认证免费邮件服务器

Fortinet公司第1页/共23页www.
fortinet.
com.
cnFortimail网关部署模式-基础上线篇版本1.
0时间2015年3月支持的版本Fortimailv5.
x作者李威峰状态草稿反馈support_cn@fortinet.
comFortinet公司第2页/共23页www.
fortinet.
com.
cn目录介绍.
3上线总步骤.
31.
清晰环境.
32.
清楚改动.
33.
配置并初步测试验证.
44.
上线后详细的测试.
4示例拓扑.
5环境介绍.
5基础的配置.
5网络连通性及系统配置.
5DNS配置.
6Fortimail自身邮件服务器配置.
6关键的配置.
71.
配置要保护的邮件域.
72.
认证配置.
93.
添加信任主机IP.
154.
访问控制.
175.
IP策略.
186.
收件人策略.
18隔离及邮件归档.
201.
个人隔离.
202系统隔离.
223.
邮件归档.
23Fortinet公司第3页/共23页www.
fortinet.
com.
cn介绍网关模式是Fortimail最为常见的模式,说起简单,但上线过程后总会遇到莫名其妙的问题,让人摸不着头脑.
本文根据最近反馈的问题详细的介绍了Fortimail的网关模式配置需要注意的事项与原理介绍,绝大多数问题都是由于没有做好上线前详细的测试,本文档为一篇网关模式基础上线篇,后期会不断推出配置优化篇.
希望感兴趣的读者详细的阅读注意事项,特别是支持Fortimail工程师一定要弄清楚为什么要这样配置,如果疑问也请及时与文档作者联系.
上线总步骤1.
清晰环境了解网络环境,邮件服务器类型,有几个域,用户收发邮件的客户端及收发信方式,认证方式.
比如:用户邮件服务器是私网IP,需要在防火墙上做的端口映,用户的邮件服务器为exchange,有几个邮件域等.
客户端为outlook或者foxmail,手机是否客户端收发邮件,把这几个问题搞清楚.
2.
清楚改动1.
邮件系统位置在哪如果在防火墙后的私网IP,此时只需要更改防火墙映射把原有的SMTP指向后台服务器的映射指向fortimail.
如果是公网IP,则需要把mx记录修改指向fortimail.
2.
用户要求fortimail实现功能,据此确定fortimail的部署位置.
3.
配置fortimail基本网络配置(接口IP,路由,DNS),fortimail能够出internet,同时出公网的IP最好转换成原有反垃圾邮件网关或邮件服务器使用的公网IP.
4.
邮件服务器器添加信任IP(或者叫免认证IP或匿名发信IP).
Fortinet公司第4页/共23页www.
fortinet.
com.
cn3.
配置并初步测试验证5.
配置邮件域及本地邮件服务器设置.
6.
配置认证并测试.
7.
配置访问控制.
8.
配置IP策略.
9.
配置收件人策略.
10.
配置个人隔离或系统隔离.
4.
上线后详细的测试在公司内使用各种类型客户端:内到内发邮件内到外发邮件从Internet使用各种客户端:内到内发邮件内到外发邮件从internet发邮件到内部邮箱从163.
comqq.
com到公司内部邮箱Fortinet公司第5页/共23页www.
fortinet.
com.
cn示例拓扑环境介绍在虚拟机平台完成:1.
Vm-workstation102.
邮件服务器操作系统及软件Window2003企业版Winmail邮件服务器4.
4.
1免费版3.
FotimailVM(5.
2.
3)4.
邮件客户端Foxmail,Operal,IE客户端b.
com的邮件帐号SMTP服务器指向fortimail基础的配置网络连通性及系统配置首先做网络连通性的基本配置,并更改语言、调整时区、时间、接口、路由DNS,这部分Fortinet公司第6页/共23页www.
fortinet.
com.
cn内容略.
DNS配置DNS是fortimail正常工作的条件,Fortiguard更新,垃圾邮件查询等都需要用到DNS,所以,配置正确的DNS非常重要.
Fortimail自身邮件服务器配置设置—>邮件服务器设置.
主机名称和域名会出现在SMTP交互中.
如:使用telnetfortimail反垃圾邮件网关的25端口,会有相关的回显(当然还有其他的用途,如需详细了解,请参加FortiNT产品培训).
Fortinet公司第7页/共23页www.
fortinet.
com.
cn关键的配置1.
