Forefront güvenlik ailesi ile birlikte sunulan ürünlerden biride Forefront Security For Exchange Server’dır. Server Security kategorisi altında sharepoint ve exchange koruması için üretilmiş ürünlerden birisi olan Forefront For Exchange ile aynı anda güvenilirliğini kanıtlamış birden fazla tarama motorunu kullanabilir, gerçek zamanlı ve zamanlanmış taramalar oluşturabilir, farklı kriterlere göre filtrelemeler yaparak Exchange güvenliğinde bir adım önde olabilirsiniz.
Bu yazımda Forefront Security for Exchange ürünü içerisinde bulunan filtering özelliğini inceleyeceğiz. Temel olarak filtering mekanizması tarafımızdan hazırlanan listeler yardımıyla işlev görmektedir. 5 ana başlık altında filter listler hazırlayabiliriz. İsterseniz her bir filtering mekanizmasını örnek uygulamalarla inceleyelim.
FILE FILTERING
Forefront Security For Exchange Server file filtering özelliği sayesinde mailler ile birlikte gelen attachmentleri boyutlarına, ismine yâda türüne göre ayırabilir ve belirli kısıtlamalar getirebiliriz. Bu kısıtlamalar için standart actionlar yerine farklı farklı actionlarda tanımlayabiliriz. Örneğin varolan ekli dosyanın direk silinmesi, rapor edilmesi yâda karantinaya alınması gibi. Bunun dışında File filtering özelliği sadece maillerden değil aynı zamanda Outlook içindeki diğer componentlerden de (tasks/schedules) sorumludur. Şimdi örnek bir uygulama için bir file filtering oluşturup clientlar üzerindeki yansımalarına bakalım.
File filtering oluşturmak için;
- Forefront Server Security Administrator konsolu içerisinde soldaki navigasyon menusunden FILTERING’i seçerek File’a tıklayın.
- Transport Scan Job için bu ayarı aktif etmek istediğimiz için yukarıdan seçimi yaparak aşağıdaki bölüme geçin.
Şekil-1
Forefront Security for Exchange Server’da genel olarak göreceğimiz şekilde File Names bölümü altındaki ADD butonuna basarak çeşitli dosya tiplerini belirleyebilirsiniz. Burada çeşitli uzantılar kullanarak dosya kısıtlaması gerçekleştireceğiz. Bunun yanında eklentileri boyutlarına göre de sınırlandırma imkânımız bulunmaktadır. Bunun için herhangi bir arayüz görülmemesine rağmen uzantı eklentisi sırasında kullanacağımız (=, >, <, >=, <=) karakterleri ile bunu gerçekleştirebiliriz. Örneğin 50kb’dan daha büyük bir jpg dosyasını file names kısmına eklemek için aşağıdaki gibi bir girdi oluşturabilirsiniz.
Şekil-2
Peki, burada kullanabileceğimiz diğer değişkenler neler olabilir?
- * karakteri ile belirttiğimiz uzantıdaki tüm dosyaları seçebiliyoruz.
- ? karakteri ile belirli bir kısımdan sonraki karakterleri belirtebiliriz. Örneğin virus?.exe şeklinde girdi yaparsak FSE virusa.exe yada virusb.exe gibi değişkenleri yakalayacaktır. Yalnız virus.exe’nin kendisini yakalamaz.
- [set] şeklinde bir dizi karakteri belirtmek için kullanabiliriz. Örneğin yukarıdaki örnekten gidersek virus[a-n] dersek virusa.exe’den virusn.exe’ye kadarki karakterleri dikkate alacaktır.
- <in> ve <out> komutlarını kullanabiliriz. Dosya tipinden önce <in> kullanırsak Forefront sadece inbound mesajlara <out> kullanırsak sadece outbound mesajlara bakacaktır.
Bunların dışında sol tarafta gördüğümüz File Types bölümünden de belirli dosya tiplerini seçebilirsiniz. Varsayılan olarak bunların hepsi seçili gelmektedir. Görüldüğü gibi kısıtlama mekanizması için birçok varyasyon kullanabiliyoruz.
Şimdi belirttiğimiz kriterde ekli dosya yakalandığında yapılması gereken action’ı belirleyeceğiz. Bunu sağ taraftaki action bölümünden gerçekleştirebilirsiniz. Buranın seçilebilir olması için File Filter:Enabled yapmayı unutmayın.
