飞塔增值服务中心

-北京市海淀区上地信息路7号数字传媒大厦507室,100085Tel:(+86)10-62965255-1-设置FortiMail透明模式说明:本文档针对FortiMail透明模式配置进行说明.
透明模式指FortiMail像交换机一样部署在邮件服务器和防火墙之间,所有流入和流出邮件服务器的数据都经过FortiMail,FortiMail对smtp流量做透明代理,其他流量全部二层转发.
环境介绍:本文使用FortiMail100做演示.
本文使用的系统版本为3.
00,build527.
步骤一:网络环境本文档以域名test11.
com为例做说明.
透明模式需要防火墙配合完成地址影射配置.
FortiMail会每天给用户发送垃圾邮件隔离报告,如果隔离的邮件是正常邮件用户点击报告中的链接即可释放邮件.
该链接的地址用户必须可以访问,一般使用公网IP地址.
因此FortiMail需要有一个公网可达地址.
A记录:mail.
test11.
com---->208.
1.
1.
1在防火墙上的地址映射:进入方向:mail.
test11.
com---->208.
1.
1.
1---->映射给FortiMail(tcp443端口)注:tcp443端口用于用户登录到FortiMail查看隔离邮件mail.
test11.
com---->208.
1.
1.
1---->映射给邮件服务器(tcp25、80、110等端口)如果用户有更多的公网IP可以这样操作:mail.
test11.
com---->208.
1.
1.
1---->映射给邮件服务器(整个IP)208.
1.
1.
2(另一个公网IP)---->映射给FortiMail(tcp443端口)步骤二:设置邮件服务器在邮件服务器—设置—本地主机中输入主机名和本地域名主机名:FortiMail主机名,本例是smtp本地域名:FortiMail域名,本例是test11.
comFortiMail的完全有效域名(FQDN)格式是:主机名.
本地域名,本例是smtp.
test11.
com.
基于SSL/TLS的SMTP:勾选则接收SMTPS连接.
除非用户说明要FortiMail接收SMTPS发来的邮件,一般不需要勾选此项.
飞塔增值服务中心-北京市海淀区上地信息路7号数字传媒大厦507室,100085Tel:(+86)10-62965255-2-在邮件服务器—设置—表现中设置Webmail语言在邮件服务器—域中点击新建域:输入保护的域名,本例为test11.
comSMTPServer:保护邮件服务器的IP地址.
如果需要也可以使用MX记录.
此项如果没有特殊需求建议直接写IP.
验证接收者地址:选择UseSMTPServer,可以减轻邮件服务器负担.
FortiMail先检查接收者地址是否有效再做转发,可以提高垃圾邮件过滤效果(标准的SMTP都支持该功能).
如果用户的邮件服务器扩展性一般,不支持该功能可以选择Disable.
透明模式选项:本例FortiMail的port1接口与防火墙连接,port2接口与邮件服务器连接,因此服务器打开选择port2.
勾选隐藏透明的FortiMail.
飞塔增值服务中心在邮件服务器—访问中配置收发邮件规则Receive(收):对于FortiMail设备,SMTP连接是从外部设备发送给FortiMail的.
收方向规则检查信封中的发信人地址(MAILFROM),收信人地址(RCPTTO),认证(AUTH)和加密(TLS).
规则是按从上到下逐条匹配的,一封邮件只能匹配一条规则.
双向(收、发)过滤则必须要写规则,本例的写法是:第一条:所有接收者的域是test11.
com的邮件全部转发第二条:所有发送者的域是test11.
com的邮件全部转发第五条:不符合上面条件的邮件全部丢弃如果有多个域,上图的第三和第四条规则就是对第二个保护域test12.
com的写法,其他域以次类推.
写法:在接收者或发送者中写*@test11.
com就表示所有test11.
com上的邮件.
写*表示所有邮件,一般不需要勾选正则表达式.
反向DNS样式:写*AuthenticationStatus:选择any默认TLSProfile:选择none默认动作:Relay,转发邮件,做垃圾邮件、杀毒和内容过滤Bypass,转发邮件,做杀毒和内容过滤Reject,丢弃邮件,通知发信的服务器Discard,丢弃邮件,不做任何通知-北京市海淀区上地信息路7号数字传媒大厦507室,100085Tel:(+86)10-62965255-3-飞塔增值服务中心Delivery(发):对于FortiMail设备,SMTP连接是从FortiMail发送给外部设备的.
