'Deny any' niet gebruiken op de FortiMail!
Technisch niveau
Waddinxveen, 10 september 2016
Security
Voor een FortiMail, werkend in gateway of transparant mode, is het in sommige gevallen ook nodig om mail te versturen.
Denk daarbij aan FortiMail IBE (identity-based encryption). Als je de optie "Reply" in IBE hebt aangezet, worden antwoorden vanuit de Web-portal van de Fortimail verstuurd vanaf de FortiMail zélf en niet via een relay mail-server.
Hoe ga je te werk?
De FortiMail gebruikt zijn local host adres (127.0.0.1) om mail door te sturen naar interne adressen. De FortiMail maakt gebruik van 3 verschillende Policy profielen:
1. Access control policies
2. IP policies
3. Recipient policies
In de IP policy rules geef je aan, vanaf welke IP-adressen de FortiMail berichten mag ontvangen of versturen. Deze policies werken anders dan bij een firewall, waarbij onderaan een "Deny any" regel wordt toegepast. Veel beheerders zijn dan ook geneigd een "Deny any" regel onder aan de lijst te zetten, ter herinnering of voor logging doeleinden.
Het is belangrijk om dat NIET te doen in de IP policy van de FortiMail. Geef alleen aan wat je wel of niet wil doorlaten, aan de hand van specifieke hosts/subnetten, of maak gebruik van de "External" en "Internal" keywords.
Een "Deny any" regel zal namelijk ook de FortiMail zelf blokkeren, zonder dat er maar ook iets terug te vinden is in de log...