La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

FortiMailTM “La soluzione ai problemi di posta”

Presentazioni simili


Presentazione sul tema: "FortiMailTM “La soluzione ai problemi di posta”"— Transcript della presentazione:

1 FortiMailTM “La soluzione ai problemi di posta”
Fortinet Confidental

2 1 2 3 4 5 6 Agenda Fortinet Corporate Introduzione tecnica a FortiMail
Approfondimenti 4 Strategie di canale e FortiMail Specialist 5 Domande e Risposte 6 Chiusura Lavori Fortinet Confidental 2

3 Company Overview First Multi-Layered Security Platform provider that leverages ASIC technology Silicon Valley based with offices worldwide 1,200+ employees / 500+ engineers More than 450,000+ FortiGate devices WW Founded in 2000 Largest Privately Held Security Company Global Operations in U.S., EMEA & Asia Pac Independent certifications 8 ICSA certifications (first and only security vendor) Government Certifications (FIPS-2, Common Criteria EAL4+) 100+ industry awards Virus Bulletin 100 approved (2005, 2006, 2007) and NSS Certifications Fortinet Confidental Fortinet Confidential 3

4 A Leader recognized by Analysts
IDC: UTM Market Leader (#1) Largest private security company for 2006, 2007 Gartner:Leader Latest Gartner Firewall Magic Quadrant. CBR: Top Ten Most Influential Security Companies by Computer Business Review Deloitte No. 2 Deloitte Technology Fast 50 for Silicon Valley Fortinet Confidental Fortinet Confidential 4

5 Truly Unified Security that..
ASIC Security Coverage Management Services Leads to improved TCO Fortinet Confidental Fortinet Confidential 5

6 Fortinet Leads Across UTM Market
“Fortinet is the leading vendor in the UTM security appliance market” “Fortinet’s UTM product portfolio is seeing success across all price bands, including the high end, which has been the hardest sell for many vendors” Fortinet Confidental Fortinet Confidential 6

7 Market Leadership & Growth
By 2011 UTM will be the largest single market with a CAGR of 26.2% As stated on the previous slide, the market is evolving to UTM. UTM market is the culmination of many of these disparate segments, packaged to meet customers’ desire for an integrated solution. And, when you look at it from a market share growth standpoint, there’s data that validates this. For instance, IDC data shows that over the period from , the FW/VPN market, which used to be the largest market is shrinking. (BUILD) IDS market, while growing, is not growing as quickly as UTM. (BUILD) UTM is not only the fastest growing – at a CAGR of about 33% -- but is also projected to be the largest market by 2010. Fortinet pioneered the UTM market & has been the WW UTM market leader for the past 3 years -- source: IDC, 2007 Fortinet Confidental Fortinet Confidential Fortinet Confidential 7 7

8 FortiGate-310B Detailed Product Information
Hardware FortiASIC content processor for UTM acceleration 8 FortiASIC network processor accelerated ports 2 copper non-NP accelerated ports 1 single-width front AMC slot 1 GB System Memory 2 USB ports Backup DC connector (for future use) 1 RU height rack mount unit Throughput FG-310B Base Model 8 Gbps firewall throughput 6 Gbps IPSec VPN throughput With Optional AMC (as shown) 12 Gbps firewall 9 Gbps IPSec VPN 14 x GigE ports Firmware FortiOS Multi-Threat Engine Supported by FortiManager Supported by FortiAnalyzer Supported by FortiGuard A&M Svc. Fortinet Confidental Fortinet Confidential 8

9 FortiGate-310B Firewall Performance vs Competitors
Firewall Performance based on Avg packet size of 512 Bytes. Many competitors do not disclose packet size used for their published performance specifications. Fortinet Confidental Fortinet Confidential 9

10 ETA: Dec -31 FortiGate FG-620B Product Description Supported Modules
Comments FG-620B Provides: 1 x RJ45 COM Port 2 x USB Port 16 x 10/100/1000 Ethernet Ports 1 x Single width AMC Module slot 1G RAM DC redundant PS like 310B ASM-FB4 ASM-S08 ASM-FX2 ASM-CX4 16Gb FW 12Gb Ipsec AV: 200Mbit (Extimate) ETA: Dec -31 Fortinet Confidental 10 10

11 FortiGate 30B Low End Total Security Appliance
Hardware Specifications Total 10/100 Interfaces (Copper) WAN Port Internal Switch Ports System Performance Firewall Throughput Mbps IPSec VPN Throughput (AES/DES) Mbps Antivirus Throughput* Mbps IPS Throughput* Mbps Dedicated IPSec VPN Tunnels Concurrent Sessions ,000 New Sessions/Sec ,000 Policies Unlimited User Licenses Yes Fortinet Confidental

12 FortiManagerTM FortiAnalyzerTM
Report & Management FortiManagerTM FortiAnalyzerTM Fortinet Confidental 12

13 Introducing FortiManager
FortiManager is an integrated management and monitoring platform for all Fortinet products Ideal for: Enterprises (Small to Large) Service Providers Telecom Customers Centralizes functions for: Product Deployments Real-time Monitoring Device/Policy Maintenance Device/Security Updates Fortinet Confidental Fortinet Confidential 13

14 Introducing FortiAnalyzer
FortiAnalyzer is an integrated network logging, analysis, and reporting platform Ideal for: Enterprises (Small to Large) Service Providers Telecom Customers Centralizes functions for: Security Log Analysis / Forensics Graphical Reporting Content Archiving / Data Mining Network Analysis Malicious File Quarantine Vulnerability Assessment Fortinet Confidental Fortinet Confidential 14

15 FortiAnalyzer Reporting
Over 300 different report templates available Report Configuration Wizard Reports are Completely Customizable Example Reports Events/Attacks by: Sensor Source Category Threat Protocol Mail Usage Web Usage Bandwidth Usage Protocol Usage Fortinet Confidental Fortinet Confidential 15

16 FortiGuard™ Security Subscription
Anti-Virus (AV) (Includes Anti-Spyware) Intrusion Prevention System (IPS) FortiGuard powers the protection capabilities of FortiClient. Other vendors don’t have this capability in house and rely on third party OEM relationships. Web Content Filtering (WCF) 82+ offensive and dangerous categories 41M+ WebSite categorized Best Accuracy and Coverage in the Industry! Anti-Spam (AS) Greater than 97.4% spam catch rate Less than 0.18% false positive rate SLA Response Time < 2 hrs. 24x7 Global Threat Research Lab Source: FortiGuard™ Subscription Service Fortinet Confidental Fortinet Confidential 16

17 FortiOS 4.0TM Sneak Peek Fortinet Confidental 17 17

18 FOS 4.0 highlights VDOM resource limits WAN optimization DLP
Limitare l`utilizzo fisico della macchina o della porzione della stessa WAN optimization Ottimizzazione della banda DLP Prevenire e controllare l` uso non autorizzato di dati AV protocol identification Identifica il protocollo a prescindere dalla porta tcp/ip di destinazione Identity based Policy Aiuta a ridurre il numero di regole su gruppi utenti che richiedono servizi diversi HTTP Proxy NAC quarantining Isolare utenti o gruppi di utenti SSL new portal 18 Fortinet Confidental 18

19 FortiDBTM Assessment, Controllo e Monitoring dei DB
Fortinet Confidental 19

20 FortiDB – VA +Auditing + Monitoring
FortiDB – Appliance Family Model Supported Databases FD-400B 10 FD-1000B 30 FD-2000B 60 FortiDB Software Licensed per DB New New Fortinet Confidental 20

21 EMS Vulnerability Assessment Monitoring and Audit Analysis
Event Manager Reports SNMP Vulnerability Assessment Monitoring and Audit Analysis EMS Software Risks Configuration Risks Operational Risks Suspicious Access Change Control Data Integrity Who, What, When, Where? Read/Update Log Alarm Log FortiDefend has developed the FortiDefend Information Risk Management Platform for alerting management to information risks from security and business policy violations, attacks on data, compromised structural integrity and information theft. This solution supports hundreds of databases distributed worldwide within heterogeneous environments including Oracle, Microsoft SQL Server, Sybase, DB2, and Teradata. FortiDefend provides Vulnerability assessment, continuous monitoring, audit and analysis on the databases your business relies on, regardless if the perpetrator is an authorized user, a super user, or an outsider. DBA and Power Users IBM Microsoft Oracle Sybase Directory CRM Finance ERP Authorized Users Fortinet Confidental 21 21

22 Regulatory Environment
Vertical/Region specific regulations Pharmaceutical Finance Healthcare States Federal Cross-Vertical/Region regulations PCI SOX Fortinet Confidental Fortinet Confidential

23 Il Web Application Firewall di FORTINET
FortiWEBTM Il Web Application Firewall di FORTINET Fortinet Confidental 23 23

24 High Level Features XML Capabilities Web Application Firewall
XML Router Uses XPATH queries to route documents based on content XML Firewall Provides Schema Validation XML IPS Verifies reasonable limits, anomalous entries and well formed checking XML Acceleration /(XML VPN) Off load of XML-SIG, XML-ENC, and HTTPS handling Web Application Firewall Signature and Pattern Detection Engine Parameter Validation Threshold Based Limits Session Management and Flow Enforcement Fortinet Confidental

