1. Ana Sayfa
  2. Forefront
  3. Forefront Security for Exchange Server ve Bilinmesi Gerekenler!

Forefront Security for Exchange Server ve Bilinmesi Gerekenler!

Server 2007’nin tercih edildiği kurumların büyük bölümünde Forefront for Exchange Server’ın kullanıldığını görüyoruz. Özellikle x64 bit senaryolarında sağladığı performans, birden fazla engine barındırması, kolay yönetimi, farklı Exchange Server rolleri için farklı yöntemler sunması ve rapor desteği ile IT Pro’ların hayatlarına hızlıca giren ve güvenlerini kazanan ürünün geleceği de parlak gibi görünüyor. Bu yazıda hem kurulum esnasında hem kurulumdan sonra hemde çıkabilecek sorunlarda neler yapılabileceğine göz atacağız.

Yakın zamanda çıkan servis paketi 1 ile birlikte yönetilebilirlik ve stabilite anlamında geliştirmeler de söz konusu. Daha fazla bilgi için:

Microsoft Forefront Security for Exchange Server with Service Pack 1

Standart bir kurulum esnasında dikkat edilmesi gereken noktalardan bir tanesi kullanılması planlanan engine’lerinin hangileri olacağıdır. Örneğin, karşınıza gelecek Engines penceresi aşağıdakine benzer olabilir, kullanmayı planladığınız farklı engine’ler varsa listede gerekli değişikliği gerçekleştirip kurulumu devam ettirmelisiniz. Tabi ki maksimum beş tane engine’in kullanılabileceğini hatırlatmakta fayda var.


Resim-1

A.   Performans

Kurulum işlemini bir Mailbox Sunucusu üzerinde gerçekleştirdi iseniz aşağıdakine benzer bir görüntü karşınıza gelecektir. Realtime Scan ve Scan işlemlerini Mailbox sunucuları üzerinde gerçekleştirebildiğimizi bu noktada söyleyebiliriz. Peki aynı ürünü bir Transport Server (Hub transport, Edge Transport) üzerine kurduğunuzda yine “RealTime Scan Job” ve “ Scan Job” gelecek mi sorusunun cevabı tabi ki hayır. Role göre kurulum kendi içerisinde ilgili “Scan Job” atamasını gerçekleştirebilecek yetenekte. Fakat aynı sunucu üzerine tüm rolleri kurduğunuz bir senaryoda (Hub, , Mailbox) hem “Realtime Scan Job” hem “ Scan Job” hem de “ Job” yüklenecektir, tabi böyle bir senaryoda performans beklenenin biraz altında olabilir. Aynı anda hem dışarıya atılan , hem dışarıdan gelen hemde mailbox’a yazılan ’in kontrolden geçirilecek olması ve bunu tek bir sunucu üzerinde gerçekleştirmeye çalışmak durumu yeterince açık hale getiriyor. Benzer tek sunuculu yapılarda “ Job” Inbound, Outbound ve Internal için etkinken “Realtime Scan Job”un kapatılma yöntemi tercih edilebilir (İlk olarak test ortamında test etmenizi öneririm)


Resim-2

Transport Sunucularınız üzerine kuracağınız Forefront Security for Exchange Server ile birlikte 3 farklı tarama seçeneği kullanıma sunulmuş durumda. Bunlar, Inbound, Outbound ve Internal’dır ve seçeneklerin tamamını aynı sunucu üzerinde kullanmak kurumdan kuruma değişebilir. Örneğin

Inbound: Edge Transport veya Hub Transport sunucularına dışarıdan gelen maillerin kontrol geçirilmesi,

Outbound: Edge Transport veya Hub Transport üzerinden organizasyon dışına giden maillerin kontrolden geçirilmesi,

Internal: Domain içerisindeki mail akışı esnasında maillerin kontrolden geçirilmesi,

Bu açıklamalara göre Edge Server’ların kullanıldığı bir yapıda Hub Transport’lar üzerinde Outbound Scanning tamamen kapatılabilir. Bu şekilde belirli oranda performans artışı söz konusu olabilir. Tabi ki kurum içi güvenlik politikaları doğrultusunda bu tarz seçenekleri kurulum öncesinde planlamakta fayda var.


