Обзор подробно описывает сетевое устройство безопасности FortiMail компании Fortinet, предназначенное для обеспечения безопасного обмена электронной почтой в корпоративной сети предприятия. В обзоре рассмотрены вопросы поставки, технические характеристики и функциональные возможности, а также описаны базовая настройка и взаимодействие с FortiMail. ВведениеВарианты поставкиСценарии развертывания устройств FortiMail в защищаемой сетиФункциональные возможности4.1. Антиспам4.2. Защита от вредоносных программ4.3. Интегрированная защита данныхБазовая настройка FortiMailВизуализация работы FortiMail и электронные журналы6.1. Просмотр электронных журналов6.2. Управление карантинами6.3. Просмотр серых списков6.4. Просмотр статусов репутации отправителей6.5. Просмотр статусов репутации конечных точекВыводы ВведениеFortiMail является семейством многоуровневых, высокопроизводительных устройств защиты электронной почты, которые удаляют спам и проводят антивирусное сканирование пересылаемых файлов. Это часть платформы Fortinet Security Fabric, объединяющей все средства защиты Fortinet в одну архитектуру. FortiMail также является компонентом фреймворка Fortinet Advanced Threat Protection (Fortinet ATP), обеспечивающего защиту от сложных угроз и целенаправленных атак.FortiMail располагается между глобальной сетью и сервером электронной почты организации, проверяя электронные письма до того, как они достигнут сервера и будут доставлены конечному пользователю. FortiMail, по сравнению с межсетевыми экранами FortiGate, обладает более продвинутыми возможностями защиты от спама и выделенными движками антивирусной проверки и URL-фильтрации для обнаружения известных вредоносных файлов и URL-адресов, встроенных в фишинговые письма. Кроме того, FortiMail оснащен системой предотвращения утечек информации (Data Leak Prevention, DLP) и шифрованием на основе идентификационных данных (Identity-Based Encryption, IBE).IBE позволяет FortiMail безопасно доставлять конфиденциальную и регулируемую электронную почту, при этом не требуется дополнительное оборудование, программное обеспечение или лицензии. Рисунок 1. Обмен электронной почтой с шифрованием на основе идентификационных данных Варианты поставкиFortiMail доступен в качестве физического или виртуального устройства (FortiMail VM), а также в качестве облачного сервиса защиты электронной почты FortiMail Cloud. Рисунок 2. Линейка физических устройств FortiMail Таблица 1. Характеристики физических устройств FortiMail FORTIMAIL 60DFORTIMAIL 200E FORTIMAIL 400EFORTIMAIL 1000DFORTIMAIL 2000E FORTIMAIL 3200EРекомендуемые сценарии использованияТестирование, обучение специалистов, малые предприятия (до 100 пользователей)Малые предприятия, филиалы и организации (до 400 пользователей)Организации малого и среднего бизнеса (до 1 000 пользователей)Средние и крупные предприятия, образовательные и правительственные ведомства (до 3 000 пользователей)Крупные предприятия, образовательные и правительственные ведомстваКрупнейшие корпоративные клиенты, провайдеры и операторыФизические характеристикиФорм-факторДесктоп1 юнит1 юнит2 юнита2 юнита2 юнитаСетевые интерфейсы4 порта 1 Гбит Ethernet RJ454 порта 1 Гбит Ethernet RJ454 порта 1 Гбит Ethernet RJ456 портов 1 Гбит Ethernet RJ45, 2 слота 1 Гбит Ethernet SFP (оптика)4 порта 1 Гбит Ethernet RJ45, 2 слота 1 Гбит Ethernet SFP (оптика)4 порта 1 Гбит Ethernet RJ45, 2 слота 1 Гбит Ethernet SFP (оптика), 2 слота 10 Гбит Ethernet SFP+Объем жесткого диска500 ГБ1 ТБ2 x 1 ТБ2 x 2 ТБ2 x 2 ТБ (6 x 2 ТБ опционально)2 x 2 ТБ (10 x 2 ТБ опционально)Высота х Ширина х Длина (мм)41 x 210 x 13345 x 433 x 35244 x 438 x 41688 x 438 x 36889 x 437 x 64789 x 437 x 647Вес (кг)1,16,111,027,614,518,2Характеристики безопасностиМаксимальное число доменов на устройстве2201008008002 000Политики на основе получателей (/домен, /система)15 / 3060 / 300400 / 1 500800 / 3 000800 / 3 0001 500 / 7 500Почтовые ящики в режиме сервера501504001 5002 0003 000Антиспам, антивирус, аутентификация и профили контента (/домен, /система)10 / 1550 / 6050 /20050 / 40050 / 40050 / 600Производительность (сообщения/час) без очереди для сообщений размером 100 КБМаршрутизация электронной почты3 60080 000157 000680 0001 100 0001 800 000FortiGuard Antispam3 10071 000147 000620 0001 000 0001 600 000FortiGuard Antispam + Antivirus2 70061 000126 00500 000900 0001 500 000 Таблица 2. Характеристики виртуальных устройств FortiMail