Exchange 2010 Relay Ayarları ve POP3-IMAP-MAPI bağlantı Türleri

Bu yazımızda Exchange Server üzerinden smtp portu ile mail atmak isteyen uygulamalara verilen izinlere ve bu işlemin sebep olduğu risklere değineceğiz.Exchange kurulu olan bir yapıda bazı uygulamaların  çalıştığı  makinelere gerekli izinlerin verilmesi sonucu relay işlemi gerçekleşir.Mesela bir printer üzerinde scan edilen bilgilerin printer üzerinde tanımlanan mail adresine mail atması için bu print makinesine Exchange üzerinde gerekli izinlerin verilmesi gerekir.Yazılım yapan firmalarda da bu işlem oldukça yapılır.Script içinde mail atma gereksinimi varsa bu relay işlemi ile çözülür.Relay işlemi için gerekli olan izin düzenlemeleri Exchange üzerinde Receive Connector ile yapılır.Exchange Server üzerindeki receive connectorlere bir göz atalım.

Şekilde gördüğünüz gibi Exchange kurulduktan sonra default olarak gelen 2 tane receive connector vardır.Client Connector , POP-IMAP gibi smtp bağlantılarını kabul eder.Bütün MAPI olmayan clientlar receive connector olarak Client Connector ü kullanır.Bütün MAPI clientlar ise connector olarak Default Receive Connector ü kullanır.Mesela Outllook kurulumu yapılırken ‘Microsoft Exchange’ seçilirse bu MAPI connection olur.Farklı bağlantı çeşidi olarak RPC over HTTPS de Default Receive Connector ü kullanır.

POP3 (Post Office Protocol version 3) ile  ya da IMAP (The Internet Message Access Protocol ) ile yapılan Exchange bağlantılarına değinelim.POP3 ile yapılan bağlantılarda mailler lokal makineye çekilir ya da bir kopyası server tarafında tutulabilir.Daha sonra Exchange ile arasındaki bağlantı kesilir.Sadece send-recive durumunda irtibata geçer.Exchange Server offline olsa bile böylece maillere bakılabilir.POP3 ile yapılan bağlantıda sadece Inbox kullanılır.Inbox ın altında ya da farklı olarak açılan klasörler lokalde açılacağı için sadece  açılan yerde erişim olur,farklı yerden yapılan POP3 bağlantısında bu açılan klasör görülmez.IMAP ile yapılan bağlantılarda mailler server da kalır.Eğer mail servera farklı yerlerden birden çok bağlantı yapılıyorsa IMAP kullanılır.IMAP bağlantısı Exchange ile doğrudan ve senkron bir bağlantı sağlarken POP3 ile yapılan bağlantıda doğrudan ve senkron bir bağlantı yoktur.

MAPI bağlantılarında da doğrudan ve senkron bir bağlantı vardır.Cache modda çalışılırsa mailler lokale çekilir ama yine de senkronizasyon vardır.Hatta bundan dolayı Outlooklarda bol bol Eşitleme Sorunları ile ilgili mailler gelir.MAPI ile IMAP ı karıştırmamak gerekir.IMAP,MAPI olmayan bir bağlantı çeşididir.MAPI connectionlar sayesinde kullanıcılar daha fazla fonksiyonlara (Takvim ve klasör paylaşımı-Outlook Out Of Asisstant vb) gibi ek özelliklere sahip olurlar.

Avantaj ve deazavantajlar göz önüne alındığında MAPI>IMAP>POP3 olarak gösterilebilir.Zaten hosting firmaları , MAPI clientları için ayrı ve daha yüksek bir fiyat POP3 ve IMAP içinse ayrı ve daha düşük bir fiyat vermektedir.Aslında POP3-IMAP-MAPI-RPC gibi bağlantı çeşitleri ayrı bir makale konusudur ama burada da gerektiği kadar açıklamaya çalıştım.Neyse amacımızdan sapmadan konumuza dönelim.

,

Yukarıdaki şekilde gördüğünüz gibi “Anonymous Users” işaretli değil.Bu durumda eğer ön tarafta duran AntiSpam SMTP Gateway  sunucumuz yoksa dışardan mail gelmeyecektir.Eğer mailleriniz doğrudan Exchange Server üzerinden akıyorsa “Anonymous Users” işaretli olmalıdır.Ben şu anda işaretlemiyorum.

Command Prompt üzerinden relay isteğinde bulunarak karşılacağımız durumları bir görelim.Şu anda elimizde Exchange 2010 kurulumundan sonra default olarak gelen 2 tane connector var ve bunların hiçbir ayarını değiştirmedim.

Exchange makinesine herhangi bir client üzerinden telnet yapıyorum.Exchange makinemizin IP si 192.168.1.2 dir.

Telnet yapan makinenin Exchange Server a giden 25 nolu portu açık ise aşağıdaki gibi bir ekran karşınıza gelecektir.Devam edip mail from:test@yktest.com dediğimde “Client was not authenticated” hatası verdi.

