Vai al contenuto
Una parte o l’intero contenuto di questa pagina è stato tradotto automaticamente.
Percorsi di migrazione supportati

Configurazione di Sophos Firewall

Una volta migrati il dominio, i criteri e le cassette postali, è ora possibile configurare Sophos Firewall in modo che trasmetta le e-mail al server di posta. Se si utilizza Google Workspace o Microsoft 365 e la posta non deve essere elaborata da Sophos Firewall dopo l'e-mail di Sophos Central, ignorare questi passaggi e passare alla sezione successiva.

Prerequisito

Prima di configurare il firewall, si consiglia sempre di creare un backup nel caso in cui le impostazioni debbano essere ripristinate. Si consiglia di apportare queste modifiche al di fuori dell'orario di lavoro per evitare gravi interruzioni del servizio.

Per elaborare la posta in entrata e la consegna al server di posta, questa operazione verrà eseguita tramite una regola DNAT su Sophos Firewall. Prima di procedere, prendere nota della configurazione corrente dal firewall in e-mail > criteri ed eccezioni > criteri > smtp Your Policy name.

  • Dominio/i protetto/i, assicurarsi di fare clic sull'icona a forma di matita per verificare tutti i domini elencati, ad esempio nsgtrain.com
  • Percorso per metodo: Ad es. Host statico
  • Elenco host: Ad es. Server (192.168.1,25) e Exchange server (192.168.25.1)

Creare una regola DNAT

Se per la regola DNAT viene utilizzata una porta SMTP standard (25, 465, 587), la regola 1 può essere ignorata, tuttavia seguire le istruzioni alternative riportate di seguito nel passaggio 2 per evitare interruzioni della posta durante la transizione. Se le e-mail per "exampledomain.com" devono essere inviate a un diverso server di posta interno, assicurarsi che venga utilizzata una porta esterna univoca per la traduzione per ogni regola DNAT univoca. Se lo stesso server di posta interno viene utilizzato in entrambi i criteri SMTP (o domini), è possibile riutilizzare la regola DNAT e le porte.

  1. Opzionale: Se si utilizza una porta non standard, creare una nuova porta di servizio, che è la posizione in cui Sophos Email invierà e raggiungerà il Sophos Firewall per la posta in entrata.

    1. Accedere a host e servizi > servizi > Aggiungi
    2. Fornire un nome di servizio, ad esempio: Consegna Sophos Email
    3. Scegliere una porta di destinazione che non è attualmente utilizzata nel firewall; si consiglia di utilizzare un'altra porta diversa da 25, 465, 587

  2. Accedere a regole e criteri > regole NAT > Aggiungi regola NAT > nuova regola NAT. Inserire i dettagli nel modo seguente. Di seguito è riportato un suggerimento, tuttavia può essere modificato per adattarsi al proprio ambiente. Tutto ciò che non è elencato nella tabella non è necessario.

    Impostazione Dettagli Esempio
    Stato regola OFF: Prima di aggiornare i record MX nelle fasi finali, questa regola può essere attivata Off
    Nome regola Fornire un nome per scopi amministrativi Sophos Email in entrata
    Posizione della regola Si consiglia di posizionarlo in alto per evitare conflitti In cima
    Origine originale

    Accedere a central.sophos.com e accedere a sicurezza e-mail > Impostazioni > Stato/Impostazioni dominio > Configura dipendenze esterne. *

    Immettere tutte le reti e gli IP sotto gli IP di consegna Sophos

    		 Conto US-west-2 central:
    52.41.236.76
    50.112.39.248
    198.154.181.128/26
    Destinazione originale I firewall WAN si interfaccia da cui accetterà le e-mail in entrata. #PortB (WAN)
    Servizio originale Il Sophos Email della porta di destinazione invierà l'e-mail in entrata a, dal punto 1. Consegna Sophos Email (porta 1234)
    Destinazione tradotta (DNAT)

    La posizione del server di posta, in base ai prerequisiti riportati sopra, a seconda del percorso per tipo/

    • host statico: Se l'e-mail viene inviata a più server di posta, selezionare Aggiungi > elenco IP > specifica ciascun IP server di posta, altrimenti è possibile selezionare il nome di un singolo server.
    • Host DNS: Selezionare Aggiungi > FQDN > nome host DNS
    • MX: Risolvere il record MX interno per il dominio e specificare manualmente gli indirizzi FQDN o IP a cui si risolve selezionando Aggiungi > indirizzi IP/FQDN risolti.
    		 Server di posta interno
    Servizio tradotto (PAT) Se viene utilizzata una porta non standard per il servizio originale (non la porta 25), questa sarà probabilmente necessaria poiché il server di posta è probabilmente in ascolto sulle porte smtp standard (ad esempio, la porta 25) SMTP (porta 25)
    Interfaccia in entrata Specificare tutte le interfacce da cui provengono i messaggi di posta elettronica in entrata, che probabilmente corrispondono alle interfacce della destinazione originale PortB
    Metodo di bilanciamento del carico (Impostazioni avanzate) – opzionale Se si utilizzano più destinazioni tradotte o server di posta, è possibile definire il metodo di bilanciamento del carico.
    Controllo dello stato di salute round-robin, porta 25

    Esempio di regola DNAT riportato di seguito

  3. Selezionare Salva una volta confermate le informazioni.

Crea una regola di firewall

Successivamente, sarà necessario creare una regola firewall per garantire che il firewall accetti solo i messaggi di posta elettronica provenienti da Sophos Email. Accedere a regole e criteri > regole firewall > Aggiungi regola firewall > nuova regola firewall.

  1. Inserire i dettagli nel modo seguente. Di seguito è riportato un suggerimento, tuttavia può essere modificato per adattarsi al proprio ambiente. Tutto ciò che non è elencato nella tabella non è necessario o può essere impostato come predefinito.

    Impostazione Dettagli Esempio
    Stato regola OFF: Prima di aggiornare i record MX nelle fasi finali, questa regola può essere attivata Off
    Nome regola Fornire un nome per scopi amministrativi Sophos Email in entrata
    Posizione della regola Si consiglia di posizionarlo in alto per evitare conflitti In cima
    Aree di origine Tutte le interfacce firewall assegnate zona da cui accetterà le e-mail in entrata, probabilmente WAN WAN
    Reti e dispositivi di origine Accedere a central.sophos.com e accedere a sicurezza e-mail > Impostazioni > Stato/Impostazioni dominio > Configura dipendenze esterne. *
    Immettere tutte le reti e gli IP sotto gli IP di consegna Sophos    		 Conto centrale US-West-2:
    52.41.236.76
    50.112.39.248
    198.154.181.128/26
    Aree di destinazione La zona in cui si trova il server di posta interno, uguale alla destinazione tradotta dalla precedente regola NAT creata Il server di posta interno si trova nell'area DMZ: DMZ
    Rete di destinazione L'interfaccia di destinazione Sophos Email invierà e-mail in entrata a, come la “destinazione originale“ nella regola NAT. #PortB
    Servizi Rovide le porte di ascolto (servizi) il Sophos Firewall accetta e-mail in entrata da Sophos Email. In questo esempio, la porta WAN è in attesa della porta 1234. Porta TCP 1234

    Di seguito è riportata una regola firewall di esempio.