19 Mayıs 2013 Pazar

Exchange Server: Anti-Spam Koruması (3)


Exchange Server: Anti-Spam Koruması (3)

Anti-virüs Koruması
Spam yanında Exchange ortam virüslere ve diğer zararlı yazılımlara karşı da korunmalıdır. Bu amaçla Exchange ortamı için özelleşmiş olan anti-virüsler tarafından korumaya alınmalıdır. Exchange Server 2010 üzerinde bir takım AV özellikleri barındırmasına rağmen farklı üreticilere ait çözümler de tercih edilmelidir.
Exchange Server 2010 ortamında anti-virüs koruması aşağıdaki yollarla gerçekleştirilebilir:
  • Exchange Server 2003 sürümünden beri deskteklenen VSAPI  (Virus Scanning application programming interface) ile virüslere karşı koruma sağlanır. Bu arayüz Mailbox sunucuda sağlanmaktadır. VSAPI postaları tarayarak virüs temizlemez, sadece AV ürünlerine bir arayüz sağlayarak tarama ve virüs temizleme için destek verir. VSAPI; CDO (Collaboration Data Objects), WebDAV ve Exchange Web Services (EWS) veritabanlarının tarayan tek çözümdür. Ayrıca mail veritabanındaki bir saldırıya ilk karşılık verecek olan da VSAPI’dir.
  • Transport ajanları ile virüs ve diğer zararlılara karşı koruma sağlanır.
  • Tarama damgaları kullanılarak bir postanın hangi AV tarafından analiz edildiği, analiz sonucu gibi bilgiler edinilebilir. 
  • İstemci bilgisayarlarda AV çözümleri kullanılabilir.
  • Exchange sunucuda dosya sistemi AV çözümleri kullanılabilir. Mailbox ve Ortak Klasörler gibi bazı veritabanları taramadan hariç tutulması tavsiye edilmektedir. Dosya sistemi AV çözümleri sadece dosya koruması sağlar. Posta koruması için Exchange için özelleşmiş AV çözümleri veya MS Forefront gibi ürünlerle birlikte çalışabilen mesajlaşma güvenliğini sağlayan çözümler tercih edilmelidir.
  • Spam ve virüs filtreleme bir servis olarak da kullanılabilmektedir. Exchange, Hosted Services olarak adlandırılan 4 farklı servis sağlanmaktadır. Bu servislerle zararlılara karşı filtreleme koruması sağlanmakta, denetim uyumluluğunun sağlanmasına yardımcı olunmakta, veri şifrelemesi gerçekleştirilmekte, postalara erişim sürekliliği arttırılmaktadır.
Exchange Server sisteminde, AV, SMTP Gateway üzerinde kullanılabilir. Bunun yanında koruması gereken en önemli nokta olan Edge Transport sunucusunda da AV korumasının bulunması tavsiye edilmektedir. Ayrıca daha etkin bir koruma için transport tabanlı AV yazılımları Hub Transport sunucuları üzerinde de kurulmalıdır. Çünkü her durumda postaların geçiş noktası Hub Transport sunucular olacaktır.
Anti-Spam korumasında bahsedilen güncelleme, planlama, izleme gibi konular AV koruması için de geçerlidir.


Outlook Junk E-mail Filtering
Bu adımların hepsinden geçen postalar sahibine başarı ile ulaşır. Ulaşan posta, mesajın gelme zamanına, yapısına, damgalarına, içeriğine, metadata bilgisi ve daha bir çok bilgisine bakarak mesajı Gereksiz Posta Kutusu’na veya Gelen Kutusu’na taşınır.
Eğer bir posta, birden fazla kişiye gönderilmiş ve bazı kişiler engelli ise sadece engelli kişilere bu posta ulaşmaz.


Son Sözler
Raporlama
Exchange Server 2010, anti-spam aktivitelerinin izlemek amacıyla bir takım özel betiklerle gelmektedir. Bu betikler ile en çok engellenen gönderici SMTP domainleri, IP adresleri, en çok kullanılan RBL (Gerçek Zamanlı Engelleme Listesi) sağlayıcıları, en çok engellenen alıcılar raporlanabilir. Bu betikler “<Exchange_Install_Path>\Scripts” klasörü içerisinde bulunur.

Güncelleme
Microsoft Exchange Server 2010 Anti Spam korunmasını güçlendirmek ve sürekliliğini sağlamak için haftada veya iki haftada bir güncelleme işlemi gerçekleştirilmelidir. Güncelleme işlemi ile Content Filter (SCL oranlarının güncelliği sağlanır), Spam imzaları, IP Reputation kayıtları (spam posta gönderen IP adres listesinin güncelliği sağlanır) güncellenir. Güncelleme işlemleri için Anti-Spam özelliği etkin olan sunucunun proxy veya direk olarak internete erişmesi veya WSUS ile bağlantılı olması gerekmektedir.

Planlama
Bunun yanında daha etkin bir koruma için zararlının ilk aşamalarda (Connection Filtering aşaması gibi) tespit edilmesi önem arz etmektedir.
Sonuç olarak, organizasyondaki spam etkinliğini azaltmak için sistemi iyi planlamak, yapılandırmak, izlemek ve güncellemek gerektiğini söyleyebiliriz.

