Exchange Server 2007 (Single Server)

Exchange 2007 beraberinde getirdiği çok katmanlı yapı sayesinde güvenliği artırmayı hedeflemiştir. Kurulum işlemi farklı rolleri farklı sunucular üzerinde tutabilmemizi sağlamaktadır. Her rolün kendine biçilen görevi yapabilmesinin bazı şartları vardır. Bunlardan bir tanesi Edge Transport rolünün diğer hiçbir rolü barındırmayan bir sunucu üzerine kurulması gerekliliğidir. Bu durumda direk olarak internete bakacak ve doğal olarak dış dünyadan alınacak veya dış dünyaya iletilecek mesajlardan sorumlu  bir Exchange sunucusu ve onun haricinde bir de internal işlemlerden sorumlu bir Hub Transport sunucusuna ihtiyaç duyacağız. Elbet çoğu zaman sadece bir sunuculu sistemler ile çalışma mecburiyeti güvenlik açısından çok daha güvenli bu katmanlı yapının uygulanmasını imkansız hale getirebilir. Bu durumda Typical kurulum seçeneğini kullanarak Edge Transport rolünü kurmaksızın kurulumu tamamlamamız gerekecektir.

 

 

Kurulumun bitiminde default ayarları ile Exchange 2007’nin diğer Exchange sunucular ile  email alış verişi  yapabilmesi mümkün olmayacaktır.Sunucumuza mail bırakmak istendiğinde  göndericiye bu hata mesajı dönecektir “ #530 5.7.1 Client was not authenticated ##  “ . Sebebi default connector izinlerinin yeterli olmamasıdır. Bu durumda Hub Transport rolüne bu işlemi gerçekleştirmek için default  connector’ün  üzerinde permission atamamız gerekecektir. Bunun içinde Exchange Management Shell kullanmamız gerekecek. Shell’de aşağıdaki komutu yazarak diğer sunucuların Exchange 2007’ye bize ait mesajları bırakabilmelerini sağlayacaktır.

 

 

 

 

set-ReceiveConnector “Default sunucuismi” -permissiongroups:”ExchangeUsers,ExchangeServers,ExchangeLegacyServers,AnonymousUsers”

 

Bir diğer işlem de elbet sunucumuzun kullanıcılarımız için üreteceği email adresi politikalarıdır. Sunucumuzun hangi suffix’ e sahip emailler üreteceğini belirlememiz gerekecektir. Bunun için yapmamız gereken öncelik ile Management Console’u kullanarak Organization Configuration kısmından Hub Transport alt başlığına ulaşmamız gerekecek.  Hub Transport başlığını seçtiğimizde yan tarafta görülecek sekmelerden öncelik ile Accepted Domains kısmına ulaşmalıyız.

 

 

Burada sunucumuzun kabul etmesini istediğimiz domainleri belirtebiliriz.

 

 

Bu işlemden sonra sistemimizdeki kullanıcılar için üretilecek email adres ve biçimini belirleyebilmek için Email Address Policies sekmesini seçelim.

 

 

 

 

Burada kuralımızın görünür ismini belirleyip Next dediğimizde kuralın uygulanacağı  objeleri hangi kıstasları göre seçeceğimiz belirteceğimiz Conditions ekranına ulaşacağız. Örnek olarak Muhasebe departmanındaki kullanıcılara @kanaryam.com suffix li emailler oluşturmak istersek bu filtreyi burada uygulamalıyız.

 

 

 

 

 

 

Burada bir önceki ekranda süzdüğümüz kişilere hangi formatta ve hangi domain isminden email adresi oluşturulacağını belirtebiliriz. Örneğin isim.soyisim@kanaryam.com veya soyisim.isim@kanaryam.com gibi.

 

 

 

 

Kuralı oluşturduğumuzda istediğimiz formatta belirttiğimiz domainden filtrelediğimiz objelere email adresleri üretilecektir. Burada dikkat edilmesi gereken husus daha evvel Accepted Domains kısmından eklediğimiz domainleri burada seçiyor olabilmemizdir.

 

Bir başka dikkati çekecek problem ise IMF gibi anti-spam çözümlerini default olarak Hub Transport rolü kurulu makinada göremeyecek olmamızdır. Exchange 2003 ile yeni açılımlara giren anti spam çözümleri Exchange 2007 ile daha da güçlenmiş olarak kullanıma sunulmuştur. Bu özelliğin Typical Installation seçeneği ile kurulmuş  Exchange 2007 ‘de aktif edilebilmesi için yine Exchange Management Shell’de bir script  çalıştırmamız gerekecek. Scripti C:Program FilesMicrosoftExchange ServerScripts yolunu takip ederek bulabiliriz.Çalıştırılacak scriptin adı install-AntispamAgents.msh’tır

 

[MSH] C:Program FilesMicrosoftExchange ServerScripts>.install-AntispamAgents.msh

 

 

Script i Exchange Management Shell’de çalıştırdığımızda yukarıda görüleceği üzere Anti-Spam için kullanılacak argumanlarımızın Enabled durumlar True hale getirilecektir. Daha sonra Exchange Management Console’u kullanarak Organization Configuration kısmından Hub Transport alt başlığına ulaştığımızda   Hub Transport ‘ a bağlı menulere Anti-Spam isimli bir menünün de eklendiğini göreceğiz. Biraz gezinti yaptığımızda daha evvel Exchange 2003 SP’ ile gelen IMF ve Sender ID gibi özelliklerin daha da kolaylaştırıldığını göreceğiz. Menülere gözatacak olursak Content Filtering özelliği hemen dikkatiniz çekecektir.