Resim-3

Performans adına belki de dikkat edilmesi gereken en önemli nokta Bias ayarlarıdır. Settings > Antivirus seçenekleri altından ulaşılabilecek antivirus engine’lerinin hangi seviyede çalışacaklarının belirtilmesi işlemini göz ardı etmemek ve yapınıza uygun şekilde konfigüre etmek sistem performansınızı ciddi şekilde etkileyecek etkenlerden bir tanesi durumunda. Bias ayarlarını gerçekleştirmeden önce ne işe yaradıklarını kısaca inceleyecek olursak;

Maximum Sadece bir tane Antivirus Engine tarafından tarama gerçekleştirilir.
Favor Performance Seçilen Antivirus Engine sayısının yarısı kadar Engine ile taranması olasıdır. Bir update durumu sözkonusu olduğunda ilgili Engine atlanacaktır.
Seçilen Antivirus Engine sayısının yarısı kadar Engine ile tarama gerçekleştirilir.
Favor Certainty Seçilen tüm Engine’ler ile tarama gerçekleştirilir fakat bir şekilde bir Engine o anda tarama gerçekleştiremez durumda ise (Örneğin tarama esnasında Engine Update olması) sistem bu Engine’ı beklemeden taramayı geri kalanlarla sürdürür ve bitirir.
Maximum Certainty
Seçilen tüm Engine’ler ile tarama gerçekleştirilir ve bir şekilde bir Engine o anda tarama gerçekleştiremez durumda ise (Örneğin tarama esnasında Engine Update olması) sistem bu Engine’ın uygun olmasını bekler.

Tablo-1

Bu bilgiler ışığında baktığımızda “Maximum Certainty” en güvenli seçenek iken zaman zaman mail akışınızda performans düşüşü görme durumunuz mevcut gibi. “Neutral” ile çalışıldığı durumlarda, maksimum seçilebilecek Engine sayısının beş olduğunu düşündüğümüzde bunun yarısına denk düşen Engine sayısı 3 olarak belirlenecektir. Yani maksimum engine sayısı ve Neutral’ın kullanıldığı durumlarda 3 tane Engine ile tarama işlemlerinin gerçekleştiğini söyleyebiliriz. Bias’ın ve kullanılacak Engine sayısının, performans mı yoksa güvenlik mi sorusunun sorulacağı her kurumda daha öncesinde tartışılması ve karar verilmesinde fayda bulunuyor.


Resim-4

Ve tabi ki olmazsa olmazlarımızdan bir tanesi Update’ler. Mail Server’larınızı yapılandırdınız, sunucuların üzerinde çalışacak Forefront Security for Exchange Server yazılımlarını kurdunuz ve Scanner Updates’ı kullanarak güncellemelerin haftada bir ya da ayda bir yapılmasını belirttiniz. Sanırım günümüz koşullarında neredeyse hergün yeni bir virüs, spy, malware… türevlerinin çıktığını düşünürsek bu tarz ayda bir yada haftada bir güncelleme yapılmasının da pek anlamı kalmayacaktır. Bundan dolayı güncellemelerin günlük olarak yapılması hatta zaman zaman Last Updated’ın (ya da Application log’larının) kontrol edilmesi kurum içi rutin işlerinizden bir tanesi olmalı.


Resim-5

Birazda filter seçeneklerini inceleyip hangi durumlarda nelere dikkat edilmesi gerektiğine değinelim. Bilindiği gibi içerik filtrelemesi yapabildiğimiz ürün üzerinde aşağıdaki tarzda bir kullanım söz konusu durumda; örneğin belli bir büyüklükteki bir dosya türü için engelleme yapmak istiyorsak yazım şekli aşağıdaki gibi olmalıdır. Karakterler arasında herhangibir boşluk yer almaması dikkat edilmesi gereken noktalardan bir tanesi.

*.bmp>=1.2MB (1.2 MB’a eşit ve büyük .bmp dosyaları için filtreleme)

*.*>5GB (5 GB’dan büyük tüm dosyalar için filtreleme)

Aynı şekilde belli bir kelimeyi farklı yöntemlerle anlatan mail ekleri için filtre oluşturmak istiyorsanız yazım şeklini aşağıdaki şekilde tercih edebilirsiniz. (*) değişkeni oldukça işlevsel gibi görünüyor.

eicar.com: e*c*r*om, ei*.*, *car.*.