Kaynak siteler:
http://technet.microsoft.com/en-us/library/aa997242(v=exchg.141).aspx
http://mscerts.programming4.us/application_server/Exchange%20Server%202010%20%20%20Planning%20for%20Anti-Spam%20(part%201).aspx

Exchange Server: Anti-Spam Koruması (2)


Exchange Server: Anti-Spam Koruması (2)


Connection Filtering
Bağlantıyı doğrulayan filtredir. Postanın bu filtreye takılmadan yoluna devam edebilmesi için sırayla 4 kontrol gerçekleştirilir. Bu kontroller şunlardır:

  • IP Allow Lists: Güvenilir IP adreslerinin tutulduğu statik listedir. Bu listeye beraber iş yapılan organizasyonların SMTP sunucularının IP kayıtları girilebilir. Bu kontrol atlatıldığı zaman diğer kontroller gerçekleştirilmeden sonraki filtreye geçilir.
  • IP Block Lists: Güvenilmeyen IP adreslerinin tutulduğu statik listedir. Bu listeye spam gönderen veya iletişim kurulması istenmeyen SMTP sunucularının IP kayıtları girilebilir. Bu kayıt değeri için sona erme (expire) zamanı ayarlanarak geçici süreli blok listesi oluşturulabilir. Bu kontrolden kalındığı zaman diğer filtreler uygulanmadan posta reddedilir.
  • IP Allow List Provider Services: 3. taraf sağlayıcılar, güvenilir IP adreslerinin kayıtlarını bir liste olarak tutarlar. Bu listenin güncelliği ve güvenilirliğinden bu sağlayıcılar sorumludurlar. Bu sağlayıcıların oluşturduğu listeler kullanılarak güvenilir IP adreslerinin tutulduğu dinamik bir liste elde edilir. Bu kontrol atlatıldığı zaman diğer kontroller gerçekleştirilmeden sonraki filtreye geçilir. 
  • IP Block List Provider Services: 3. taraf sağlayıcılar, güvenilir olmayan IP adreslerinin kayıtlarını da bir liste olarak tutarlar. Bu kontrolden kalındığı zaman diğer filtreler uygulanmadan posta reddedilir. Çok fazla sayıda liste sağlayıcının kullanılması doğrulama sürecini arttıracağı göz önünde bulundurularak, en fazla 3 tane sağlayıcının kullanılmasına özen gösterilmelidir.

False-pozitif sonuçların azaltılması için denetim kayıtları (loglar) sık sık kontrol edilmeli, gereksiz yere engellenen IP adreslerinden yasak kaldırılmalıdır. Ayrıca logların çok fazla artabileceği ve kontrol altına alınması gerektiği de unutulmamalıdır.


Sender Filtering
“Mail From” ile belirtilen gönderici mail adresinin veya gönderici etki alanının iznine göre postayı filtreler. Gönderici bilgisi engelli listesinde ise diğer filtreler uygulanmadan posta reddedilir. Gönderici bilgisi olmayan postalar engellenecek şekilde ayarlama yapılmalıdır. Bunun için “Block Messages That Don't Have Sender Information” seçeneği işaretlenmelidir.


Recipient Filtering
“Rcpt to” ile belirtilen alıcı posta adresinin iznine göre postayı filtreler. Alıcı bilgisi engelli listesinde ise diğer filtreler uygulanmadan posta reddedilir. Alıcısı etki alanında kullanıcısı olmayan postalar engellenecek şekilde ayarlama yapılmalıdır. Bunun için “Block Messages Sent To Recipients That Don't Exist In The Directory option in Recipient” seçeneği işaretlenmelidir.
Bu seçeneğin ayarlanması ile gönderici tarafa kullanıcının bulunmadığı bilgisi gönderilecektir. Böylece kötü niyetli bir kişi organizasyondaki kullanıcıların listesini elde edebilir. Bu saldırılara DHA (Directory Harvesting Attack) adı verilir. Bu saldırılardan korunmak için gönderici SMTP sunucusuna dönülen olumlu (“250 2.1.5 Recipient OK”) veya olumsuz (“550 5.1.1 User Unknown” ) cevap gecikmeli olarak verilmelidir. Bu gecikme süresi, Recieve Connector’ler üzerinde tanımlı olup, varsayılan olarak 5 saniyedir. Bu tekniğe Tarpitting adı verilir. Bu teknik sayesinde, kullanıcılarımızın mail adresleri spam listelerinde yer almamış olur.


