedeutet: Ueber ein Dictionary Profile wird jedoch Nachricht im "header" überprüft betreffend der Position "FROM:" und wird einen Uebereinstimmung gefunden wird die Content Action in der Recipient Policy ausgeführt dh. die Nachricht zu einem bestimmten Relay Host übermittelt. Somit muss zu Beginn ein Dictionary Profile Konfiguriert werden:
Profile > Dictionary > Dictionary > New
Vergebe dem Dictionary Profile einen entsprechenden Namen und erstelle einen Dictionary Eintrag:
Anhand eines "Regex" wird nun definiert, was im "header" der Nachricht durchsucht werden soll sowie welche Uebereinstimmungen gesucht werden. Dabei definiert "From: .*@(domain\\.com|domain\\.lab)" die entsprechenden Domainen die im "header" für FROM: gesucht werden um diese nachträglich zu einem entsprechenden Relay Host zu übermitteln:
Speichere die Konfiguration des Dictionary Eintrages sowie erstellt anhand "Create" das Dictionary Profile:
Möchte man diese Konfiguration unter CLI durchführen führe folgendes aus:
# config profile dictionary # edit domain_list # config item # edit 10 # set pattern "[EHeAdEr]^From: .*@(domain\\.com|domain\\.lab)" # set pattern-scan-area header # set comment "Deliver message based on FROM to alternate host" # next # end # next # end
Wie schon erwähnt wird über einen Content Profile in einem späteren Zeitpunkt eine Content Action ausgeführt. Damit diese Content Action in ein entsprechendes Content Profile definiert werden kann, muss diese Action erstellt werden:
Profile > Content > Action > New
Die Action definiert das Dictionary Profile "deliver_to_alternate" für "incoming". Wenn im "header" für FROM: die Regex Definition "From: .*@(domain\\.com|domain\\.lab)" gefunden wird, so wird die Action "deliver to alternate host" ausgeführt:
Möchte man diese Konfiguration unter CLI durchführen führe folgendes aus:
# config profile content-action # edit deliver_to_alternate # set alternate-host-status enable # set alternate-host [Definiere die entsprechende IPv4 Adresse des Relay Host] # next # end
Nun muss die Content Action zu einem bestehenden Content Profile hinzugefügt werden oder zu einem neuen Content Profile. Wenn unter der Recipient Policy bereits ein bestehendes Content Profile exisitert sollte diese benutzt werden. Nachfolgendes Beispiel zeigt wie ein neues Content Profile erstellt wird:
Profile > Content > Content > New
Vergebe einen entsprechenden Namen für das Content Profile sowie definiere das Content Profile für "incoming". Nun erstelle ein "Content and Monitoring Filtering" Eintrag:
Definiere das entsprechende Dictionary Profile das wir erstellt haben "domain_list" sowie die Content Action "deliver_to_alternate":
Speichere nun das neue Content Profile mit "Create":
Möchte man diese Konfiguration unter CLI durchführen führe folgendes aus:
# config profile content # edit alternate_relay # config attachment-scan # end # config monitor # edit 1 # set dictionary-profile domain_list # set action deliver_to_alternate # next # end # next # end
Nun muss das Content Profile zur Recipient Policy hinzugefügt werden. Wie schon erwähnt sollte bereits ein Content Profile in der Recipient Policy bestehen sollte dieses benutzt werden um dieses für das Dictionary Profile mit der entsprechenden Content Action zu erweitern:
Policies > Policy > [Markiere den entsprechenden Recipient Policy Eintrag] > Edit
Definiere unter Profiles das entsprechende Content Profile in unser Beispiel das neu erstellte Content Profile "alternate_relay":
Nun kann die Konfiguration getestet werden!
AntiVirus
Was wird bei einer Nachricht betreffend AntiVirus kontrolliert?
Wenn eine Nachricht anhand eines AntiVirus Profiles kontrolliert wird so werden folgende Komponenten einer Nachricht gescannt:
EMail Header EMail Body EMail Attachements (inkl. Kompromierte Files wie ZIP, PKZIP, LHA, ARJ sowie RAR)
Die entsprechende Position für das "Antivirus Profile" zu konfigurieren findet man unter folgender Position:
Profile > AntiVirus > AntiVirus > [Wähle New oder ein entsprechendes Profile]
Nach der Konfiguration kann das Profile unter folgender Position eingebunden werden:
Policy > Policies > [IP-based Policies oder Recipient Policies]
Was bedeutet innerhalb des AntiVirus Profiles die Funktion "greyware scanning"?
Greyware wird im AntiVirus Bereich als seperate Kategorie benutzt, um Software zu bezeichnen wie Spyware und Adware oder andere Varianten! Diese Art von Software beeinträchtigen die Systemfunktionen auf einem System nicht direkt jedoch sammeln zB Daten über das System, Blenden Werbung ein usw.
