Exchange Server: Anti-Spam Koruması (2)
Connection Filtering
Bağlantıyı doğrulayan filtredir. Postanın bu filtreye takılmadan yoluna devam edebilmesi için sırayla 4 kontrol gerçekleştirilir. Bu kontroller şunlardır:
- IP Allow Lists: Güvenilir IP adreslerinin tutulduğu statik listedir. Bu listeye beraber iş yapılan organizasyonların SMTP sunucularının IP kayıtları girilebilir. Bu kontrol atlatıldığı zaman diğer kontroller gerçekleştirilmeden sonraki filtreye geçilir.
- IP Block Lists: Güvenilmeyen IP adreslerinin tutulduğu statik listedir. Bu listeye spam gönderen veya iletişim kurulması istenmeyen SMTP sunucularının IP kayıtları girilebilir. Bu kayıt değeri için sona erme (expire) zamanı ayarlanarak geçici süreli blok listesi oluşturulabilir. Bu kontrolden kalındığı zaman diğer filtreler uygulanmadan posta reddedilir.
- IP Allow List Provider Services: 3. taraf sağlayıcılar, güvenilir IP adreslerinin kayıtlarını bir liste olarak tutarlar. Bu listenin güncelliği ve güvenilirliğinden bu sağlayıcılar sorumludurlar. Bu sağlayıcıların oluşturduğu listeler kullanılarak güvenilir IP adreslerinin tutulduğu dinamik bir liste elde edilir. Bu kontrol atlatıldığı zaman diğer kontroller gerçekleştirilmeden sonraki filtreye geçilir.
- IP Block List Provider Services: 3. taraf sağlayıcılar, güvenilir olmayan IP adreslerinin kayıtlarını da bir liste olarak tutarlar. Bu kontrolden kalındığı zaman diğer filtreler uygulanmadan posta reddedilir. Çok fazla sayıda liste sağlayıcının kullanılması doğrulama sürecini arttıracağı göz önünde bulundurularak, en fazla 3 tane sağlayıcının kullanılmasına özen gösterilmelidir.
False-pozitif sonuçların azaltılması için denetim kayıtları (loglar) sık sık kontrol edilmeli, gereksiz yere engellenen IP adreslerinden yasak kaldırılmalıdır. Ayrıca logların çok fazla artabileceği ve kontrol altına alınması gerektiği de unutulmamalıdır.
Sender Filtering
“Mail From” ile belirtilen gönderici mail adresinin veya gönderici etki alanının iznine göre postayı filtreler. Gönderici bilgisi engelli listesinde ise diğer filtreler uygulanmadan posta reddedilir. Gönderici bilgisi olmayan postalar engellenecek şekilde ayarlama yapılmalıdır. Bunun için “Block Messages That Don't Have Sender Information” seçeneği işaretlenmelidir.
Recipient Filtering
“Rcpt to” ile belirtilen alıcı posta adresinin iznine göre postayı filtreler. Alıcı bilgisi engelli listesinde ise diğer filtreler uygulanmadan posta reddedilir. Alıcısı etki alanında kullanıcısı olmayan postalar engellenecek şekilde ayarlama yapılmalıdır. Bunun için “Block Messages Sent To Recipients That Don't Exist In The Directory option in Recipient” seçeneği işaretlenmelidir.
Bu seçeneğin ayarlanması ile gönderici tarafa kullanıcının bulunmadığı bilgisi gönderilecektir. Böylece kötü niyetli bir kişi organizasyondaki kullanıcıların listesini elde edebilir. Bu saldırılara DHA (Directory Harvesting Attack) adı verilir. Bu saldırılardan korunmak için gönderici SMTP sunucusuna dönülen olumlu (“250 2.1.5 Recipient OK”) veya olumsuz (“550 5.1.1 User Unknown” ) cevap gecikmeli olarak verilmelidir. Bu gecikme süresi, Recieve Connector’ler üzerinde tanımlı olup, varsayılan olarak 5 saniyedir. Bu tekniğe Tarpitting adı verilir. Bu teknik sayesinde, kullanıcılarımızın mail adresleri spam listelerinde yer almamış olur.
Sender ID Filtering
Postanın gönderildiği SMTP sunucunun IP bilgisi ile host adını karşılaştırarak postayı filtreler. Host adı ve IP bilgisi eşleşmiyor ise posta reddedilebilir, silinebilir, SMTP kimlik doğrulamasının yapılmadığına dair bilgilendirme eklenerek bir sonraki filtreleme adımına ilerletilebilir. Postanın silinme durumunda göndericiye NDR (Non Delivery Report) gönderilecektir.
Bu filtreleme sayesinde domain adı spoofing ve phishing saldırılarına karşı etkili bir koruma mekanizması sağlanmaktadır. Bu amaçla SPF (Sender Policy Framework) kayıtları kullanılmaktadır. Bu kayıtlar posta gönderen kullanıcıların, posta gönderirken sizin organizasyonunuza ait SMTP sunucusundan postanın sizin organizasyonunuzdan gönderilmiş gibi gösterilmesinin önüne geçer. SPF kaydı, etki alanındaki her SMTP sunucusu için DNS veritabanına TXT olarak girilir. Böylece organizasyonunuzun SMTP sunucusundan mail atılıyormuş gibi mail gönderilmesi gerçekleşemez ve organizasyonunuzun marka değeri korunmuş olur. Ayrıca SMTP sunucunuzun kara listelere girmesinin önüne geçilir. SMTP sunucunuzun kara listeye girmesi sonucunda spam maili gönderen taraf olunmadığının ispatlanması için büyük zaman kayıpları yaşanabilmektedir.