对于发方向一般没有具体配置要求,建议使用下面的配置.
该配置的作用是FortiMail在向外发送邮件时不使用SMTPS协议,使用标准的SMTP来发送.
因为一些邮件服务器对SMTPS支持不标准,会导致邮件发送失败.
使用SMTP发送邮件是比较稳妥的做法.
在内容表—TLS中点击新建在邮件服务器—Delivery中点击新建在邮件服务器—代理中配置代理选项:进入的SMTP连接:所有目的IP地址是10.
1.
1.
11即保护的邮件服务器地址的SMTP连接.
出去的SMTP连接:所有目的IP地址不是10.
1.
1.
11的SMTP连接.
本地SMTP连接:所有目的IP地址是FortiMail自己的SMTP连接本例FortiMail的port1接口与防火墙连接,port2接口与邮件服务器连接.
因此要按下图的配置操作.
步骤三:设置内容表防垃圾邮件:在内容表—防垃圾邮件中设置,一般可以采用FortiMail自带的内容表,做一些修改即可.
点击antispam_basic_predefined_medium后面的复制图标输入表名,编辑新复制的表-北京市海淀区上地信息路7号数字传媒大厦507室,100085Tel:(+86)10-62965255-4-飞塔增值服务中心不勾选DNSBL和SURBL,FortiGuard-Antispam已经有这两项功能,这样可以减少误报率.
展开深度邮件头扫描,勾选邮件头分析展开动作—隔离,将删除邮件该为30天,即FortiMail会自动删除30天以前的垃圾邮件,输入0天则不删除.
在释放条件中不勾选用邮件释放,因为用Web释放更方便.
勾选允许用户从发送的邮件自动更新"非垃圾邮件".
点击最下面的是完成编辑.
防病毒:建议使用antivirus_def内容:建议使用content_def会话:建议使用session_strict,需要作适当修改.
编辑session_strict内容表,展开连接设置,限制每个客户连接数为200每5分钟;每个用户只能连接5次并发.
勾选从邮件服务器隐藏这个盒子.
-北京市海淀区上地信息路7号数字传媒大厦507室,100085Tel:(+86)10-62965255-5-飞塔增值服务中心-北京市海淀区上地信息路7号数字传媒大厦507室,100085Tel:(+86)10-62965255-6-展开发件人信誉,取消允许发件人信誉检查认证:如果用户使用客户端软件(outlook等)收发邮件,需要配置认证.
如果只使用Web收发邮件不需要配置.
在认证—POP3中点击新建,服务器IP:输入保护的邮件服务器地址.
勾选ServerRequiresDomian,存在多个域时有效.
步骤四:设置策略基于IP:使用IP策略的目的是对进方向邮件作会话限制,对出方向邮件不做限制.
策略匹配顺序:策略按从上到下的顺序匹配.
先匹配基于IP策略再匹配下面的基于接收者策略.
本例的配置为:从邮件服务器(10.
1.
1.
11)发出的邮件不做会话限制;其他设备发送的邮件做会话限制.
飞塔增值服务中心策略:策略可以对垃圾邮件、杀毒、内容表和认证做设置进入邮件策略:对收信人地址在保护域上的邮件做过滤如果有多个域,要先选择域名用户名:收信人地址,*表示所有用户Profile:选择步骤三中定义好的过滤内容表AuthenticationAndAccess:选择步骤三中定义好的认证表发出邮件策略:对收信人地址不在保护域上的邮件做过滤用户名:收信人地址,*表示所有用户步骤五:隔离邮件设置-北京市海淀区上地信息路7号数字传媒大厦507室,100085Tel:(+86)10-62965255-7-飞塔增值服务中心在电子邮件过滤—隔离—垃圾邮件报表中展开webmail访问选项勾选没有认证情况下受限的访问;过期时间设置为720小时(30天)Web释放主机名/IP:输入映射给FortiMail的公网IP地址或对应的域名此项的作用:FortiMail会每天给用户发送垃圾邮件隔离报告,如果隔离的邮件是正常邮件用户点击报告中的链接即可释放邮件.
该链接的地址用户必须可以访问,一般使用公网IP地址.
-北京市海淀区上地信息路7号数字传媒大厦507室,100085Tel:(+86)10-62965255-8