 

 

 

 

Daha evvel Custom Weight List (CWL) hazırlayarak yaptığımız belirli kelimlerin geçtiği emaillerin şirket bünyesine girmeden exchange tarafından bertaraf edilmesi işlemi burada çok kolay hale getirilmiş.

 

 

 

 

Bu pencerede alt tarafta belirteceğimiz kelimelerin geçtiği mesajlar Exchange tarafından block edilecektir. Tabii ki üst bölümde belirtilmiş bir kelime geçmemesi şartı ile.

 

 

Bazı email adresleri için istisnalar oluşturarak bu filtreleme işlemine tabii tutulmadan mail sunucumuza ulaşmalarına olanak verebiliriz.

 

 

 

 

Action kısmında da Spam Confidence Level ‘ı yani bir emailin spam olma olasılığı için yapılan puanlama ne olursa Exchange ne yapsını belirtebiliriz. Örneğin mesaj Exchange tarafında yapılan değerlendirmesi 7 olursa bu mesaj sistem tarafından Reject edilecek yani reddedilecektir. Burada yine bizim belirtmemiz ile sistem belli bir puana sahip mesajları kullanıcının Önemsiz Posta kutusuna (Junk Mail) koyabilir.

 

Yine Recipient Filtering özelliği ile Recipient listemizde olmayan alıcılar için yollanan emailleri bloklayabiliriz veya Recipient listemizde olmasına rağmen belirli kullanıcıların email almasını engelleyebiliriz.

 

 

 

 

Sender Filtering bölümünde de belirli email adreslerinin veya domainlerin  sistemimize mesaj atmasını engellemek mümkün olacaktır. Böylelik ile aynı domainden gelen spam maillerin engellenmesi de sağlanmış olacaktır.

 

 

 

 

RBL olarak tanımlanan SPAM üreten sunucuların girdiği bir listenin kullanımı ile size ulaşan bir mesajın size teslim eden sunucusunun bu listede olup olmadığını kontrol ettirerek sistemimizi SPAM a karşı korumuş oluruz. Bu listeler bizim sunucumuzun sorgusuna çeşitli cevaplar ile dönebilirler. Örnek olarak mesajı bizim suncumuza teslim eden mail sunucusu için SPAM yapıp yapmadığının kontrolü için  RBL sunucusuna yapılan sorguya  dönen cevapta 127.0.0.1 – Blocklist , 127.0.0.2 – Known Open Relay veya 127.0.0.4 – DialUp IP Address gibi sonuçlar  gözükebilir.

 

Sunucumuzun RBL sağlayıcısının döndürdüğü cevabı bizim istediğimiz kriterlerde değerlendirmesini sağlamak için bazı seçeneklerimiz vardır . Match to any return code seçeneği default olarak seçili gelir ve RBL hizmeti veren sunucuya sistemimiz tarafından  yapılan sorguya RBL hizmeti veren sunucunun pozitif bir cevap dönmesi durumunda cevabın yukarıda örneklendirdiğimiz herhangi bir kodu içermesi önemli olmaksızın bloklama işleminin yapılmasını sağlayacaktır. Match to any of the following code seçeneği ise sunucunun döndüğü cevapta  bizim belirttiğimiz kodlardan biri var ise örneğin 127.0.0.2 (DialUp IP) bloklamayı gerçekleştimemize yarayacaktır. Match to the following mask seçeneği ile de sağlayıcınıza göre bit Mask belirleyebiliriz.  IP Block List Provider Error Message  ile de karşı tarafa gönderilecek hata mesajını özelleştirebiliriz.

 

 

Sender Reputation özelliği sayesinde gönderici sunucunun hakkında tutulan çeşitli istatiksel bilgiler de kullanılarak ve bu bilgilere çeşitli test sonuçlarıda eklenerek sunucunun itibarı değerlendirilir. Bu değerlendirme SRL olarak adlandırılan bir puanlamadır . Yukarıda bahsettiğimiz çeşitli istatiksel bilgileri biraz açacak olursak örneğin gönderici sunucunun daha evvel yolladığı mesajların yukarıda da  bahsettiğimiz Content Filtering özelliği ile oluşturulan SCL geçmişi de baz alınacaktır. Bunlara ilave Sender Reputation’ın yapacağı testlere de örnek olarak Reverse DNS Lookup ve Open Relay testlerini verebiliriz.

 

 

 

 

Yukarıda bahsettiğimiz istatiksel ve test sonuçları neticesinde yapılan değerlendirme ile göndericinin mail sunucuna bir puan verilecek (SRL) ve bu puanlamayı Action kısmındaki scala değeri ile bloklamamız olanak dahilinde olacaktır. Default ayarlarında başlangıç aşamasında analiz yapılmamış her sunucunun SRL değeri sıfır olarak kabul edilir. Gönderici sunucunun yolladığı mesaj sayısı yirmi adeti bulduğunda onun için bir SRL değeri hesaplanır ve sonuca göre belirtilen saat müddetince IP Block List’e alınır.

 

 

 

 

Bütün bu yenilikleri ile Exchange 2007 gerçek manada SPAM mesajları Exchange 2003’e nazaran çok daha agresif olarak engelleyebileceği intibaı bırakıyor. Elbet daha beta sürümü durumundaki Exchange 2007 piyasaya çıktığında gerçek hayat şartlarında gerçek marifetlerini bize gösterebilecek ve bu özelliklerin ne kadar kullanılabilir olduğunu ancak o zaman değerlendirebileceğiz.

 

Exit mobile version