Yukarıdaki hatanın sebebi “Anonymous Users” ı aktif etmememiz.Bu tür relay istekleri Deafult Receive Connector üzerine gelir.

Yukarıdaki gibi  “Anonymous Users” seçeneğini aktif ediyorum.Şimdi tekrar istekte bulunalım.

Evet yukarıda gördüğünüz gibi tekrar denedim ve relay işlemi başarılı bir şekilde gerçekleştirildi.

mail from:testrelay@yktest.com (Buraya istediğimiz mail adresini yazabiliriz.Exchange üzerinde tanımlı olmasına gerek yok)
rcpt to:mg@yktest.local  (Bu Exchange sunucu üzerinde tanımlı olan bir mail adresi)

Yukarıdaki gibi gönderme işlemini dış networkteki(hotmail,gmail) bir adrese yaptığımda ise “Unable to Relay” hatası alıyorum.İşte bu durumda relay işlemini dışarıya açmak istiyorsak yeni bir receive connector tanımlamamız gerekir.

Receive Connectorlerin olduğu kısımda New Receive Connector diyerek connector oluşturma işlemine başlıyorum.

Herhangi bir hatırlatıcı isim vererek işleme devam ediyoruz.Custom seçeneğini seçip devam edebiliriz.

Exchange sunucusunun FQDN ismini yazarak devam ediyoruz.Yukarıdaki Local Network Settings kısmını default olarak bırakıyoruz.O kısımda maili alacak olan Exchange sunucusunun Ip adresini soruyor.Yukarıdaki şekilde bırakırsanız ilgili sunucudaki tüm Ip lerini kapsar.Onun yerine tek bir Ip de yazabilirsiniz.

“Remote Network Settings” kısmındaki gelen değeri siliyoruz ve aşağıdaki gibi Relay için izin vereceğimiz Ip yi yazıyoruz.

New diyerek Relay için gerekli olan connector oluşturma işlemini  bitiriyoruz.

Connector oluştuktan sonra ilgili connectorün ayarlarına girerek “Network” sekmesine geliyoruz.Yukarıdaki şekilde belirttiğim alanda eklenen Ip lerin relay yapma yetkisi olacaktır.Yani bir makineye relay yetkisi vermek isterseniz bu kısma makinenin Ip sini eklemelisiniz.

Relay yapan makineler authentication işlemi yapmadığından dolayı ek bir güvenlik olarak yukarıdaki “Externally Secured” seçeneğiniz aktif ediyoruz.Böylece verilerin güvenliği artıyor.

Relay işleminin dezavantajından da bahsetmek gerekir.Diyelim ki relay için bir Ip tanımlaması yaptık.Bu Ip ye sahip makinedeki uygulamalar sistem üzerinden  mail atabiliyorlar.Bu makineye bir spy bulaştığını  ve bu Ip yi kullanarak dışarıya mail attığını düşündüğümüzde relay işleminin bir risk olduğunu görebiliriz.Eğer mailler için AntiSpam gateway ya da ForeFront For Exchange 2010 gibi ürünlerden birini kullanmıyorsak bu açığı engellemek pek mümkün gözükmüyor.Belki “External Relay Domain” tanımlayarak ek bir güvenlik sağlayabiliriz.

“Permission Groups” sekmesine geçecek olursak;

Permissions Grupta “Exchange Server” seçili olmadığı için yukarıdaki gibi hata veriyor.Bu durumda önce “Authentication” sekmesinden “Externally secured” seçeneğini kaldırıp “Permission Groups” sekmesinden aşağıdaki gibi “Exchange Server” seçeneğini seçtikten sonra “Externally Secured” seçeneğini tekrar seçersek hata vermeyecektir.

Bu kısımda genelde “Anonymous Users” seçilir.Daha güvenli bir relay işlemi için “Anaonymous users” yerine “Exchange Servers” seçilmelidir.”Exchange Servers” sadece belirttiğimiz Ip deki makineleri içerir.

Evet hatırlarsanız dışarıya relay işlemi kapalıydı.Açmak için yeni bir connector oluşturduk ve gerekli düzenlemeleri yaptık.Şimdi dışarıya mail atmaya çalışalım.

Evet relay yapmak istediğimiz makinenin Ip bilgisi şekilde de gördüğünüz gibi 192.168.1.3 dür.Bu Ip için relay yetkisi vermiştik zaten.

192.168.1.3 lü Ip ye sahip makine üzerinden dışarıya mail atmak istediğimizde yukarıdaki gibi işlemin artık başarılı bir şekilde gerçekleştiğini görebiliyoruz.Hatırlarsanız connector oluşturmadan önce aynı işlemi yaptığımızda ”Unable To Relay” hatası veriyordu.Artık relay yapmasını istediğimizi makinenin Ip bilgisini oluşturduğumuz connectore girersek o makineye relaye açmış oluruz.

Bu yazımızda Exchange 2010 Relay ayarları ve client bağlantı türleri ile ilgili bilgiler vermeye çalıştım.Bir başka yazı da görüşmek üzere.