25 Large Global Installed Base
SCV SCV Large Global Installed Base Blue Chip Customers Fortinet Confidental Fortinet Confidential 25

26 Senior System Eng - Milano Senior System Eng - Roma
Luca Simonelli VP - SEEMEA Joe Sarno Country Manager Giorgio D`Armento Channel Manager Franco Caterino MAM - Roma Giuseppe Bertero MAM – Milano Umberto Camerlengo MAM - Roma Antonio Madoglio Senior System Eng - Milano Salvatore Frosina MAM - Roma Matteo Arrigoni System Eng - Milano Stefano Chiccarelli Senior System Eng - Roma Luca Profico System Eng - Roma Margherita D`Adduzio Sales & Admin - Roma Marco De Cesare System Eng - Roma Fortinet Confidental

27 FortiMailTM Technical Update
Matteo Arrigoni Fortinet System Engineer Fortinet Confidental

28 1 2 3 4 5 6 7 Agenda FortiMail Overview FortiMail Family
Access List, Policies e Profiles 4 Tecniche AntiSpam 5 Transparent Mode 6 Alta Affidabilita’ 7 Reportistica Fortinet Confidental 28

29 La sfida dell’Email Security
E’ necessario implementare azioni in grado di mettere in sicurezza le mail in ingresso ed in uscita. Fortinet Confidental 29

30 Introduzione a FortiMail
Sicurezza multi-livello Massimo livello di accuratezza nell’individuazione dei attacchi misti provenienti dalle mail: Antispam, antivirus, antispyware and antimalware Basato sui servizi Fortinet FortiGuard™ che garantiscono un aggiornamento 24x7 grazie alla Global Threat Research Sicurezza Mail in ingresso ed in uscita Diversamente da altri prodotti, FortiMail e’ in grado di mettere in sicurezza sia la posta in ingresso che quella in uscita attraverso un unico sistema. Installazione flessibile FortiMail puo’ essere installato in 3 modalita’ differenti : Transparent mode Gateway mode server mode MTA integrato Motore MTA ingenierizzato per supportare I picchi di traffico, routing intelligente e virtualizzazione Soluzione efficace a basso costo. No user or mailbox restrictions Large product range to fit performance requirements No third-party agreement – 100% Fortinet technology Archiviazione delle mail Agevola la compliance per l’archiviazione dei contenuti. Alta Affidabilita’ FortiMail ridondanza con failover automatico. Logging e Reportistica Garantisce visibilita’ dell’utilizzo delle mail. Fortinet Confidental

31 Modalita’ operative FortiMail
FortiMail puo’ essere installato in 3 differenti modalita’: Supporto di qualsiasi scenario d’installazione DMZ o inline, one-arm o dual-arm, ecc. Supporto di qualsiasi richiesta di indirizzamento IP Bridge mode, Route mode, NAT IP addresses Supporto di qualsiasi configurazione SMTP Explicit o transparent proxy, visibile o invisibile nel headers e nel envelop Gateway Mode (relay mode) Si comporta da Proxy MTA per I server mail esistenti I record MX ridirigono le mail verso FortiMail Transparent Mode Intercetta il traffico SMTP non destinato in modo esplicito a lui. Non e’ necessario che FortiMail sia il server SMTP di destinazione Integrazione completa nell’ambiente di Mail Non sono necessarie modifiche a livello ip o SMTP E’ possibile simulare un relay esplicito (#VIP) FortiMail diviene il server SMTP di destinazione. FortiMail puo’ inoltrare o ruotare il traffico Server Mode Funzionalita’ da Server Fortinet Confidental 31

32 Installazione in modalita’ Gateway – Scenario tradizionale
USERS MAIL SERVERS OUTGOING SMTP INTERNET INCOMING SMTP FortiMail e’ il mail relay Richiede modifiche all’architettura di rete attualmente in uso Il DNS server deve essere configurato in modo che il traffico SMTP raggiunga prima Fortimail che il server di backend FortiMail garantisce il filtro antispam anche in uscita Oltre ai controlli Antivirus e di contenuto I server di backend devono inoltrare le mail in uscita verso FortiMail. Le tecniche Antispam per la posta in uscita sono differenti da quelle utilizzate per la posta in ingresso. Fortinet Confidental

33 Installazione in modalita’ Transparent – Grandi Aziende
BOTH INTERFACES ARE IN BRIDGE MODE USERS OUTGOING SMTP INTERNET MTAs INCOMING SMTP FortiMail e’ inline difronte ai mail server Sebbene non destinato a Fortimail, il traffico SMTP viene in modo trasparente analizzato ed inoltrato. Integrazione completa nell’infrastruttura esistente, nessuna necessita’ di riconfigurare la rete. Trasparente a livello IP FortiMail opera come bridge per il traffico SMTP e non Nessuna modifica all’indirizzamento IP o al default gateway dei server di posta. Trasparente a livello SMTP: Nesssuna modifica ai record MX FortiMail puo’ essere trasparente sia nell’ envelop che nell’ headers delle mail Fortinet Confidental

34 Installazione in modalita’ Transparent – ISPs
TRANSPARENT MODE ONE-ARM or DUAL-ARM ATTACHEMENT (OPTIONALY: 3rd INTERFACE FOR OOB MANAGEMENT) POLICY-BASED ROUTING: SMTP TRAFFIC --> FORTIMAIL MTAs MTAs INTERNET OUTGOING SMTP INTERNAL NETWORK MUAs MUAs SESSIONS INITIATED FROM THE INTERNET TO THE ISP INTERNAL NETWORK ARE NOT SCANNED FortiMail non e’ in inline La rete si occupa di ridirigere il traffico SMTP verso FortiMail Utilizzo di Policy based routing o di load-balancers Semplice integrazione nell’infrastruttura esistente Nessuna necessita’ di cambiare l’indirizzamento ip Sebbene non destinato a lui, FortiMail analizza il traffico lo ripulisce e lo invia a destinazione. Fortinet Confidental

35 Installazione in modalita’ Server
USERS OUTGOING SMTP INTERNET INCOMING SMTP Funzionalita’ del mail server: Webmail, supporto client SMTP, POP3 e IMAP Accesso sicuro alla WebMail via SSL Politiche di quota disco per singolo account Bulk Folder per le mail di spam Fortinet Confidental 35

36 Mail Routing MTA intelligente
FortiMail puo’ prendere decisioni di routing basandosi su: L’indirizzo IP di destinazione (transparent mode) Proprio calcolo del MTA di destinazione (transparent o gateway mode) che puo’ essere fatto in uno di questi due modi: Se il recipient domain non e’ esplicitamente definito all’interno della configurazione di FortiMail : Risoluzione DNS-MX Default relay (IP address o risoluzione DNS-A per load-balancing) Se il recipient domain e’ esplicitamente definito all’interno della configurazione di FortiMail : Risoluzione DNS-A Indirizzo IP statico LDAP lookup Fortinet Confidental

37 FortiMail Filtri in Ingresso
FortiGuard™ Security Services DOS/ DDOS Prevention DHA Prevention Spam & Phishing Prevention Virus, Prevention Spyware Prevention Malware* Prevention Content Policy Compliance Archiving Rischi in Ingresso DOS/DDOS: SMTP Denial of Service of Distributed Denial of Service can be stopped via SMTP throttling on the inbound MTA engine DHA: Directory Harvest Attacks can be stopped by SMTP throttling on the inbound MTA engine Spam & Phishing Prevention: FG Antispam stops these threats and relies on the FG subscription service Virus, Spyware and Malware Prevention: These are specifically called out to articulate the FG subscription service and breadth of coverage Content Policy Compliance: Ability to review content for things like “company confidential” and route accordingly Archiving: Ability to copy as required internal to the FortiMail appliance and/or 3rd party system SMTP Inbound MTA Engine FortiMail OS™ Fortinet Confidental

38 FortiMail Filtri in Uscita
FortiGuard™ Security Services RBL Prevention Spam & Phishing Prevention Virus, Prevention Spyware Prevention Malware* Prevention Content Policy Compliance Archiving Spam Zombie Or Bot Detection Spam Zombie or Bot Detection: This is the ability for the outbound MTA engine to detect anomalous SMTP traffic/flows that resemble BOT like behavior and stop accordingly Archiving: Ability to copy as required internal to the FortiMail appliance and/or 3rd party system Content Policy Compliance: Ability to review content for things like “company confidential” and route accordingly Spam & Phishing Prevention: FG Antispam stops these threats and relies on the FG subscription service Virus, Spyware and Malware Prevention: These are specifically called out to articulate the FG subscription service and breadth of coverage RBL Prevention: This is assures that internal legitimate network is NOT blacklisted by ISPs or other AS systems due to bots or zombies that generate spam or malicious from internal network (most applicable to university campuses and service providers) Outbound MTA Engine SMTP FortiMail OS™ Rischi in Uscita Fortinet Confidental

39 1 2 3 4 5 6 7 Agenda FortiMail Family FortiMail Overview
Access List, Policies e Profiles 4 Tecniche AntiSpam 5 Transparent Mode 6 Alta Affidabilita’ 7 Reportistica Fortinet Confidental 39