Sender ID Filtering
Postanın gönderildiği SMTP sunucunun IP bilgisi ile host adını karşılaştırarak postayı filtreler. Host adı ve IP bilgisi eşleşmiyor ise posta reddedilebilir, silinebilir, SMTP kimlik doğrulamasının yapılmadığına dair bilgilendirme eklenerek bir sonraki filtreleme adımına ilerletilebilir. Postanın silinme durumunda göndericiye NDR (Non Delivery Report) gönderilecektir.
Bu filtreleme sayesinde domain adı spoofing ve phishing saldırılarına karşı etkili bir koruma mekanizması sağlanmaktadır. Bu amaçla SPF (Sender Policy Framework) kayıtları kullanılmaktadır. Bu kayıtlar posta gönderen kullanıcıların, posta gönderirken sizin organizasyonunuza ait SMTP sunucusundan postanın sizin organizasyonunuzdan gönderilmiş gibi gösterilmesinin önüne geçer. SPF kaydı, etki alanındaki her SMTP sunucusu için DNS veritabanına TXT olarak girilir. Böylece organizasyonunuzun SMTP sunucusundan mail atılıyormuş gibi mail gönderilmesi gerçekleşemez ve organizasyonunuzun marka değeri korunmuş olur. Ayrıca SMTP sunucunuzun kara listelere girmesinin önüne geçilir. SMTP sunucunuzun kara listeye girmesi sonucunda spam maili gönderen taraf olunmadığının ispatlanması için büyük zaman kayıpları yaşanabilmektedir.
Bunun yanında SPF kaydı gibi DomainKeys Identified Mail (DKIM) ve DCOM kayıtları da benzer şekillerde gönderici tarafın kimlik doğrulamasında kullanılmaktadır.

Content Filtering
SmartScreen teknolojisi Microsoft tarafından geliştirilmiş ve içerik filtreleme için kullanılan bir teknolojidir. Exchange Server 2010 üzerindeki SmartScreen teknolojisinin adı “Akıllı ileti Filtreleme (Intelligent Message Filter)“ iken, Outlook tarafında ise “Gereksiz Mail (Junk Mail)” olarak geçer. İçerik filtreleme ile posta içeriğinde belli kelimelere göre filtreleme yapılabileceği gibi, belirlenen alıcılar bu filtrelemeden hariç tutulabilir.Filtreleme işleminde SCL (Spam Confidence Level) adı verilen bir değer belirleyici kullanılır. SCL değeri -1 ile 9 arasındadır. İç sistemler, kimliği doğulanmış kaynaklar veya Connection Filtering kısmında güvenilir olduğu belirlenmiş kaynaklarla olan iletişimler için SCL değeri -1’dir ve spam tehlikesi taşımamaktadır. 0 değeri Microsoft ile olan mesajlaşmada kullanılır ve spam tehlikesi taşımamaktadır. SCL değeri 1-4 arasında ise bu postanın spam olma ihtimali düşükken, 5-9 olması durumunda ise yüksektir. SCL değeri belirlenen eşik değerinin üzerinde ise, yapılan ayarlara göre posta silinir, karantinaya alınır, reddedilir, kullanıcı “Genel Kutusu” ‘na iletilebilir veya “Junk Mail” kutusuna iletilebilir.

Sender Reputation
Postanın gönderildiği gönderici hakkında 48 saat bilgi toplanmasına dayanır. Bu süre boyunca posta engelli tutulur ve SRL (Sender Reputation Level) hesaplanır. SRL değeri 0-9 arasında olup, 0 olması durumunda posta spam değilken, 9 olması durumunda ise büyük ihtimalle spamdir. İlk defa posta gönderen bir SMTP sunucusunun SRL değeri 0’dır. Sonraki mail gönderimlerinde ise SRL değeri 4 kritere göre belirlenir:

  • HELO/EHLO analizi: SMTP komutlarından olan HELO ve EHLO ile postanın gönderildiği SMTP sunucusunun IP, domain gibi bazı bilgileri elde edilebilir. Bu bilgilerin birden fazla olması veya mailin gerçekten gönderildiği SMTP sunucusundan farklı olması durumunda postanın spam olma ihtimali artmaktadır.
  • Reverse DNS Lookup: Postanın gönderildiği IP adresinin, HELO ve EHLO komutlarının içerisindeki domain adına kayıtlı olmaması durumunda SRL değeri arttırılmaktadır.
  • SCL değeri: Content Filter ajanı tarafından hesaplanan SCL değerine göre SRL hesaplanır.
  • Open Proxy Testi: ETS rolündeki sunucu gönderici SMTP sunucusunun relay, diğer bir deyişle proxy sunucusu olup olmadığını kontrol eder. Gönderici SMTP sunucusu üzerinden kendisine posta yollar ve posta kendisine ulaşırsa SMTP sunucusunun proxy sunucu üzerinden geldiğini doğrular ve postanın SRL değerini arttırır.

Spam olması durumunda göndericiye SMTP IP adresi otomatik olarak IP Blok liste eklenir.


Attachment Filtering
Edge Transport sunucuda posta eklerine göre filtrelenebilir. HTS rolüne sahip sunucuda Anti-Spam kullanılsa dahi bu filtre uygulanamaz. Postaya 3 kritere göre filtreleme uygulanır:

  • Adına göre (viagra,… vs)
  • Uzantısına göre (*.exe,… vs). Dosya uzantısı değiştirilse bile gerçek dosya tipi tespit edilerek filtre uygulanmaktadır. Bunun yanında sıkıştırılmış dosyalar içerisindeki uzantıların da kontrolü gerçekleştirilmektedir.
  • MIME içerik tipine göre (image/jpeg,… vs)

Ek içeriğine göre filtreleme için bu filtre kullanılamaz. Bunun için Transport kuralları kullanılmalıdır.

