Exchange Server’ın güvenliğini sağlamak için kullanabileceğimiz güzelliklerden birisi de Terpitting fonksiyonudur.
Biliyoruz ki günümüzde Spam olayı iyiden iyiye artmıştır ki bu olayı artık ticarete dökenler bile vardır. Alıcı nesnelerin (Recipient Lookup) kontrol edilmesi işlemi önemlidir. Yani size bir dış mail sunucusundan mail geldiğinde alıcı kişinin sizin organizasyonunuzda olup olmadığını doğrulamak gerekiyor. Bu işlemi eğer sunucularımızın önünde bir Edge Transport Server rolü kurulmuşsa gelen mail için gönderici sunucuya “250 2.1.5 Recipient OK” bilgisini göndermektedir. Bu durum directory harvest attack yapacaklar için ideal bir durumdur aslında.
Directory harvest attack kısaca tanımlamak gerekirse, doğru ve kullanılmakta olan email adreslerini toplamak için kullanılan bir yöntem diyebiliriz. Yani size bir bilgi geliyor ve yukarıdaki makalede de bahsettiğim gibi Edge Transport Server karşı tarafa “Recipient OK” bilgisini göndermektedir. Bu durum da alıcı onaylandığı için bu kişiye ait olan email adresi de artık alınmış olacaktır. Kısacası artık email adresimiz Spammer’ların elinde diyebiliriz.
Directory Harvest Attack’lara karşı Exchange Server 2010’un Tarpitting özelliği vardır. Tarpitting özelliği sayesinde bilinmeyen yada spam olabilecek olan maillere geç cevap verilmesini sağlar yani bir nevi gönderilecek cevabı bekletir (delay eder).
Eğer Tarpitting özelliği aktif edilmemişse (ki default yapıda aktiftir), Recipient Lookup yapıldığında yani alıcı kişi kontrol işlemi yapıldığında eğer kullanıcı bulunamazsa karşı tarafa “550 5.1.1 User Unknown” bilgisi gönderilecektir. Tarpitting aktif edilmiş durumda ise karşı tarafa gönderilecek bilgi tanımlanan süre kadar bekletilir, bu şekilde bir bekletilme olayı ise Directory Harvest Attack’ları zorlaştırmaktadır. Tarpitting özelliği default olarak aktiftir demiştik ve bu süre 5 saniyedir. Ve bu değer Recieve Connector’ler üzerinde tanımlıdır.
Şimdi isterseniz bu değerleri kontrol edelim ve tanımlamalarını yapalım.
Get-receiveConnector | select name,tarpitinterval komutunu çalıştırdığımızda karşımıza yukarıdaki tablo gelmektedir. Yukarıdaki yazımızda da bahsettiğimiz gibi default olarak bu özellik aktiftir ve kullanılmaktadır. Şekilde görüldüğü gibi değerin 5 saniye olduğunu görebiliyoruz. Microsoft tarafından önerilen değer de budur.
Yukarıdaki komut ile bütün Receive Connectorlerin Tarpitinterval değerlerini sıfır (0) saniyeye çekiyoruz.
Komutumuz;
Get-ReceiveConnector | set-receiveconnector –tarpitinterval 00:00:00
Tekrar Get-receiveConnector | select name,tarpitinterval komutumuzu çalıştırdığımızda yukarıdaki şekilde de görüldüğü gibi Tarpitinterval değerleri sıfır saniye olarak ayarlanmıştır. Ancak bu önerilen durum değildir.
Exchange Server üzerindeki tanımlanmış olan Receive Connectorlerimizi listeliyoruz.
Bu sefer sadece bir Receive Connector üzerinde Tarpitinterval değerini değiştireceğim. Daha önce bütün değerleri sıfır saniye yapmıştık. Şimdi özel bir connector için 30 saniye tanımlayacağım.
Komutumuz; Set-ReceiveConnector “Default Preexc14-cas01” –Tarpitinterval 00:00:05
Default Preexc14-cas01 benim organizasyonumdaki Receive Connector ismidir. Bu sizin organizasyonunuzda farklı olabilir. Dolayısı ile oraya siz kendi Receive Connector ismini yazmalısınız.
Get-receiveConnector | select name,tarpitinterval komutumuzu tekrar çalıştırdığımızda, şekilde de görüldüğü gibi Connectorlerimizden birisinin Tarpitting değeri 30 saniye olmuş durumdadır.
Şekilde tarpitinterval değerini bir connectore has olacak şekilde düzenliyoruz ve sonucunu alıyoruz.
Evet bu şekilde ise Microsoft’un önermiş olduğu yapıya Receive Connectorlerimizin konfigürasyonunu çekiyoruz. Tarpitinterval değerini 5 saniye olarak tanımlıyoruz.
Exchange Server yapımızı Directory Harvest Attack’lara karşı korumak için bu özelliği kullanabiliriz. Böylece kullanıcılarımızın mail adresleri spam listelerinde yer almamış olur, en azından biz üzerimize düşen görevi yerine getirmiş oluruz.
Kaynak: