Titulo Homologación Servicio Antispam – FortiMail Cloud

Asunto Servicio de Antispam para clientes.

Código del documento CORE-085
Fecha de lanzamiento 15/01/2018
Versión Actual 1.0
Autor Carlos Zapata
Lista de distribución CORE, Operaciones
Naturaleza del documento Confidencial

Histórico de la revisión

Versión Fecha Autor Comentarios

Draft 0.9 15/01/2018 Carlos Zapata Inicio de elaboración del documento
1.0 17/01/2018 Carlos Zapata Revisión de documento
 Servicio de Antispam, FortiMail Cloud

I. ESQUEMA DE RED

DNS dns query

Mx Record;
mydomain.com MX gw6065.fortimail.com

Antispam
@ Inbound
INTERNET
AntiPhishing

Antivirus

FortiMail Cloud Sender

@ Outbound
gw6065.fortimail.com

wan

dmz lan

Firewall

Mail Server Receiver

Protect Domain
mail.mydomain.com

II. DESCRIPCIÓN DE ESCENARIO

1. El cliente cuenta con un sistema de correo corporativo interno.

2. Requiere de un servicio antispam que permita filtrar el ingreso de correos maliciosos que
llegan a su dominio, incluso aplicar un filtro antes que lleguen a su servidor de correo interno.

3. El sistema de filtrado incluye: Antispam, Antiphishing, Antivirus Mail, Block & Safe list.
III. ALCANCES DE LA CONFIGURACIÓN

1. La activación del servicio implica las siguientes configuraciones.

• Optical: Provisionamiento del dominio a proteger dentro del sistema FortiMail Cloud.

• Customer: Coordinar el cambio de registros MX en el DNS autoritativo de su dominio.

2. No requiere cambios a nivel de IP o NAT en la infraestructura del cliente.

3. Se configura las notificaciones de cuarentena para que los usuarios puedan visualizar y de ser
el caso liberar los correos que fueron categorizados como SPAM.
Horarios de Notificación: 9:00, 15:00 Horas.

4. Se debe proporcionar una cuenta de correo para brindar los reportes semanales del sistema
Antispam.

IV. EXCLUSIONES

1. No aplica para servicios de correo en la nube como Office365, Gmail, Amazon AWS, etc

2. No se aplica el filtrado para los correos salientes.

V. APROVISIONAMIENTO EN FORTIMAIL CLOUD

1. Acceder a la plataforma FortiMail Cloud con las credenciales asignadas al SOC.

Link: https://gw6065.fortimail.com/admin
2. Configurar el dominio a proteger en la opción.
Domain & User >> Domain >> Create New

Ingresar los parámetros para especificar el dominio a proteger.

Domain name: <dominio_a_proteger>
Relay type: Host
SMTP server: <IP_o_hostname_del_mail_server>
Port: 25
3. Configurar una nueva regla de Access Control para el servidor protegido.

ACCES CONTROL - RECEIVING: Lista de reglas de control para conexiones SMTP recibidas por el
FortiMail, en ellas se definen las acciones de relay, reject o discard.
En caso no exista una regla se manejan 2 acciones dependiendo destino.
• Para dominios protegidos (Configurado en el paso 2), la acción default es Relay
• Para dominios no protegidos, la acción default es Reject. (Evita función de open relay)

GUI-Config:
Policy >> Access Control >> Receiving >> Create New

Sender Pattern: User Defined; *@<mydomain.com>

Recipient Pattern: User Defined; *@*
Sender IP/netmask: User Defined; <ip_email_server>
Action: Relay
4. Validar la regla de IP Policy.

IP POLICY: Permite crear políticas para control de conexiones SMTP basadas en direcciones
IPv4/IPv6 de clientes o servidores de correo. Las políticas basadas en IP pueden ser anuladas por
las reglas Recipient Policy que son más específicas. Para evitar esto se maneja solo 1 regla de IP
con origen y destino 0.0.0.0/0 donde se define un perfil de protección basado en sesión de red.

GUI - Config:
Policy >> IP Policy

Source: IP/netmask: 0.0.0.0/0

Destination: IP/netmask: 0.0.0.0/0
Action: Scan (Acepta las conexiones y realiza el escaneo según los perfiles)
Profile - Session: Inbound_Session

*Obs: Esta configuración no requiere ser aplicada, viene activa de manera predeterminada para
IPv4/IPv6 y para todos los dominios protegidos.
5. Verificación de política estándar basada en destinatario: Recipient Policy.

RECIPIENT POLICY: Permite crear políticas basadas en la dirección entrante (inbound) o saliente
(outbound) de un email con respecto al dominio protegido.
* Se considera Inbound policy, cuando el destino mail pertenece al dominio protegido.
* Se considera Outbound policy, cuando el destino mail no pertenece al dominio protegido.

- Solo se configura Inbound Policy, ya que el servicio se enfoca en el filtrado de correos

entrantes.
- Se maneja un perfil de system que es el mínimo estándar aplicado a todos los dominios
protegidos de manera predeterminada y que se puede usar las primeras semanas de servicio
de un cliente, luego se puede definir una política específica para cada dominio.

