فیلترینگ ایمیل در فایروال FortiGate
فیلترینگ ایمیل در فایروال FortiGate، امروزه یکی از تهدید های بزرگ در سازمان ها ایمیل ها محسوب می گردند. در صورت عدم استفاده از یک سیستم مقابله با این گونه تهدید ها قطعا در معرض خطر های بسیار جدی قرار خواهیم گرفت. فیلترینگ ایمیل از قابلیت های در دسترس در Security Profile در فایروال فورتی گیت می باشد که نقش مهمی در ایمنی استفاده از ایمیل ایفا می نماید. در این مقاله قصد داریم این قابلیت را مورد بررسی قرار دهیم.
فیلترینگ ایمیل در فایروال FortiGate
فهرست مطالب
قابلیت Email Filter
در محیط ها و سازمان هایی که از Email به صورت گسترده استفاده می شود یکی از موارد بسیار مهم و امنیتی spam می باشد. امروزه ایمیل های بسیاری به صورت spam به آدرس های ایمیل مختلف در اینترنت ارسال می گردد. Spam یا هرزنامه در واقع ایمیل های ناخواسته ای هستند که به صورت انبوه به لیستی از آدرس های ایمیل ارسال می گردند. به طور معمول، هرزنامه با اهداف تجاری و تبلیغاتی ارسال می شود. به دلیل پایین بودن هزینه ارسال هر ایمیل کسبوکارها اقدام به ارسال مقادیر انبوهی از این ایمیل ها می نمایند. ایمیل هرزنامه همچنین می تواند یک تلاش مخرب برای دسترسی به کامپیوتر شما باشد. بنابراین از هرزنامه به عنوان یک تهدید در شبکه نیز می توان نام برد.
هرزنامه در قالب موارد می تواند خطرناک باشد و می تواند شامل لینک های مخربی باشد که کامپیوتر ها را با بدافزار آلوده نماید. ایمیل های هرزنامه خطرناک اغلب فوری و مهم به نظر میرسند، بنابراین این حس را به کاربر القا می کنند که باید اقدامی خاصی کنند یا بر روی لینکی کلیک نمایند. جهت ایمن نمودن شبکه می بایست از هرزنامه ها جلوگیری به عمل آید. با قابلیت Email Filter به این مهم دست خواهیم یافت. به عنوان مثال در سازمانی که از Mail Server استفاده می نماید می بایست با مکانیزم هایی ایمیل هایی که به سمت سرور ارسال می شوند را کنترل نمود. با قابلیت Email Filter می توان هرزنامه ها را شناسایی و از آن های جلوگیری نمود.
فعال سازی Email Filter
به صورت پیش فرض قابلیت Email Filtering در فایروال FortiGate فعال نمی باشد. به منظور استفاده از این قابلیت ابتدا می بایست آن را فعال نماییم. به همین منظور در منوی فایروال فورتی گیت گزینه System را انتخاب و زیر منوی Config گزینه Features را انتخاب می نماییم. در قسمت Security Features می بایست گزینه Email Filter را فعال کنیم.
با فعال نمودن قابلیت Email Filter اکنون در منوی Security Profiles فایروال FortiGate گزینه Email Filter در دسترس قرار گرفته است.
پیکربندی Email Filter
پس از انتخاب گزینه Email Filter در منوی Security Profiles به صورت پیش فرض یک پروفایل با نام Default در این قسمت وجود دارد. در صورت نیاز با کلیک بر روی + می توان یک پروفایل جدید ایجاد نمود. برای ایجاد یک پروفایل جدید اابتدا یک نام برای آن در نظر می گیریم. چنانچه قصد اضافه نمودن توضیح را داشتیم در قسمت Comment آن را وارد می نماییم. در قسمت Inspection Mode می بایست حالت بازرسی مشخص گردد. در روش Proxy فایروال بین مبدا و مقصد قرار می گیرد و از ارتباط مستقیم بین مبدا و مقصد ایمیل جلوگیری می نماید. این روش منابع سخت افزاری بیشتری نسبت به روش Flow-based استفاده خواهد نمود. روش Flow-based منابع کمتری استفاده می نماید و سرعت بالاتری نیسبت به Proxy دارد و در عین حال امنیت پایین تری نیز خواهد داشت و مکانیزم تشخیص بر اساس جریان دارد.