40 FortiMail Family Appliance dedicate
SMALL ENTERPRISE MEDIUM ENTERPRISE LARGE ENTERPRISE SERVICE PROVIDER FORTIMAIL 400B FORTIMAIL 100 (FULL INSPECTION) FORTIMAIL 400 (FULL INSPECTION) RAID SUPPORT FORTIMAIL 2000A / 4000A (FULL INSPECTION) RAID SUPPORT REDUNDANT FANs Appliance dedicate Hardware e software integrato. Sistema operativo securizzato In grado di soddisfare l’esigenza di ogni azienda da mercato SMB fino a High-End Enterprise & Service Providers In grado di garantire lo stesso livello di sicurezza e funzionalita’ per tutta la famiglia di prodotti. Fortinet Confidental 40

41 Piattaforme FortiMail
Recommended for 1-1,000 users Small Business Deployments 250GB HDD Up to 54,000 s/hour (Full-Inspection) FortiMail-400 Recommended for 500-5,000 users SME Deployments 2 x 250GB HDD Up to154,800 s/hour (Full-Inspection) RAID Support Recommended for 500-5,000 users SME Deployments 1 x 500GB HDD (expandable to 2 x 500GB) Up to 185,400 s/hour (Full-Inspection) RAID Support FortiMail-400B Recommended for 1,000-20,000 users Large Enterprise & Service Provider Deployments 6 x 250GB HDD Up to 464,400 s/hour (Full-Inspection) RAID Support Redundant/Hot-Swappable Power Supplies & Fans FortiMail-2000A Recommended for 8,000-35,000 users Large Enterprise/ Service Provider Deployments 12 x 250GB HDD Up to 467,435 s/hour (Full-Inspection) RAID Support Redundant/Hot-Swappable Power Supplies & Fans FortiMail-4000A Fortinet Confidental 41

42 FortiMail–100 Platform Highlights 4 10/100 ports 1 x 250GB Hard Drive
High Availability Option Desktop form factor Applicazione Ideale All-in-one Secure Server per SoHo o Remote office Supporta fino un massimo di 200 mail boxes security gateway per mail server locali in uffici periferici Target environment : < 50+K mail / hr

43 FortiMail–400 Platform Highlights 4 10/100 ports 2 10/100/1000 ports
2 x 250 GB Hard Drives Software RAID (0 or 1) High Availability Option Applicazione Ideale All-in-one Secure Server per uffici di medie dimensioni Supporta fino un massimo di 1000 mail boxes security gateway per mail server locali in Enterprise Target environment : < 150K mail / hr

44 FortiMail–400B Platform Highlights 4 10/100/1000 ports
1 x 500 GB Hard Drives (Expandable to 2 x 500 GB) Software RAID (0 or 1) High Availability Option Ideal Applications All-in-one Secure Server per uffici di medie dimensioni Supporta fino a 5000 mail boxes security gateway per mail server locali in Enterprise Target environment : < 200K mail / hr

45 FortiMail–2000A Platform Highlights 4 10/100/1000 ports
Applicazione Ideale Security gateway in aziende medie e grandiMedium and Large Enterprise Target environment : < 280K mail / hr Storage per la quarantena delle mail Platform Highlights 4 10/100/1000 ports 6 x 250 GB Hard Drives (1.5 TB) Hardware RAID (0, 1, 5, 10 or 50) Redundant/hot-swappable power supplies Hot-swappable fans High Availability Option

46 FortiMail–4000A Platform Highlights 2 10/100/1000 ports
Applicazione Ideale Security gateway in grandi aziende Target environment : < 280K mail / hr Servizio di protezione dei domini mail per Service Provider Storage per la quarantena delle mail Platform Highlights 2 10/100/1000 ports 12 x 250 GB 3.5” SATA drives (3.0 TB) Hardware RAID (0, 1, 5, 10 or 50) Redundant / Hot swappable power supplies Hot-swappable fans High Availability Option

47 1 2 3 4 5 6 7 Agenda FortiMail Family FortiMail Overview
Access List, Policies e Profiles 4 Tecniche AntiSpam 5 Transparent Mode 6 Alta Affidabilita’ 7 Reportistica Fortinet Confidental 47

48 Access-list Le Access list verificano se una mail deve essere processata Discriminano se il traffico e’ permesso o no. Mentre le policy principalmente definiscono COME la mail deve essere processata (quale filtro applicare per AV, AS, ecc.) Azioni Relay: il traffico e’ consentito e quindi processato FortiMail verifica la presenza di una policy, applica il profilo, ed inoltra la mail ai server di backed Bypass: il traffico e’ consentito e non processato FortiMail inoltra la mail ai server di backend Reject/Discard : il traffico non e’ consentito quindi la mail non viene inoltrata Fortimail regetta o scarta la mail che quindi non viene consegnata ai server di backend Fortinet Confidental

49 TRAFFIC FLOW DEFINITION NEW AUTHENTICATION STATUS
ACLs e Autenticazione Le Access list supportano l’autenticazione L’authentication status fa parte dei criteri che vengono utilizzati per validare il traffico TRAFFIC FLOW DEFINITION NEW AUTHENTICATION STATUS Fortinet Confidental

50 Autenticazione Attraverso le ACL e’ possibile forzare l’autenticazione: Utenti del dominio possono spedire mail da internet solo se vengono autenticati. AUTHENTICATED USER SESSION FROM THE INTERNET ARE ACCEPTED OUTGOING SESSIONS FROM THE INTERNAL MAIL SERVER WILL MATCH THIS RULE NON-AUTHENTICATED USER SESSION INITIATED FROM THE INTERNET WILL MATCH THIS RULES AND WILL BE REJECTED Fortinet Confidental

51 Access-list : Implicite ed Esplicite
Access-list implicite per il traffico in INGRESSO Le ACL implicite vengono definite in modo automatico per permettere il traffico in ingresso verso i domini definiti (Mail Settings -> Domains) Nessuna necessita’ di definire manualmente le access list Access-list esplicite per il traffico in USCITA Le ACL esplicite vengono definite per permettere il traffico in uscita: Mail provenienti o destinate a domini non noti Prevenire l’open relay Fortinet Confidental

52 Policies I Le policy vengono utilizzate per:
Identificare i diversi flussi mail in base a : Indirizzo IP (IP based policies) Indirizzo di posta del destinatario (recipient based policies) Definiscono quali protection profile associare a ciascun flusso Simili alle regole di Firewall dei FortiGate: I flussi sono identificati da regole di firewall Al traffico individuato verra’ applicato lo specifico filtro come avviene nelle regole di firewall (antivirus, web filtering, ecc.) Fortinet Confidental

53 Policies II Le policy determinano Le Policy: Benefici:
Come il traffico in ingresso o uscita deve essere trattato Quale azione intraprendere a fronte di mail di spam o con virus Le Policy: Identificano il flusso mail in base a : Indirizzo ip sorgente Indirizzo ip destinazione (solo in modalita’ trasparente) Indirizzo di posta di destinazione E definiscono quali controlli applicare a tale flusso Assegnano il protection profile al flusso identificato Possono derivarlo da LDAP Benefici: Definizione granulare dei servizi che devono essere associati allo specifico tipo di traffico Per esempio, identificare I flussi che devono ricevere: il massimo livello di sicurezza possibile (strict AS profile) o la massima QOS (come ad esempio il session rate piu’ alto.) Fortinet Confidental

54 IP based policies Le policy IP based identificano il traffico in base all’indirizzo IP Indirizzo IP Src e/o dst (transparent mode) Indirizzo IP Src (in gateway e server mode) Ip di destinazione = FortiMail Non puo’ essere un criterio per la selezione del traffico Fortinet Confidental

55 Recipient based policies
Differenti insiemi di policy per il traffico entrante ed uscente Le policy recipient basedindividuano il traffico basandosi sull’indirizzo di posta di destinazione: Indirizzo di posta esplicito User groups (solo per le incoming policies) Wildcard (*) Fortinet Confidental

56 Funzionamento Policy I
FortiMail prima verifica l’esistenza di una IP based policy per quell’ IP Le IP policy vengno verificate in modo sequenziale Se una IP policy viene validata : FortiMail prende in considerazione il sesion profile definito nella policy FortiMail in seguito verifica la presenza di una recipient based policy eccetto che sia selezionata l’esclusivita’ della policy IP POLICY EXCLUSIVE FLAG Fortinet Confidental

57 Funzionamento Policy II
Passo 2: Verificate delle policy Recipient based in ingresso Viene estratto il dominio dal comando RCPT TO Se e’ identificato un dominio interno Verifica la presenza di una policy per il destinatario della mail Applica il profilo come definito nella policy se almeno una viene validata Se nessuna policy viene validata viene applicato quanto definito nella IP policy Fortinet Confidental

58 Funzionamento Policy III
Passo 3: Verifica delle policy Recipient based in uscita Se nessun dominio interno corrisponde a quanto indicato nel comando, verifica l’esistenza di una policy in uscita associabile all’indirizzo mail di destinazione Se viene verificata una policy, viene applicato il profilo associato Se nessuna policy viene validata viene applicato quanto definito nella IP policy Fortinet Confidental

