Microsoft Exchange Server kurulumu tamamlandıktan sonra organizasyon içinde bulunan kullanıcılar kendi aralarında ileti gönderebilir ve alabilir. Iç haberleşme için yapmamız gerekli olan işlemler çok basitdir ve Exchange server kurulum işleminden hemen sonra iç ağ da iletişimi hızlı bir şekilde sağlayabiliriz.
Fakat, iç ağda hızlıca yapmış olduğumuz bu iletişimi dış ağda sağlamak için biraz daha efor harcamak gerekmekte.
ihtiyaç duyulan güvenlik önlemlerini almalı ve dış ağda iletişim kuracak olduğumuz domainlere, kendimizi tanıtmalı ve de güvendirmeliyiz. Dış ağda bulunan herhangi bir domainin size güvenmesi için de öncelikle dış dünyaya bakan External IP adres tasarımını doğru ve güvenilir bir şekilde yapılması gerekmektedir.
Exchange server öğreniyorum eğitim serimizde bu gün Exchange server için External IP adres tasarımını inceliyoruz.
Exchange server erişim yolları konu başlıklarında Microsoft Exchange Server erişim yollarını konuşmuş, OWA, Active Sync, Outlook Anywhere erişim yöntemlerinin nasıl yapılması gerektiğini, onların güvenliğini ve sürekliliğini sizlere paylaşmıştık.
Bu işlemler sadece Exchange server ‘a kullanıcıların erişmesi için ihtiyaç duyulan işlemlerdir. Kullanıcılarımız, erişim yaptıktan sonra da ileti göndermek ve almak için de ikinci ayarları yapmalıyız ve ayarlar da SMTP iletişim ayarlarıdır.
Ekranda Exchange Server topolojisini görmektesiniz. Son kullanıcılarımız Exchange Server’a erilmek için 443 güvenli erişim portunu kullanmakta. Bu port üzerinden Outlook Anywhere, Owa, activesync gibi erişim çözümlerini kullanıyorlar.
Bu erişim ihtiyacı için bir adet public IP adresimiz bulunmakta ve bu Public IP adresi üzerinden kullanıcılarımız exchange server a erişim yapabilirler. Bu erişim yolu ileti göndermek ve almak için kullanılmaz. Bu erişim dış dünyada bulunan kullanıcılarımızın Exchange Server ‘a erişmeleri için kullanılır.
Bu erişim çözümü üzerinden ileti trafiği olmaz ve dışarıdan hiç bir kişi ve kurumun ileti göndermesi için de ve bizlerin onlara ileti göndermesi için de bu erişim yolları kullanılmaz. Ileti göndermek ve almak için kullanılan trafik SMTP iletişimidir ve bu gün de Exchange Server için SMTP trafiğini ve External IP Adres tasarımını incelemekteyiz.
Dışarıdan, bir kişi yada kurumdan ileti almak ve göndermek için MX ve SPF kayıtlarını zorunlu olarak yapmalı ve dış dünyaya exchange server ‘in bizlere ait olduğunu doğrulatmalıyız. Bazı kurumlar da özellikle güvenliğe önem veren firmalar da ek doğrulamalar da istemekte.
DKIM ve DMARK gibi ek doğrulama kayıtları yapmalı ve güvenliğimizi ve itibarımızı bir adım daha ileriye taşımalıyız. DKIM ve DMARK doğrulama çözümleri zorunlu olmasa bile günümüzde artık bir çok kurum bu doğrulamaları da istemektedir.
Bu kayıtlar Exchange server’in bizlere ait olduğunu doğrulayan ve karşı tarafın da bizlere güvenmesini sağlayan domain doğrulama çözümleridir.
Özet ile Exchange Server ‘a erişmek ve Exchange Server erişim güvenliğini sağlamak için Waf, Advanced Waf, Ddos koruması gibi ikinci güvenlik duvarları varken, ileti alma ve gönderme işlemleri ve domain doğrulama işlemleri için de SMTP Gateway güvenlik çözümleri bulunmaktadır.