  • Filtreleme sonucunda 3 aksiyon gerçekleştirilebilir:
  • Ek çıkartılarak posta kullanıcıya gönderilebilir.
  • Posta engellenir ve postayı gönderene posta içerisinde istenmeyen türde bir ek bulunduğu bildirilebilir.
  • Alıcı ve göndericiye geri bildirimde bulunulmadan posta silinir.


Exchange Server: Anti-Spam Koruması (1)


Exchange Server: Anti-Spam Koruması (1)

Mail aracılığı ile organizasyon sistemine girilmesinin önlemek, istenmeyen postaları istemcinin posta kutusuna ulaşmadan kesmek için exchange ortamında bir takım ayarlamalar yapmak gerekmektedir. Aksi halde sistem kaynakları boşa harcanır, gereksiz bant genişliği azalır, posta kutuları şişer, en kötüsü kullanıcılardan şikayet gelir. Microsoft Exchange Server 2007 üzerindeki AntiSpam yapısı, Exchange Server 2010 geliştirilmiştir. Exchange Server 2010, taşıdığı  Multi-Pronged Anti-Spam altyapısı yönüyle aynı zamanda bir virüs koruma özelliği de sağlamaktadır.

ETS rolündeki sunucu, exchange ortamını SPAM ve virüs gibi zararlılara karşı korumalıdır. Bu sebeple ETS üzerinde Antispam özelliği aktif edilmelidir. Anti-spam ve Antivirüs özellikleri sayesinde spam olarak algılanan mesajlar, zararlı içeriğe sahip mesajlar bu sunucu tarafından filtrelemeye tabi tutulur ve kurallarda tanımlanan düzeneğe göre hareket eder. HTS rolündeki sunucu, ETS rolünden gelen internet postalarını aldığı gibi, yapılabilecek olan ayarlamalar ile internetten gelen postaları direk olarak üzerine de alabilir. Yani ETS rolünün olmadığı durumlarda ETS rolünün görevini HTS gerçekleştirebilir. Bu durumlarda koruma mekanizmaları HTS üzerine kurulmalıdır.
HTS rolü üzerinde aktifleştirilen AntiSpam özelliği ile Akıllı Koruma (Intelligent-Defense) devreye girer. Böylece
  • Spam maillerinin hacmi azaltılır.
  • Mevcut Spam mailler ortadan kaldırılır.
  • Mail için kullanılan disk ve bant genişliği kaynağı düşürülür.


Anti-Spam Filtre Kategorileri
Anti-spam filtreleri çeşitli kategoride uygulanmaktadır. Bu filtrelerin tamamı her SMTP bağlantısında uygulanmaktadır. İnternet ortamındaki bir SMTP sunucusundan alınan bir posta tüm filtrelerden geçtikten sonra HTS rolündeki sunucuya iletilmektedir. Bu filtreler şunlardır:
  • Connection Filtering
  • Sender Filtering
  • Recipient Filtering
  • Sender ID Filtering
  • Content Filtering
  • Sender Reputation
  • Attachment Filtering


Microsoft Exchange 2010 Anti Spam korunmasını güçlendirmek ve sürekliliğini sağlamak için haftada veya iki haftada bir güncelleme işlemi gerçekleştirilmelidir. Güncelleme işlemi ile Content Filter (SCL oranlarının güncelliği sağlanır), Spam imzaları, IP Reputation kayıtları (spam posta gönderen IP adres listesinin güncelliği sağlanır) güncellenir. Güncelleme işlemleri için Anti-Spam özelliği etkin olan sunucunun proxy veya direk olarak internete erişmesi veya WSUS ile bağlantılı olması gerekmektedir.
Bunun yanında daha etkin bir koruma için zararlının ilk aşamalarda (connection Filtering aşaması gibi) tespit edilmesi önem arz etmektedir.
Sonuç olarak, organizasyondaki spam etkinliğini azaltmak için sistemi iyi planlamak, yapılandırmak, izlemek ve güncellemek gerektiğini söyleyebiliriz.

2 Mayıs 2013 Perşembe

Exchange Server: Yapılandırma ve Protokol Güvenliği

Exchange Server: Yapılandırma ve Protokol Güvenliği
Güvenilir Yapılandırma
ETS Yapılandırması
  • ETS rolü, diğer sunucu rolleri ile kullanılamaz.
  • ETS rolü kurulan sunucu etki alanına dahil olmamalı, çalışma grubu olarak çalışmalıdır. 
  • ETS hem Internet’teki tüm domain isimlerini çözümleyebilmeli hem de iç ağdaki HTS rolüne sahip sunucuya ulaşabilmelidir.
  • ETS rolü zorunlu olmamakla birlikte, DMZ bölgesinde konumlandırılmalıdır. Bu sunucunun biri iç ağa, diğeri dış ağa bakan iki ağ arayüzü olmalıdır. Arkasında ve önünde farklı markaların güvenlik duvarları gibi koruyucu mekanizmaları bulunmalıdır. 
ETS rolünün bu şekilde yapılandırılmasını temel yararları şu şekildedir:
  • ETS üzerinde herhangi bir şekilde kullanıcı bilgisi bulunmadığı ve etki alanına dahil olmadığı için, sunucu bir şekilde ele geçirilse bile saldırı alanı daraltılmış olacaktır. 
  • Benzer şekilde kimlik doğrulaması işlemi ETS üzerinde gerçekleşmediği için arka taraftaki sistemlere gelen tüm isteklerin kimlik doğrulaması yapmış kullanıcılardan gelmesi sağlanır.
  • İstemciler posta kutularının bulunduğu sunucu bilgilerini bilmesine gerek kalmadan tüm isteklerini ETS üzerinden gerçekleştirebilmektedir. Böylece arka taraftaki sisteme gerçekleşebilecek saldırı yüzeyi azalmaktadır.
  • İstemciler sadece ETS rolüne sahip sunucunun alan adı ile işlemlerini gerçekleştirirler. Arka sistemde yapılacak bir değişiklik istemciye yansımayacaktır. Böylece esneklik sağlanmaktadır.