(*) şeklindeki diğer değişkenleri aşağıda bulabilirsiniz. Dikkat edilmesi gereken nokta çok genel olmayan filtreler yaratılması olacaktır. Bu noktada aşağıdaki değişkenleri tercih edebilirsiniz.

? Bir isimdeki tek bir değişken karakter tanımlamak için kullanılabilir.

virus?.exe > virusa.exe, virus1.exe veya virus$.exe. Bununla birlikte bu filtreleme yazımı virus.exe’yi içermez.

[set] Değişken olarak bir karakter aralığı tanımlanması gereken senaryolarda kullanılabilir,klez[a-h].exe > kleza.exe’dan klezh.exe’ye kadar tüm aralığı içerir.

Tablo-2

Peki *.* şeklinde bir dosya adı belirleyip sonrasında “File Types” alanında tüm türlerin seçilmesi durumunda sizi nasıl bir durum bekliyor? Bu tarz bir filtrenin  oluşturulması hem sistem performansını olumsuz etkileyebilir hemde çok işlevsel olmayacaktır bundan dolayı belirlediğiniz uzantı için “File Types” alanındaki doğru türü seçmekte fayda var.


Resim-6

General altındaki ayarlara kurulum sonrasında göz atmanızda fayda olacaktır. Örneğin, default olarak devre dışı gelen seçeneklerden bir tanesi olan “Delete Encrypted Compressed Files” seçeneğini seçerek içeriği okunamayan sıkıştırılmış eklerin silinmesini sağlayabilirsiniz. Ya da büyük küçük harf duyarlılığını “Case Sensitive Keyword Filtering” ile etkinleştirerek Keyword filtrelemelerinizi daha etkin hale getirebilirsiniz. “Perform Reverse DNS Lookup” kutucuğunun işaretli olması ile, maillerin geldiği domain’lerin Reverse DNS’lerinin kontrol edilmesini sağlayabilirsiniz, aldığınız birçok postaya bu şekilde güle güle demeniz olası. General Options içerisinde tüm özelliklere kısaca göz gezdirmekte fayda olacaktır.


Resim-7

B. Çıkabilecek Sorunların Giderilmesi

Sorun çözme noktasında kullanılabilecek iki tane araç mevcut. Bunlardan ilki FCSUtility.exe. FCSUtility.exe ile sistem üzerinde ki servisleri kontrol edebilir ve arayüzde kolaylıkla ulaşamayacağınız birçok bilgiye komut satırından ulaşabilirsiniz, Örneğin aşağıdaki şekilde “ /status” komutu çalıştırılmış ve servis ve ortam bilgisi alınmıştır. .exe ile kullanılabilecek parametreler aşağıdaki gibidir:

FSCUtility /status > Durum bilgisini ekrana yazdırmak için
FSCUtility /disable > Forefront Security’ye bağlı servisleri durdurmak için
FSCUtility /enable > Forefront Security’ye bağlı servisleri çalıştırmak için


Resim-8

İkinci kullanılabilecek araç ise FSCDiag.exe bu aracı kullanarak ilgili dosya versiyonlarının bilgisini, ilgili registry alanlarının bilgisini, Dr. Watson loglarını, Forefront Install Log’larını, Hotfix Log’larını… ve bu tarzda birçok bilgiyi toplayıp sorun çözebilmeniz mümkün. Destek veren ekiplerin zaman zaman kullanabilecekleri faydalı bir araç. Aşağıdaki resimde “FSCDiag.exe /i” komutu çalıştırılmış durumda.


Resim-9

C. Ve Registry

Arayüzden ulaşarak yapabildiğimiz birçok işi aslında registry üzerinden giderekte yapabilmek mümkün durumda. Tüm bu ayarlara aşağıdaki registry anahtarlarını kullanarak ulaşmanız mümkün. Peki nedir bunlar:

32-bit sistemler için :

HKLM\SOFTWARE\Microsoft\Forefront Server Security\ \Exchange Server

64-bit sistemler için :

