FortiMail İnce Ayarlar

Ağ Topolojisi
FortiMail birimi, karmaşık br ağ ortamında eğer ağ dikkatlice planlanıp konuşlandırılmadıysa atlanabilir.
Maksimum güvenlik sağlamak için:

  • Tüm SMTP trafiğini FortiMail birimine veya tarama için FortiMail birimi aracılığıyla göndermek için tüm router ve firewall’ları konfigüre edin.
  • Eğer Fortimail birimi genel DNS sunucularında gateway modunda çalışacaksa MX kayıtlarını her korunan domain FortiMail birimine yönlendiren tek bir MX kaydı içerek şekilde düzenleyin.   Spamciler spam korumasını bertaraf etmek amacıyla FortiMail birimine rağmen en düşük öncelikli mail sunucusunu kolaylıkla bulabilir (MX kaydındaki en büyük tercih numarası) ve spam gönderebilir.
  • FortiMail birimi transparent modda çalışacaksa direk olarak korunan e-mail sunuularınızın önüne konuşlandırın ki tüm e-mailler taranabilsin.
  • FortiMail birimi transparent modda çalışacaksa iki portu birden bir switchteki tek VLAN’a veya aynı hub’a bağlamayın. Bazı Layer 2 switchleri birden fazla switch arabiriminden veya birden fazla VLAN’dan gelen aynı MAC adresini tespit ettiklerinde kararsız hale gelir.

Her bir işlem moduna özgü ek ağ topolojisi fikirleri için FortiMail Install Guide’ı inceleyiniz.


Temel Sistem Ayarları

  • FortiMail yöneticilerinin bağlanacağı ağ arabirimlerine sadece yönetimsel erişimi etkin kılın (System > Network > Interface’de yer alır).
  • FortiMail yöneticilerinin bağlandığı güvenilir host/ağları yönetimsel erişime sınırlandırın. 
  • Daha az ilgi gerektiren yönetim görevleri için sınırlı izine sahip sistem ve domain düzeyi yöneticiler oluşturun.
  • Yönetici şifreleri en az altı karaktere sahip ve hem rakam hem de harflerden oluşmalı, düzenli olarak değiştirilmelidir. Yönetici şifreleri System > Administrator > Administrator’e gidilerek ve giriş için Edit (Düzenle) simgesi seçilerek düzenlenir.   
  • Eğer FortiMail biriminizin bir LCD paneli varsa kişisel kimlik numarası edinerek kontrol tuşlarına ve LCD’ye erişimi sınırlandırın. (System > Configuration > Options’da yer alan PIN).
  • Yönetici idle time-out süresini varsayılan beş dakikadan yukarı artırmayın. (System > Configuration > Options’da bulunmaktadır).
  • Sistem saatinin ve zaman diliminin doğruluğunu onaylayın  (System > Configuration > Time). FortiGuard güncellemeleri, SSL bağlantıları, log zaman damgaları ve zamanlanan raporlamalar gibi özellikler dahil birçok özellik doğru sistem saatine dayanır.


High availability (HA)

