飞塔增值服务中心

-北京市海淀区上地信息路7号数字传媒大厦507室,100085Tel:(+86)10-62965255-1-设置FortiMail网关模式(双A记录)说明:本文档针对FortiMail网关模式(双A记录)配置进行说明.
网关模式指FortiMail作为邮件服务器的邮件网关对进出方向邮件做转发和过滤.
双A记录指邮件服务器和FortiMail分别有一个公网IP和DNSA记录.
环境介绍:本文使用FortiMail100做演示.
本文使用的系统版本为3.
00,build527.
步骤一:网络环境本文档以域名test11.
com为例做说明.
网关模式需要防火墙配合完成地址影射配置.
MX记录:test11.
com---->smtp.
test11.
comA记录:smtp.
test11.
com---->208.
1.
1.
1mail.
test11.
com---->208.
1.
1.
2在防火墙上的地址映射:进入方向:smtp.
test11.
com---->208.
1.
1.
1---->映射给FortiMail(整个IP影射)mail.
test11.
com---->208.
1.
1.
2---->映射给FortiMail(tcp25端口)mail.
test11.
com---->208.
1.
1.
2---->映射给邮件服务器(tcp80、110、443等端口)出网方向:FortiMail使用208.
1.
1.
1出网;邮件服务器使用208.
1.
1.
2出网.
进方向邮件过滤:依靠防火墙的地址映射完成外网的邮件服务器发信时先发送到FortiMail(smtp.
test11.
com)然后转给内网邮件服务器.
使用客户端软件如outlook的用户接收和发送的地址都是mail.
test11.
com;发送邮件时先发送到FortiMail然后转给内网邮件服务器.
出方向邮件过滤:需要邮件服务器将FortiMail设为中继服务器邮件服务器先将邮件发送给FortiMail,然后FortiMail将邮件转发出去.
步骤二:设置邮件服务器在邮件服务器—设置—本地主机中输入主机名和本地域名主机名:FortiMail主机名,本例是smtp本地域名:FortiMail域名,本例是test11.
com飞塔增值服务中心FortiMail的完全有效域名(FQDN)格式是:主机名.
本地域名,本例是smtp.
test11.
com.
该名称要与DNS的A记录一致.
基于SSL/TLS的SMTP:勾选则接收SMTPS连接.
除非用户说明要FortiMail接收SMTPS发来的邮件,一般不需要勾选此项.
在邮件服务器—设置—表现中设置Webmail语言在邮件服务器—域中点击新建域:输入保护的域名,本例为test11.
comSMTPServer:保护邮件服务器的IP地址.
如果需要也可以使用MX记录.
此项如果没有特殊需求建议直接写IP.
验证接收者地址:选择UseSMTPServer,可以减轻邮件服务器负担.
FortiMail先检查接收者地址是否有效再做转发,可以提高垃圾邮件过滤效果(标准的SMTP都支持该功能).
如果用户的邮件服务器扩展性一般,不支持该功能可以选择Disable.
高级设置:下面的两个功能对出方向过滤有效,如果只要求做进方向过滤不用配置.
SMTP问候:使用这个域名:向外发邮件时使用域名ehlo,本例为test11.
com-北京市海淀区上地信息路7号数字传媒大厦507室,100085Tel:(+86)10-62965255-2-飞塔增值服务中心使用这个系统主机名:向外发邮件时使用主机名ehlo,本例为smtp.
test11.
com当用户为DNS的A记录做了PTR(反向DNS解析)时,要使用系统主机名RemoveReceivedHeaderofOutgoingEmail:勾选该项后FortiMail去掉邮件头中保护邮件服务器的Received部分,起到对外隐藏邮件服务器的作用.
在邮件服务器—访问中配置收发邮件规则Receive(收):对于FortiMail设备,SMTP连接是从外部设备发送给FortiMail的.
收方向规则检查信封中的发信人地址(MAILFROM),收信人地址(RCPTTO),认证(AUTH)和加密(TLS).
规则是按从上到下逐条匹配的,一封邮件只能匹配一条规则.
如果只有收方向过滤,可以不写规则.
FortiMail将采用默认的规则转发邮件.