Bunun yanında SPF kaydı gibi DomainKeys Identified Mail (DKIM) ve DCOM kayıtları da benzer şekillerde gönderici tarafın kimlik doğrulamasında kullanılmaktadır.
Content Filtering
SmartScreen teknolojisi Microsoft tarafından geliştirilmiş ve içerik filtreleme için kullanılan bir teknolojidir. Exchange Server 2010 üzerindeki SmartScreen teknolojisinin adı “Akıllı ileti Filtreleme (Intelligent Message Filter)“ iken, Outlook tarafında ise “Gereksiz Mail (Junk Mail)” olarak geçer. İçerik filtreleme ile posta içeriğinde belli kelimelere göre filtreleme yapılabileceği gibi, belirlenen alıcılar bu filtrelemeden hariç tutulabilir.Filtreleme işleminde SCL (Spam Confidence Level) adı verilen bir değer belirleyici kullanılır. SCL değeri -1 ile 9 arasındadır. İç sistemler, kimliği doğulanmış kaynaklar veya Connection Filtering kısmında güvenilir olduğu belirlenmiş kaynaklarla olan iletişimler için SCL değeri -1’dir ve spam tehlikesi taşımamaktadır. 0 değeri Microsoft ile olan mesajlaşmada kullanılır ve spam tehlikesi taşımamaktadır. SCL değeri 1-4 arasında ise bu postanın spam olma ihtimali düşükken, 5-9 olması durumunda ise yüksektir. SCL değeri belirlenen eşik değerinin üzerinde ise, yapılan ayarlara göre posta silinir, karantinaya alınır, reddedilir, kullanıcı “Genel Kutusu” ‘na iletilebilir veya “Junk Mail” kutusuna iletilebilir.
Sender Reputation
Postanın gönderildiği gönderici hakkında 48 saat bilgi toplanmasına dayanır. Bu süre boyunca posta engelli tutulur ve SRL (Sender Reputation Level) hesaplanır. SRL değeri 0-9 arasında olup, 0 olması durumunda posta spam değilken, 9 olması durumunda ise büyük ihtimalle spamdir. İlk defa posta gönderen bir SMTP sunucusunun SRL değeri 0’dır. Sonraki mail gönderimlerinde ise SRL değeri 4 kritere göre belirlenir:
- HELO/EHLO analizi: SMTP komutlarından olan HELO ve EHLO ile postanın gönderildiği SMTP sunucusunun IP, domain gibi bazı bilgileri elde edilebilir. Bu bilgilerin birden fazla olması veya mailin gerçekten gönderildiği SMTP sunucusundan farklı olması durumunda postanın spam olma ihtimali artmaktadır.
- Reverse DNS Lookup: Postanın gönderildiği IP adresinin, HELO ve EHLO komutlarının içerisindeki domain adına kayıtlı olmaması durumunda SRL değeri arttırılmaktadır.
- SCL değeri: Content Filter ajanı tarafından hesaplanan SCL değerine göre SRL hesaplanır.
- Open Proxy Testi: ETS rolündeki sunucu gönderici SMTP sunucusunun relay, diğer bir deyişle proxy sunucusu olup olmadığını kontrol eder. Gönderici SMTP sunucusu üzerinden kendisine posta yollar ve posta kendisine ulaşırsa SMTP sunucusunun proxy sunucu üzerinden geldiğini doğrular ve postanın SRL değerini arttırır.
Spam olması durumunda göndericiye SMTP IP adresi otomatik olarak IP Blok liste eklenir.
Attachment Filtering
Edge Transport sunucuda posta eklerine göre filtrelenebilir. HTS rolüne sahip sunucuda Anti-Spam kullanılsa dahi bu filtre uygulanamaz. Postaya 3 kritere göre filtreleme uygulanır:
- Adına göre (viagra,… vs)
- Uzantısına göre (*.exe,… vs). Dosya uzantısı değiştirilse bile gerçek dosya tipi tespit edilerek filtre uygulanmaktadır. Bunun yanında sıkıştırılmış dosyalar içerisindeki uzantıların da kontrolü gerçekleştirilmektedir.
- MIME içerik tipine göre (image/jpeg,… vs)
Ek içeriğine göre filtreleme için bu filtre kullanılamaz. Bunun için Transport kuralları kullanılmalıdır.
- Filtreleme sonucunda 3 aksiyon gerçekleştirilebilir:
- Ek çıkartılarak posta kullanıcıya gönderilebilir.
- Posta engellenir ve postayı gönderene posta içerisinde istenmeyen türde bir ek bulunduğu bildirilebilir.
- Alıcı ve göndericiye geri bildirimde bulunulmadan posta silinir.
