Forefront Security For Exchange Server üzerinde Filtering teknolojileri

Forefront güvenlik ailesi ile birlikte sunulan ürünlerden biride Forefront Security For Exchange Server’dır.Server Security kategorisi altında sharepoint ve exchange koruması için ürretilmiş ürünlerden birisi olan Forefront For Exchange ile aynı anda güvenilirliğini kanıtlamış birden fazla tarama motorunu kullanabilir,gerçek zamanlı ve zamanlanmış taramalar oluşturabilir,farklı kriterlere göre filtrelemeler yaparak Exchange güvenliğinde bir adım önde olabiliriz.

Bu yazımıda Forefront Security for Exchange ürünü içerisinde bulunan filtering özelliğini inceleyeceğiz. Temel olarak filtering mekanizması tarafımızdan hazırlanan listeler yardımıyla işlev görmektedir.5 ana başlık altında filter listler hazırlayabiliriz.İsterseniz her bir filtering mekanizmasını örnek uygulamalarla inceleyelim.

FILE FILTERING

Forefront Security For Exchange Server file filtering özelliği sayesinde mailler ile birlikte gelen attachmentleri boyutlarına,ismine yada türüne göre ayırabilir ve belirli kısıtlamalar getirebiliriz.Bu kısıtlamalar için standart actionlar yerine farklı farklı actionlarda tanımlayabiliriz.Örneğin varolan ekli dosyanın direk silinmesi,rapor edilmesi yada karantiye alınması gibi.Bunun dışında File filtering özelliği sadece maillerden değil aynı zamanda Outlook içindeki diğer componentlerden de (tasks/schedules) sorumludur.Şimdi örnek bir uygulama için bir file filtering oluşturup clientlar üzerindeki yansımalarına bakalım.

File filtering oluşturmak için

– Forefront Server Security Administrator konsolu içerisinde soldaki navigasyon menusunden FILTERING’i seçerek File’a tıklarız.

-Transport Scan Job için bu ayarı aktif etmek istediğimiz için yukarıdan seçimi yaparak aşağıdaki bölüme geçeriz.

Forefront Security for Exchange Server’da genel olarak göreceğimiz şekilde File Names bölümü altındaki ADD butonuna basarak çeşitli dosya tiplerini belirleyebiliriz.Burada çeşitli uzantılar kullanarak dosya kısıtlaması gerçekleştireceğiz.Bunun yanında eklentileri boyutlarına görede sınırlandırma imkanımız bıulunmaktadır.Bunun için herhangi bir arayüz görülmemesine rağmen uzantı eklentisi sırasında kullanacağımız (=, >, <, >=, <=) karakterleri ile bunu gerçekleştirebiliriz.Örneğin 50kb’dan daha büyük bir jpg dosyasını file names kısmına eklemek için aşağıdaki gibi bir girdi oluşturabiliriz.

Peki burada kullanabileceğimiz diğer değişkenler neler olabilir?

*karakteri ile belirttiğimiz uzantıdaki tüm dosyaları seçebiliyoruz.

? karakteri ile belirli bir kısımdan sonraki karakterleri belirtebiliriz.Örneğin virus?.exe şeklinde girdi yaparsak FSE virusa.exe yada virusb.exe gibi değişkenleri yakalayacaktır.Yalnız virus.exe’nin kendisini yakalamaz.

[set] şeklinde bir dizi karakteri belirtmek için kullanabiliriz.Örneğin yukarıdaki örnekten gidersek virus[a-n] dersek virusa.exe’den virusn.exe’ye kadarki karakterleri dikkate alacaktır.

Bunun yanında <in> ve <out> komutlarını kullanabiliriz.Dosya tipinden önce <in> kullanırsak Forefront sadece inbound mesajlara <out> kullanırsak sadece outbound mesajlara bakacaktır.

Bunların dışında sol tarafta gördüğümüz File Types bölümünden de belirli dosya tiplerini seçebiliriz.Varsayılan olarak bunların hepsi seçili gelmektedir.Görüldüğü gibi kısıtlama mekanızması için birçok varyasyon kullanabiliyoruz.