59 Quando utilizzare IP policy
1 Caso – Servizio di Mail Hosting Presenza di troppi domini da configurare in FortiMail 2 Caso – Internet Service Provider I domini non sono conosciuti 3 Caso – Controllo a livello sessione Anche se i domini sono noti e configurati su FortiMail, una IP policy puo’ garantire un controllo a livello sessione Il controllo a livello sessione e’ disponibile solo all’interno delle IP policy 4 Caso – Differenziazione dei flussi in base alla loro localizzazione Applicare profili differenti alle sessioni in uscita in base alla localizzazione della sorgente (internet o internal network) Fortinet Confidental

60 Protection profiles Profile = un insieme di impostazioni all’interno di FortiMail che controllano il flusso I profile vengono selezionati nelle policy ed applicati al traffico validato dalla corrispondente policy FortiMail supporta diversi tipi di profile: Session profile Impostazione del session rate Restrizione del numero di mail per sessione, di destinatari per mail, si sessioni simultanee per lo stesso client Inibizione della cifratura di sessione, Stretto controllo della sintassi SMTP, verifica del dominio, ecc…. Antispam profile Antivirus profile Content profile Filtro per tipologia del file, per estensione, per contenuti Differimento di messaggi grandi Authentication profile Autenticazione delle sessioni utilizzando SMTP, POP3, IMAP, o server RADIUS Fortinet Confidental

61 Benifici delle Policy e dei Profile
Permette il controllo granulare dei servizi che devono essere applicati allo specifico tipo di traffico Identifica i flussi che devono ricevere la massima sicurezza o il maggior numero di session rate Identifica i flussi che sono meno critici Domini che non necessitano di filtri in uscita Servizi differenti per traffico in ingresso ed in uscita Fortinet Confidental

62 Overlapping dei profile
Antispam, antivirus, content e authentication profiles possono essere definiti all’interno delle IP policy e delle recipient policy Se il traffico viene validato sia dalle recipient policy che dalle IP policy, le recipient policy hanno la precedenza Fortinet Confidental

63 1 2 3 4 5 6 7 Agenda FortiMail Family FortiMail Overview
Access List, Policies e Profiles 4 Tecniche AntiSpam 5 Transparent Mode 6 Alta Affidabilita’ 7 Reportistica Fortinet Confidental 63

64 FortiMail Advanced Spam Detection
FortiGuard-Antispam service FortiMail interroga un dabase centrale FortiMail implementa diverse sofisticate tecnologie antispam che vanno a completare i FortiGuard-Antispam service: Analisi a livello di sessione Session-based L’analisi a livello di Sessione riduce in modo evidente il carico Evita che vengano processate mail non necessarie Molti dei parametri di sessione sono configurabili all’interno del session profile Alcuni parametri sono configurabili all’interno dell’ antispam profile (grey listing e DNSBL) Analisi dell’Header e del body Sono configurati all’interno dell’ antispam profile Fortinet Confidental 64

65 FortiGuard-Antispam FortiGuard-Antispam utilizza diverse tecniche per identificare e filtrare lo spam: FortiIP = Sender IP reputation database Punteggio dell’indirizzo IP FortiSig1 = Spamvertised URLs Blocco dei messagi che referenziano spam host nel corpo Individuazione delle URI presenti nel corpo del messaggio FortiSig2 = Spamvertised addresses Molte di spam riportano nel corpo l’indirizzo di posta per contattare lo spammer. Questi indirizzi di posta vengono aggiunti al database FortiSig FortiSig3 = Spam object checksums Viene calcolato un checksum per ogni oggetto presente nel corpo o negli allegati della mail FortiRule Tramite il servizio FortiGuard vengno aggiornate l’insieme delle regole euristiche. Fortinet Confidental

66 FortiIP – Sender IP reputation
FortiGuard-Antispam conserva un database globale della repotazione dei singoli IP La reputazione viene calcolata attraverso decine di caratterisitche di ogni IP raccolte da diverse fonti Le caratteristiche includono: Le informazioni del whois, la posizione geografica, il service provider Se l’ip e’ un open releay ho un host compromesso, ecc. Una delle caratteristiche principali riguarda il volume di traffico mail generato dall’ip e catturato dalla rete FortiGuard Fortinet Confidental

67 FortiMail Controlli a livello Sessione
Analisi a livello di sessione Verifica sintassi protocollo SMTP e corrispondenza agli stndard Verifiche SMTP (verifica dominio del mittende/destinatario, non utilizzo open relay, ecc.) SMTP rate limiting (sessioni simultanee, nuove sessioni per intervallo, ecc.) Verifica errori SMTP Verifica del destinatario (validazione indirizzo mail) Greylist Local Reputation Filtering Ecc. Fortinet Confidental 67

68 Session level – Verifica Protocollo
Abilitare almeno quest due opzioni: Fortinet Confidental

69 Session level – Gestione errori SMTP
Gli errori nella comunicazione spesso sono indice di un tentativo di abuso del server E’ possibile impostare un delay o un blocco delle connessioni quando si verificano degli errori. Fortinet Confidental

70 Session level – Sessioni non Autenticate
Verifica del dominio del mittente Verifica dell’esistenza del dominio del mittente attraverso la verifica del MX record e del A record L’esistenza di una delle due risoluzioni permette il superamento del filtro L’abilitazione di questo controllo dipende dallo scenario di installazione Utile per il filtro antispam in uscita per gli ISP/MSP e per il filtro antispam in ingresso per le aziende Verifica del dominio del destinatario Verifica dell’esistenza del dominio del destinatario attraverso la verifica del MX record e del A record Utile per il filtro antispam in uscita per ISP/MSP/Aziende Fortinet Confidental

71 Session level – Sessioni non Autenticate
Reject se il destinatario e l’ helo domain coincidono ma il mittente e’ diverso Se il destinatario (RCPT TO = e l’ helo domain conincidono (per esempio, SMTP client host name = mailserver.fortinet.com), ci si aspetta che la mail sia interna nel nostro esmpio): la mail dovrebbe provenire da fortinet e essere destinata a fortinet Questo e’ il motivo per cui se il dominio del mittente e del destinatario non coincidono FortiMail blocca la connessione Fortinet Confidental

72 Session level – Verifica indirizzo destinatario per mail in ingresso
La verifica del destinatario aiuta nell’identificazione dello spam Assicura che le mail con destinatario non corretto vengano regettate e non sottoposte ad ulteriori controlli Supporto del protocollo SMTP o LDAP DEFINE THE APPROPRIATE METHOD FOR RECIPIENT CHECK Fortinet Confidental

73 Session level – Limite delle sessioni
Controlla la qualita’ del servizio Controllo del numero di connessioni contemporanee e di quelle massime nell’intervallo di tempo Porre attenzione a questo parametro nel caso venga applicato al filtro in uscita. Fortinet Confidental

74 Session level – Sender Reputation
E’ una funzionalita’ anti-spam gestita interamente da FortiMail che que quindi non richiede gestione da parte dell’amministratore FortiMail tiene traccia del comportamento del cliente SMTP Se l’ip sorgente invia spam o virus, o un numero alto di destinatari non corretti, il filtro sul sender reputation attivera’ azioni contro il sorgente Colui che spedisce un numero eccessivo di mail di spam, mail infette o destinate a utenti inesistenti verra’ sottoposto ad un limite nell’invio di mail Se il client continua ad inviare lo stesso tipo di mail la connessione puo’ essere regettata Affinche questo filtro operi in modo efficace e’ necessario che l’ip del client non venga sottoposto a Nat FortiMail non deve essere connesso dietro un apparato che fa Nat FortiMail non deve ricevere le connessioni da un releay Fortinet Confidental

75 Sender Reputation – Specifiche
FortiMail memorizza per ogni cliente SMTP (IP address): Numero totale di messaggi spediti Numero di messaggi individuati come spam Numero di messaggi contenenti virus Numero totale di destinatari contattati Numero di destinatari inesistenti FortiMail determina il putteggio da assegnare alla reputazione dell’ip utilizzando 2 elementi Il numero di mail non buone rispetto a quelle buone Il numeto totale di destinatari inesistenti rispetto a quelli esistenti FortiMail utilizza le informazioni acquisite nelle ultime 12 ore, dando maggior peso a quelle piu’ recenti Punteggi da 0 a 100, (0= affidabile, 100 = non affidabile) Dopo 12 ore di inattivita’ da parte del client, tutte le informazioni relative al client vengono cancellate Il punteggio del cliente viene verificato con 3 soglie (personalizzabili): Sopra il 1 valore, FortiMail limita il numero di messaggi accettati all’ora Sopra il 2 valore, FortiMail regetta le connessioni inviando un temporary fail error Sopra il 3 valore, FortiMail rifiuta le connessioni inviando un reject message Fortinet Confidental

76 Sender Reputation configurazione
Il filtro Sender reputation viene configurato ed abilitato all’interno del session profile Puo’ essere utilizzato con i valori di default: Fortinet Confidental

77 Session level – IP black listing
DNSBL DNS Blacklist Elenco degli IP conosciuti come generatori di spam Configurare server DNSBL pubblici come: sbl-xbl.spamhaus.org Fortinet Confidental