  • HA arabirim bağlantılarını tüm genel ağınızdan izole edin. Heartbeat ve senkronizasyon paketleri hassas yapılandırma bilgisi içerir ve büyük ölçüde ağ bant genişliği harcar.  Sadece iki FortiMail birimi içeren bir aktif-pasif veya config-only HA grubu için bir crossover kablosu kullanarak HA arabirimlerini direk olarak bağlayın.  İkiden fazla FortiMail birimi içeren bir config-only HA grubu oluşturabilmek için HA arabirimlerini bir switch’e bağlayın ve bu switch’i genel ağınıza bağlamayın.
  • Failover koruması sağlamak için FortiMail aktif-pasif HA kullanın ki ilk FortiMail biriminizde hata oluşursa yedek FortiMail birimi küçük bir kesintiyle email işlemeye devam etsin. 
  • Büyük bir kurum için mail sunucusu oluşturmak istiyorsanız config-only HA kullanın. Bir yük paylaşımcının arkasına FortiMail config-only HA grubu da kurabilirsiniz. Yük paylaşımcısı mail işleme yükünü config-only HA grubundaki tüm FortiMail birimlerine paylaştırır ve böylece mail işleme kapasitesi de artar. 
  • HA üyeleri arasındaki HA heartbeat bağlantısını koruyun. Eğer If HA heartbeat bağlantısı kesintiye uğrarsa ve uzak bir hizmet tespit edilemezse, HA senkronizasyonu bozulur ve aktif-pasif gruplarında yedek birim ilk birimin hataya uğradığını varsayar ve ilk birim olarak devreye girer.
  • HA grubundaki tüm FortiMail birimlerini FortiGuard Antispam ve FortiGuard Antivirus için lisanslayın. Bir aktif-pasif grupta sadece ilk birimi lisanslarsanız bir failover’dan sonra yedek birim FortiGuard Antispam hizmetine bağlanamayacaktır. Ayrıca öncelikli ve yedek birimler arasında antivirus engine ve antivirus definition versiyonları senkronize olmayacaktır. 
  • Sistem mail dizinini ve kullanıcı ana dizinini senkronize etmek için HA’yı konfigüre edin ki bu dizinlerdeki hiçbir mail herhangi bir failover durumunda kaybolmasın.
  • MTA spool dizinlerini senkronize etmeyin/yedeklemeyin. MTA spool dizinlerinin içeriği çok dinamik olduğundan FortiMail birimleri arasındaki MTA spool dizinlerini senkronize etmek etkili olmayabilir ve çok bant genişliği kullanabilir.  Ayrıca genellikle gerekli değildir çünkü önceki öncelikli birim tekrar başlayabilecek durumda olursa MTA spool dizini bir failover sonrasında senkronize olur. Ayrıntılar için bkz: “Using high availability (HA)”.
  • Bir HA grubunu yönetirken bir NAS sunucuda mail verisi depolayın. Örneğin düzenli olarak NAS sunucunuzu yedeklemek FortiMail verisi kaybetmenizi engelleyebilir. Ayrıca eğer FortiMail biriminiz geçici bir hata ile karşılaştıysa NAS sunucudaki mail verisine erişebilirsiniz.
  • Eğer bir NAS sunucusu kullanıyorsanız mail veri senkronizasyonunu devre dışı bırakın. Eğer Mail verisinin uzaktan depolanması için NAS sunucu kullanan bir FortiMail aktif-pasif HA grubunun mail veri senkronizasyonu etkinse hem ilkincil hem de yedek birim NAS sunucuya mail verisi depolar ve böylece iki kat trafikle sonuçlanır. Sistem kaynaklarını ve ağ bant genişliğini korumak için mail veri senkronizasyonunu devre dışı bırakın.
  • Failover mesajları için bir grubu izlemek amacıyla SNMP, syslog, veya email uyarılarını kullanın.  Bu uyarı mesajları ağ sorunlarını hızlı şekilde bulup teşhis etmede yardımcı olabilir. SNMP, System > Configuration > SNMP v1/v2c’de konfigüre edilebilir. Syslog çıktısı, Log and Report > Log Settings > Remote Log Settings’den konfigüre edilebilir. Email uyarıları, Log and Report > Alert Email’den konfigüre edilebilir.
  • Eğer aktif-pasif modda bir HA sanal IP konfigüre ediyorsanız DNS kayıtlarınızda bir IP adresi ve tüm host isimlerini konfigüre ediniz.

 