AntiSpam
Wir wird AntiSpam auf einem FortiMail abgearbeitet (Antispam Sequenz)?
Antispam wird auf einem FortiMail folgendermassen abgearbeitet:
NOTE Wenn "alle" Antispam Funktionen aktiviert sind wird gilt für die unten aufgeführte Tabelle Top -> Down! Der PDF File Type Scan wird in der unteren Tabelle nicht aufgelistet. Wenn PDF Scan aktiviert ist, wird das PDF umkonvertiert in ein Format indem "heuristic, banned word und image spam Scanner die Information des PDF lesen und analysieren können. Dies wird durchgeführt im Moment indem der "message body" Analysiert wird! Die Analyse des PDF umfasst die erste Seite des PDF!
Mit welchen AntiSpam Profile/Funktionen sollte ein FortiMail zu Beginn konfiguriert werden?
Nun es stehen verschiedene Templates auf dem FortiMail zur Verfügung die ein AntiSpam Profile mit seinen Funktionen vordefiniert:
Profile > AntiSpam > AntiSpam > [Wähle New oder ein entsprechendes Profile]
Zu Beginn sollte ein "medium" Template eingesetzt werden um den Traffic/Spam zu Analysieren. Wird ein "high" Template zu Beginn eingesetzt ist die Gefahr für "False Positive" relativ gross!
Nach der Konfiguration kann das Profile unter folgender Position eingebunden werden:
Policy > Policies > [IP-based Policies oder Recipient Policies]
Was ist und bedeutet FortiIP (Absender-IP-Reputation-Datenbank)?
Die meisten Spam's werden derzeit von falsch konfiguriert oder Virus-infizierten Hosts gesendet. FortiGuard Antispam Service verfügt über ein Weltweites IP-Reputation-Datenbank in der die Reputation der einzelnen IP's geführt und basiert auf vers. Eigenschaften der IP-Adressen -die aus verschiedenen Quellen gesammelt werden- beinhaltet. Die Eigenschaften einer IP-Adresse enthalten vers. Informationen wie:
- Whois - Geografische Lage - Service-Provider - Offenes Relay - Hijacked Host
Eine der wichtigsten Eigenschaften die verwendet wird, ist das E-Mail-Volumenen vom Absender das über "FortiGuard Service Network" gesammelt wird. FortiGuard Antispam Service überprüft die Reputation in der Reputation Database in Echtzeit.
Was ist und bedeutet FortiSig (Signature)?
FortiSig wird in 3 Kategorieren unterteilt dh.:
FortiSig1 (Spamvertised URLs) Etwa 90% der Spam hat eine oder mehrere URLs im Nachrichtentext. Diese URLs verlinken auf Spammer-Websites, die ihre Produkte und Dienstleistungen auf diesen Sites anbieten oder den Client durch Trojaner infisziert (Bot Net). Ein Beispiel sind Phishing-Spam's. Diese URLs leiten den User direkt zu einer gefälschten Site (Bank) oder einem anderen Finanzinstitut. Auf dieser Site wird versucht an finanzielle Informationen des User zu kommen um diesen nachträglich zu schädigen. Solche URLs werden von den Spam-Proben (Durch Kunden/User übermittelt etc.) extrahiert und durchlaufen eine strenge QA-Prozesse bevor diese in die FortiSig Datenbank aufgenommen werden. Die URLs unterliegen einer Expiration in der veraltete Elemente nach einer definierten Zeitspanne entfernt werden.
FortiSig2 (Spamvertised E-Mail-Adressen) Ähnlich wie bei der spamvertised URLs (FortiSig1) werden in dieser Datenbank Email Adressen geführt die im Nachrichten Text vorkommen und User etc. auffordern Informationen zu diesen E-Mail Adressen aufzunehmen etc.
FortiSig3 (Spam Objekt Prüfsummen) Mit Hilfe eines proprietären Algorithmus, werden Objekte in Spam Mails identifiziert und eine Fuzzy-Prüfsumme wird aus diesen Objekt berechnet. Das Objekt kann Teil der Nachricht oder eine Anlage sein. Die Prüfsumme wird dann in die Datenbank FortiSig hinzugefügt.
Was ist und bedeutet FortiRule (Dynamic Heuristic Rules)?
FortiRule verwendet dynamisch aktualisierte und heuristische Regeln um Spam zu identifizieren sowie die Nutzung verschiedener Attribute in der Spam-Nachrichten-Header, Body, MIME-Header und-Anhänge.
Wie kann ich feststellen ob eine IP in der "Reputation Database", "Black Listed" oder "Signature Database" ist?
Auf nachfolgenden Link kann eine IP eingegeben werden um zu überprüfen ob diese in der "Reputation Database", "Black Listed" oder in der "Signature Databse" ist:
http://www.fortiguard.com/tools/ip_lookup.html
Wie kann ich Fortinet ein Spam False Positiv betreffend FortiMail (inkl. Fortigate) melden?