78 Session level – Greylisting
Questo filtro consente di ridurre lo spam senza accrescere la complessita’ della configurazione Nessuna lista di IP, di indirizzi di posta, o di parole da tenere aggiornata L’unica lista necessaria viene automaticamente mantenuta da FortiMail Lo spam viene bloccato basandosi sul comportamento del server mittente, piuttosto che basandosi sul contenuto delle mail. Quando FortiMail riceve una mail da un server sconosciuto, la regetta temporaneamente Se la mail e’ leggittima il server mittente provera’ l’invio di nuovo, ed in quel momento FortiMail accettera’ la mail I server di spam normalmente non provano il riinvio della mail Il filtro Grey listing puo’ essere abilitato nei profili in ingresso ed in uscita. Fortinet Confidental

79 Session level – Greylisting
TTL Impostazioni del time to live Quanto tempo il terzetto di informazioni to/from/IP deve essere memorizzato da FortiMail Quando le entry vengono scadono si procede alla loro rimozione, da quel momento i messaggi vengnono di nuovo regettati fino a quando il server mittente non prova a rispedirli Grey listing period Rappresenta il periodo di tempo in cui FortiMail continuera’ a regettare messaggi caratterizzati da un terzetto to/from/IP non conosciuto Allo scadere di questo intervallo,ogni tentativo di riinvio verra’ aggiunto alla grey list, facendo cosi’ in modo che i sucessivi messaggi vengano accettati. Fortinet Confidental

80 Greylisting – Specifiche
La procedura di Greylist analizza l’ envelop della mail, da cui estrae 3 valori: Indirizzo mittente (Mail From:) Indirizzo destinazione (Rctp to:) Indirizzo IP del server che sta inoltrando la mail Se la procedura greylist non ha un record con questi 3 valori : Il messaggio viene rifiutato Il server che sta inoltrando la mail ricevera’ la segnalazione di un errore temporaneo Il server tentera’ di inoltrare di nuovo la mail successivamente I mail server che rispettano le specifiche indicate all’interno della RFC 821, ripeteranno l’invio della mail successivamente Normalmente le mail di spam non vengono spedite da mail server standard ma da applicazioni specificatamente pensate per l’invio di spam Se verra’ effetuato un ulteriore inoltro il messaggio verra’ accettato FortiMail ha memorizzato i 3 attributi e quindi accettera’ il nuovo tentativo di invio del messaggio Fortinet Confidental

81 Grey listing – Osservazioni
Il filtro Grey list e’un metodo molto efficente quando si opera su sessioni generate da MTA Il filtro Grey list non puo’ essere applicato a sessioni MUA FortiMail non puo’ distinguere sessioni MUA da sessioni MTA Esempio : installazione in ISP per filtro antispam in uscita. FortiMail in modo automatico automatically non considera il filtro grey list per le sessioni SMTP autenticate Fortinet Confidental

82 Grey listing Exempt e Auto Exempt
Il Grey list exempt riduce l’impatto del greylisting su traffico legittimo Greylist record = source ip subnet / / + expiry time (greylist TTL) FortiMail creauna una regola di autoexempt per ogni messagio sconosciuto solo se : Non trova nessuna corrispondenza con una greylist exempt rules Viene passato il filtro di greylist Vengono passati tutti i filtri anstispam configurati Vengono passati tutti i filtri antivirus configurati Vengono passati tutti i filtri di scansione del contenuto Non trova nessuna corrispondenza in una white list. Fortinet Confidental

83 Analisi Header e body Analisi del Header e del body
Scansione profonda dell’ header Analisi delle immagini Regole Euristiche (diverse migliaia) – aggiornate dinamicamente Lista gestita dal team di ricerca antispam di Fortinet Aggiornamento automatico attraverso i server FortiGuard SURBL pubbliche Filtro degli allegati (PDF scan) Filtri baesiani per utente / dominio Liste black/white gestite localmente per dominio o per utente Dizionario delle parole proibite Fortinet Confidental

84 Analisi dell’Header Verifica della presenza di Black IP nei campi “Received” dell’header della mail Estrazione del nome e dell’indirizzo IP dei server attraverso cui la mail e’ passata Queste informazioni vengono inoltrate a: FortiGuard-Antispam service, o DNSBL, o SURBL L’analisi dell’header esamina l’intero header alla ricerca di caratteristiche di spam Grazie alla profonda conoscenza dello spam da parte di Fortinet e’ stato possibile implementare un filtro intelligente in grado di controllare l’header delle mail alla ricerca di caratteristiche di spam. Questo filtro ha fortemente aumentato la capacita’ di riconoscimento di immagini di spam Il primo campo, quello identificato da indirizzo, è quello con cui chi consegna la posta al server "nom server" si è presentato. Può essere - e normalmente è - falsificato. Il secondo, quello tra parentesi tonde [non sempre presente] è quello che effettivamente è il suo vero nome, come identificato da nom server. Quello tra parentesi quadre è l'indirizzo IP da cui si è connesso chi consegna la mail. Lo spammer può inserire linee Received: fasulle, ma può solo "aggiungerle in fondo" - non può né modificare quelle autentiche, né aggiungerle "in mezzo" a linee Received: autentiche. Ecco perché l'analisi degli headers si fa di solito a rovescio - dal server più recente al più antico - fino a raggiungere l'ultimo Received: o a trovare l'ultimo Received: autentico. Fortinet Confidental

85 Content inspection – SURBL
SURBL = Spam URI Realtime BlockList Lista dei siti di spam Permette di bloccare la mail che hanno nel corpo riferimenti a host di spam web servers, domini ecc. Possibilita’ di configurare server SURBL pubblici come multi.surbl.org Fortinet Confidental

86 Content inspection – Analisi dell’immagine
Una tecnica utilizzata dagli spammer e’ quella di sostiture il corpo del messaggio con un’immagine L’immagine tipicamente rappresenta quello che sarebbe stato il testo. Le immagini di spam sono complesse da individuare in quanto gli spammer le cambiano molto spessso In questo modo e’ possibile evitare l’identificazione attraverso metodi basati su firme (come ad esempio FortiSig3 = Spam object checksums) Il filtro di scansione delle immagini di FortiMail e’ in grado di identificare quando il messaggio include un’immagine di spam Esamina ed identifica le immagini GIF, JPEG, e PNG Lo spam viene riconosciuto grazie all’analisi dell’ header del body, e dell’immagine Il processo di riconoscimento viene eseguito localmente da FortiMail senza l’uso di procedura OCR I nostri test hanno evidenziato che non ci sono effettivi benefici dall’uso di procedure OCR Fortinet Confidental

87 Content level – PDF scan
Abilitazione analisi PDF Vengono applicati tutti i filtri: SURBL Black IP scan Image scan Banned words Ecc. Fortinet Confidental

88 Antispam Azioni Viene configurata a livello di singolo profilo:
Ogni filtro antispam puo’ avere la propria azione Per esempio: discard, quarantine o rewrite Fortinet Confidental

89 Tagging dell’indirizzo del destinatario
E’ possibile marchiare una parte dell’indirizzo di destinazione. Nome utente o dominio Esempio  Fortinet Confidental

90 Quarantena I messaggi di spam possono essere memorizzati localmente sul FortiMail I diversi modelli di FortiMail possono garantire capacita’ dino a diversi tera. Gli utenti possono rilasciare le mail da interfaccia Web o via mail Le mail possono essere rimosse automaticamente dopo un preciso intervallo di tempo. Fortinet Confidental

91 Quarantena Spam I Accesso alla quarantena SELECT A DOMAIN
OPEN A USER MAILBOX Fortinet Confidental

92 CLICK HERE TO VIEW A MAIL
Quarantena Spam II Analisi del contenuto delle mailbox di quarantena CLICK HERE TO VIEW A MAIL Fortinet Confidental

93 CLICK HERE TO VIEW WHY A MAIL IS IN THE QUARANTINE
Quarantena Spam III Lettura di una mail in quarantena attraverso accesso web CLICK HERE TO VIEW WHY A MAIL IS IN THE QUARANTINE Fortinet Confidental

94 Spam Report I E’ possibile forzare l’invio di uno spam report per singolo utente o per tutti gli utenti E’ possibile indicare l’intervallo di tempo da tenere in considerazione durante l’invio dello spam report Fortinet Confidental

95 Spam Report II Configurazione dell’arco temporale in cui verra’ inviato lo spam report Personalizzazione del messaggio associato allao spam report Fortinet Confidental

96 Quarantena per utente Accesso web alla quarantena di ogni singolo utente Possibilita’ di personalizzare la configurazione per la quarantena utente Fortinet Confidental

97 Antivirus FortiMail e’ in grado di individuare virus e spyware presenti nei messaggi di posta Viene garantita la copertura per virus presenti in Wildlist e Zoolist per un valore complessivo di oltre virus Il motore Antivirus di Fortinet e’ certificato ICSA FortiMail puo’: inserire un messaggio in sostituzione del virus, bloccare in modo silente il messaggio o notificare al mittente il fallito invio Il motore antivirus viene aggiornato automaticamente Nessun costo di licenza per mailbox Zoolist/legacy Fortinet Confidental

