Active Directory GPO Üzerinden Outlook Safe List Deploy – Outlook Güvenilen Listesi Dağıtımı

Günümüzün vaz geçilmez iletişim araçlarından birisi hatta bana göre telefondan bile önemli olan mail sistemidir. Pek çok şirket tüm işlerini mail üzerinden takip etmekte olup mail kesintilerinde ciddi sorunlar yaşamaktadır. Bu konuda tabiki pek çok farklı ürün kesintisiz hizmet sunmak için müşterilere sunulmaktadır. Benim amacım bu konudan farklı olarak yine mail trafiğinin kesintisiz çalışmasını sağlama adına alınacak bir önlemin nasıl yapılandırılacağına dair detay vermek olacaktır.

Baktığınız zaman junk email dediğimiz yani önemsiz mailler bazen çok önemli olabiliyor. Genel olarak MTA üzerinde veya önünde çalışan Anti Spam ürünleri istenmeyen mailler konusunda son derece başarılı çalışmaktadır. Ancak buna rağmen spam mailleri tamamen durdurmak mümkün değildir.

Günümüzde bu nedenle çok katmanlı mimariler kullanılmaktıdır. Yani MTA önüne, üstüne Anti Spam yazılımları konumlandırıldığı gibi bazı durumlarda Outlook programlarına eklenti yüklenmektedir. Ancak bunların hepsi bir yana zaten Outlook programı bu anti spam ürünleri olmasa bile kendi üzerinde bir gereksiz mail koruması ( Junk Email ) sunmaktadır.

Sorunda aslında burada başlıyor, bazen bu durum son derece can sıkıcı olabiliyor ve hatta göremediğimiz bu mailler yüzünden iş kaybı söz konusudur. Tabiki son kullanıcı için elle aslında güvenli olan bir mail’ in junk klasörüne düşmesi halinde aşağıdaki gibi çok kısa bir yöntem ile bunu düzeltebiliriz

image001

Ancak söz konusu olan 200, 500, 1000 veya daha fazla kullanıcı olan şirketler ise bu durum son derece çileli bir hal alabilir. Çünkü siz her ne kadar bu konuda bir bilgilendirme maili gönderseniz de bu gözden kaçar, bilgisayar konusunda çok uzman olmayanlar yapamaz ve benzeri günün sonunda kullanıcıdan medet uman bir adminin her zaman yaşadığı başarısızlık ile kala kalırsınız.

Bu duruma düşmemek için Active Directory’ nin sunduğu nimetlerin en büyüklerinden olan GPO ile tüm şirket içerisindeki outlook programlarına safelist yani güvenilen mail adreslerini dağıtabilirsiniz.

Burada aklınıza ilk olarak bu dağıtım sonucunda mevcut outlook kullanıcısının kendi düzenlediği safelist’ in bozulup bozulmayacağı sorusu gelebilir, tabiki böyle bir çözüm gerçek manada işe yaramayacağı için Microsoft mühendisleri bize güzellik yapmış ve mevcut liste bozulmadan sadece ek yapıyor. Bu da gerçekten süper bir çözüm oluyor bizler için.

Peki gelelim uygulama kısmına. Bu bölüme geçmeden önce makalemde öncelikle outlook bir mail’ e neden junk

Outlook kurulum ile beraber Junk Filter isminde bir filtre ile gelir. Ancak varsayılan olarak bu filtre “Low” seviyesindedir.

Outlook gelen her mail için “MSPST32.dll” yardımı ile bir fonksiyon çağırır ( ScMsgScanForSpamContent ) bu sayede gelen her mail spam içeriği olup olmadığı noktasında taranın, bu sırada bu fonksiyon üyesi pSCL, maillerin SCL değerini öğrenir ( GetSCL ), eğer bu SCL değeri Spam Threshold değerinden yüksek ise mail spam olarak işaretlenir ve Junk klasörüne taşınır.

Burada aslında en kritik nokta outlook bir mail’ I neden junk klasörüne taşır! Yukarıdaki teknik detaylar aslında çok gerekli değil, işin özü outlook kendi üzerinde Microsoft tarafından geliştirilmiş bir anti spam agent çalıştırır ( bu ismi ben kolay anlaşılması için verdim agent aramayın yani J ), hatta windows update ile bu agent güncellenir yani yeni spam tekniklerine karşı kendini güncel tutmaktadır.

Ancak temelde bu işin nasıl çalıştığınıda aşağıdaki gibi özetleyebiliriz.