Wenn durch die Spam Technik/Methodik eines FortiMail (inkl. Fortigate) ein Mail irrtümlicherweise als Spam deklariert wird (False Positiv), kann dies Fortinet über folgende EMail Adresse gemeldet werden (Mail anhängen nicht weiterleiten sondern als Attachement an das Mail anhängen damit die Headers des orginal Mails ersichtlich bleiben):
removespam@fortinet.com
Ein dediziertes Service Team von Fortinet kümmert sich um diese Anfragen und hat die Vorgabe diese inerhalb von 24 Stunden zu beantworten/erledigen. Dieses Team analysiert dieses Mail und führt betreffend FortiIP und FortiSig DB ein Update durch damit dieses False Positiv nicht mehr auftritt.
Weitere Informationen WIE so ein False Positiv übermittelt werden soll findet man unter folgendem Link:
http://www.fortiguard.com/antispam/antispam.html
Der folgende Link beinhaltet ebenfalls ein "Signature Lookup" der es ermöglichkt eine IP Adresse abzufragen wie diese in der Reputation Database gelistet ist. Dies gilt ebenfalls für URL sowie für Email Adressen.
Resource
Wie kann ich die zur Verfügung stehenden Resourcen für die User/Mailboxen konfigurieren?
Unter folgenden Position können vers. Resourcen für User/Mailboxen konfiguriert werden:
Profile > Resource > Resource > [Wähle New oder ein entsprechendes Profile]
Das bestehende Profile "misc_basic_predefined" existiert per Standard und definiert die Standard Werte einer User/Mailbox:
Nach der Konfiguration kann das Profile unter folgender Position eingebunden werden:
Policy > Policies > [Recipient Policies] NOTE Ein "Resource Profile" kann nicht als "IP-based Policies" implementiert werden da die User Mailboxen auf einer konfigurierten Domaine basieren resp. eine Protected Domain angehören!
Wie kann ich einem einzelnen User oder einer Gruppe den Webmail Access, Mobile Device Access oder Address Book deaktiveren?
Dies kann über ein Resource Profile konfiguriert werden. Dies bedeutet: Geht man davon aus, dass das "misc_basic_predefined" als Profile unter folgender Position für eine "Protected Domain" konfiguriert wurde haben alle User Access zu allen Resourcen wie Webmail, Mobile Device Access usw.:
Policy > Policies > [Recipient Policies]
Unter "Recipient Policies" ist zB folgendes konfiguriert:
Das "misc_basic_predefined" ist unter Resource Konfiguriert und sieht folgendermassen aus:
Nun erstellt man einfach ein neues "Resource Profile" unter folgender Position:
Profile > Resource > Resource > [Wähle New] - Vergebe einen Namen zB "misc_basic_predefined_user1" und deaktiviere zB für den User1 den "Webmail" Access
Nun erstelle eine neue "Recipient Policies" und definiere folgendes in der "Recipient Policies":
- Definiere "Incoming" und unter Recipient "user1@mydomain.ch" sowie gebe das neue "Resource Profile" an - Achte darauf das diese neue "Recipient Policy" vor der existierenden aufgelistet ist (top down first match wins)
Nun kann die Konfiguration getestet werden!
IBE (Identity Based Mail)
Was ist IBE (Identity Based Mail) Mail Veschlüsselung?
IBE wird unterschieden zwischen:
IBE PUSH IBE PULL
Nachfolgendes Dokument gibt Auskunft über die IBE (Identity Based Mail) Funktion:
Datei:Withpaper-FortiMail IBE Function R2 201306.pdf
Technisch gesehen ist der Unterschied der folgende:
IBE PULL Dabei sendet der Client ein EMail an den MTA. Dort existiert eine IBE Policy (PULL Encryption Access Policy) die das Mail auf dem FortMail ablegt und dem Client der dieses Mail erhält ein Mail sendet mit einem entsprechenden Link. Wenn der Client diesen Link öffnet (HTTPS) erstellt er einen Account anhand Username und Passwort etc. Danach öffnet sich ein Webmail indem der Client dieses Mail anschauen kann dh. das encrypted Mail auf der FortiMail wird über das Webmail decrypted und dem User über das Webmail zur Verfügung gestellt. Nachfolgend ein kurzes Beispiel wie das Formular aussieht, dass der User auszufüllen hat um einen entsprechenden Account zu erstellen sofern dieser nicht bereits existiert: NOTE Das Beispiel Formular enthält die Funktion der "Security Question". Diese Funktion resp. Option kann über folgende Position deaktiviert werden: User > IBE User > Secure Question
IBE PUSH Dabei sendet der Client ein EMail an den MTA. Dort existiert eine IBE Policy (PUSH Encryption Access Policy) die das Mail encrypted und dem Client der dieses Mail (HTMl) erhält ein Mail sendet mit einem Anhang was wiederum das ursprungs Mail in verschlüsselt form darstellt. Wenn der Client diesen Anhang öffnet wird eine Verbindung zum FortiMail Server erstellt (HTTPS) und somit den Anhang der das ursprungs Mail darstellt decrypted und somit der User dieses einsehen kann. Wenn der User der das Mail erhält nicht über einen entsprechenden Account verfügt muss er sich Erstmalig registrieren (siehe Beispiel Formular Pull Methode).