98 1 2 3 4 5 6 7 Agenda FortiMail Family FortiMail Overview
Access List, Policies e Profiles 4 Tecniche AntiSpam 5 Transparent Mode 6 Alta Affidabilita’ 7 Reportistica Fortinet Confidental 98

99 Modalita’ Trasparente = Relay Trasparente
FORTIMAIL INTERCEPTS AND SCAN SESSIONS DESTINED TO THE BACKEND SERVERS INTERNET MAIL FLOW MTAs FortiMail e’ in inline, posto difronte ai server MTA (mail server o relay) Collegamento dual arm FortiMail non e’ il destinatario delle sessioni SMTP: Configurazione opposta a quella gateway mode Le sessioni sono destinate al MTA di backend Nessuna modifica ai record MX FortiMail in modo trasparente intercetta e analizza le sessioni SMTP Nonostante non sia il destinatario delle sessioni. Fortinet Confidental

100 Modalita’ Trasparente – Inoltro del traffico
SMTP SESSIONS ARE PROXIED AND BRIDGED INTERNET MAIL FLOW MTAs FORTIMAIL DEFAULT ROUTE AND MTA DEFAULT ROUTE MANAGEMENT IP ADDRESS IS IN THE SAME SUBNET AS THE MTAs NON SMTP TRAFFIC IS BRIDGED (ARP REQUEST, ETC.) Entrambe le interfacce sono configurate in modalita’ bridge Il traffico SMTP e’ anlizzato e inoltrato Il traffico non SMTP e’ semplicemente inoltrato Integrazione completa nella rete esistente Nessuna modifica a liello di architettura Nessuna modifica a livello IP Fortinet Confidental

101 Modalita’ Trasparente – Modalita’ Ibrida I
INTERNAL INTERFACE IN BRIDGE MODE EXTERNAL INTERFACE IN BRIDGE MODE INTERNET MAIL FLOW FORTIMAIL DEFAULT ROUTE MTAs THIRD INTERFACE IN ROUTE MODE FOR OOB MANAGEMENT MANAGEMENT PLATFORMS FORTIMAIL STATIC ROUTE TO THE MANAGEMENT PLATFORMS Il flusso di posta viene inoltrato dal FortiMail: 2 interfacce sono configurate in bridge mode e processano le ssessioni SMTP Una 3 interfaccia viene configurata inroute mode (con un IP dedicato) Interfaccia dedicata alla gestione OOB Appartiene ad una subnet differente da quella degli MTA Fortinet Confidental

102 Modalita’ Trasparente – Modalita’ Ibrida II
ROUTE MODE INTERFACE ONE-ARM ATTACHEMENT (2nd INTERFACE FOR OOB MANAGEMENT) MAIL FLOW WOULD NOT BE SENT TO THE FORTIMAIL WITHOUT POLICY-BASED ROUTING MTAs MTAs INTERNET INTERNAL NETWORK SMTP MAIL USER AGENTS POLICY-BASED ROUTING SMTP TRAFFIC --> FORTIMAIL DESTINATION IP = MTAs ADDRESSES MAIL USER AGENTS Le sessioni SMTP non sono nativamente separte dall’altro traffico Internet (FTP, HTTP, HTTPS, ecc.) Attraverso Policy based routing il flusso SMTP viene estratto e diretto verso l’ip dell’interfaccia del FortiMail Il flusso di traffico puo’ essere rediretto verso il FortiMail in entrambe le direzioni interno verso esterno Esterno verso interno Il flusso del traffico di posta viene ruotato dal FortiMail ed analizzato Fortinet Confidental

103 Modalita’ Trasparente - Mail Routing I
Quando FortiMail riceve le connessioni SMTP, decide quale MTA contattare per spedire posta FortiMail inizialmente verifica se l’ip di destinazione della connessione e’ un server noto. Con “noto” si intendono tutti quei server configurati sotto Mail Settings -> Domains Se e’ destinata ad un server noto allora l’ incoming proxy gestisce la sessione Altrimenti verra’ gestita dall’outgoing proxy Fortinet Confidental

104 Modalita’ Trasparente - Mail Routing II
Se la sessione viene gestita dall’ outgoing proxy Se FortiMail e’ configurato in true transparent proxy ("use original IP address to deliver mail" all’interno della configurazione dei proxy) FortiMail contatta l’ip di destinazione per stabilire la sessione SMTP Altrimenti: Se e’ configurato un mail gateway (Mail Settings -> Settings), FortiMail spedisce la mail al relay configurato Viene stabilita una sessione SMTP con il relay a prescindere dall’ip di destinazione originale Altrimenti, FortiMail individua il server MTA di destinazione basandosi sull’indirizzo presente in RCPT TO FortiMail richiede il record MX del dominio del destinatario cosi’ da ottenere l’ip di destinazione. FortiMail spedisce a questo MTA senza tener conto dell’ip di destinazione originale. Fortinet Confidental

105 Modalita’ Trasparente - Mail Routing III
Se la sessione viene gestita dall’incoming proxy Se all’interno di FortiMail e’ selezionata l’opzione "Use this domain's SMTP server to deliver the mail" (all’interno della configurazione dei domini) FortiMail spedisce la mail a quell’indirizzo IP Altrimenti, FortiMail individua il server MTA di destinazione basandosi sull’indirizzo di posta presente in RCPT TO Se il dominio indicato in RCPT e’ fra quelli configurati, FortiMail invia la mail verso il server specificato all’interno della configuraizone dei domini. Altrimenti: FortiMail richiede il record MX del dominio del destinatario cosi’ da ottenere l’ip di destinazione. FortiMail spedisce a questo MTA senza tener conto dell’ip di destinazione originale Fortinet Confidental

106 Modalita’ Trasparente - Mail Routing IV
Indirizzo Ip originale di destinazione della sessione SMTP Indirizzo Noto (MAIL SETTINGS -> DOMAINS) Gestione dell’ INCOMING PROXY PICKUP Indirizzo non Noto Gestione dell’OUTGOING PROXY PICKUP L’indirizzo ip del destinatario coincide L’indirizzo di posta del destinatario coincide con il dominio configurato per l’ip di destinazione. SI NO MAIL SETTINGS -> DOMAINS -> USE THIS DOMAIN'S SMTP SERVER TO DELIVER THE MAIL Impostato Non Impostato TRUE TRANSPARENT PROXY: MAIL SETTINGS -> PROXIES -> USE ORIGINAL SERVER TO DELIVER MAIL DEFAULT MAIL GATEWAY: MAIL SETTINGS -> RELAY SERVER Indirizzo ip di destinazione della connessione iniziata dal FortiMail Indirizzo Ip Originale Indirizzo Ip del Mail Realy Analisi del record MX Indirizzo Ip del Mail Relay Fortinet Confidental

107 Modalita’ Trasparente – Esempio Mail Routing
1. MYDOMAIN.COM MUA SENDS A MAIL TO HERDOMAIN.COM 2. FORTIMAIL RELAYS THE SMTP-AUTH TRANSACTION TO THE AUTH SERVER INTERNET MUA MYDOMAIN.COM MTA MYDOMAIN.COM IP1 MTA HERDOMAIN.COM IP2 4. SMTP SESSION IS ESTABLISHED WITH THE RECIPIENT MTA 3. AUTH SERVER PERFORMS THE AUTHENTICATION CHECK FortiMail setup Mydomain.com e IP1 sono configurati sotto Mail Settings -> Domain Il server per la spedizione di posta configurato sul MUA ha l’ IP1 Un profilo di autenticazione e’ configurato sul FortiMail per il domnio mydomain.com L’opzione "Use this domain's SMTP server to deliver the mail" non e’ configurata L’ ISP non permette il relay in uscita (mail relay non e’ configurato su FortiMail) Fortinet Confidental

108 Modalita’ Trasparente – Esempio Mail Routing
La sessione del MUA viene gestita dall’ incoming proxy del FortiMail Perche’ l’ip di destinazione della connensione (IP1) e’ un server noto (configurato sotto i domain settings) Quando FortiMail riceve l’indirizzo MAIL FROM Autentica la sessione Quando FortiMail receve l’indirizzo RCPT TO Estrae la parte del dominio Stabilisce la sessione dirrettamente con il server MTA di destinazione interrogano il DNS (IP2) La mail non viene spedita verso il backend server Perche’ l’opzione "Use this domain's SMTP server to deliver the mail" non e’ configurata. Fortinet Confidental

109 Modalita’ Trasparente – Proxy
Su ciascuna interfaccia di FortiMail e’ possibile configurare il comportamento del proxy in incoming ed in outgoing Per determinare quale proxy dovra’ gestire la sessione non e’ sufficiente analizzare l’indirizzo Ip di destinazione Non e’ collegato al dominio del sorgente o del destinatario L’ incoming proxy Gestisce le sessioni destinate a qualunque server noto (cioe’ i server elencati sottoMail Settings -> Domains) L’ outgoing proxy Gestisce le sessioni destinate a tutti I server non noti (tutti gli altri server) Il protection profile viene applicato senza tener conto di quale proxy sta gestendo la sessione. E’ legato all’indirizzo RCPT TO o all’indirizzo MAIL FROM Fortinet Confidental

