'Deny any' niet gebruiken op de FortiMail!

kennislevel 1 kennislevel 2 kennislevel 2 Technisch niveau Waddinxveen, 01 augustus 2016 Waddinxveen, 10 september 2016 Security Security

Voor een FortiMail, werkend in gateway of transparant mode, is het in sommige gevallen ook nodig om mail te versturen.

Denk daarbij aan FortiMail IBE (identity-based encryption). Als je de optie "Reply" in IBE hebt aangezet, worden antwoorden vanuit de Web-portal van de Fortimail verstuurd vanaf de FortiMail zélf en niet via een relay mail-server.

Hoe ga je te werk?

'Deny any' niet gebruiken op de FortiMail! De FortiMail gebruikt zijn local host adres (127.0.0.1) om mail door te sturen naar interne adressen. De FortiMail maakt gebruik van 3 verschillende Policy profielen:

1. Access control policies
2. IP policies
3. Recipient policies

In de IP policy rules geef je aan, vanaf welke IP-adressen de FortiMail berichten mag ontvangen of versturen. Deze policies werken anders dan bij een firewall, waarbij onderaan een "Deny any" regel wordt toegepast. Veel beheerders zijn dan ook geneigd een "Deny any" regel onder aan de lijst te zetten, ter herinnering of voor logging doeleinden.

Het is belangrijk om dat NIET te doen in de IP policy van de FortiMail. Geef alleen aan wat je wel of niet wil doorlaten, aan de hand van specifieke hosts/subnetten, of maak gebruik van de "External" en "Internal" keywords.

Een "Deny any" regel zal namelijk ook de FortiMail zelf blokkeren, zonder dat er maar ook iets terug te vinden is in de log...

Wilt u hulp van een gecertificeerd Fortinet expert?

Contact

SolidBE B.V.
Maarten Schoutenstraat 19
2741 SV Waddinxveen

KVK 51248794
NL 82 3170 846 B01
NL07 RABO 0157 5353 98