Welche Verschlüsselungs Methode unterstützt die IBE (Identity Based Encryption) Funktion?
Die IBE (Identity Based Encryption) Funktion unterstützt folgende Verschlüsselungs Methoden:
3DES, AES128, AES192, AES256 und CAST5 128 NOTE Ist die IBE Funktion aus irgendwelchen Gründen nicht erreichbar wird TLS "enforced". Ist TLS ebenfalls nicht möglich wird die Nachricht verworfen und ein DSN (Delivery Status Notification) gesendet!
Die Verschlüsselungs Methode resp. "fallback" kann auf dem Mgmt. Gui der FortiMail über folgende Position konfiguriert werden:
Profile > Security > Encryption
Wie konfiguriere ich die IBE Funktion/Verschlüsselung im FortiMail?
Das nachfolgende Dokument zeigt wie die IBE Funktion/Verschlüsselung auf einem FortiMail konfiguriert wird. Dieses Dokument geht nur auf die Grundkonfiguration ein und ist basierend auf FortiMail 5.2.x:
Datei:Set-IBE-encryption-in-FortiMail-from scratch.pdf
Wo kann ich für IBE (Identity Based Encryption) die Security Questions deaktivieren?
Unter folgender Position können die "Security Questions" deaktiviert sowie verändert oder erweitert werden:
User > IBE User > Secure Question
Kann der Inhalt der Benachrichtigungen für die IBE (Identity Based Encryption) Funktion Pull/Push modifiziert werden?
Ja dies ist möglich! Die Benachrichtigungen sind entweder über Plain Text und/oder über HTML verfügbar und können editiert resp. "customized" werden. Nachfolgend ein kurzes Beispiel einer Push resp. Pull Benachrichtigung:
NTP / Time / Date
Wie kann ich auf einem FortiMail die korrekte Timezone setzen?
Die Timezone auf einem FortiMail kann über das Web Mgmt. Interface gesetzt werden unter folgender Position:
System > Configuration > Time > Time zone
Muss die Timezone auf Kommandozeile gesetzt werden so benütze folgendes Kommando:
# config system time manual # set zone ? NOTE Durch "?" werden alle verfügbaren Zeitzonen aufgelistet. Danach kann der richtige Code (Zahl) benutzt werden um die Zeitzone zu setzen!
# set zone 26 # end
Wenn "daylight saving" deaktiviert werden soll (per Standard aktiviert) muss folgendes Kommando benützt werden:
# config system time manual # set daylight-saving-time disable # end
Wie kann ich das Datum und die Zeit auf einem FortiMail setzen?
Die Zeit sowie das Datum lassen sich auf einem FortiMail unter folgender Position setzen:
System > Configuration > Time
Um die Zeit sowie das Datum auf Kommandozeile zu ändern benütze folgendes:
# execute date mm/dd/yyyy hh:mm:ss
Wie kann ich einen NTP Server definieren auf einem FortiMail?
Unter folgender Position lässt sich innerhalb des Web Mgmt. Interface des FortiMail's einen NTP Server definieren:
System > Configuration > Time
Soll die NTP Server Konfiguration über Kommandozeile durchgeführt werden führen auf der Kommandozeile folgendes aus:
# config system time ntp # set ntpserver [IPv4 Adresse oder FQDN Name] # set ntpsync [enable | disable] # set syncinterval [Intervall in Sekunden] # end
Logging
Wie aktiviere ich das Logging auf einer FortiMail im Transparent Mode?
Wenn eine FortiMail im Transparent Mode ist werden "incoming" Verbindungen nicht im Log aufgezeichet da Incoming nicht als "Interception" Mode agiert dh. die sogenannte "Interception" muss aktiviert werden. Dies wird folgendermassen durchgeführt:
# config system interface # edit [Name des Interfaces] # set proxy-smtp-out-mode proxy # next # edit edit [Name des Interfaces] # set proxy-smtp-out-mode proxy # next # end
Kann ich die Logs eines FortiMails Version 5.3 dem FortiAnalyzer übermitteln?
Ja dies ist möglich dh. führe folgendes durch:
Log and Report > Log Settings > Remote Log Settings > New...
NOTE Sobald die Konfiguration durchgeführt wurde wird im Hintergrund zum FortiAnalyzer ein Request abgesetzt. Wenn nun in den FortiAnalyzer eingeloggt wird so wird der Request angezeigt und dieser kann bestätigt werden! Danach erscheint der FortiMail Device in einer seperaten ADOM mit dem Namen "Fortimail".