配置要保护的邮件域Fortinet公司第8页/共23页www.
fortinet.
com.
cn高级设置中调整SMTP问候信息(EHLO或HELO)选择"使用这个域名",这是最佳实践.
点击'新建'按钮.
Fortinet公司第9页/共23页www.
fortinet.
com.
cn完成保护域的基本配置.
2.
认证配置在反垃圾邮件中,认证是非常重要的,请详细阅读本内容,理解和正确配置Fortimail在认证中作用非常重要.
原理:邮件客户端(或Webmail)-认证-------Fortimail认证-------认证服务器Fotimail支持popsmtpradiusldap到后台认证服务器认证.
一般情况下,选择根据后台认证服务器相匹配的认证方式,如smtp或pop.
为了把认证这个问题搞清楚,下文详细介绍.
本例中我们使用smtp到后台的winmail服务器做认证.
内容表->认证,新建认证profile,如下:Fortinet公司第10页/共23页www.
fortinet.
com.
cn可以测试该认证配置是否正确.
验证认证用户认证时匹配的认证profile是根据收件人策略的入站方向,fortimail把认证用户名@x.
com和收件人策略中的收件人相比较,匹配到哪一个收件人的策略,认证就使用这个策略的认证profile,(如果认证时用户名中不带@x.
com后缀部分怎么办这将无法匹配到收件人策略入站,后面介绍解决办法)和收件人策略中的中的收件人相匹配,匹配到哪一个收件人策略认证就使用哪个profile.
新建收件人策略Fortinet公司第11页/共23页www.
fortinet.
com.
cn以上其它默认,主要在认证与访问配置上配置认证类型为SMTP,认证配置文件:smtp-auth.
启用通过web邮箱访问隔离邮件:这个选项的含义是指登录web邮箱的时候,输入的用户名和密码交给fortimail后,fortimail使用认证配置文件smtp-auth到后台服务器去认证.
这个可以简单的测试认证配置是否正确.
登陆http://fortimail-IP/mail这个Web邮箱登陆的接口.
Fortinet公司第12页/共23页www.
fortinet.
com.
cn使用b1@b.
com+密码能够登陆webmail隔离邮箱,说明认证大的配置没有问题(但不代表客户端认证没有问题,下文会做介绍).
有时候,仅仅认证使用b1+密码,按上面的说法,这个用户不包含@后缀,怎么可能匹配到认证收件人策略呢,为什么能够认证成功呢见下文分析,先测试一下这种方式是否可以认证成功,使用b1+密码,登陆webmail.
Fortinet公司第13页/共23页www.
fortinet.
com.
cn也能正常登陆web邮箱,并且在web邮箱中可以看到该账号b1后面自动加上了@b.
com.
切记,这是因为该fortimail上仅仅配置了一个邮件域,fortimail系统会为认证用户自动加上这个邮件域后缀,然后匹配收件人策略.
这是一种特殊情况.
如果有两个域,fortimail则不知道为这个没有@后缀用户名(邮箱)添加后缀.
涉及到另外一个问题,默认域是哪个两种办法:1.
两个域登陆web邮箱的账号都要加上@后缀,不加@后缀账号将匹配不到收件人策略(收件人策略中关联了认证),相当于不能认证.
2.
配置默认域配置默认域就是解决网关模式下多域场景下邮箱认证账号不含@后缀,无法匹配认证策略的情况.
这个时候必须配置默认域.
如下:邮件设置->设置->邮件服务器设置Fortinet公司第14页/共23页www.
fortinet.
com.
cn最佳实践:默认域最好配置上,即便有一个域,配置上是没有错的.
另外一个问题:认证中的用户名到后台服务器是否包含域名的问题,需要讨论.
Smtp认证中:认证中要求用户名中包含域名:是否需要启用.
该选项的含义是:无论初始的用户名是否包含域:如果不启用该选项,到后台服务器认证时都不会包含域如果启用该选项,到后台服务器认证时用户名都会包含域(账号中不带@域的,单域场景下,fortimail会自动加上仅有的一个域.
多域场景下fortimail会加上默认域)Fortinet公司第15页/共23页www.
fortinet.
com.
cn另外需要注意,收件人中的策略->认证与访问:这部分指明了认证配置文件可以做什么用:用于SMTP认证:这个含义是客户端---smtp认证—>Fortimail,forimail转发认证给认证配置文件中的服务器.