VM VM00VM01VM02VM04VM08VM16VM32Рекомендуемые сценарии использованияТестирование, обучение специалистов, малые предприятия (до 100 пользователей)Малые предприятия, филиалы и организации (до 400 пользователей)Организации малого и среднего бизнеса (до 1 000 пользователей)Средние и крупные предприятия (до 3 000 пользователей)Крупные предприятияКрупные предприятияКрупные предприятияТехнические характеристикиПоддержка гипервизораVMware ESXi 5.0/5.1/5.5/6.0/6.5, Citrix XenServer 5.6 SP2/6.0 или выше, Microsoft Hyper-V 2008 R2/2012/2012 R2, KVM (qemu 0.12.1), AWS (Amazon Web Services), Microsoft AzureВиртуальные процессоры112381632Оперативная память (min/max)1 ГБ / 2 ГБ1 ГБ / 4 ГБ1 ГБ / 8 ГБ1 ГБ / 16 ГБ1 ГБ / 16 ГБ1 ГБ / 128 ГБ1 ГБ / 128 ГБОбъем виртуального хранилища (min/max)50 ГБ / 1 ТБ50 ГБ / 1 ТБ50 ГБ / 2 ТБ50 ГБ / 4 ТБ50 ГБ / 8 ТБ50 ГБ / 12 ТБ50 ГБ / 24 ТБКоличество виртуальных сетевых адаптеров (min/max)1 / 41 / 41 / 41 / 61 / 61 / 61 / 6Характеристики безопасностиМаксимальное число доменов2201008002 0002 0002 000Политики на основе получателей (/домен, /система)15 /3060 /300400 / 1 500800 / 3 0001 500 / 7 5001 500 / 7 5001 500 / 7 500Почтовые ящики в режиме сервера501504001 5003 0003 0003 000Антиспам, антивирус, аутентификация и профили контента (/домен, /система)10 / 1550 / 6050 / 20050 / 40050 / 40050 / 60050 / 600Производительность (сообщения/час) без очереди для сообщений размером 100 КБМаршрутизация электронной почты3 60034 00067 000306 000675 000875 0001 200 000FortiGuard Antispam3 10030 00054 000279000630 000817 0001 100 000FortiGuard Antispam + Antivirus2 70026 00052 00225 000585 000758 0001 000 000 FortiMail Cloud предлагает альтернативный вариант развертывания FortiMail, обеспечивая соответствующую безопасность электронной почты, но в облаке. Пользователям доступно 2 типа услуги:Gateway — служба шлюза обеспечивает облачную защиту электронной почты для клиентов с помощью локальных развертываний электронной почты или сторонних разработчиков. Служба действует как входящий и исходящий шлюз для электронной почты клиента и очищает ее от спама и вредоносов до пересылки в пункт назначения;Server — служба сервера предоставляет полностью размещенный в облаке сервер электронной почты. Служба заменяет необходимость управления и обслуживания всех локальных почтовых серверов, и предоставляет службы безопасности из облака FortiMail. Рисунок 3. Схема обеспечения безопасности электронной почты при FortiMail Cloud (Gateway) Рисунок 4. Схема обеспечения безопасности электронной почты при FortiMail Cloud (Server) Сценарии развертывания устройств FortiMail в защищаемой сетиFortiMail поддерживает три режима развертывания — прозрачный (Transparent), в качестве шлюза (Gateway) и в качестве сервера (Server). Эти сценарии отвечают требованиям безопасности электронной почты, минимизируя изменения инфраструктуры и предотвращая возможные сбои в обслуживании.В режиме шлюза FortiMail предоставляет услуги входящего и исходящего прокси-сервера (Mail Transfer Agent, MTA) для существующих почтовых шлюзов. Простое изменение записи DNS MX перенаправляет электронную почту на FortiMail для проверки. Устройство FortiMail получает сообщения, сканирует их на наличие вирусов и спама, а затем отправляет электронную почту на целевой почтовый сервер для доставки непосредственным адресатам. Рисунок 5. FortiMail может развертываться локально или в облаке В прозрачном режиме каждый сетевой интерфейс FortiMail содержит прокси-сервер, который получает и передает электронную почту. Каждый прокси-сервер перехватывает SMTP, даже если IP-адрес назначения не совпадает с адресом устройства FortiMail. FortiMail проверяет наличие вирусов и спама, а затем отправляет электронную почту на целевой почтовый сервер для доставки адресату. Такой режим развертывания исключает необходимость изменения записи DNS MX или изменения существующей конфигурации почтового сервера сети. Рисунок 6. FortiMail развертывается на стороне почтового сервера В режиме сервера FortiMail действует как автономный сервер обмена сообщениями с полной функциональностью почтового сервера SMTP, включая поддержку безопасного доступа к POP3, IMAP и WebMail. FortiMail проверяет электронную почту на наличие вирусов и спама перед доставкой. Как и в режиме сервера, внешние MTA подключаются к FortiMail, что позволяет ему функционировать как защищенный сервер. Рисунок 7. FortiMail обладает полными функциями почтового сервера Функциональные возможностиАнтиспамFortiMail использует более дюжины различных методов проверки отправителя, протокола и содержимого письма, что позволяет защитить доверенную сеть и пользователей от спама. Анализ начинается с оценки IP-адреса, домена, репутации отправителя и заканчивается методами, такими как возвраты (bounce), проверки подлинности получателей, а также проверки заявленного домена отправителя DKIM (DomainKeys Identified Mail) и SPF (Sender Policy Framework). Наконец, структура сообщений и контент анализируются на основе цифровой подписи, ключевых слов, встречаемых в контексте, анализа изображений, встроенных URL и более сложных методов, таких как анализ поведения и защита от спама.По результатам независимых испытаний Virus Bulletin, проводимых летом 2017 года для анализа средств защиты от спама, FortiMail показал эффективность на 99,997%.Защита от вредоносных программСочетание нескольких статических и динамических технологий, включая сигнатурные, эвристические и поведенческие методы, а также опциональную защиту от вирусных эпидемий и песочницу (в интеграции с FortiSandbox через Fortinet Security Fabric), FortiMail защищает от широкого спектра постоянно развивающихся угроз, таких как программы-вымогатели и целенаправленные атаки.Интегрированная защита данныхНадежный набор возможностей FortiMail для предотвращения утечки данных, шифрование электронной почты и архивирование электронной почты (часто эти механизмы используются в комбинации) гарантируют безопасную доставку конфиденциальных электронных писем и защиту от непреднамеренной потери данных. Это облегчает соблюдение корпоративной политики и отраслевых правил безопасности. Базовая настройка FortiMailБазовая настройка FortiMail осуществляется с помощью интерфейса командной строки. Доступ к нему предоставляется по протоколу SSH или Telnet через интерфейс администрирования (port1) или с помощью COM-порта. При этом выполняется только начальная настройка, поскольку устройства FortiMail, как правило, конфигурируются с помощью графического интерфейса. Рисунок 8. Начальная страница интерфейса администратора FortiMail (Dashboard) По умолчанию FortiMail функционирует в режиме шлюза (Gateway). Мастер быстрого запуска позволяет быстро настроить шлюз FortiMail для работы в сети, устанавливая ключевые параметры конфигурации. Также внести изменения в конфигурацию FortiMail можно через соответствующие разделы бокового меню графического интерфейса. Рисунок 9. Настройка защищаемых доменов После того, как шлюз FortiMail установлен и настроен для работы в защищаемой сети, он может быть подключен к сети Fortinet Distribution Network (FDN) для получения обновлений сервисов FortiGuard Antivirus и FortiGuard Antispam в реальном времени (требуется дополнительная лицензия). FDN — это всемирная сеть серверов распространения Fortinet (Fortinet Distribution Servers, FDS). Когда модуль FortiMail подключается к FDN для загрузки обновлений FortiGuard, то по умолчанию он подключается к ближайшему FDS на основе текущего часового пояса. Рисунок 10. Настройка сервисов FortiGuard Визуализация работы FortiMail и электронные журналыИнтерфейс администратора предоставляет подробную и наглядную информацию о выявленных угрозах безопасности средствами FortiMail, статистические данные и доступ к электронным регистрационным журналам.На начальной странице интерфейса администратор может настроить виджеты, содержащие графическую информацию и статистические данные. Доступны следующие виджеты:системная информация;сводная статистика;диаграмма FortiSandbox;диаграмма сводной статистики;история статистики;системные ресурсы;статистика FortiSandbox;лицензионная информация. Рисунок 11. Доступные виджеты FortiMail Просмотр электронных журналовНа странице «Журнал» раздела «Монитор» отображаются локально сохраненные файлы журналов. Страница содержит следующие вкладки:«История» — журнал отправленных и неподтвержденных SMTP-сообщений электронной почты;«Системные события» — журнал действий администратора и системных событий;«Почтовые события» — журнал действий по доставке электронной почты;«Антивирус» — журнал обнаруженных заражений электронной почты;«Антиспам» — журнал сообщений электронной почты, помеченных как спам;«Шифрование» — журнал IBE-шифрования. Рисунок 12. Вкладка «История» страницы «Журнал» Управление карантинамиВ карантин помещаются сообщения электронной почты на основе