110 Modalita’ Trasparente – Esempio Proxy I
INCOMING MTA CONNECTIONS HANDLED BY THE INCOMING PROXY OUTGOING CONNECTIONS FROM THE RELAYS HANDLED BY THE OUTGOING PROXY MTA CONNECTIONS TO THE INTERNAL MAIL SERVERS HANDLED BY THE OUTGOING PROXY INTERNET MTAs MTAs PORT2 PORT1 INTRANET MAIL RELAYS INTERNAL DOMAINS OUTGOING MTA CONNECTIONS HANDLED BY THE INCOMING PROXY BECAUSE THE DESTINATION IP ADDRESS IS ONE OF THE KNOWN SERVERS OUTGOING MUA CONNECTIONS HANDLED BY THE INCOMING PROXY BECAUSE THE DESTINATION IP ADDRESS IS ONE OF THE KNOWN SERVERS MAIL SERVERS INTERNAL DOMAINS I domini sono configurati su FortiMail e puntano all’IP del Mail relay che si trova dietro la porta 1 I mail server interni sono configurati per utilizzare il relay per spedire posta in uscita Il server per l’invio della posta in uscita sui MUA e’ il relay Sulla porta 2, tutte le sessioni sono gestite dall’ incoming proxy: Sessioni dal MUA Sessioni dai Mail Server Interni Sessioni dai server MTA remoti Sulla porta 1, tutte le sessioni sono gestite dall’ outgoing proxy Sessioni dal mail relay interno verso i mail server interni Sessioni dal mail relay interno verso i server MTA remoti Fortinet Confidental

111 Modalita’ Trasparente – Esempio Configurazione Proxy I
Sessioni iniziate dal mail relay interno sono gia’ state analizzate nel momento in cui la mail originale e’ stata ricevuta sulla porta 2 Per evitare che la mail venga analizzata due volte l’ outgoing proxy sulla porta 1 viene configurato in "pass through" Non ci sono sessioni gestite dall’ outgoing proxy sulla porta 2 Per questo puo’ essere configurato in "drop" Fortinet Confidental

112 Modalita’ Trasparente – Esempio Proxy II
INCOMING MTA CONNECTIONS HANDLED BY THE INCOMING PROXY INTERNET MTAs MTAs PORT2 PORT1 MAIL RELAYS INTERNAL DOMAINS OUTGOING CONNECTIONS FROM THE RELAYS HANDLED BY THE OUTGOING PROXY OUTGOING MUA CONNECTIONS HANDLED BY THE OUTGOING PROXY MAIL SERVERS INTERNAL DOMAINS I domini sono configurati su FortiMail e puntano agli Ip dei Mail relay I mail server interni sono configurati per utilizzare i relay per la posta in uscita Il server per l’invio della posta in uscita sui MUA e’ il mail servers, e non i relay Sulla porta 2, l’ incoming proxy gestisce : Sessioni dai server MTA remoti Sulla porta 2,l’ outgoing proxy gestisce: Sessioni dai MUA (quando non sono destinate a server noti) Sulla porta 1, tutte le sessioni sono gestite dall’outgoing proxy Dai mail relay interni ai server MTA remoti Fortinet Confidental

113 Modalita’ Trasparente – Esempio Configurazione Proxy II
Le sessioni provenienti dai MUA non sono spedite verso i mail server interni (nonostante in origine vossero destinate a quell’indirizzi IP) ma vengono spedite direttamente ai server MTA di destinazione posti in Internet Per cio’ le mail non verranno mai analizzate due volte Fortinet Confidental

114 Trasparenza a livello IP
FORTIMAIL DOES NOT HIDE ITS PRESENCE IN THE IP LAYER SRC IP = SRC IP = FORTIMAIL DST IP = DST IP = MTA FORTINET.COM MTA GMAIL.COM SRC IP = SRC IP = DST IP = DST IP = FORTIMAIL Quando inizia una connessione con un server MTA di destinazione, FortiMail modifica l’ip sorgente della connessione inserendo il proprio. Indirizzo IP di gestione (quando l’interfaccia d’uscita e’ in bridge) Indirizzo IP dell’interfaccia (quando l’interfaccia d’uscita e’ in routed) Fortinet Confidental

115 Trasparenza a livello SMTP
FORTIMAIL DOES NOT HIDE ITS PRESENCE IN IN THE ENVELOP 220 FORTIMAIL.LOCALDOMAIN.COM 220 MX.GMAIL.COM HELO MYDOMAIN.COM EHLO FORTIMAIL.LOCALDOMAIN.COM MTA FORTINET.COM MTA GMAIL.COM 250 FORTIMAIL.LOCALDOMAIN.COM 250 MX.GMAIL.COM Quando trasmette il banner dal server MTA di destinazione, FortiMail lo cambia inserendo il proprio FortiMail non e’ trasparente nell’envelop del SMTP Fortinet Confidental

116 Trasparenza header SMTP
FortiMail non e’ transaprente nell’ headers: Delivered-To: Return-Path: Received: from fortimail.localdomain.com by mx.gmail.com Received: from fortinet.com by fortimail.localdomain.com Received: from mypc.fortinet.com by fortinet.com From: To: Subject: My message for you Fortinet Confidental

117 Session/Hide – Trasparenza Outgoing proxy
Se la sessione e’ gestita dall’ outgoing proxy e viene applicata un’ IP policy in cui l’opzione Session/Hide e’ configurata FortiMail mantine l’indirizzo ip origniale del client quando inoltra i pacchetti FortiMail e’ trasparente anche nell’headers e nell’ envelop (transparent mode only) Fortinet Confidental

118 Session/Hide – Trasparenza Outgoing proxy – Livello IP
FORTIMAIL HIDE ITS PRESENCE IN THE IP LAYER INTERNAL DOMAIN PROTECTED BY FORTIMAIL SRC IP = SRC IP = DST IP = DST IP = MTA FORTINET.COM MTA GMAIL.COM SRC IP = SRC IP = DST IP = DST IP = L’indirizzo Ip di destinazione non appartiene ad un server noto Viene intercettato dall’ outgoing proxy Il traffico coincide con una IP policy in cui e’ applicato un session profile in cui e’ configurata l’opzione di hide FortiMail in modo transparente gestisce la sessione a livello ip Fortinet Confidental

119 Session/Hide option – Trasparenza Outgoing proxy – Livello SMTP
FORTIMAIL HIDE ITS PRESENCE IN THE ENVELOP INTERNAL DOMAIN PROTECTED BY FORTIMAIL 220 [ ] 220 MX.GMAIL.COM HELO MYDOMAIN.COM EHLO [ ] MTA FORTINET.COM MTA GMAIL.COM 250 [ ] 250 MX.GMAIL.COM FortiMail e’ transparente nell’ envelop Fortinet Confidental

120 Session/Hide – Trasparenza Outgoing proxy – Header SMTP
FortiMail e’ transparente nell’ headers Delivered-To: Return-Path: Received: from fortinet.com by mx.gmail.com Received: from mypc.fortinet.com by fortinet.com From: To: Subject: My message for you Fortinet Confidental

121 Domain/Hide– Trasparenza Incoming proxy
Se la sessione e’ intercettata dall’ incoming proxy L’opzione Domain/Hide rende invisibile FortiMail In questo modo il comportamento puo’ essere diverso per ciascun mail server di backend Fortinet Confidental

122 Trasparenza a livello IP– Incoming proxy
THE INCOMING PROXY DOES NOT HIDE ITS PRESENCE IN THE IP LAYER INTERNAL DOMAIN PROTECTED BY FORTIMAIL SRC IP = FORTIMAIL SRC IP = DST IP = DST IP = MTA FORTINET.COM MTA GMAIL.COM SRC IP = SRC IP = DST IP = FORTIMAIL DST IP = L’indirizzo IP originale di destinazione e’ un server noto La sessione viene gestita dall’ incoming proxy Senza riguardo all’opzione di Session/Hide configurata nell’IP policy FortiMail sostituisce l’indirizzo IP sorgente con il proprio Indirizzo IP di gestione (quando l’interfaccia d’uscita e’ in bridge) Indirizzo IP dell’interfaccia (quando l’interfaccia d’uscita e’ in route) Puo’ impattare sulle performance se il server MTA di backend implementa una gestione dell’ IP rate limiting Fortinet Confidental

123 Trasparenza a livello SMTP – Incoming proxy
THE INCOMING PROXY DOES NOT HIDE ITS PRESENCE IN THE ENVELOP INTERNAL DOMAIN PROTECTED BY FORTIMAIL 220 MAIL.FORTINET.COM 220 FORTIMAIL.LOCALDOMAIN.COM EHLO FORTIMAIL.LOCALDOMAIN.COM EHLO MX.GMAIL.COM MTA FORTINET.COM MTA GMAIL.COM 250 MAIL.FORTINET.COM 250 FORTIMAIL.LOCALDOMAIN.COM FortiMail non trasparente nell’ envelop FortiMail non e’ trasparente nell’ headers Fortinet Confidental

124 Trasparenza header SMTP – Incoming proxy
FortiMail non e’ transparente nell’ headers Delivered-To: Received: from fortimail.localdomain.com by fortinet.com Received: mx.gmail.com by fortimail.localdomain.com Received: from mypc by mx.gmail.com From: To: Subject: My message for you Fortinet Confidental

