Blog

Sophos XGS: Hướng dẫn cấu hình Email Protection với mode MTA trên Sophos XGS để bảo vệ Email server

Overview

Bài viết hướng dẫn cấu hình tính năng Email Protection trên thiết bị tường lửa Sophos XGS để bảo vệ hệ thống Email server trong nội bộ chống các phần mềm độc hại, spam và lọc mail với mode MTA (Mail Transfer Agent)

Ở mode MTA, Sophos XGS sẽ đảm nhiệm việc route các email giữa Internet và email servers

Thông số MX record của email server phải trỏ về port WAN của Sophos XGS

Sơ đồ mạng

Các bước cấu hình

  • Tạo host cho 2 email server
  • Tạo thông tin domain cho mail trên Sophos XGS
  • Bật MTA mode của Email protection
  • Cấu hình allow và bảo vệ email đi từ Internet vào nội bộ (inbound)
  • Cấu hình allow cho mail từ nội bộ ra Internet (outbound)
  • Cấu hình các setting bảo mật giao thức SMTP

Hướng dẫn cấu hình

Tạo host cho 2 email server

  • Đi đến mục SYSTEM -> Chọn mục Hosts and services -> Chọn mục IP host -> Nhấn Add
  • Đặt tên
  • Ở mục IP version: Chọn IPv4
  • Ở mục Type: Chọn IP
  • Ở mục IP address: Nhập 2 địa chỉ IP của 2 server

Tạo thông tin domain cho mail trên Sophos XGS

  • Đi đến mục PROTECT -> Chọn mục Email -> Chọn mục Address group -> Nhấn Add
  • Đặt tên
  • Ở mục Group type: Chọn Email address/domain
  • Ở mục Type: Chọn Manual
  • Ở mục Email address(es)/domain(s): Nhập domain của bạn

Bật MTA mode của Email protection

  • Đi đến mục PROTECTION -> Chọn mục Email -> Chọn mục General settings -> Nhấn Switch to MTA mode nếu đang ở mode Legacy, còn không thì giữ nguyên

Cấu hình allow và bảo vệ email đi từ Internet vào nội bộ (inbound)

  • Đi đến mục PROTECT -> Chọn mục Email -> Chọn mục Policies and exceptions -> Nhấn Add a policy -> Chọn SMTP route & scan
  • Đặt tên cho SMTP policy
  • Ở mục Protected domain: Chọn domain mà bạn đã tạo trước đó
  • Ở mục Route by: Chọn Static host
  • Ở mục Host list: Chọn 2 host email server mà bạn đã tạo trước đó
  • Bật Spam protection và giữ cấu hình mặc định
  • Bật Malware protection và giữ cấu hình mặc định
  • Có thể bật 2 tính năng File protectionData protection tuỳ theo nhu cầu của bạn
  • Nhấn Save

Cấu hình allow cho mail từ nội bộ ra Internet (outbound)

  • Đi đến mục SYSTEM -> Chọn mục Administration -> Chọn mục Device access -> Tick vào ô SMTP Relay ở mục WAN -> Nhấn Apply
  • Đi đến mục PROTECT -> Chọn mục Email -> Chọn mục Relay settings
  • Ở mục Allow relay from hosts/networks: Chọn 2 host email server đã tạo trước đó
  • Nhấn Apply

Cấu hình các setting bảo mật giao thức SMTP

  • Đi đến mục PROTECT -> Chọn mục Email -> Chọn mục General settings -> Xuống mục SMTP settings
  • Ở mục SMTP hostname: Nhập SMTP hostname của bạn
  • Chọn mục Reject based on IP reputation để ngăn chặn mail từ các IP không đáng tin cậy
  • Chọn mục SMTP Dos settings và giữ cấu hình mặc định để ngăn chặn các cuộc tấn công ngăn chặn dịch vụ
  • Ở mục TLS certificate: Chọn certificate của email server của bạn đã upload vào Sophos XGS (recommend) hoặc sử dụng certificate mặc định của Sophos (xem hướng dẫn upload certificate ở phần dưới)
  • Bỏ tick ở mục Allow invalid certificate
  • Giữ nguyên các cấu hình còn lại
  • Nhấn Apply

** Hướng dẫn add certificate trên Sophos XGS

  • Đi đến mục SYSTEM -> Chọn mục Certificates -> Chọn mục Certificates -> Nhấn Add
  • Đặt tên
  • Upload file certficate và file key
  • Nhấn Save
0 0 đánh giá
Đánh giá bài viết
Theo dõi
Thông báo của
guest
0 Góp ý
Cũ nhất
Mới nhất Được bỏ phiếu nhiều nhất
Phản hồi nội tuyến
Xem tất cả bình luận