Gelen mail şirket içi bir mail hesabı ancak tanımlı değil ise veya kimlik doğrulamadan gönderilmiş ise spam mail olarak algılanır.

Buna örnek olarak anti virüs yazılımları, yedekleme yazılımları, storage veya donanımlar ( HP, IBM, DELL sunucualr vb ) eğer relay yolu ile yani ip bazlı izin ile mail server’ a geliyor ve buradan kullanıcılara mail atıyor ise bu durumda kimlik doğrulama olmaz. Yani örneğin bir sunucunun raporlama yazılımına sorun olması halinde sistem yöneticisine mail at dersiniz, oraya mail server ipsi yazarsınız, sonra mail server üzerinde bu sunucu ip adresi için relay izni verirsiniz, bu durumda bu sunucudan gelen mailler spam olarak algılanmaktadır. Çünkü mail genelde sunucu@cozumpark.local, veya bilgi@cozumpark.local vb şirket içi bir mail uzantısı ancak mailin nereden geldiğini anlayacağınız bir isim ile geliyor, oysaki böyle bir kullanıcı olmadığı içinde outlook bunu direk junk klasörüne taşır.

Bunun için isterseniz sunucu isminde bir AD kullanıcı açıp, posta kutusu tanımlayıp server yazılımınada eğer imkan sunuyor ise şu ( sunucu ) kullanıcı adı şifre ile mail at derseniz bu durumda Hakan kullanıcısnın Serkan kullanıcısına mail göndermesinden farkısız bir durum olacağı için sizin server’ ın gönderdiği mailler inbox’ a düşer. Ancak gerçek hayatta böyle birşey yapmak yani her mail atan, printer, fax, storage, server vb sistemler için kullanıcı açmak pek mümkün değil.

Peki ne yapmalıyız böyle bir durumda, bunları güvenilen alıcılar listesine eklemeliyiz ki zaten makale konusuda budur.

Peki başka neye bakar outlook ?

Eğer mail sender adresi ile MAIL FROM farklı ise yine junk klasörüne taşınır.

Son durumda ise eğer mail resim ve external link içeriyor ise yine junk olarak algılanmaktadır.

Peki gelelim bu işin çözümüne, outlook 2007 olsun 2010 olsun biz zaten elle eğer gerçekten junk olmaması gereken bir kullanıcı için güvenilen alıcılar listesine bunu elle ekleyebiliriz

Amacımız ise bunu GPO ile yapmak. Bu durumda ihtiyacımız olan ilk şey custom adm dosyaları, office uygulamaları ile ilgili bir GPO ya ihtiyacımız olduğu için office 2007 ve ya office 2010 adm indirmemiz gerekmektedir. Ben anlatımlarımı office 2010 a göre yapacağım ancak office 2007 de birebir aynı çalışmaktadır.

Öncelikle aşağıdaki linkten office 2010 adm dosyamızı indirelim.

http://www.microsoft.com/en-us/download/details.aspx?id=18968 

Eğer Outlook 2013 için bir çalışma yapacaksanız aşağıdaki linkten admx dosyasını indirebilirsiniz.

http://www.microsoft.com/en-us/download/details.aspx?id=35554

Not; Burada adm noktasında fark olmadığı için sizlerin outlook versiyonları 32 veya 64 bit olması önemli değil.

Birde ek olarak Outlook 2010 için ( Outlook 2013 için bu dosya gerekli değildir, Office 2013 admx şablonları içerisinde bu ayar zaten vardır )

outlk14-junkemailtrigger.adm

Outlook 2007 için

outlk12-junkemailtrigger.adm

dosyalarına ihtiyacımız vardır.

Bu dosyalarıda aşağıdaki linkten indirebilirsiniz;

Outlook 2010: outlk14-junkemailtrigger.adm

Outlook 2007: outlk12-junkemailtrigger.adm

Outlook 2003: outlk11-junkemailtrigger.adm

Junkemailtrigger.adm ek bir adm olup temelde biz her ne kadar GPO ile safesenderlist dağıtsak bile outlook bunu algılamamaktadır.

Yani siz GPO üzerinden safelist dağıttıktan sonra istemci makinede kayıt defterini açın ve aşağıdaki gibi bir değer görürsünüz

Fakat sorun outlook açılırken bu bölümü kontrol etmez. Bunu kontrol etsin diye aşağıdaki kayıt defteri girdisini elle yapmak yerine bu adm bu işi otomatik olması için bize gpo üzerinde bir ayar imkanı tanıyor

Key: HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\1x.0\Outlook\Options\Mail

Veya

Key: HKEY_CURRENT_USER\Software\Microsoft\Office\1x.0\Outlook\Options\Mail

DWORD: JunkMailImportLists

Value: 1

1x.0 sizin outlook versiyonunuza göre değieşen bir değer (11.0 = Outlook 2003, 12.0 = Outlook 2007, ve 14.0 = Outlook 2010).