如果不启用,客户端smtp到fortimail的认证无法通过.
允许通过POP3访问隔离邮箱:个人隔离邮箱不是仅仅能够通过web邮箱访问到的,也可以配置使用POP3方式,把POP3的服务器指向fortimail通过这种方式访问.
允许通过web邮箱访问隔离邮件:这个就是个人可以自助登陆个人隔离区找回备隔离的邮件.
理解以上三点非常重要.
3.
添加信任主机IP请详细阅读并理解该内容.
邮件服务器添加信任IP:内到内邮件中继过程:Fortinet公司第16页/共23页www.
fortinet.
com.
cn1.
Internet上的内部用户发邮件发给fortimail反垃圾网关.
2.
Fortimail反垃圾网关中继这封内到内的email.
3.
后台服务器检查到mailfrom:为内部域账号发信,要求认证.
4.
因为fortimail不会存储认证用户的信息,所以不会认证.
5.
如果后台服务器"信任主机"处不添加fortimailIP地址,该封Email因为没有认证无法投递到后台邮件服务器.
6.
所以,根据邮件服务器的不同,需要在不需要认证发信主机IP(exchange在集线器把匿名发信IP中添加fortimail地址)把fortimail的地址加入,fortimail投递给后台服务器时不需要认证.
这一点非常重要.
有些邮件服务器具备一定的反垃圾能力,因为fortimail本身就是一个反垃圾设备,所以这时,需要把fortimail的IP加入白名单.
以防后台误判fortimail,造成大的影响.
Winmail"不进行SMTP过滤的发信主机"选项.
Fortinet公司第17页/共23页www.
fortinet.
com.
cn4.
访问控制fortimail默认策略:默认允许外域(包含空域)到内中继.
默认拒绝外域(包含空域)到外中继.
默认拒绝内部到外域(包含空域)未认证中继.
默认允许内部到内部未认证中继建议的访问控制:如果不是很清楚,做以下三条策略即可,能够满足绝大多数的用户需求.
ID1和ID2:这两条很好理解,这条含义是内部到任意(*,包含空域)发信都需要认证才可以,没有经过认证的拒绝发信.
ID3当内部服务器发信需要fortimail过滤时,才有作用,含义是这个IP地址的发信不收限制(发件人或收件人),因为有空域的情况,所以发件人模板写成了*.
Fortinet公司第18页/共23页www.
fortinet.
com.
cn5.
IP策略初次上线时,尽量调整大IPsession中的阀值.
比如收件人个数,连接数,邮件大小等.
一般上线后邮件收件人多的是否发不出去,大邮件发不了,一般都与此处有关.

调整会话profile中邮件大小(默认为10M)6.
收件人策略收件人策略是反垃圾邮件的核心,fortimail是基于收件人策略的认证.
配置步骤:1.
定义反垃圾profile2.
如果需要,定义反病毒profie3.
如果需要,定义内容过滤profile4.
配置认证profile(引用到收件人策略,上文已详细介绍)1.
新建反垃圾profile建议克隆AS_inbound这个profile,因为这个profile已经定义好了反垃圾技术的配置,并启用了个人隔离.
Fortinet公司第19页/共23页www.
fortinet.
com.
cn2.
定义反病毒profile建议克隆,AV_In_Discard,默认动作为丢弃,即扫描到病毒后丢弃该邮件.
3.
定义内容过滤profile建议可克隆CF_Inbound,里面过滤了一些执行性文件扩展名,默认动作为系统隔离.
把以上定义好的profile应用到收件人策略基本的配置就完成了.
Fortinet公司第20页/共23页www.
fortinet.
com.
cn隔离及邮件归档一般来讲,如果被Fortimail判定为垃圾邮件,有多种处理行为.
一般分为隔离或丢弃隔离:即这封邮件能够被找回,可以通过管理员释放方式或自己自助释放方式.

丢弃:这封邮件不能被找回,一般不适用这种处理方式.
其中隔离又分为个人隔离与系统隔离.
所谓个人隔离,即个人能够自己找回隔离邮件,不需要管理员帮助.
系统隔离,个人不能自己找回隔离邮件,需要管理员帮助找回.
1.
个人隔离简单的讲就是为反垃圾邮件网关为每个个人创建一个垃圾邮箱,个人可以通过垃圾邮件网关的垃圾邮件隔离概要报告或自助登录到隔离邮箱收回被隔离的邮件.