GUI – Config:
Policy >> Recipient Policy >> Inbound

Domain: System
Sender Pattern: User / *@*
Recipient Pattern: User / *@* ;(Para política específica definir *@mydomain.com)
Profiles: AS_Inbound, AV_Discard, Res_Default ; (Perfiles estandar de Sistema)
6. Verificación de perfil de seguridad: Antispam

Fortimail usa varios métodos para detectar correo no deseado, como el servicio FortiGuard
Antispam, las consultas DNSBL, el escaneo bayesiano y el escaneo heurístico. Los perfiles antispam
permiten habilitar estas funciones y variar configuraciones según el dominio.
La regla a visualizar es la regla de sistema que se aplica para todos los dominios protegidos, si
FortiMail detecta spam, tomará la medida de enviar el mensaje a la cuarentena de usuario, donde
posteriormente se envía una notificación de cuarentena y el usuario puede validar y de ser el caso
liberar el correo.

GUI - Config:
Profile >> Antispam >> AS_Inbound

Default Action User Quarantine

• Fortiguard Enable
• SPF check Enable
• Behavior analysis Enable
• Heuristic Enable
7. Verificación de system profile: AntiVirus

Fortimail escanea el header, body y adjuntos (incluidos archivos ZIP, PKZIP, LHA, ARJ, RAR Files)
para detectar virus. Si la unidad FortiMail detecta un virus, tomará la medida de descartar el
mensaje (no envía notificación al sender).

GUI – Config:
Profile >> Antivirus >> AV_Discard

Default action Discard

• Antivirus Enable
• Malware/Virus outbreak Enable
• Heuristic Enable
• File signature check Enable
• Grayware Enable
• FortiSandbox Scan mode Submit and wait for result
• Attachment analysis Enable
• URI analysis Enable
8. Verificación de system profile: Resource Profile

Permite configurar diversos aspectos de las cuentas de usuario de correo electrónico, como la
cuota de espacio de cuarentena y tiempo de almacenamiento.

CONFIGURACION:

Profile >> Resource >> Res_Default

• User account status Enable
• Personal Quarantine Enable
• Email Retention Enable
9. Configuración de reporte semanal
Como parte del servicio se brinda un reporte antispam semanal que se envía a la casilla designada
por el cliente todos los lunes a las 9:00am.

GUI – Config:
Log & Reports >> Reports Settings >> Configuration

CLI – Config:
config report
edit Weekly_Report_easy-telecom.com
set query-status Mail_Category_by_Date Spam_Classifier_by_Date Virus_Classifier_by_Date
Mail_Stat_Actions_by_Day Mail_Stat_Messages_by_Day Mail_Stat_Viruses_by_Day Top_Sender_by_Date
Top_Spam_by_Sender_by_Date Top_Virus_by_Sender_by_Date
set domains easy-telecom.com
set period-relative last-week
set recipients czapata@optical.pe
set direction incoming
set schedule weekdays
set schedule-hour 9
set schedule-weekdays monday
next
end
10. Configuración de credenciales de acceso (Opcional)

Las credenciales de clientes brindan acceso a la casilla de cuarentena del dominio donde caen
todos los correos categorizados como spam y donde el administrador puede tomar acción sobre
los correos en esta carpeta. También permite la modificación de los feature de safe & blocklist.
Para crear las credenciales se realiza lo siguiente:

GUI - Config:
System >> Administrator >> New

CLI -Config:
config system admin
edit czapata@optical.pe
set is-system-admin no
set domain easy-telecom.com
set password password
set webmode advanced
set access-profile ON_Customers
set language english
next
end
VI. CAMBIO DE REGISTRO MX

El cliente debe coordinar la modificación del registro MX de su dominio para que los correos
entrantes sean redireccionados al servicio de Antispam FortiMail Cloud (gw6065.fortimail.com)
donde se realiza el filtrado y luego sea reenviado al servidor de correo final.

; MX Record (Antes del cambio)

easy-telecom.com IN MX 10 mail.easy-telecom.com

;MX Record (Después del cambio)

easy-telecom.com IN MX 10 gw6065.fortimail.com
VII. SOPORTE DEL SERVICIO FORTIMAIL CLOUD

1. Visualizar log de Filtrado

Desde el apartado: Monitor >> Log >> History

Se puede monitorear de manera constante los correos recibidos por el sistema y que
acción(disposition) se realizó sobre cada correo.

2. Crear Recipient Policy específica para un dominio.

Cuando se requiere crear políticas de filtrado con mayores features de Antispam, Antivirus,
Content o DLP se debe crear un Recipient Policy específico para el dominio que requiere estos
servicios, de tal manera que no se afecte al funcionamiento global o de otros dominios del
sistema. Creamos una nueva regla desde: Policy >> Recipient Policy >> Inbound >> New
3. Agregar entradas de SafeList & Blocklist por dominio.

Permite ingresar las casillas de correo o dominios completos en lista estáticas que se definen:
Safelist: Correo o dominios que se permiten y no pasan por ninguna inspección de Antispam.
Blocklist: Correos que se descartan antes de pasar por cualquier inspección de Antispam.

Estas listas se pueden configurar por sistema (para todos los dominios) o por dominio particular.

Para ingresar valores vamos al apartado: Security >> Block/Safe List