SMTP bağlantısı

  • Korunan e-mail sunucunuzdan (gateway mode ve transparent mode) farklı olan tam kalifiye bir domain adı (FQDN) konfigüre edin. FortiMail biriminin domain adı karantina, spam raporları, Bayesian veritabanı eğitimi, uyarılar ve DNS email gibi bir çok FortiMail özelliği tarafından kullanılır. FQDN, Mail Settings > Settings > Mail Server Settings’den konfigüre edilen yerel domain adının başına host adı eklenerek biçimlendirilir.
  • HA grubu konfigüre ederken aynı model olan çok sayıda FortiMail birimi yönetiyorsanız her bir FortiMail birimi için farklı host isimleri kullanın. Host adı Mail Settings > Settings > Mail Server Settings’de yer alır.
  • Eğer FortiMail birimi bir dış röle olarak kullanılıyorsa (sadece gateway mode ve server mode) veya uzak e-mail kullanıcıları alıcı karantinalarını görüntülemek isterlerse FortiMail biriminin FQDN’i global olarak DNS çözülebilir olmalı.  Harici  SMTP sunucuları A kayıtlarının ve ters DNS kayıtlarının FQDN ve onun IP adresinin hem ileri hem ters  araması için genel DNS sunucularda konfigüre edilmesini gerektirir.
  • Her korunan domain için genel DNS kayıtlarınızı gelen e-mailinizi FortiMail birimi (gateway mod) aracılığıyla yönlendiren sadece bir MX kaydı ile konfigüre edin. Sadece bir MX kaydı ile spamciler düşük öncelikli mail gateway’leri kullanarak FortiMail birimini geçemezler.
  • Eğer FortiMail birimi transparent modda çalışıyorsa SMTP istemcileri kimlik denetimi için yapılandırılır ve Use client-specified SMTP server to send email seçeneğini SMTP proxy’leri (Mail Settings > Proxies > Proxies) için devre dışı bıraktınız, bir kimlik denetim profili konfigüre edip uygulamalısınız (Profile > Authentication > Authentication). Kimlik denetim profili olmadan FortiMail birimi ile kimlik denetimi hatalı olacaktır. Ek olarak harici domain’ler için röleye izin vermek için bir erşim kontrol kuralı konfigüre etmelisiniz (Policy > Access Control > Receive).


Antispam

  • Kara ve beyaz listeleri dikkatli bir biçimde kullanın. Spamle mücadele için ve performansı artırmak için bunlar basit ve etkin araçlardır. Eğer doğru şekilde kullanılmazlarsa false positive ve false negative’lere de sebep olabilirler. Örneğin, bir *.edu beyaz liste girişi *.edu’dan gelen tüm maillere izin verir ve FortiMail biriminin antispam taramalarını geçer. 
  • Korunan domain’leri beyaz listeye almayın. Çünkü beyaz listeler antispam taramalarını geçerler, korunan domain’lere sahip sahte gönderen adresleri ile gelen e-mailler antispam özelliklerini geçebilirler.
  • Directory harvest attack(DHA)’leri engellemek için alıcı onaylama ve sender reputation kombinasyonu kullanın.

DHA spamciler tarafından genel olarak kullanılan bir yöntemdir. Bir e-mail sunucunun geçerli e-mail adreslerini belirlemek amacıyla alıcı onaylamasını kullanır ki bunlar bir spam veritabanına eklenebilsin.

Eğer Recipient Address Verification (Mail Settings > Domains > Domains) etkinse, her bir alıcı adresi korunan e-mail sunucusu ile onaylanır. Yanlış alıcı adresleri için FortiMail birimi SMTP istemcisine Kullanıcı Bilinmiyor mesajı gönderir. Fakat spamciler bu yanıtı geçerli alıcı adreslerini tahmin etmek ve öğrenmek için kullanırlar.

Bunu engellemek için oturum profillerinde Enable sender reputation checking’i etkin hale getirin.  Sender reputation özelliği her SMTP istemcisinin IP adresini değerlendirir ve bunlara bir işaret atar. Eğer SMTP istemcisi bilinmeyen alıcılara çeşitli e-mail mesajları atarsa gönderen adının işareti belirgin şekilde artar. Gönderen adı işareti eşiği geçerse SMTP istemcisinin SMTP oturumu bağlantı düzeyindeyken sonlandırlır.

  • Delivery status notification (DSN) spam’i önlemek için geri dönüş doğrulama (bounce verification) özelliğini etkinleştirin.

Spamciler antispam önlemlerini geçmek için bazen DSN mekanizmasını kullanabilirler. Bazen “backscatter” olarak adlandırılan bu saldırıda spamci meşru bir gönderenin e-mail adresini dolandırır ve alıcının e-mail sunucusunun gönderen kişiye iletim hatası bilgilendirmesi göndermesini bekleyerek iletim yapılamayan bir alıcıya kasten spam gönderir. Bu saldırı masum e-mail sunucularını ve standart bir bilgilendirme mekanizmasını kullandığı için birçok antispam mekanizması meşru ve hileli bir DSN arasındaki farkı tespit edemeyebilir.