HKLM\SOFTWARE\Wow6432Node\Microsoft\Forefront Server Security\Exchange Server

Değişken Tanım
DatabasePath Forefront Security for Exchange Server konfigürasyon dosyalarının ve karantina klasörünün tutulduğu lokasyon. Bu anahtarın kullanımı ile Database yolunun değiştirilmesi mümkün.
DisableInboundFileFiltering Değerin 1 olduğu durumda Transport Scan Job için inbound file filtresi kapalı halde bulunur.
DisableInboundContentFiltering Değerin 1 olduğu durumda Transport Scan Job için inbound content filtresi kapalı halde bulunur.
DisableInboundVirusScanning Değerin 1 olduğu durumda Transport Scan Job için inbound virüs taraması kapalı halde bulunur.
ManualScanContinueOnFailed Manuel gerçekleştirilen tarama işlemi esnasında antivirus Engine’leriyle ilgili bir sıkıntı yaşanması halinde tarama işleminin devam edip etmeyeceği belirlenir. 0 değerinden farklı olarak verilecek herhangibir değerde tarama işlemi devam eder.
ScanAllAttachments DWORD değeri 1 olarak yapılandırıldığında Forefront Security for Exchange Server tüm ekleri tarar. Default değer 1’dir.

Tablo-3

Daha önce bahsettiğimiz Scanner Update bilgisine de registry aracılığıyla ulaşılabilmesi mümkün.

32-bit sistemler için :

HKLM\SOFTWARE\Microsoft\Forefront Server Security\Exchange Server\Scan Engines\enginename

64-bit sistemler için :

HKLM\SOFTWARE\Wow6432Node\Microsoft\Forefront Server Security\Exchange Server\Scan Engines\enginename

Variable Description
Engine Version Engine versiyon numarası
Last Updated Son update zamanı
Signature Version Signature versiyonu

Tablo-4

Dikkat edilecek noktaları bir araya getirip bunları kurum içi Exchange Server dizaynınıza göre daha özel bir hale sokabilirsiniz, bu size performans artışı, çıkabilecek bir takım sorunlarla hiç karşılaşmamak ya da sorun çözme noktasında daha az zaman harcamak şeklinde geri dönecektir.

Bu konuyla ilgili sorularınızı https://forum.mshowto.org linkini kullanarak ulaşacağınız forum sayfamızda sorabilirsiniz.

Referanslar

Forefront Security for Exchange Server Help Files

Yorum Yap

Yazar Hakkında

Emre Aydın, Üniversite öncesi tüm öğrenimini İstanbul’da, üniversite öğrenimini ise Kocaeli'nde tamamladı. İşletme Yüksek Lisansını (MBA) Işık Üniversitesinde gerçekleştirmiştir. Üniversite sonrası Metis, Microsoft Türkiye, BilgeAdam gibi bilişim sektörünün farklı firmalarında Çözüm Danışmanı, Birim Müdür Yardımcı ve Birim Müdürü olarak görev almıştır. Son olarak Comparex Türkiye'de Birim Müdürü olarak çalışmış ve sonrasında tekrar Microsoft Türkiye çatısı altında Office 365'ten sorumlu teknik çalışan olmuştur. Uzmanlık alanı olan Microsoft Exchange Server, Office 365, Microsoft EMS, Windows Server ve Microsoft Azure konularında birçok kişi ve firmaya teknik eğitim vermiştir. Özellikle  Türkiye’nin önde gelen firmalarında Mesajlaşma Teknolojileri üzerine başarılı projelere imza atmıştır. Türkiye'nin en büyük ve uzun soluklu bilişim portali olan MSHOWTO’yu 2005 yılında kurmuş, portalin isim ve fikir babası olmuştur. Halen MSHOWTO’da yönetici olarak portalın birçok kişiye ulaşmasında önemli bir görev üstlenmektedir. Microsoft Office 365 alanında MVP olan Emre Aydın, Türkiye’de 11 kez üst üste MVP seçilebilme başarısı gösteren iki MVP’den birisidir. Birçok üniversite, etkinlik ve lansmanda konuşmacı, moderatör olarak yer almıştır. Sahip olduğu bazı sertifikalar: MVP | Office 365 | Since 2006 MCT | Since 2005 MCSD | Azure Solutions Architect MCSE | Private Cloud, Messaging, Communication, Server Infrastructure, Productivity, Platform MCSA | Office 365, Server 2012, Server 2016, Cloud Platform MCTS | Developing Azure Solutions, Implementing Azure Infrastructure, Architecting Microsoft Azure Solutions, SAM P-Seller Intelligent Cloud | EMS Amazon | AWS Certified Solutions Architect - Associate

Yorum Yap