Exchange Server: Giriş
E-Posta Sistemleri
Günümüzde sosyal mühendislik gibi bir çok saldırı posta yolu ile gerçekleşmektedir. Bu sebeple posta sunucularının güvenliğine önem vermek gerekmektedir.
Elektronik posta (e-posta) sistemleri iki öğeden oluşur:
- Elektronik posta sunucular (mail server) : Exchange Server, Lotus Notus Mail Server, Send Mail, Qmail ve Postfix gibi genellikle sunucu üzerinde çalışan ve e-posta hizmeti veren programlardır.
- Elektronik posta istemciler (mail client) : Outlook Express, Thunderbird, PowerMail gibi kullanıcı bilgisayarlarında çalışan ve adımıza açılmış olan bir e-posta hesabına erişmek için kullandığımız uygulama programlarıdır.
Güvenilir Bilgi İşleme
Daha önceki Exchange Server sürümlerinde posta kutusu (mailbox) ve kullanıcı işlemlerinin tamamı, Aktif Dizin üzerinden gerçekleştirilirdi ve bu durum Aktif Dizin üzerine büyük bir yük oluşturmaktaydı. Exchange Server 2007 ile birlikte bu işlemler Exchange Server Management Console (EMC) veya PowerShell üzerinden gerçekleştirilebilmektedir.
Exchange Server 2007 ile birlikte kurulum ile beraber güvenlik sağlanmaktadır. Güvenlik için sıkılaştırma işlemlerinin bir çoğu yapılmış olarak kurulumla gerçekleşmektedir. Exchange Server 2007 ve sonraki sürümlerde Microsoft tarafından Güvenilir Bilgi İşleme (Trustworthy Computing) metodu kullanılmaktadır. Kullanılan SDLC (Security Development Lifecycle) ile daha güvenilir bir sistem hazırlanmıştır. Trustworthy Computing, temel olarak aşağıdaki başlıklarda güvenliği kapsamaktadır:
Daha önceki Exchange Server sürümlerinde posta kutusu (mailbox) ve kullanıcı işlemlerinin tamamı, Aktif Dizin üzerinden gerçekleştirilirdi ve bu durum Aktif Dizin üzerine büyük bir yük oluşturmaktaydı. Exchange Server 2007 ile birlikte bu işlemler Exchange Server Management Console (EMC) veya PowerShell üzerinden gerçekleştirilebilmektedir.
Exchange Server 2007 ile birlikte kurulum ile beraber güvenlik sağlanmaktadır. Güvenlik için sıkılaştırma işlemlerinin bir çoğu yapılmış olarak kurulumla gerçekleşmektedir. Exchange Server 2007 ve sonraki sürümlerde Microsoft tarafından Güvenilir Bilgi İşleme (Trustworthy Computing) metodu kullanılmaktadır. Kullanılan SDLC (Security Development Lifecycle) ile daha güvenilir bir sistem hazırlanmıştır. Trustworthy Computing, temel olarak aşağıdaki başlıklarda güvenliği kapsamaktadır:
- Tasarımda Güvenlik: Ürünün tasarlanması sırasında güvenilir kod geliştirmek için gerekli olan araçlar ve tekniklerden faydalanılmıştır.
- Kendiliğinden Güvenlik: Güvenilir bir sistemin sağlanması için en önemli konulardan birisi iletişimin güvenilir hale getirilmesidir. Bu amaçla SMB (Server Message Block) ve bazı UM (Unified Messaging) iletişimleri hariç tüm iletişimlerde Kerberos protokolü, sertifika, SSL (Secure Sockets Layer), diğer bazı endüstriyel şifreleme teknikleri kullanılmaktadır.
- Zararlılara Karşı Güvenlik: SPAM maillere karşı ajanlar yüklü olarak gelmektedir. Daha önceki versiyonlarda ajanlar kullanılmamaktaydı. Bunun yanında Microsoft Forefront Protection ile virüslere karşı önlem oluşturulmuştur.
- Dağıtımda Güvenlik: Exchange Server kurulumu sırasında en iyi alıştırmalara göre “Microsoft Exchange Server Best Practices Analyzer” ile sistem analizi gerçekleştirilebilmektedir. Bunun yanında mail sunucuda yapılacak işlemler için yönetici ve standart kullanıcılar için En Az Yetki Prensibi’ne göre hazırlanmış rol tabanlı bir izin modeli oluşturulmuştur.
İletişim Protokolleri
Exchange ortamında temel olarak 5 adet protokol kullanılmaktadır:
Not: Posta iletişiminin sağlanabilmesi için DNS’e MX kaydının girilmesi gerekmektedir.
Not: Ortak klasörler ile Exchange sisteminde dosya, kontakt, takvim, mail, forum gibi kaynaklar tek kopya üzerinden bir çok kullanıcının erişimine açıldığı klasörlerdir. Exchange Server 2013 mimarisinde bu klasörler artık veritabanı yerine özel olarak dizayn edilmiş posta kutusu (mailbox) bazlı olarak oluşturulmaktadır.
Exchange ortamında temel olarak 5 adet protokol kullanılmaktadır:
- HTTP: Veriler ağ üzerinden açık olarak geçmektedir.
- IMAP4 & POP3: Yerel kullanıcıların uzaktaki bir e-posta sunucusuna erişmesini sağlayan bir uygulama katmanı protokolüdür. Veriler ağ üzerinden açık olarak geçmektedir. IMAP ile E-Posta sunucusuna bağlantı kurulduğunda, kutuda birikmiş e-postaların sadece başlık bilgilerini istemciye getirir. POP3 ise bütün mesajları istemciye çeker.
- SMTP: Posta gönderilmesi için kullanılan protokoldür. Tek yönlü bir protokoldür (sadece gidiş). E-posta, e-posta sunucuları arasında aktarılırken de SMTP kullanılır. Veriler ağ üzerinden açık olarak geçmektedir. İstemci bilgisayar SMTP sunucusuna bağlanarak gerekli kimlik bilgilerini gönderir. Onay verildiğinde posta SMTP sunucusuna iletilir.
- MAPI: Posta uygulamalarının sunuculardan posta alırken veya posta gönderirken kullandıkları arabirim protokolüdür. Exchange Server 2010 öncesinde kullanıcılar MAPI (Messaging Application Program Interface) aracılığıyla Mailbox sunucusuna ulaşabiliyorlardı. 2010 ile beraber bu değişmiştir. Mailbox server diğer sunucu rolleri ile MAPI bağlantısı üzerinde konuşur. Sadece ortak klasörlere (public folder) erişmek için MAPI kullanan son noktalar direk olarak Mailbox’a ulaşır.
Not: Posta iletişiminin sağlanabilmesi için DNS’e MX kaydının girilmesi gerekmektedir.
Not: Ortak klasörler ile Exchange sisteminde dosya, kontakt, takvim, mail, forum gibi kaynaklar tek kopya üzerinden bir çok kullanıcının erişimine açıldığı klasörlerdir. Exchange Server 2013 mimarisinde bu klasörler artık veritabanı yerine özel olarak dizayn edilmiş posta kutusu (mailbox) bazlı olarak oluşturulmaktadır.
Hiç yorum yok:
Yorum Gönder