содержимого, например, на основе выявленного спама или наличия запрещенного слова или фразы. FortiMail имеет два типа карантина:персональный карантин, в который попадают сообщения электронной почты в отдельные папки для каждого адресата. При этом получателю генерируется уведомление о сообщениях заблокированных сообщениях электронной почты, по которому адресат принимает решение о дальнейших действиях над письмами;карантин системы, в который попадают сообщения без генерации уведомления адресату, при этом решение о выпуске или удалении электронных писем принимает администратор. Рисунок 13. Вкладка «Системный карантин» страницы «Карантин» пуста, поскольку нет электронных писем, ждущих действий от администратора Просмотр серых списковНа странице «Серые списки» раздела «Монитор» администратор может отслеживать автоматические исключения по серым спискам, в результате которых электронная почта в настоящий момент получает отказ в доставке.Серые списки используют тенденцию легитимных почтовых серверов повторять отправку электронной почты после первоначального временного сбоя, в то время как спамеры обычно отказываются от дальнейших попыток доставки, чтобы максимизировать пропускную способность спама. Сканер серых списков отвечает на временный сбой для всех сообщений электронной почты, чья комбинация почтового адреса отправителя, адреса получателя и IP-адреса клиента SMTP неизвестна. Если SMTP-сервер повторяет попытку отправки сообщения электронной почты после требуемой задержки серого списка, FortiMail принимает сообщение электронной почты и добавляет комбинацию адреса электронной почты отправителя, адреса получателя и IP-адреса клиента SMTP в список разрешенных сканером серого списка. Последующие известные сообщения электронной почты принимаются автоматически.Просмотр статусов репутации отправителейFortiMail отслеживает поведение клиента SMTP, чтобы ограничить активность клиентов, отправляющих спам-сообщения, зараженную электронную почту или сообщения недопустимым получателям. Если клиенты продолжают отправлять эти типы сообщений, их попытки подключения временно или окончательно отклоняются. Репутация отправителя управляется автоматически средствами FortiMail и не требует администрирования.Статусы репутации отправителей доступны на странице «Репутация отправителя» раздела «Монитор». Рисунок 14. Статусы репутации отправителей Просмотр статусов репутации конечных точекНа странице «Репутация конечных точек» раздела «Монитор» представлен текущий список конечных точек (по их MSISDN, идентификатору абонента или другому идентификатору), которые были обнаружены FortiMail при отправке спама.Если конечная точка попыталась доставить в период автоматического блокирования ряд сообщений со спамом, превышающих порог блокировки конечных точек, FortiMail добавляет конечную точку к списку заблокированных в течение времени, заданного в профиле, и все текстовые сообщения или сообщения электронной почты от нее будут отклонены. ВыводыFortiMail обеспечивает защиту электронной почты от спама, вирусов и зловредов. Хотя устройства FortiMail являются готовыми средствами защиты, целесообразно их использовать совместно с другими продуктами Fortinet, в частности с межсетевыми экранами FortiGate и песочницей FortiSandbox. Важно отметить, что шлюз безопасной электронной почты FortiMail интегрирован с анализом угроз FortiGuard Labs.За последние годы FortiMail получил высокие оценки в результате независимых тестирований ICSA Labs и Virus Bulletin.Fortinet предлагает широкую линейку физических и виртуальных устройств FortiMail, способных удовлетворить требования всех типов предприятий. Для небольших компаний предусмотрен альтернативный вариант без снижения качества обнаружения спама и вредоносных электронных писем — облачная версия FortiMail.Достоинства:Высокая производительность и скорость анализа электронных сообщений.Снижение нагрузки на сетевые и почтовые ресурсы за счет сокращения количества спама.Поддержка нескольких сценариев развертывания.Интеграция с другими продуктами Fortinet, поддержка FortiGuard Labs.Автоматическая архивация почтовых сообщений, протоколирование и генерация отчетов.Поддержка шифрования электронной почты шифрованием на основе идентификационных данных.Недостатки:Отсутствие русской локализации.Чтобы использовать дополнительные функции безопасности FortiGuard Antivirus и FortiGuard Antispam, требуется приобрести дополнительные лицензии.