Bunu önlemek için bounce address tagging and verification (AntiSpam > Bounce Verification > Settings) özelliğini etkinleştirin ve aktif bir anahtarla konfigüre edin. Ayrıca hem Bypass bounce verification seçeneğini (Mail Settings > Domains > Domains) hem de Bypass Bounce Verification check seçeneğini (located in Profile > Session > Session) devre dışı bırakın. Bounce verification action seçeneğinde “Use antispam profile settings” in seçilmesi tavsiye edilir (AntiSpam > Bounce Verification > Settings). Son olarak hem gelen hem giden tüm e-maillerin FortiMail birimi vasıtasıyla yönlendirildiğinden emin olun. Tüm e-mail FortiMail biriminden geçmezse e-mail etiketleyemeyecek veya evvelce gönderilen e-mail için meşru DSN tanıyamacaktır.

 

Kurallar

  • Kuralları dikkatli şekilde devre dışı bırakın veya silin. Kurallarda yapılan değişiklikler hemen yürürlüğe girer.
  • Kural listesinde en üstte en özelden en altta en genele doğru düzenleyin. Kural eşleşmeleri listenin üstünden altına doğru kontrol edilir. Örneğin çok genel bir kural tüm bağlantı girişimleriyle eşleşir. Genel bir kural için istisnalar oluşturuyorsanız bunları genel kuralın üstündeki kural listesine eklemelisiniz.
  • Tüm SMTP trafiğiyle eşleşen bir kuralın olduğundan emin olun. Eğer bir trafik bir kuralla eşleşmiyorsa izinlidir. Eğer tüm istenen trafiğin mevcut kurallar tarafından izinli olduğundan eminseniz kalan tüm bağlantıları reddetmek ve böylece güvenliği artırmak için IP kural listesinin en altına bir IP kuralı ekleyin.

Bunu yapmak için yeni bir IP kuralı oluşturun. IP adresi olarak eşleşme için 0.0.0.0/0 girin ve bu eşleşme ile bağlantıları reddetme (Reject)’i seçin. Son olarak bu kuralı IP kural listesinin en altına taşıyın. Bu kuralla birlikte FortiMail biriminin hiç bir kural eşleşmesi olmadan tüm trafiğe izin vermesi etkin olarak değişmiştir. Eşleşmesi olmayan trafik bu son kural ile reddedilecektir.

  • Kullanıcılar artık FortiMail birimiyle SMTP, POP3, IMAP, LDAP, veya RADIUS sunucularını kullanarak onaylanacaktır. Kullanıcıların onaylanabilmesi için bir kimlik denetimi kuralı oluşturmalı ve uygulamalısınız (Profile > LDAP > LDAP ve Profile > Authentication > Authentication’de yer alır).
  • IP tabanlı bir kuralda belirlenen adresler mümkün olduğunca özel olmalıdır. Daha parçacıklı kontrol için subnet’ler veya özel IP adresleri kullanın. Tek bir host adresi oluştururken 32-bit bir subnet mask (yani 255.255.255.255) kullanın. IP ayarı 0.0.0.0/0 tüm hostlarla eşleşir.


Güncellemeler

  • Firmware’i güncellemeden veya sürümünü düşürmeden önce konfigürasyon dosyası ve Bayesian veritabanı, sözlük, kara ve beyaz listeler gibi ilgili veriyi içeren her zaman tam bir yedekleme yapın. Tam bir yedekleme gerçekleştirmek için gerekli ayrıntılar için “Backups” maddesine bakınız.
  • En son sürüm firmware güncellemesini yapın. Fortinet Technical Support (https://support.fortinet.com/)‘den en son firmware güncelleme dosyasını indirdikten sonra konfigürasyon ve diğer verileri yedekleyin, ve daha sonra Monitor > System Status > Status’e gidin ve Firmware Version satırından güncelleme (Update) bağlantısını seçin.
  • Antivirüs ve saldırı tanımlarının hem zamanlanmış hem de push update’ini kabul etmek için FortiMail birimini konfigüre edin. FortiGuard güncellemeleri  Maintenance > FortiGuard > Update’de konfigüre edilir..
  • Bir FortiMail birimi FortiGuard Antivirus ve/oveya FortiGuard Antispam güncellemeleri almadan önce FortiGuard Distribution Network (FDN)’e bağlanabilmelidir. FDN bağlantı durumu Maintenance > FortiGuard > Update’den kontrol edilebilir.
  • Geçerli bir DNS sunucusuna FortiMail birim erişimine izin verin. DNS hizmetleri  programlanmış güncellemeler ve FortiGuard Antispam rating sorgulamaları dahil birçok FortiMail özelliği için gereklidir. FortiMail birimi tarafından kullanılanın DNS sunucusu System > Network > DNS’den konfigüre edilir.