默认的规则是:收信人地址属于保护域的邮件全部转发收信人地址不是保护域的邮件全部丢弃如果做了双向(收、发)过滤则必须要写规则,本例的写法是:第一条:所有接收者的域是test11.
com的邮件全部转发第二条:所有发送者的域是test11.
com的邮件全部转发第五条:不符合上面条件的邮件全部丢弃如果有多个域,上图的第三和第四条规则就是对第二个保护域test12.
com的写法,其他域以次类推.
写法:在接收者或发送者中写*@test11.
com就表示所有test11.
com上的邮件.
写*表示所有邮件,一般不需要勾选正则表达式.
反向DNS样式:写*-北京市海淀区上地信息路7号数字传媒大厦507室,100085Tel:(+86)10-62965255-3-飞塔增值服务中心AuthenticationStatus:选择any默认TLSProfile:选择none默认动作:Relay,转发邮件,做垃圾邮件、杀毒和内容过滤Bypass,转发邮件,做杀毒和内容过滤Reject,丢弃邮件,通知发信的服务器Discard,丢弃邮件,不做任何通知Delivery(发):对于FortiMail设备,SMTP连接是从FortiMail发送给外部设备的.
对于发方向一般没有具体配置要求,建议使用下面的配置.
该配置的作用是FortiMail在向外发送邮件时不使用SMTPS协议,使用标准的SMTP来发送.
因为一些邮件服务器对SMTPS支持不标准,会导致邮件发送失败.
使用SMTP发送邮件是比较稳妥的做法.
在内容表—TLS中点击新建在邮件服务器—Delivery中点击新建-北京市海淀区上地信息路7号数字传媒大厦507室,100085Tel:(+86)10-62965255-4-飞塔增值服务中心步骤三:设置内容表防垃圾邮件:在内容表—防垃圾邮件中设置,一般可以采用FortiMail自带的内容表,做一些修改即可.
点击antispam_basic_predefined_medium后面的复制图标输入表名,编辑新复制的表不勾选DNSBL和SURBL,FortiGuard-Antispam已经有这两项功能,这样可以减少误报率.
展开深度邮件头扫描,勾选邮件头分析展开动作—隔离,将删除邮件该为30天,即FortiMail会自动删除30天以前的垃圾邮件,输入0天则不删除.
在释放条件中不勾选用邮件释放,因为用Web释放更方便.
勾选允许用户从发送的邮件自动更新"非垃圾邮件".
点击最下面的是完成编辑.
防病毒:建议使用antivirus_def内容:建议使用content_def会话:建议使用session_strict,需要作适当修改.
编辑session_strict内容表,展开连接设置,限制每个客户连接数为200每5分钟;每个用户只能连接5次并发.
-北京市海淀区上地信息路7号数字传媒大厦507室,100085Tel:(+86)10-62965255-5-飞塔增值服务中心-北京市海淀区上地信息路7号数字传媒大厦507室,100085Tel:(+86)10-62965255-6-展开发件人信誉,取消允许发件人信誉检查认证:如果用户使用客户端软件(outlook等)收发邮件,需要配置认证.
如果只使用Web收发邮件不需要配置.
在认证—POP3中点击新建,服务器IP:输入保护的邮件服务器地址.
勾选ServerRequiresDomian,存在多个域时有效.
步骤四:设置策略基于IP:使用IP策略的目的是对进方向邮件作会话限制,对出方向邮件不做限制.
策略匹配顺序:策略按从上到下的顺序匹配.
先匹配基于IP策略再匹配下面的基于接收者策略.
本例的配置为:从邮件服务器(10.
1.
1.
11)发出的邮件不做会话限制;其他设备发送的邮件做会话限制.
策略:策略可以对垃圾邮件、杀毒、内容表和认证做设置进入邮件策略:对收信人地址在保护域上的邮件做过滤飞塔增值服务中心如果有多个域,要先选择域名用户名:收信人地址,*表示所有用户Profile:选择步骤三中定义好的过滤内容表AuthenticationAndAccess:选择步骤三中定义好的认证表发出邮件策略:对收信人地址不在保护域上的邮件做过滤用户名:收信人地址,*表示所有用户-北京市海淀区上地信息路7号数字传媒大厦507室,100085Tel:(+86)10-62965255-7