Şimdi belirttiğimiz kriterde ekli dosya yakalandığında yapılması gereken action’ı belirlicez.Bunu sağ taraftaki action bölümünden gerçekleştirebiliriz.Buranın seçilebilir olması için File Filter:Enabled yapmayı unutmayalım.

Görüldüğü gibi action kısmında 4 seçeneğimiz var.

Skip:Detect Only Dosya üzerine herhangi bir yaptırım uygulanmadan loglama yapılacaktır.

Delete:Remove Contents Ekli dosya belirtilen kriterlere uyuyorsa silinecektir.

Purge: Eliminate Message Varolan ekli dosya gelen mesajla birlikte silinecektir.Bu seçeneği seçersek bize aşağıdaki gibi bir uyarı çıkabilir.

Identify: Tag Message Bu seçeneği seçtiğimizde herhangi bir silim işlemi olmaz ama gelen mesajın header yada subject kısmına belirlenen bir uyarı eklenir.Varsayılan olarak bu uyarı SUSPECT’dir.

Bu ayarların altndaki send notifications kısmı seçili ise kısıtlama gerçekleştiğinde bu kullanıcıya bildirilir.Şimdi örnek olarak 50kb üstü jpg dosyaları yakalandığında mesajın headerını taglaması için gerekli seçeneği seçelim.Şimdi clientlardan bir tanesi 50kb’dan büyük jpg dosyası gönderdiğinde mesaj yerine ulaşacak ama header bilgisinde SUSPECT tagi eklenecektir.

Aynı şekilde bu tag bilgisinide değiştirmek isteyebiliriz.Bunun için soldaki navigasyon menusunden settings/scan job altına gelerek alt kısımdaki tag text’e tıklamamız yeterli.Buraya istediğimiz kelimeyi girebiliriz

Şimdi clientlar arasında 50 kb’den büyük bir mail alışverişi gerçekleştirip forefront’un bizim için neler yaptığına bakalım.

Görüldüğü gibi mailde belirttiğimiz kriterleri bulan Forefront mail subjectini tagleyerek maili alıcıya gönderdi.

KEYWORD FILTERING

Forefront üzerindeki genel filtreleme mantığını görmüş olduk.Diğer filtering çeşitleride aynı temeli kullanarak çalışmaktadır.Bir diğer filtering özelliğide keyword filtering.Bu özellik sayesinde forefront maillerin içeriğine bakarak içerisinde geçen kelimelere dayanarak yasaklama yapabiliyor.Bu özellik ile çalışmak istersek;

-Sağdaki navigasyon menusunden Filter List’e girerek Keywords’e tıklarız.

Burada forefront’un durdurmasını istediği kelimelerle ilgili bir liste hazırlayacağız.Bunun için add’e basarız.

Görüldüğü gibi bu ekranda biraz önce oluşturduğumuz liste için ilgili kelimeleri ekliyoruz.Sol taraftaki kelimeler filtrelemeye dahil olanlar ,sağ taraftakiler ise filtrelemeye dahil olmayanlar.sağ taraftaki exclude listesini kullanmamızın sebebi,ileriki zamanda yanlışlıkla bloklanabilecek kelimeleri önceden buraya dahil ederek filtreleme haricinde bırakmak.Aynı zamanda daha önceden oluşturduğumuz listeleri import ile içeri alabilir yada şu anda oluşturduğumuz listeyi sonra kullanmak amacıyla export edebiliriz.

İlgili kelimeleri ekledikten sonra OK ile pencereyi kapatırız.

Şimdi yine soldaki menuden FILTERING altındaki keyword’u seçeriz.Aşağıdaki bölümde biraz önce oluşturduğumuz listeyi görmemiz gereklidir.

Sağ taraftan kuralı enabled yaparak aynı şekilde durum karşısında ne tür bir action yapılacağını seçeriz.Alt taraftaki save ile ayarlarımızı kaydettiğimizde artık oluşturduğumuz wordlist içerisindeki kelimeler mailde geçtiği takdirde belirttiğimiz action uygulanacaktır.