Performans

  • Bir SMTP veya LDAP sunucusu ile Recipient Address Verification (Mail Settings > Domains > Domains)’ı etkinleştirin. Bu özellikle karantinalama etkinse, potansiyel olarak büyük miktarda karantinalanmış yanlış alıcı mailinden dolayı önemlidir.

Not: Microsoft Exchange server kullanıcılarının onaylama özelliği varsayılan olarak devre dışıdır.

Başka bir seçenek olarak yanlış kullanıcı karantina dizinlerini konfigüre edilen bir zamanda günlük olarak silmek için Automatic Removal of Invalid Quarantine Accounts‘u etkinleştirin.

Eğer karantinalama etkinse ve bu özelliklerden hiçbiri etkin değilse, performansta düşüş olacaktır ve eğer aşırı derecede yüklü mail trafiğine tabiyse FortiMail biriminin SMTP bağlantılarını reddetmesine sebep olur.

  • Kaynak yoğunluklu antispam taramaları spam’i tanımlamada kullanılmadan önce birçok spam iletim girişimini reddetmek için Greylisting’i etkinleştirin (located in Profile > AntiSpam > AntiSpam).
  • Bir oturum profiliyle (Profile > Session > Session) IP-tabanlı bir kural oluşturarak Spam throttling özelliklerini uygulayın (Policy > Policies > Policies). Sender reputation, oturum sınırlandırma ve hata işleme de özellikle faydalıdır. 
  • Eğer FortiGuard scan etkinse, Black IP scan ve önbelleklemeyi de etkinleştirin. Caching, Maintenance > FortiGuard > AntiSpam’den etkinleştirilebilir. Black IP scan  antispam profilinden etkinleştirilebilir.
  • DNS sorgularıyla ilintili gecikmeyi azaltmak için yerel ağınızda bir DNS sunucusu kullanın.
  • Eğer FortiMail biriminde log’lar depolanıyorsa “logging rotation size”ı ( Log and Report > Log Settings > Local Log Settings) 10 MB ve 20 MB arasına ayarlayın ve “event logging level”i uyarı (warning) veya daha yüksek düzeye ayarlayın. Depolama alanını açmak için geçmiş logları düzenli olarak silin veya yedekleyin.
  • Yerel diskteki rapor sayısını azaltmak için geçmiş raporları düzenli olarak silin veya yedekleyin.
  • Geçmiş ve istenmeyen mail kuyruğu girişlerini ve karantinalanmış mailleri düzenli olarak silin.
  • Rapor üretimi ve ertelenmiş, fazla büyük mesajların iletimi gibi kaynak yoğunluklu ve süresiz kritik görevleri düşük trafik periyodlarına programlayın.
  • Spam yakalama oranı tatmin ediciyse buluşsal tarama (heuristic scan) gibi kaynak yoğunluklu taramaları devre dışı bırakın (Profile > AntiSpam > AntiSpam).
  • Antispam profillerindeki Scan Conditions bölümündeki Max message size to scan ve Bypass scan on SMTP authentication’ı etkinleştirmeyi düşünün (Profile > AntiSpam > AntiSpam).
  • Eğer mümkünse disk performansını artırmak için mail ve log disklerini düzenli olarak biçimlendirin.

Uyarı: Sabit sürücüleri biçimlendirmeden önce logları ve mailleri yedekleyin. Mail sürücülerini execute formatmaildisk CLI komutuyla biçimlendirmek yerel olarak depolanmış tüm maillerin kaybına neden olur; execute formatmaildisk_backup komutu koruyacaktır. Bu işlemler tamamlandığında reboot gerekit. Daha fazla bilgi için FortiMail CLI Reference’e bakınız.



 

Yazdir Yazdır Düzelt Hata Bildir Tavsiye Et Tavsiye Et Sayfayı Paylaş: FacebookDeliciousTechnoratiYahoo!My SpaceTwitterDiggGoogle BookmarksLink Edinmicrosoft favoritesTwShotStumbleupon Metin Boyutu Metinleri Büyüt Metinleri Küçült

Yazdir
Benzer Başlıklar :