با فعال نمودن گزینه Enable Spam Detection and Filtering می توان هرزنامه ها را شناسایی و از انتشار آن ها جلوگیری نمود. همچنین با فعال نمودن این گزینه تنظیمات بیشتری در دسترس قرار خواهد گرفت. در جدول که نمایش داده می شود سه پروتکل اصلی ایمیل قرار دارد. در این جدول یک ستون با نام Spam Action قرار دارد که رفتار فایروال در صورت شناسایی spam را می توان مشخص نمود. در پروتکل IMAP و POP3 دو حالت (tag و Pass) وجود دارد و در SMTP (tag، Discard و Pass) در دسترس قرار می گیرد. در حالت tag صرفا یک برچسب به ایمیل مورد نظر اختصاص خواهد یافت. در حالت Pass فایروال هیچ واکنشی نخواهد داشت و Discard نیز ایمیل را به کلی حذف خواهد نمود.
در قسمت FortiGuard Spam Filtering در قسمت FortiGuard قابلیت هایی جهت شناسایی spam در اختیار قرار خواهد داد. با انتخاب IP Address Check در واقع آدرس IP ارسال کننده ایمیل با Blacklist مربوط به FortiGuard چک خواهد شد. با فعال نمودن URL Check مشابه مورد قبلی این بار URL چک خواهد شد. چنانچه قصد داشته باشیم لینک های موجود درون ایمیل چک شود گزینه Detect Phishing URLs in Email را فعال می کنیم. همچنین Email Checksum Check چک کردن بر اساس Checksum های موجود بر اساس پایگاه داده FortiGuard را انجام می دهد. Spam Submission روشی است که به واسطه فعال نمودن آن می توان سرویس AntiSpam FortiGuard را از پیام های غیر هرزنامه که به اشتباه به عنوان هرزنامه علامت گذاری شده اند، مطلع نمود. هنگامی که این تنظیم فعال می شود، واحد FortiGate یک لینک به انتهای هر پیامی که به عنوان هرزنامه علامت گذاری شده است اضافه می نماید. این یک مکانیزم در تشخیص ایمیل هایی است که به اشتباه به عنوان spam در نظر گرفته شده اند.
در قسمت Local Spam Filtering فرایند قابلیت هایی که فعال می شوند توسط فایروال FortiGate انجام می گیرد. هر زمان که یک کلاینت یک SMTP Session را با یک سرور باز می کند، این کلاینت فرمان HELO را با نام دامنه خود ارسال می نماید. با فعال نمودن گزینه HELO DNS Lookup فایروال FortiGate نام دامنه مشخص شده توسط کلاینت در HELO را گرفته و یک جستجوی DNS جهت تعیین وجود دامنه انجام می دهد و از صحت ارتباط اطمینان حاصل می کند. هنگامی که Return Email DNS Check فعال است، FortiGate دامنه آدرس Reply to ، دامنه پاسخ و سرورهای DNS را بررسی می نماید تا از وجود رکورد A یا MX برای دامنه اطمینان حاصل نماید. چنانچه دامنه وجود نداشته باشد، FortiGate ایمیل را به عنوان هرزنامه تلقی خواهد نمود.
با فعال نمودن Black White List یک جدول در اختیار کاربر قرار خواهد داد که به واسطه آن می توان یک لیست از Black List و white List ها را درون آن مشخص نماییم. جهت اضافه نمودن سطر به این جدول کافی است بر روی Create New کلیک نماییم. یک نکته مهم در Email Filter فایروال FortiGate این است که جدول Black White List نسبت به تمامی تنظیمات این قسمت اولویت خواهد داشت. به عنوان مثال در اینجا قصد داریم کلیه ایمیل ها به از دامنه msp-ict.com در White List به عنوان ایمیل های معتبر در نظر گرفته شود به صورت زیر این کار انجام خواهد گرفت.
با انجام تنظیمات فوق پروفایل Email Filtering مورد نظر ساخته خواهد شد. جهت استفاده از این پروفایل اکنون باید آن را به یک Policy در قسمت Policy & Objects اعمال کنیم. برای انجام این کار با انتخاب Policy مورد نظر در قسمت Security Profiles گزینه Email Filter را فعال نموده و پروفایل ایجاد شده را انتخاب می نماییم.
از این پس فیلترینگ مورد نظر بر روی Policy انتخاب شده اعمال خواهد گردید و فایروال نسبت به ایمیل های Spam واکنش نشان خواهد داد.
نظرات کاربران