Topoloji içinde bunları belirttik.
E-posta almamızı ve göndermemizi sağlayan ve domain doğrulamasını yapan MX, SPF, DKIM ve DMARK doğrulamaları birinci güvenlik duvarına gelmekte ve birinci güvenlik duvarından SMTP Gateway ‘e geçiş yapmakta ve oradan da exchange server a iletiler gelmektedir.
Bu erişim yöntemleri gelen trafikte olduğu gibi giden trafik içinde geçerlidir ve geliş sırasının tam tersinde gidiş sıralaması içinde kullanılır.
Topoloji içinde DNS bulutu görülmek ve bu DNS bulutu içinde de kayıtlarımızı eşleştirmiş olduğumuz bir yada daha fazla public IP adresi yada IP Adres bloğu bulunmaka.
Exchange erişim yolları ile domain doğrulama kayıtlarını aynı isim ve aynı IP adreslerine eşleştirebiliriz. Genel kullanımda tek bir ip adresine yada IP Adres bloğuna bu kayıtlar bağlanıyor olsa da bunları da ayırabiliriz.
Topolojide sizlere özel tasarımı paylaştım genel kullanımda bu iki Public IP adresini tek bir Ip adresi yada IP bloğu olarak düşünebilirsiniz. Bu özel kullanım yani birden fazla IP adres kullanımı farklı operatorlerden sağlanan IP adresleri için kullanılır ve amaç da operator bazlı yedeklilik sağlamaktır.
Exchange Server felakatden korunma projelerin de farklı IP adreslerini farklı servis sağlayıcılarından alınan IP adreslerini ve IP bloğunu görebilirsiniz.
Bu tasarımlar kurum büyüklüğü ve ihtiyaçlara göre değişmekte ve kaç tane IP adresi, kaçtane operator veya hangi büyüklükte IP bloğunun kullanılacağı, kuruma göre karar verilmekte.
IP Adres tasarımını ve büyüklüğünü nasıl yaparsak yapalım MX ve SPF kayıtlarını DNS Bulutuna eklemeli ve Bu IP adreslerini domain ismimiz ile eşleştirmeli ve DMARK ve DKIM gibi domain doğrulama araçları ile domain doğrulama işlemlerini yapmalıyız.
Ve yapmış olduğumuz bütün bu kayıtları da SMTP Gateway güvenlik çözümleri ile mühürlemeli, SMTP Gateway tarafından oluşturulan özel anahtarları public dns ‘imize girmeliyiz.
Tekrar hatırlatıyorum size e-posta gönderecek olan kişi ve kurumlar Exchange Server erişim yollarını kontrol etmez.
Bu erişim yolları bizim kendi kullanıcılarımızı Exchange server ‘a eriştirmek için kullanılan erişim yollarıdır.
MX ve SPF kayıtları DKIM ve DMARK domain doğrulama kayıtları ise size e-posta gönderecek ve sizden e-posta alacak kişi ve kurumların sizin isminize, sizin e-posta altyapınıza güvenmeleri için gerekmektedir ve bütün bu kayıtlar da kurum itibarı ve güvenli iletişim için gerekmektedir.
External IP adres tasarımı sağlıklık olmayan kurumlar e-posta iletişiminde güvenilmeyen kurumlardır ve Exchange Server saygınlığı ve kurum itibarı düşük olan kurumlardır. Gönderdikleri bir çok email, alıcı tarafından güvenilmeyen domain, güvenilmeyen ileti olarak işaretlenecek ve iletişim problemleri başlayacaktır.
Karşı taraf, sizlere ileti gönderecek ve alacak olan kurumlar, sizin doğru olmayan, gelişi güzel yapılmış kayıtlarınız nedeniyle size güvenmeyecek ile iletişim kurmayı tercih etmeyecektir.
Kurum ve şirket itibarı için External IP adres tasarımı sağlıklı yapılmalı, bu tasarım yedeklenmeli ve güvenli e-posta iletişimi için de güvelik ürünleri ile bu tasarım taçlandırılmalıdır.