Die "local" Logs sollten deaktiviert werden. Dabei ist jedoch zu berücksichtigen, dass die Reports auf dem FortiMail danach nicht mehr zur Verfügung stehen resp. nicht mehr angewendet werden können da die Logs nicht mehr auf dem FortiMail zur Verfügung stehen. Deshalb ist es gut zu überlegen ob die "local" Logs deaktiviert werden sollen:
NOTE Die Reports die auf dem FortiAnalyzer betreffend FortiMail zur Verfügung stehen sind rudimentär! In einem der späteren Releases des FortiAnalyzer's wird diesem Umstand Rechnung getragen! Auch aus diesem Grund ist eine Ueberlegung wert bis zu diesem Zeitpunkt das "local" Log auf dem FortiMail aktiviert zu lassen und die Reports aus dem FortiMail zu ziehen.
Wie kann ich vom FortiMail Version 6.0 auf einen FortiAnalyzer Logdaten übermitteln?
Konfiguration über das WebGui: | Ergänzungen: |
---|---|
Über folgendes Menu kann man den FortiAnalyzer konfigurieren: | |
|
Konfiguration über die CLI: |
---|
config log setting remote edit alsochlu-fortinet-faz set status enable set protocol oftps set hash-algorithm sha256 set server 198.18.0.12 set event-log-status enable set event-log-category webmail pop3 imap smtp set sysevent-log-status enable set sysevent-log-category configuration admin system ha update set virus-log-status enable set spam-log-status enable set history-log-status enable set encryption-log-status enable next end |
Auf dem FortiAnalyzer:
Konfiguration über das WebGui: | Ergänzungen: |
---|---|
Log & Report > Log Settings > Remote > +New |
Der FortiMail wird in die ADOM FortiMail hinzugefügt. |
Über die LogView können die Sessions eingesehen werden. Wenn mehrere FortiMails im Einsatz sind, kann im Feld DeviceName der entsprechende Hostname ausgewählt werden. Jetzt sieht man nur noch die Logs des gewünschten FortiMails. |
Quarantine
Wo muss ich die Web Quarantine definieren?
Um die Web Quarantine zu aktivieren muessen folgende Punkte konfiguriert sein:
AntiSpam > Quarantine > Webmail Access Setting > Web release host name/IP Profile > AntiSpam > [entsprechendes Profile] > [Entsprechende Action unter "Default action"]
Unter "Personal quarantine" muss folgendes aktiviert sein:
Send quarantine report Web release NOTE Qurantine Reports werden periodisch übermittelt dh. um die Uebermittlung zu "forcen" wähle: Monitor > Quarantine Wähle die entsprechende Mailbox und danach "Send quarantine report to..."
Kalender
Ja, iese Informationen werden als FreeBusy Informationen zur Verfügung gestellt (Https Link):
WebDav CalDav
Backup / Restore
Wie kann ich ein automatisiertes Backup auf einem FortiMail konfigurieren?
Unter folgender Position kann für FortiMail -sei es im Server oder Gateway Mode- ein automatisiertes Backup konfigurieren:
Maitenance > System > Configuration > Scheduled Backup
Unter dieser Position kann für "FTP" oder "SFTP" ein automatisiertes Backup konfiguriert werden. Das File das gespeichert wird auf dem "Remote" Server trägt den Namen:
config_[Version FortiMail]_[Datum des Backups]-[Zeit des Backups].cfg
Das Backup wird im "clear-text" angelegt und kann mit Wordpad eingesehen werden.
Wie kann ich für ein FortiMail Server ein Restore durchführen?
Basierend auf einem "regulären" Backup das zB automatisiert werden kann kann unter folgender Positioen ein Restore durchgeführt werden:
Maitenance > System > Configuration > Local PC
Für ein "Restore" gilt die Richtlinie:
Ein Restore kann nur dann durchgeführt werden wenn die gleiche Firmware vorhanden ist wie ursprünglich für das Backup!
Wie ein automatisiertes Backup konfiguriert werden kann siehe nachfolgenden Artikel:
FortiMail:FAQ#Wie_kann_ich_ein_automatisiertes_Backup_auf_einem_FortiMail_konfigurieren.3F
Troubleshooting
Wie kann ich den Traffic auf einer FortiMail sniffen?
Auf einer FortiMail steht wie bei einer FortiGate der Befehl "diagnose" zur Verfügung. Anhand dieses Befehls kann folgendes ausgeführt werden:
# diagnose sniffer packet port1 "port 25" 3 NOTE Die Angabe "3" gibt die Tiefe des Sniffen an (Debug Level)!
Weitere Informationen und weitere Kombinationen betreffend dem "diagnose sniffer" Befehl siehe folgender Artikel:
FortiGate-5.0-5.2:FAQ#Sniffen
Was passiert mit einem Mail auf einer FortiMail wenn dieses nicht übermittelt werden kann?
