Exchange Server

Exchange Server 2010 Tarpitting İşlemi

Exchange Server’ın güvenliğini sağlamak için kullanabileceğimiz güzelliklerden birisi de Terpitting fonksiyonudur.

 

Biliyoruz ki günümüzde Spam olayı iyiden iyiye artmıştır ki bu olayı artık ticarete dökenler bile vardır. Alıcı nesnelerin (Recipient Lookup) kontrol edilmesi işlemi önemlidir. Yani size bir dış mail sunucusundan mail geldiğinde alıcı kişinin sizin organizasyonunuzda olup olmadığını doğrulamak gerekiyor. Bu işlemi eğer sunucularımızın önünde bir Edge Transport Server rolü kurulmuşsa gelen mail için gönderici sunucuya “250 2.1.5 Recipient OK” bilgisini göndermektedir. Bu durum directory harvest attack yapacaklar için ideal bir durumdur aslında.

 

Directory harvest attack kısaca tanımlamak gerekirse, doğru ve kullanılmakta olan email adreslerini toplamak için kullanılan bir yöntem diyebiliriz. Yani size bir bilgi geliyor ve yukarıdaki makalede de bahsettiğim gibi Edge Transport Server karşı tarafa “Recipient OK” bilgisini göndermektedir. Bu durum da alıcı onaylandığı için bu kişiye ait olan email adresi de artık alınmış olacaktır. Kısacası artık email adresimiz Spammer’ların elinde diyebiliriz.

 

Directory Harvest Attack’lara karşı Exchange Server 2010’un Tarpitting özelliği vardır. Tarpitting özelliği sayesinde bilinmeyen yada spam olabilecek olan maillere geç cevap verilmesini sağlar yani bir nevi gönderilecek cevabı bekletir (delay eder).

 

Eğer Tarpitting özelliği aktif edilmemişse (ki default yapıda aktiftir), Recipient Lookup yapıldığında yani alıcı kişi kontrol işlemi yapıldığında eğer kullanıcı bulunamazsa karşı tarafa “550 5.1.1 User Unknown” bilgisi gönderilecektir. Tarpitting aktif edilmiş durumda ise karşı tarafa gönderilecek bilgi tanımlanan süre kadar bekletilir, bu şekilde bir bekletilme olayı ise Directory Harvest Attack’ları zorlaştırmaktadır. Tarpitting özelliği default olarak aktiftir demiştik ve bu süre 5 saniyedir. Ve bu değer Recieve Connector’ler üzerinde tanımlıdır.

 

Şimdi isterseniz bu değerleri kontrol edelim ve tanımlamalarını yapalım.

 

 

image001

 

 

Get-receiveConnector | select name,tarpitinterval komutunu çalıştırdığımızda karşımıza yukarıdaki tablo gelmektedir. Yukarıdaki yazımızda da bahsettiğimiz gibi default olarak bu özellik aktiftir ve kullanılmaktadır. Şekilde görüldüğü gibi değerin 5 saniye olduğunu görebiliyoruz. Microsoft tarafından önerilen değer de budur.

 

 

image002

 

 

Yukarıdaki komut ile bütün Receive Connectorlerin Tarpitinterval değerlerini sıfır (0) saniyeye çekiyoruz.

 

Komutumuz;

 

Get-ReceiveConnector | set-receiveconnectortarpitinterval 00:00:00

 

 

image003

 

 

Tekrar Get-receiveConnector | select name,tarpitinterval komutumuzu çalıştırdığımızda yukarıdaki şekilde de görüldüğü gibi Tarpitinterval değerleri sıfır saniye olarak ayarlanmıştır. Ancak bu önerilen durum değildir.

 

 

image004

 

 

Exchange Server üzerindeki tanımlanmış olan Receive Connectorlerimizi listeliyoruz.

 

 

image005

 

 

Bu sefer sadece bir Receive Connector üzerinde Tarpitinterval değerini değiştireceğim. Daha önce bütün değerleri sıfır saniye yapmıştık. Şimdi özel bir connector için 30 saniye tanımlayacağım.

 

Komutumuz; Set-ReceiveConnector “Default Preexc14-cas01” –Tarpitinterval 00:00:05

 

Default Preexc14-cas01 benim organizasyonumdaki Receive Connector ismidir. Bu sizin organizasyonunuzda farklı olabilir. Dolayısı ile oraya siz kendi Receive Connector ismini yazmalısınız.

 

 

image006

 

 

Get-receiveConnector | select name,tarpitinterval komutumuzu tekrar çalıştırdığımızda, şekilde de görüldüğü gibi Connectorlerimizden birisinin Tarpitting değeri 30 saniye olmuş durumdadır.

 

 

image007

 

 

Şekilde tarpitinterval değerini bir connectore has olacak şekilde düzenliyoruz ve sonucunu alıyoruz.

 

 

image008

 

 

Evet bu şekilde ise Microsoft’un önermiş olduğu yapıya Receive Connectorlerimizin konfigürasyonunu çekiyoruz. Tarpitinterval değerini 5 saniye olarak tanımlıyoruz.

 

Exchange Server yapımızı Directory Harvest Attack’lara karşı korumak için bu özelliği kullanabiliriz. Böylece kullanıcılarımızın mail adresleri spam listelerinde yer almamış olur, en azından biz üzerimize düşen görevi yerine getirmiş oluruz.

 

Kaynak:

 

http://technet.microsoft.com/en-us/library/bb123891.aspx#TF

İlgili Makaleler

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu

Reklam Engelleyici Algılandı

ÇözümPark Bilişim Portalı gönüllü bir organizasyon olup tek gelir kaynağı reklamlardır. Bu nedenle siteyi gezerken lütfen reklam engelleme eklentinizi kapatın veya Çözümpark web sitesi için izin tanımı yapın. Anlayışınız için teşekkürler.