Ben uygulama olarak aynı şekilde Subject kısmını taglemesini belirterek clientlar arasında mail alışverişini sağladım.Oluşturduğum listedeki kumar kelimesini mail içeriğinde kullanarak neler olduğunu gözlemleyelim.

Görüldüğü gibi şimdi de forefront maildeki kelimeleri tarayarak uygun kriterleri bulduğunda belirttiğimiz action’u gerçekleştirdi.

CONTENT FILTERING

Content filtering özelliği sayesinde organizasyonumuza giren ve çıkan mailleri kontrol edebiliriz.Bu özellik sayesinde mailleri 2 kritere göre filtreleyebiliyoruz.Bunlar:

* Sender-domains filtering (Realtime ve Manual scan için geçerlidir.)

* Subject line filtering (Realtime ve Manual scan için geçerlidir.)

Şimdi isterseniz bu 3 filtreleme teknolojisini inceleyelim.

Sender-domains filtering

Önceki exchange verisyonlarından da hatırlayacağımız bir özellik olan sender-domain filter sayesinde mailleri gönderen kişilere/domainlere göre filtreleyebiliyoruz.Yani bu filtrelemede bizi ilgilendiren kısım maillerin “œfrom” kısmı.Sender-domains filtring oluşturmak için:

Sol taraftaki FILTERING bölümünden Content’i seçeriz.

Yukarıdaki bölümden realtime yada manual seçeneklerinden birini seçebiliriz.Yukarıda da belirttiğimiz gibi bu özellik transport scan için geçerli değildir.

Alt taraftaki Content Fields alanında Sender-Domains’i seçeriz.

ADD butonuna basarak ilgili kısıtlama getireceğimiz domainleri gireriz.domain ekleme sırasında wildcard kullanarak komple bir domain için kısıtlama getirebileceğimiz gibi username@domain.com şeklinde giriş yaparak belirli bir domaindeki belirli bir kullanıcı için filtreleme uygulanmasını sağlayabiliriz.

Yukarıdaki konfigurasyonda iki çeşit giriş yaptık.Bunlardan ilkinde anilerduran.com domaininden gelen tüm mailler filtrelemeye takılacaktır.İkincisinde ise sadece anilerduran@hotmail.com adresi filtrelemeye tabi tutulmuştur.

Diğer filtering özelliklerinde olduğu gibi burada da filter’ı enable haline getirip ilgili action’u seçerek filtrelemeyi kaydederiz.

Subject Line Filtering

Subject line filtering özelliğinde ise adından da anlaşıldığı gibi maillerin yalnızca subject kısmındaki bilgiye göre filtreleme gerçekleştirebiliyoruz.

Bu işlemi gerçekleştirmek içn Content penceresindeyken alt kısımda Sender-Domains yerine Subject Lines’ı seçeriz.ADD butonunu kullanarak subject kısmında filtrelemeye tabi tutmak istediğimiz kelimeleri gireriz ve aynı şekilde istediğimiz action’u seçerek kaydederiz.

Bu iki filtreleme özelliğinde karşımıza çıkan bir diğer özellikte yine önceden hazırladığımız listeleri kullanabiliyor olmamız.Soldaki FILTERING tabından filter lists altına girdiğimizde

Sender domains ve Subject Lines seçeneklerini görebiliyoruz.Bu alanları seçerek ADD ile listeler oluşturabilir,önceden oluşturduğumuz listeleri import edebiliriz.Bu işlemden sonra Tekrar Content penceresine gelip Lists’e tıkladığımızda oluşturduğumuz listeleri görüntüleyebilir ve kullanabiliriz.

Bu şekilde liste halinde kullanmamızın bir diğer getiriside şudur.Örneğin bir domainden gelen mailleri sadece bir kullanıcı hariç engellemek istiyorsunuz.O zaman Liste oluştururken include ve exclude menulerini kullanabilirsiniz.