Diğer Sunucu Rollerinin Yapılandırılması
  • CAS rolü, MB rolü ile farklı sunucularda kurulmuş ise aralarındaki bağlantının hızlı olması performansı arttırır.
  • HTS, AD sorgularını Global Catalog Server üzerinde gerçekleştirir. Bu sebeple, HTS ve GCS aynı Aktif Dizin Site içerisinde yer almalıdır.
  • HTS, AD sorgularını hızlı gerçekleştirmeli ve bu sorgulara hızlı cevap almalıdır. Bu sebeple, HTS ve AD arasındaki bağlantı hızlı olmalıdır.
  • MBS rolünün olduğu her AD sitesinde ve Exchange organizasyonunda birer tane CAS ve HTS rolünde sunucu kurulması tavsiye edilmektedir.
MBS, CAS ve HTS rolleri olmazsa olmaz rollerdir ve temel Exchange yapısının vazgeçilmezleridir. Bu üç rolü aynı sunucu yada farklı sunuculara kurulabilir. Rollerin ayrı sunucularda tutulması maliyeti arttırsa da güvenliği de arttırmaktadır. Rollerin farklı sunucularda yapılandırılmasının 3 temel nedeni şunlardır:
  • Enhanced Scalability (Ölçeklendirilebilirlik): Her rol farklı sunucu üzerinde kurulabilir ve her rol için için özel olarak ayarlar yaparak yüksek bir performans sağlanabilir.
  • Improved Security (Güvenlik): Sadece ilgili rolün istediği ayarları aktif edip, diğer ayarlar kapatılarak güvenlik arttırılır.
  • Simplified deployment and administration (Yönetilebilirlik): Yönetim işlemleri kolaylaşmaktadır.
  • ISA Server 2006 ve Exchange Server 2010 birlikte çalışabilmektedir.


Protokol Güvenliği
Exchange ortamında kullanılan HTTP, SMTP, IMAP ve POP protokollerinde kullanıcı bilgileri açık metin olarak iletilmektedir. Bu durumda araya giren bir kullanıcı tarafından bu bilgiler elde edilebilmektedir. Bu sebeple belirtilen protokollerin güvenilir versiyonları tercih edilmelidir. Bu amaçla bu protokollerin TLS/SSL ile birlikte kullanılmalıdır.  HTTP yerine HTTPS, SMTP yerine SMTPS, IMAP yerine IMAPS, POP yerine POPS kullanılacak şekilde ayarlama yapılması önerilmektedir. Ayrıca güvenlik duvarları arasında sadece gerekli olan bu portlara izin verilmelidir. Bu protokollerin kullandığı portlar şu şekildedir:
  • SMTPS : 465
  • POP3S : 995
  • IMAPS : 993


Exchange Server: RBAC


Exchange Server: RBAC
Role-Based Access Control

Rol Tabanlı Erişim Kontrolü
Exchange Server üzerinde bazı yönetimsel işlemlerin gerçekleştirilmesi için belli hakların tanımlı olması gerekmektedir. Exchange Server 2000 ve 2003 üzerinde hak tanımlama işlemleri yetki devri ile gerçekleşiyordu. Yani bir hakka sahip olan bir kullanıcı haklarını bir başka kullanıcıya verebiliyordu. Exchange Server 2003 için varsayılan gruplar şunlardır:
  • Exchange Full Administrator
  • Exchange Administrator
  • Exchange View Only Administrator
Ancak bu durum karışıklığa sebep olmaktaydı. Bu sebeple Exchange Server 2007 ile RBAC adı verilen yeni bir kontrol mekanizması oluşturulmuştur. Bu mekanizma Exchange Server 2007’deki bu mekanizmada AD nesneleri üzerinde ACL (Access Control List) değişiklikleri yapılmaktaydı. Exchange Server 2007 için varsayılan gruplar ise şunlardır:
  • Exchange Organization Administrators
  • Exchange Recipient Administrators
  • Exchange View-Only Administrators
  • Exchange Public Folder Administrators (Service Pack 1 ile geldi)

Exchange Server 2010 ile geliştirilen RBAC ile kullanıcı ve grupların erişim seviyelerinin tanımlanması ACL değişikliğine gerek kalmadan otomatik olarak gerçekleştirilmeye başlanmıştır. Gerekli olan haklar belirli kullanıcı gruplarına atanmış halde gelmektedir. RBAC sayesinde yönetimsel işlerin yanında kendi posta kutuları ve Distribution grupları için hangi işlemleri yapmaya yetkili oldukları ayarlanabilmektedir.