Wenn ein Mail temporär nicht übermittelt werden kann wird dieses Mail in der "Mail Queue" beibehalten. Wie mit dem Mail in so einem Fall verfahren wird bestimmt die Konfiguration der "Mail Queue" unter folgenden Punkt:
Mail Settings > Settings > Mail Server Settings > Mail Queue NOTE Es kann durchaus 2 - 3 vergehen bis dieses Mail in der "Mail Queue" erscheint!
Die "Mail Queue" kann eingesehen werden unter folgenden Punkt:
Monitor > Mail Queue
In dieser "Mail Queue" kann ebenfalls ein Mail für eine erneute Uebermittlung angewählt und mit "Resend" (force) Uebermittelt werden. Wenn gemäss Einstellungen der "Mail Queue" die Uebermittlungen Fehlschlagen, wird das Mail in die "Dead Mail" verschoben. Dort kann zwar ein Mail anhand "View" angeschaut werden jedoch steht für eine erneute Uebermittlung nicht mehr zur Verfügung. Dies bedeutet das Mail muss vom User abermalls versendet werden!
Wie kann ich bei Outgoing EMails die "Internen Header" Informationen automatisch entfernen lassen?
Wenn ein EMail intern über verschiedene "hop's" zB von einem Server, über ein Mail Server zum Gateway (Relay) ins Internet versendet wird, wird der Weg des EMails in den "Nachrichten Optionen" (Header) aufgezeigt. Somit, wenn das EMail den Empfänger erreicht, kann dieser über die "Nachrichten Optionen" resp. den Header interne Informationen wie Name des Servers, Interne IP sowie Local Domain auslesen. Dies ist zu verhindern und kann unter folgender Position konfiguriert werden:
Mail Settings > Domains > Advanced Settings > Remove received header of outgoing email
Wenn diese Option aktiviert ist, entfernt der Mail Server resp. der Relay Gateway -ausser seiner Informationen- sämtliche vorgängigen Informationen. Wenn das Mail beim Empfänger ankommt sieht dieser unter den "Nachrichten Optioenn" nur den letzten "hop" sprich die Informationen des Mail Servers der die Nachricht gesendet hat. Sämtliche Informationen aus dem internen Netz sind nicht mehr ersichtlich.
Wie kann ich auf einer FortiMail einen Deamon/Prozess neu starten?
In einigen Situation kann es vorkommen das ein bestimmter Deamon resp. Prozess auf einer FortiMail neu gestartet werden muss. Standardsgemäss sollte dies über folgender Kommando durchgeführt werden:
# execute reload [Deamon Name]
Eine andere vorgehensweise ist die über die Funktion "diagnose test application". Dazu kann folgendes ausgeführt werden:
# diagnose test application ? # diagnose test application [Deamon Name] 99
Die letzte Variante -die jedoch mit Vorsicht zu geniessen wäre- ist den Prozess anhand der PID (Prozess ID) zu beenden. Um dies durchzuführen muss zuerst anhand folgenden Befehls die PID eruiert werden:
# diagnose sys top Run Time: 2 days, 16 hours and 48 minutes 0U, 0S, 100I; 442T, 154F, 127KF scanunitd 519 R 4.7 3.2 ipsengine 63 S < 0.0 8.4 pyfcgid 511 S 0.0 4.9 NOTE In diesem Beispiel ist die PID des Deamons "ipsengine" die 63!
Sobald die Prozess ID (PID) eruiert wurde kann diese benutzt werden um anhand folgenden Befehls den Deamon zu beenden sowie neu zu starten:
# diagnose sys kill 15 63 NOTE Die Zahl "15" gibt den "kill level" an dies bedeutet folgendes: SIGINT (2): Aehnlich Ctrl + C um in einer Session diese zu beenden. Hat für den "kill" Befehl praktisch keine Auswirkungen. SIGTERM (15): Regulärer "kill" Level dh. durch "15" wird versucht den Deamon ordungsgemäss zu beenden ohne Risiko das eine Konfiguration/Information verloren geht. SIGKILL (9): Durch diesen "kill" Level wird der Deamon unweigerlich beendet dh. es wird auf vorhandenen Konfiguration/Information keine Rücksicht genommen. Dieser "kill" Level sollte nur als letztes Mittel genutzt werden.
Divers
Was ist ein MX Record und wieso ist dies eine absolute Grundvoraussetzung?