Evet şimdi ise sıra DC üzerinde bir GPO oluşturmaya veya var olan GPO içine bu ADM eklemeye geldi. Bu konu son derece basit olduğu için detaylandırmıyorum ve hali hazırdaki bir GPO içinde bu ADM’ leri ekliyorum

Bu GPO bir kullanıcı policy olduğu için user configuration altında Administrative Template bölümüne geliyor, sağ tıklayarak “Add/Remove Tepmplates” bölümüne tıklıyoruz

Outlk14.adm ve outlk14-junkemailtrigger.adm dosyalarını gpo içine import ediyoruz.

Artık yeni ayarlarımız gpo içerisine geldi.

Yukarıdaki yolu izleyerek ilk olarak “Trigger to apply junk email list settings” policy değerini “enabled” olarak değiştiriyorum. İkinci olarak ise “Specify path to Safe Senders list” ayarını aşağıdaki gibi belirliyorum

Örnek path

\\CP-DC1\SYSVOL\cozumpark.com\scripts\SafeSender.txt

Not; eğer 1000 veya daha fazla kullanıcı varsa veya DC lerinizin performansına güvenmiyorsanız lütfen bu txt dosyasını DC üzerine değil file server üzerine koyunuz.

Peki txt içeriği nasıl olacak ? Her satıra bir mail adresi olacak şekilde

Evet hepsi bu kadar. Artık bu GPO yu alan outlook’ ların safe sender listesine bakarsanız otomatik olarak bu txt içerisindeki mail adreslerinin eklendiğini göreceksiniz.

Önemli not; Bu GPO uygulandıktan sonra eğer outlook 2010 programlarınız açılırken crach oluyor ise office uygulamasını güncellemeyi deneyin.

Benzer durum outlook 2007 lerde olmadı ancak bunun sebebi outlook 2007 ler artık eski olduğu için yama noktasında sıkıntı olmuyor, ancak siz bu sorunu outlook 2007 içinde yaşarsanız yapmanız gereken konu güncel SP ve yamaları geçmek olacaktır.

Eğer Outlook 2013 için bu çalışmayı yapmak istiyorsanız adm yerine admx kullanmak zorundasınız. Bu nedenle adm yükleme adımlarından farklı olarak admx yükleme adımlarını anlatmak istiyorum;

Malum adm değil admx kullanıyoruz. Bu nedenle eğer outlook 2013 için böyle bir çalışma yapacaksanız ilk olarak domain controller üzerinde central store oluşturmak gerekli. Windows Server 2008 / 2008 R2 domain controller makinelerde ADMX policy definition ve dil şablonları aşağıdaki dizinde bulunmaktadır;

%SYSTEMROOT%\PolicyDefinitions

Biz buradaki dosyaları %SYSTEMROOT%\SYSVOL\domain\Policies\PolicyDefinitions altına taşıyacağız.

Not; eğer 2003 den 2008, 2012 geçişi yapmış iseniz SYSVOL klasörünüzün ismi değişik olacaktır ( SYSVOL_DFSR olacaktır )

Aşağıdaki komutu kullanarak buradaki dosyaları sysvol üzerine taşıyoruz

xcopy /E “%SYSTEMROOT%\PolicyDefinitions” “%SYSTEMROOT%\SYSVOL\domain\Policies\PolicyDefinitions\”

Ardından download ettiğiniz Admx ve Adml dosyasını doğru yere atmak gerekli.

Bunun için indirdiğimiz dosyayı açıyoruz.

admx klasörü içerisinde ihtiyaç duyduğunuz admx dosyasını ( örneğin outlk15.admx ) %SYSTEMROOT%\SYSVOL\domain\Policies\PolicyDefinitions\ altına kopyalıyoruz.

Sonra yine admx dosyasına dönüyoruz ve en-us klasörü içerisindeki dil dosyasınıda ( örneğin outlk15.adml ) %SYSTEMROOT%\SYSVOL\domain\Policies\PolicyDefinitions\en-US altına kopyalıyoruz.

Artık GPO objesini açıp outlook 2013 veyta office 2013 ayarlarını görebilirsiniz.

Umarım faydalı bir makale olmuştur.

Bir sonraki makalemizde görüşmek üzere.

Exit mobile version