RBAC temelde “Kim Neyi Nerede yapmaya yetkilidir?” sorusuna cevap arar. Cevaba ulaşabilmek için RBAC modelinde rol gruplar 3 temele dayanır:
  • Rol Grubu: Görevi gerçekleştirecek kullanıcıların bulunduğu Universal Security gruplardır. Kim sorusunun cevabıdır.
  • Rol: Kullanıcılara atanan görev ve izinlerdir. Ne sorusunun cevabıdır.
  • Rol Kapsamı: Hangi nesneler (kullanıcı, makine, OU vs) üzerinde görevin gerçekleştirileceğidir.


Exchange Server: Sunucu Rolleri

Exchange Server: Sunucu Rolleri
Exchange Server 2007 ile birlikte, sistem ihtiyaçlarının daha iyi karşılamak ve güvenliği arttırmak için 5 adet sunucu rolü bulunmaktadır. Bu roller şunlardır:
  • Mailbox Server Role ( Posta Kutusu Sunucu Rolü – MB)
  • Client Acces Server Role ( İstemci Erişim Sunucu Rolü –Cas)
  • HUB Transport Server Role ( Merkez Aktarım Sunucu Rolü- HT)
  • EDGE Transport Server Role ( Uç Aktarım Sunucu Rolü –EDGE)
  • UNIFIED Messaging Server Role ( Birleşik Mesajlaşma Sunu Rolü-UM)

Mailbox Server Rolü (MBS)
Kurulması gereken zorunlu bir roldür. Organizasyondaki tüm kullanıcıların e-mail veri tabanının tutulduğu ve işlendiği sunucu rolüdür. CAS tarafından aktarılan trafiğin sonlandığı yerdir.

Görevleri:
  • Posta kutusu (mailbox), genel dizin (public folder), posta arşivi  veri tabanlarına ev sahipliği yapar.
  • E-mail adres ilkelerinin düzenlemesini sağlar.
  • Adres defteri, görev notları ve offline adres defteri (OAB) oluşturulmasını sağlar
  • Yüksek erişilebilirlik ve esneklik sağlar.
  • İçerik indeksleme gerçekleştirir.
Ek Bilgiler:
  • Kullanıcılar MAPI (Messaging Applicaiton Program Interface) kullanarak CAS sunucusuna bağlanırlar. Direk olarak posta kutularına erişemezler.
  • MBS rolünde posta kutuları arasında posta transferi gerçekleştirilmez. Bu işlem HTS rolü tarafından gerçekleştirilir. 

Client Access Server Role (CAS)
Kurulması gereken zorunlu bir roldür. CAS rolü birçok farklı türdeki istemci uygulamalardan Exchange sunucunuza gelen bağlantıları alır ve sonrasında internette ya da yerel ağdaki ilgili mail sunucusuna teslim eder.
CAS rolünün desteklediği erişim metotlarından bazıları şunlardır:
  • Messaging Application Programming Interface (MAPI)
  • Microsoft Outlook Web App (OWA): Web tarayıcı üzerinden erişimler için kullanılır
  • Microsoft Exchange ActiveSync: PDA gibi mobil cihazlar ile erişimler için kullanılır.
  • Microsoft Outlook Anywhere
  • Post Office Protocol Version 3 (POP3)
  • Internet Message Access Protocol Version 4 (IMAP4)
  • Exchange Web Services (EWS)
  • Outlook Express gibi yazılım tabanlı istemciler Exchange sunucularına POP3 ya da IMAP protokolüyle erişirler. Mobil cihazlar, PDA ya da cep telefonu gibi donanım tabanlı istemciler ise Exchange sunucularına ActiveSync, POP3 ya da IMAP protokollerini kullanarak erişirler. 

Görevleri: 
  • Tüm istemci isteklerini karşılar
  • Temel olarak sadece proxy işlemi gerçekleştirir. Kullanıcı verisini tutmaz sadece gelen isteği doğrular yani kimlik doğrulaması gerçekleştirir. Böylece, kullanıcının aktif veritabanının bulunduğu Mailbox rolüne sahip sunucuya yönlendirir.
  • Free/Busy (Uygun/Meşgul) bilgisini sağlar
  • Çevrimdışı adres defterini dağıtılmasını (Offline Address Book - OAB) gerçekleştirir
  • AutoDiscover özelliğini sağlar. Bu özellik sayesinde kullanıcılar bilgilerini girmese dahi profilleri otomatik olarak gelecektir.
Ek Bilgiler:
  • Exchange 2010 ile beraber kullanıcıların direk olarak MBS erişimleri engellenmiştir. Erişim CAS üzerinden gerçekleşmektedir.  
  • Public Folder bağlantıları, CAS rolüne uğramadan, direk MBS rolüne gitmektedir. 
  • Exchange Server 2013 ile birlikte CAS üzerinde veri işleme kendi başına yapılmamaktadır ve üzerinde herhangi bir veri bulunmamaktadır. Bu sebeple, istemci bağlantısının kontrolü CAS tarafından değil, MBS tarafından gerçekleştirilmeye başlanmıştır. 
  • Exchange Server 2007’de posta kutusu istemcileri Client Access Server ve Mailbox Server ile haberleşir ve mail trafiği bu iki rol üzerinden gerçekleştirilirdi. Dolayısıyla bu iki rol üzerinde herhangi bir servisin durması istemciler tarafından hissedilirdi. Exchange Server 2010’da ise bu yapı değiştirilerek istemcilerin sadece Client Access Server ile haberleşmesi sağlanmış ve birden fazla Client Access Server ile süreklilik parametresi iyileştirilmiştir.