125 Modalita’ Trasparente – Autenticazione
Se FortiMail riceve connessioni MUA da reti esterne, e’ possibile richiedere l’autenticazione all’utente cosi’ da evitare il relay con indirizzi di posta spoofed Quando riceve la connesisone MUA, FortiMail deve sapere come verificare l’autenticazione Quale server deve contattare per validare l’utente FortiMail gestisce l’autenticazione al posto del backend server L’ authentication server viene definito nell’ authentication profile e quindi associato al dominio del destinatario in ingresso Fortinet Confidental

126 Modalita’ Trasparente – Autenticazione
AUTHENTICATION IS NOT PROCESSED BY THE SMTP SERVER INTERNET SMTP CONNECTION SMTP-AUTH MAIL SERVER MUA SMTP CLIENT THE AUTH SERVER IS PART OF THE SMTP TRANSACTION FORTIMAIL RELAY THE SMTP-AUTH TRANSACTION TO THE AUTH SERVER LDAP/RADIUS POP3/IMAP/SMTP Quando FortiMail verifica una policy Recupera le informazioni sull’authentication server definite nel profilo Valida le sessioni verso il server Fortinet Confidental

127 Modalita’ Trasparente – Autenticazione
In modalita’ trasparente, FortiMail opera come un proxy trasparente , ma in realta’ esistono 2 sessioni: La prima tra cliente SMTP e FortiMail La seconda tra FortiMail e server SMTP Quando l’indirizzo Ip originale di destinazione e’ di un server non noto (la sessione viene gestita dall’outgoing proxy), FortiMail non attiva il processo di autenticazione Perche’ la sessione non conicide con un dominio noto e quindi con un authentication profile Se la sessione in uscita richiede comunque l’autenticaizone da parte del server di backend, la connessione non the connection potrebbe non completarsi correttamente. In questo caso FortiMail deve inoltrare la richiesta di autenticazione tra client e server senza interferire nel processo di autenticazione FortiMail deve comportarsi come un TRUE transparent proxy Fortinet Confidental

128 1 2 3 4 5 6 7 Agenda FortiMail Family FortiMail Overview
Access List, Policies e Profiles 4 Tecniche AntiSpam 5 Transparent Mode 6 Alta Affidabilita’ 7 Reportistica Fortinet Confidental 128

129 FortiMail clustering Supportato in modalita’ transparent/gateway/server Supporto di 2 modalita’ di HA Config-only : Fino a 25 appliance FortiMail condividono la stessa configurazione ma operano in modo indipendente Tipicamente implementata con un load sharing esterno: load-balancers o DNS round robin. Fortinet Confidental

130 FortiMail clustering Active-passive HA health check
2 appliance FortiMail garantiscono la protezione dai malfunzionamenti Sincronizzazione Sincronizzazione delle configurazione Eccetto pochi parametri che non possono essere sincronizzati come: hostname, SNMP information ed alcune impostazioni HA Sincronizzazione dei dati delle Mail E’ possibile decidere cosa sincronizzare: System mail directory, user home directories, e MTA spool directories HA health check Controllo dello stato delle interfacce Controllo dello stato dei servizi (SMTP, POP3, ecc.) Controllo dello stato dei dischi Supporto di interfaccce HA ridondate Scelta del comportamento dopo un recovery: preemption ON/OFF, offline state, ecc. Fortinet Confidental

131 FortiMail clustering DEFINE FORTIMAIL BEHAVIOUR AFTER RECOVERY (PREEMPT, OFFLINE, ETC. SUPPORTS REDUNDANT HA INTERFACE DEFINE FAILURE DETECTION SETTINGS Fortinet Confidental

132 1 2 3 4 5 6 7 Agenda FortiMail Family FortiMail Overview
Access List, Policies e Profiles 4 Tecniche AntiSpam 5 Transparent Mode 6 Alta Affidabilita’ 7 Reportistica Fortinet Confidental 132

133 Reportistica Garantisce una completa visibilita’ dell’utilizzo delle mail Supporta piu’ di 240 report in formato HTML o PDF Statistiche su: mail, virus, spam, ecc. FortiMail propone piu’ di 240 report divisi in 9 categorie. I report possono essere generati : su richiesta o pianificati riguardo ad uno specifico periodo di tempo per tutti I domini o solo per alcuni per mail in ingresso o in uscita Fortinet Confidental

134 Configurazione Report
CHOOSE THE PERIOD OF TIME TO COVER SCHEDULE THE REPORT CHOOSE A LIST OF DOMAINS OR ALL DOMAINS SELECT INCOMING OR OUTGOING TRAFFIC CHOOSE THE OUTPUT Fortinet Confidental

135 Elenco Report Spam by Sender Mail by Sender Mail by Recipient
Mail Statistics Mail Stat Messages Mail Stat Viruses Mail Stat Actions Total Summary Total Sent And Received Total Spam And Nonspam Top Ten Viruses High Level Breakdown Top Client IP Top Local User Top Remote Address Spam Filter Action Top Virus Virus System User Top Client MSISDN Spam by Sender Top Spam Sender Top Spam Domain Top Spam IP Top Local Spam Sender Top Local Spam Domain Top Remote Spam Sender Top Remote Spam Domain Top Spam MSISDN Mail by Sender Top Sender Top Sender IP Top Local Sender Top Remote Sender Top Sender MSISDN Mail by Recipient Top Recipient Top Local Recipient Top Remote Recipient Spam by Recipient Top Spam Recipient Top Local Spam Recipient Top Remote Spam Recipient Virus by Sender Top Virus Sender Top Virus Domain Top Virus IP Top Local Virus Sender Top Local Virus Domain Top Remote Virus Sender Top Remote Virus Domain Top Virus MSISDN Virus by Recipient Top Virus Recipient Top Local Virus Recipient Top Remote Virus Recipient By Month Fortinet Confidental

136 Esempio Report Fortinet Confidental

137 Archival – Meet regulatory requirements
Possibilita’ di archiviare le mail in modo sellettivo su base: Mittente Destinatario Specifico contenuto nel soggetto nel corpo Tipo di allegato Memorizzazione: Hard Disk FortiMail upload via SFTP/FTP NAS esterno Fortinet Confidental 137

138 Logging Logs Allarmistica ed utilizzo di risorse
In locale su FortiMail Remotamente su Syslog/FortiAnalyzer Allarmistica ed utilizzo di risorse SNMP traps e MIB Utilizzo: CPU,Memoria, Log Disk, Mailbox Disk, Coda di Deferred, Virus e Spam identificati ecc. Fortinet Confidental 138

139 Configurazione Log I CHOOSE WHERE TO LOG Fortinet Confidental

140 SPECIFY THE EVENTS YOU WANT TO LOG
Configurazione Log II SPECIFY THE EVENTS YOU WANT TO LOG Esempio - Antispam log: Fortinet Confidental

141 Compressione dei Log Compressione dei file di log prima del download
Download dei file di log sotto Log & Report > Logging: Fortinet Confidental

142 FortiMail concetti chiave
Filtri Antispam per singolo destinatario Quarantena e invio Spam Report Supporto 3 modalita’ di configurazione Filtri Antispam in Ingresso ed Uscita Fortinet Confidental 142

143 FortiPartner Program “Vantaggi di diventare FortiMail Specialist”
Fortinet Confidental

144 Fortinet Partner Program : Requisiti
Registrazione di ciascun partner Percorso di certificazione condiviso Target (clienti/soluzioni) BP condiviso Fortinet Confidental Fortinet Confidential 144

145 Fortinet Partner Program : Vantaggi
Accesso Partner Extranet SN/Query Ticket support Sales &Mkt Competitive Analisys Certificazione >> sconti e priorita` sui ticket aperti Fortinet Confidental Fortinet Confidential 145

146 Livelli di partnership e FortiPartners
Bronze 141 Partners Silver 42 Partners Gold 4 Partners MSSP 1 Partner Subdistributor 4 Partner Distributor 1 Partner Fortinet Confidental 146

147 Livelli di certificazione e specializzazione
FCNSA Fortinet Certified Network Security Administrator 2 giorni in aula (c/o ATC) + esame presso sedi Pearson VUE FCNSP Fortinet Certified Network Security Professional - Massimo livello di certificazione Fortinet - FortiMail Specialist 2 giorni in aula + WEB Sales Seminar 21-22 Aprile a Milano 31 mar- 1 Apr a Roma Fortinet Confidental 147

148 Fortimail Specialist : Vantaggi
Visibilita` sul sito Fortinet.com come Specialist! Scontistica dedicata pari ai livelli Gold! Programma Try & Buy! Programma Demo unit! Investimenti Mkt congiunti! Affiancamento di Fortinet in eventi e visite clienti! Fortinet Confidental 148

149 Domande e Risposte….. Fortinet Confidental

150 Grazie di aver partecipato.
Giorgio D`Armento Channel Account Manager Matteo Arrigoni System Engineering Fortinet Confidental


Scaricare ppt "FortiMailTM “La soluzione ai problemi di posta”"

Presentazioni simili


Annunci Google