MX Records werden genannt in Zusammenhang mit DNS Einträgen. Diese MX Records bedeuten "Mail Exchanger" sprich sind zuständig um mitzuteilen, dass eine bestimmte IP für eine bestimmte Domaine zuständig ist für den Mail Verkehr. Somit sind korrekte MX Records eine absolute Grundvorraussetzung für eine weitere Konfiguration im Zusammenhang mit der Implementation von Mail-Server/Gateway (MUA/MTA). Als Grundvorraussetzung gilt:
Jeder Mail Server der Incoming World oder Outgoing World Mails verarbeitet MUSS über folgende DNS Einträge verfügen: - Korrekter MX Record - Korrekter PTR Record (Reverse Lookup) Ein korrekter MX DNS Eintrag sieht dem nach folgendermassen aus: mydomain.ch. IN MX 10 fortimail.mydomain.ch. NOTE Dieses Beispiel zeigt einen korrekten Eintrag für Unix Bind Version und bedeutet folgendes: • Gibt die Domaine an für die diesen Eintrag gilt dh. "mydomain.ch." • IN Gibt die "Internet protocol class" an! • MX Gibt an, dass es sich bei diesem Eintrag um einen MX Record handelt! • 10 Gibt die Präferenz (Priorität) an dh. je grösser der Wert desto tiefer die Präferenz! • "fortimail.mydomain.ch." Gibt den zuständigen Mail Server sei es MTA/MUA an! Nicht zu vergessen ist ein korrekt konfigurierter PTR Record dh. "Reverse Lookup". Ein korrekt funktionierender Mail Gateway (MTA) wird nach der ersten Verbindung ein solcher "Revers Lookup" ausführen. Ist dieser PTR Record nicht korrekt implementiert wird der Mail Gateway (MTA) diese Verbindung beenden da nicht verifiziert ist ob es sich beim Server der die Verbindung erstellt wirklich um den Server handelt da die IP resp. Name nicht verifiziert werden kann. Ein korrekter PTR Record sieht folgendermassen aus (Unix Bind): [IP Adresse letztes Oktet zB "125"] IN PTR fortimail.mydomain.ch. Sobald die Einträge durchgeführt wurden MUSS getestet werden und zwar kann dies folgendermassen durchgeführt werden: Allgemein:DasDomänenNamenSystem#Ueberpr.C3.BCfung_von_MX_Records Allgemein:DasDomänenNamenSystem#Ueberpr.C3.BCfung_von_Reverse_Lookups_f.C3.BCr_eine_IP
Somit ergiebt sich zB folgendes Beispiel:
mydomain.ch. IN MX 5 mx1.mydomain.ch. mydomain.ch. IN MX 10 mx2.mydomain.ch. NOTE Dieses Beispiel bedeutet folgendes: Für die Domaine "mydomain.ch" sind die Mail Server "mx1.mydomain.ch" sowie "mx2.mydomain.ch" zuständig! Der Server "mx1.mydomain.ch" wird als "Erstes" angegangen da er über eine tiefere "Präferenz" verfügt (5) und somit in einer höheren Priorität liegt. Ist dieser Server nicht erreichbar wird Server "mx2.mydomain.ch" angegangen da dieser mit einer höheren "Präferenz" (10) als der Server "mx1.mydomain.ch" versehen ist und somit eine tiefere Priorität hat! Nach RFC dürfen die MX Records resp. die Server nicht im gleichen Public IP Subnet befinden dh. müssen in unterschiedlichen Public IP Subnet sowie unterschiedlichen Lokation befinden!
Oft wird aus "User" Gründen ein zusätzlicher "A" Record hinzugefügt als Alias dh. damit der User nicht für den Mail Server einen komplizierten Namen eingeben werden muss zB im Outlook, IPhone usw. Dies bedeutet möchte man den Usern ermöglichen "mail.mydomain.ch" als SMTP und/oder POP3/IMAP eingeben zu können kann dies durchgeführt werden als CNAME. Folgendes Beispiel:
Es existieren 2 Mail Gateways (MTA) und 1 Mail Server (MUA) dies sind mx1.mydomain.ch (Mail Gateway MTA) mx2.mydomian.ch (Mail Gateway MTA) fortimail.mydomain.ch (Mail Server MUA) --> Die MTA (mx1/2) nehmen direkt Mail's von Outside World an und übermitteln diese an den MUA (fortimail) sowie können ebenfalls direkt an Outside World Mails übermitteln! --> Der MUA nimmt keine Mails direkt von Outside World an (sondern bekommen diese über die MTA's (mx1/2) jedoch kann direkt an Outside World übermitteln (nicht über MTA)! --> Zusätzlich wird ermöglich -damit die User nicht den Namen "fortimail.mydomain.ch" benützen müssen- den Namen "mail.mydomain.ch" zu benutzen! Im DNS Server in der betreffenden Zone "mydomain.ch" sieht das folgendermassen aus: fortimail IN A [IP Adresse fortimail.mydomain.ch] mydomain.ch. IN MX 5 mx1.mydomain.ch. mydomain.ch. IN MX 10 mail mydomain.ch. IN MX 50 mx2.mydomain.ch. mail IN CNAME fortimail.mydomain.ch. NOTE Nach RFC ist ein CNAME Name für Mail Server im Zusammenhang mit den MX Records nicht regulär jedoch funktioniert -sofern die MX Records und PTR Records ordnungsgemäss konfiguriert sind- einwandfrei! Im DNS Server in der betreffenden IN-ADR-ARPA Zone (Reverse Lookup) sieht das folgendermassen aus: [IP Adresse mx1 letzes Oktet] IN PTR mx1.mydomain.ch. [IP Adresse mx1 letzes Oktet] IN PTR fortimail.mydomain.ch. [IP Adresse mx1 letzes Oktet] IN PTR mx2.mydomain.ch. NOTE In diesem Beispiel ist Port 25 (SMTP) von Outside World zu mx1/2 offen sowie zu fortimail.mydomain.ch geschlossen! Für alle Server ist Port 25 nach Outside World offen!