Hub Transport Server Rolü (HTS)
Kurulması gereken zorunlu bir roldür.  HTS, ETS ve UMR ile SMTP kullanarak sürekli iletişim kurar.

Görevleri:
  • Exchange organizasyonundaki tüm posta trafiğini yönetir. Aynı organizasyon içinde gönderilen postalar bile bu sunucu tarafından işlenir. Gelen ve giden posta trafiğini yönlendirir.
  • Gelen mesajları MBS rolüne sahip sunucuya yönlendirir.
  • Taşıma kuralları uygulanır.
  • Mesaj filtreleme işlemleri gerçekleştirilir.
  • Journaling işlemleri gerçekleştirilir. Journaling, mesajların izlenmesi ve aynı mesajdan bir kopyanın istenilen yerde tutulmasını sağlayan bir yapıdır.
  • ETS rolünden gelen internet postalarını alır.
  • Üzerinde bulunan Microsoft Exchange EdgeSync hizmeti, ETS rolünün ihtiyaç duyduğu bilgileri AD üzerinden alır ve ETS rolüne sahip sunucuya kopyalar.
Konnektörler:
Exchange Server 2007 ve 2010′da posta alma/gönderme işlemlerinin gerçekleştirirler. İki çeşittir:
  • Send Connector: Sistemin Outbound SMTP bağlantıları görevini yerine getirerek posta gönderilmesini sağlar.
  • Receive Connector: İstemcilerin dışarıdan mail alması için tasarlanmıştır. Bu konnektör, SMTP Inbound bağlantılarını dinler ve belirlenen Ip/Port kriterlerine gelen SMTP bağlantılarını karşılar. Böylece posta alınmasını sağlar.
Ek Bilgiler:
  • Bu rol, Exchange 2007 ve Exchange Server 2010 sürümlerinde bulunmaktayken; Exchange Server 2013’te, bu rol yerine MBS üzerinden çalışan HUB Transport Servisi gelmiştir.

Edge Transport Server Rolü (ETS)
Kurulması zorunlu bir rol değildir.

Görevleri:
  • Organizasyonun bütün mail alış verişini gerçekleştirir. Dış SMTP sunucularından gelen tüm maillerin ilk ulaştıkları noktadır. SMTP relay kullanarak Internet tarafından gelen tüm talepleri karşılayarak saldırı alanını daraltır.
  • Dışarıdan iç sisteme gelecek saldırılara karşı filtreleme görevi sağlar.
  • Aldığı mailleri HTS rolüne sahip sunucuya yönlendirir. HTS ile de MBS’a iletilir.
  • Posta ilkeleri tanımlanır. Bu kurallar ile internetten veya organizasyondan gönderilen tüm postalar kontrol edilir. Kontrol işlemine göre posta silinebilir, yönlendirilebilir, dondurulabilir.
  • Sistemin performansını, ölçülebilirliğini ve erişilebilirliğini arttırmak için kullanılabilir.
Ek Bilgiler:
  • ETS rolü kurulan sunucu etki alanına dahil olmamalıdır. Bu rolün çalışması için etki alanındaki kullanıcıların bilgilerine ihtiyaç duyar. Bu bilgiler AD LDS (Active Directory Lightweight Directory Services) (eski adı ADAM) dizin hizmeti üzerinde depolanır. ETS’nin direk olarak etki alanına erişimi olmadığı için, gerekli olan bu bilgiler HTS üzerinde kurulu olan MS EdgeSync hizmeti ile tek yönlü olarak kopyalanır.
  • Exchange Server 2013 ile bu rol kaldırılmıştır.
  • Address Rewriting yapısı sayesinde, iç ve dış etki alanlarını farklı isimlerle dışarı çıkarılabilir. Bu daha çok fazla sayıda domain yapısına sahip olan kurumlarda kullanılabilen bir özelliktir.

Unified Messaging Server Rolü (UMS);
Kurulması zorunlu bir rol değildir.

Görevleri:
  • Sesli posta veya telefondan bilgisayarı ya da bilgisayardan telefonu arama gibi işlemleri gerçekleştirir.
  • Sistemin performansını, ölçülebilirliğini ve erişilebilirliğini arttırmak için kullanılabilir.

Exchange Server: Giriş

Exchange Server: Giriş

E-Posta Sistemleri 
Günümüzde sosyal mühendislik gibi bir çok saldırı posta yolu ile gerçekleşmektedir. Bu sebeple posta sunucularının güvenliğine önem vermek gerekmektedir.