Örneğin yukarıdaki filtrelemeden anilerduran.com’dan gelen mailler kısıtlanmış yalnız admin@anilerduran.com adresi hariç tutulmuştur.(exclude)

ALLOWED SENDERS

Forefront Security For Exchange Server filtreleme özelliklerinin sonuncusu allowed senders.Peki ne zaman kullanabiliriz Allowed senders’ları.

Yapımıza göre birçok kural oluşturduğumuzu düşüneli.Kimi domainleri komple yasakladık.Kimi adreslerden resim gelmesini engelledik.Belirli kelimeler için filtreler oluşturduk.Yalnız kullandığımız öyle adresler varki,Exchange’e ulaştığında hiçbir filtrelemeye takılmadan tüm kısıtlamaları aşarak içeriye girebilmesi gerekiyor.İşte böyle durumlarda Allowed Senders’ı kullanabiliriz.Forefront mailleri kontrol ederken adrese göre onun Allowed Senders içerisinde olup olmadığını kontrol eder.Eğer değilse kurallara göre geçiş izni verir.Ama eğer bu listede bulunuyorsa tüm kısıtlamaları bypass ederek maili içeriye alır.

Allowed Senders listesi oluşturmak için;

FILTERING bölümünden Filter List’e tıklarız.

Allowed Sender’ı seçerek ADD “˜e basarız.Açılan pencerede önceki filtrelemelerde de gördüğümüz listeleme penceresi açılır.Bu pencerede güvenli mail adreslerini girerek listemizi oluştururuz.Aynı şekilde *.domain şeklinde giriş yaparak bu dmoainden gelen tüm mailleri güvenli olarak işaretleyebiliriz.

Şimdi FILTERING tabında allowed Senders’a tıklayarak oluşturduğumuz listeyi görebiliriz.Aynı şekilde ilgili action’u seçerek kuralımızı oluşturabiliriz

Kaydetmeden önce Skip Scanning for kısmınada dikkat etmemiz gerekli.Burada oluşturuduğumuz listenin hangi filtrelemelere takılmadan geçebileceğini seçiyoruz.Eğer iki tick’ide kaldırırsak otomatik olarak Link State disable olacaktır.

Forefront Security For Exchange Server ile bu şekilde filtrelemeler oluşturarak güvenliği sadece tarama motorlarına bırakmayarak ,kendimizde sınırları belirleyebiliriz.Son olarak kullanıcılara geri döndürülen mesajlarda yada hata kodlarında kullanabileceğimiz forefront tarafından tanınan değişkenleri aşağıda bulabilirsiniz.

%Company% Organizasyonunuzun ismi

%EBccAddresses% External Bcc adresleri

%EBccNames% External Bcc isimleri.

%ECcAddresses% External Cc adresleri

%ECcNames% External Cc isimleri

%ERAddresses% External recipient adresleri

%ERNames% External recipient isimleri

%ESAddress% External sender adresleri

%ESName% External sender isimleri

%File% Detect deilen dosyanın ismi

%Filter% Dosyayı detect eden filtrenin ismi

%IBccAddresses% Internal Bcc adresleri

%IBccNames% Internal Bcc isimleri

%ICcAddresses% Internal Cc adresleri.

%ICcNames% Internal Cc isimleri.

%IRAddresses% Internal recipient adresleri.

%IRNames% Internal recipient isimleri.

%ISAddress% Internal sender adresleri.

%ISName% Internal sender isimleri

%Message% Mesajın Subject bölümü

%MIME% MIME Header.

%ScanJob% Çalışan tarama görevinin ismi

%Server% Filtreleme yapılan yada şüpheli dosya bulunan sunucunun ismi

%State% Bulunan dosyanın akibeti.Silindi-karantinaya alında vb..

%Virus% Virusun ismi

%VirusEngines% Virus bulan tüm tarama motorlarının ismi

Leave a Reply

Your email address will not be published. Required fields are marked *

+ 72 = 78