Şekil-3
Görüldüğü gibi action kısmında 4 seçeneğimiz var.
- Skip: Detect Only Dosya üzerine herhangi bir yaptırım uygulanmadan loglama yapılacaktır.
- Delete: Remove Contents Ekli dosya belirtilen kriterlere uyuyorsa silinecektir.
- Purge: Eliminate Message Varolan ekli dosya gelen mesajla birlikte silinecektir. Bu seçeneği seçersek bize aşağıdaki gibi bir uyarı çıkabilir.
Şekil-4
- Identify: Tag Message Bu seçeneği seçtiğimizde herhangi bir silim işlemi olmaz ama gelen mesajın header yada subject kısmına belirlenen bir uyarı eklenir. Varsayılan olarak bu uyarı SUSPECT’dir.
Bu ayarların altndaki send notifications kısmı seçili ise kısıtlama gerçekleştiğinde bu kullanıcıya bildirilir. Şimdi örnek olarak 50kb üstü jpg dosyaları yakalandığında mesajın headerını taglaması için gerekli seçeneği seçelim.Şimdi clientlardan bir tanesi 50kb’dan büyük jpg dosyası gönderdiğinde mesaj yerine ulaşacak ama header bilgisinde SUSPECT tagi eklenecektir.
Aynı şekilde bu tag bilgisini de değiştirmek isteyebiliriz. Bunun için soldaki navigasyon menüsünden settings/scan job altına gelerek alt kısımdaki tag text’e tıklarız. Buraya istediğimiz kelimeyi girebiliriz.
Şekil-5
Şimdi clientlar arasında 50 kb’den büyük bir mail alışverişi gerçekleştirip forefront’un bizim için neler yaptığına bakalım.
Şekil-6
Şekil-7
Görüldüğü gibi mailde belirttiğimiz kriterleri bulan Forefront mail subjectini tagleyerek maili alıcıya gönderdi.
KEYWORD FILTERING
Forefront üzerindeki genel filtreleme mantığını görmüş olduk. Diğer filtering çeşitleride aynı temeli kullanarak çalışmaktadır. Bir diğer filtering özelliğide keyword filtering. Bu özellik sayesinde forefront maillerin içeriğine bakarak içerisinde geçen kelimelere dayanarak yasaklama yapabiliyor. Bu özellik ile çalışmak istersek;
- Sağdaki navigasyon menüsünden Filter List’e girerek Keywords’e tıklayın.
Şekil-8
- Burada forefront’un durdurmasını istediği kelimelerle ilgili bir liste hazırlayacağız. Bunun için add’e basın.
Şekil-9
Görüldüğü gibi bu ekranda biraz önce oluşturduğumuz liste için ilgili kelimeleri ekliyoruz. Sol taraftaki kelimeler filtrelemeye dahil olanlar, sağ taraftakiler ise filtrelemeye dahil olmayanlar. Sağ taraftaki exclude listesini kullanmamızın sebebi, ileriki zamanda yanlışlıkla bloklanabilecek kelimeleri önceden buraya dâhil ederek filtreleme haricinde bırakmaktır. Aynı zamanda daha önceden oluşturduğumuz listeleri import ile içeri alabilir yâda şu anda oluşturduğumuz listeyi sonra kullanmak amacıyla export edebiliriz.
- İlgili kelimeleri ekledikten sonra OK ile pencereyi kapatın.
- Soldaki menuden FILTERING altındaki keyword’u seçin. Aşağıdaki bölümde biraz önce oluşturduğunuz listeyi görmeniz gereklidir.
Şekil-10
- Sağ taraftan kuralı enabled yaparak aynı şekilde durum karşısında ne tür bir action yapılacağını seçin. Alt taraftaki save ile ayarlarımızı kaydettiğimizde artık oluşturduğumuz wordlist içerisindeki kelimeler mailde geçtiği takdirde belirttiğimiz action uygulanacaktır. Uygulama olarak aynı şekilde Subject kısmını taglemesini belirterek clientlar arasında mail alışverişini sağlayalım. Oluşturduğum listedeki kumar kelimesini mail içeriğinde kullanarak neler olduğunu gözlemleyelim.
Şekil-11
Görüldüğü gibi şimdi de forefront maildeki kelimeleri tarayarak uygun kriterleri bulduğunda belirttiğimiz action’u gerçekleştirdi.
Bu konuyla ilgili sorularınızı alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.
Referanslar
Microsoft Forefront Security For Exchange Server