Elektronik posta (e-posta) sistemleri iki öğeden oluşur:
  • Elektronik posta sunucular (mail server) : Exchange Server, Lotus Notus Mail Server, Send Mail, Qmail ve Postfix gibi genellikle sunucu üzerinde çalışan ve e-posta hizmeti veren programlardır.
  • Elektronik posta istemciler (mail client) : Outlook Express, Thunderbird, PowerMail gibi kullanıcı bilgisayarlarında çalışan ve adımıza açılmış olan bir e-posta hesabına erişmek için kullandığımız uygulama programlarıdır.

Güvenilir Bilgi İşleme 
Daha önceki Exchange Server sürümlerinde posta kutusu (mailbox) ve kullanıcı işlemlerinin tamamı, Aktif Dizin üzerinden gerçekleştirilirdi ve bu durum Aktif Dizin üzerine büyük bir yük oluşturmaktaydı. Exchange Server 2007 ile birlikte bu işlemler Exchange Server Management Console (EMC) veya PowerShell üzerinden gerçekleştirilebilmektedir.

Exchange Server 2007 ile birlikte kurulum ile beraber güvenlik sağlanmaktadır. Güvenlik için sıkılaştırma işlemlerinin bir çoğu yapılmış olarak kurulumla gerçekleşmektedir. Exchange Server 2007 ve sonraki sürümlerde Microsoft tarafından Güvenilir Bilgi İşleme (Trustworthy Computing) metodu kullanılmaktadır. Kullanılan SDLC (Security Development Lifecycle) ile daha güvenilir bir sistem hazırlanmıştır. Trustworthy Computing, temel olarak aşağıdaki başlıklarda güvenliği kapsamaktadır:
  • Tasarımda Güvenlik: Ürünün tasarlanması sırasında güvenilir kod geliştirmek için gerekli olan araçlar ve tekniklerden faydalanılmıştır.
  • Kendiliğinden Güvenlik: Güvenilir bir sistemin sağlanması için en önemli konulardan birisi iletişimin güvenilir hale getirilmesidir. Bu amaçla SMB (Server Message Block) ve bazı UM (Unified Messaging) iletişimleri hariç tüm iletişimlerde Kerberos protokolü, sertifika, SSL (Secure Sockets Layer), diğer bazı endüstriyel şifreleme teknikleri kullanılmaktadır.
  • Zararlılara Karşı Güvenlik: SPAM maillere karşı ajanlar yüklü olarak gelmektedir. Daha önceki versiyonlarda ajanlar kullanılmamaktaydı. Bunun yanında Microsoft Forefront Protection ile virüslere karşı önlem oluşturulmuştur.
  • Dağıtımda Güvenlik: Exchange Server kurulumu sırasında en iyi alıştırmalara göre “Microsoft Exchange Server Best Practices Analyzer” ile sistem analizi gerçekleştirilebilmektedir. Bunun yanında mail sunucuda yapılacak işlemler için yönetici ve standart kullanıcılar için En Az Yetki Prensibi’ne göre hazırlanmış rol tabanlı bir izin modeli oluşturulmuştur.

İletişim Protokolleri 
Exchange ortamında temel olarak 5 adet protokol kullanılmaktadır:
  • HTTP: Veriler ağ üzerinden açık olarak geçmektedir.
  • IMAP4 & POP3: Yerel kullanıcıların uzaktaki bir e-posta sunucusuna erişmesini sağlayan bir uygulama katmanı protokolüdür. Veriler ağ üzerinden açık olarak geçmektedir. IMAP ile E-Posta sunucusuna bağlantı kurulduğunda, kutuda birikmiş e-postaların sadece başlık bilgilerini istemciye getirir. POP3 ise bütün mesajları istemciye çeker.
  • SMTP: Posta gönderilmesi için kullanılan protokoldür. Tek yönlü bir protokoldür (sadece gidiş).  E-posta, e-posta sunucuları arasında aktarılırken de SMTP kullanılır. Veriler ağ üzerinden açık olarak geçmektedir. İstemci bilgisayar SMTP sunucusuna bağlanarak gerekli kimlik bilgilerini gönderir.  Onay verildiğinde posta SMTP sunucusuna iletilir.
  • MAPI: Posta uygulamalarının sunuculardan posta alırken veya posta gönderirken kullandıkları arabirim protokolüdür. Exchange Server 2010 öncesinde kullanıcılar MAPI (Messaging Application Program Interface) aracılığıyla Mailbox sunucusuna ulaşabiliyorlardı. 2010 ile beraber bu değişmiştir. Mailbox server diğer sunucu rolleri ile MAPI bağlantısı üzerinde konuşur. Sadece ortak klasörlere (public folder) erişmek için MAPI kullanan son noktalar direk olarak Mailbox’a ulaşır.

Not: Posta iletişiminin sağlanabilmesi için DNS’e MX kaydının girilmesi gerekmektedir.

Not: Ortak klasörler ile Exchange sisteminde dosya, kontakt, takvim, mail, forum gibi kaynaklar tek kopya üzerinden bir çok kullanıcının erişimine açıldığı klasörlerdir. Exchange Server 2013 mimarisinde bu klasörler artık veritabanı yerine özel olarak dizayn edilmiş posta kutusu (mailbox) bazlı olarak oluşturulmaktadır.