Es gibt unzählige Varianten wie die MX Records aufgebaut werden können mit deren Mail Servern. Wichtig ist zu wissen wie sich das Failover Scenario ergiebt im Fall eines Ausfalles und wie sich die Mail Server sei es MTA und/oder MUA verhalten in der Ubermittlung! Eine vorgängige korrekte und transparent Planung ist umumgänglich sowie ein absolutes MUSS!
Was ist SMTP (Simple EMail Transfer Protocol) und wie funktioniert es?
Für detailierte Informationen betreffend SMTP (Simple Mail Transfer Protocol RFC 2821) sowie ESMTP (Extended Simple Mail Transfer Protocol RFC 1869) siehe Artikel:
Allgemein:DasSimpleMailTransferProtocol
Was bedeutet MTA/MUA/MAA im Zusammenhang mit SMTP Protokoll?
Innerhalb des SMTP Protokoll stösst man immer wieder auf die Ausdrücke MTA, MUA sowie MAA. Diese Abkürzungen resp. Ausdrücke bedeuten folgendes:
MTA - Mail Transfer Agent (Mail Router / Mail Gateway) MUA - Mail User Agent (Mail Host / Mail Server) MAA - Mail Access Agent (User Authentifizierung und Empfangen)
Wie sieht eine Basic EMail Verbindung (Flow) aus?
Nachfolgende Abbildung zeigt wie ein Basic EMail Flow aussieht dh. wie ein Mail vom Client bis zum Empfänger über die verschiedenen Komponenten abgewickelt werden:
Datei:Fortinet-630.jpg
Wie teste ich einen Mail Server SMTP Port 25 mit Telnet?
Nachfolgender Artikel zeigt wie man einen Mail Server SMTP Port 25 über Telnet testen kann:
Allgemein:DasSimpleMailTransferProtocol#Wie_teste_ich_einen_Mail_Server_SMTP_Port_25_mit_Telnet.3F
Wie sieht eine Basic SMTP Session aus?
Wenn ein User eine SMTP Session aufbaut so sieht dies in den Basics folgendermassen aus:
Datei:Fortinet-631.jpg
Dabei ist -speziell betreffende FortiMail- zu Unterscheiden zwischen:
--> Envelope Bereich --> Data Bereich
Dies bedeutet in den vers. Konfigurationen wird in den Dokumentationen immer wieder darauf hingewiesen WO die verschiedenen Ueberprüfungen und Manipulationen eine Nachricht durchgeführt werden. Diesem Umstand ist umbedingt Rechnung zu tragen um die gewünschte Wirkung zu erzielen.
Wie kann ich einen FortiMail in die SecurityFabric integrieren?
Um einen FortiMail in die Security Fabric auf der FortiGate zu integrieren muss folgendermassen vorgegangen werden:
Konfiguration über das WebGui: FORTIGATE |
Konfiguration auf der FortiGate:
Nun den Access token generieren (Generate anwählen) Gib das Login des FortiMails ein damit der Token generiert wird. Kopiere jetzt den generierten Token in die Zwischenablage (am besten in en txt File kurz speichern) |
Konfiguration auf dem FortiMail:
Damit die FortiGate den Fortimail in die SecurityFabric integrieren kann muss auf dem FortiMail die API Schnittstelle aktiviert werden. Dies funktioniert über die CLI:
Konfiguration über die CLI: FORTIMAIL |
config system global set rest-api enable set fabric-api-token [generierten Token rein kopieren] end |
Auf der FortiGate sieht man den FortiMail jetzt in der Fabric Integriert:
Wenn man auf die Übersicht geht erkennt man jetzt den FortiMail eingebunden. In diesem Beispiel ist ein FortiMail im Server und ein FortiMail im Gateway Modus.
Konfiguration über das WebGui: FORTIGATE |
Dafür über das Menu: Security Fabric --> Logical Topology Das Laden kann einen Augenblick dauern. |