Microsoft, Exchange online şirket içinde tutulan ve güvenlik açığı barındıran Exchange sunuculardan gelen e-postaları engelleyeceği ile ilgili bir haber yayınladı. Kendi yerlerinde Exchange sunucu tutan şirketler ve Exchange mail hizmeti veren servis sağlayıcılar için önemli bir karar! Uygulamaya şu anda kullanılan en eski versiyon olan Exchange 2007 ile başlanacağı belirtiliyor.
Uygulamanın temel amacı, şirketlerin kendi içlerinde (onprem) kullandıkları ya da hizmet aldıkları servis sağlayıcıları tarafından yönetilen/barındırılan Exchange yazılımında varsa bir güvenlik açığı, bunun 30 gün içerisinde kapatılması. Bu süre içinde kapatılmayan güvenlik açıklarına sahip onprem Exchange sunuculardan Exchange Online’ gönderilen elektronik postalar kademeli olarak yavaşlatılarak, 90 gün sonra ilgili güvenlik açığının kapatılmaması durumunda onprem Exchange sunuculardan gönderilen elektronik postalar tamamen engellenecek.
Her gün güvenlik yaması yapılmamış yazılımlar sebebi ile onlarca siber güvenlik vakası okuyoruz. Bu kapsamda alınmış önemli bir karar. Diğer taraftan Microsoft’un Exchange kullanan şirketleri Exchange Online hizmeti satın almaya yönlendireceği şeklinde de algılanabilecek bir karar.
Haberin detayını aşağıda bulabilirsiniz.
Bulutumuzun güvenliğini artırmaya devam ederken, desteklenmeyen ve yamalanmamış Exchange sunucularından Exchange Online’a gönderilen e-posta sorununu ele alacağız. Desteklenmeyen veya yamalanmamış yazılımların çalıştırılmasıyla ilgili birçok risk vardır, ancak en büyük risk güvenliktir. Exchange Server’ın bir sürümü artık desteklenmediğinde, artık güvenlik güncellemeleri almaz; bu nedenle, destek sona erdikten sonra keşfedilen güvenlik açıkları düzeltilmez. Bilinen güvenlik açıkları için yaması yapılmamış bir yazılımın çalıştırılması da benzer riskler taşır. Bir güvenlik güncellemesi yayınlandığında, kötü niyetli kişiler güncellemeyi tersine çevirerek yamalanmamış sunuculardaki güvenlik açığından nasıl faydalanacaklarını daha iyi anlayabilirler.
Microsoft, bulut hizmetleri için Sıfır Güven güvenlik modelini kullanır; bu model, bağlanan cihazların ve sunucuların kanıtlanabilir şekilde sağlıklı olmasını ve yönetilmesini gerektirir. Desteklenmeyen veya yamalanmayan sunucular sürekli olarak savunmasızdır ve güvenilemezler, dolayısıyla bu sunuculardan gönderilen e-posta iletilerine de güvenilemez. Sürekli olarak savunmasız olan sunucular güvenlik ihlalleri, kötü amaçlı yazılım, bilgisayar korsanlığı, veri sızıntısı ve diğer saldırı risklerini önemli ölçüde artırır.
Müşterilerin güncellemeleri takip ederek ve ortamlarının güvenliğini daha da güçlendirmek için başka önlemler alarak Exchange sunucularını korumalarının kritik önem taşıdığını birçok kez söyledik. Birçok müşteri ortamlarını korumak için harekete geçti, ancak hala desteklenmeyen veya güncellemelerde önemli ölçüde geride kalan birçok Exchange sunucusu var.
Aktarım Tabanlı Uygulama Sistemi
Bu sorunu çözmek için Exchange Online’da üç temel işlevi olan aktarım tabanlı bir zorlama sistemini etkinleştiriyoruz: raporlama, kısıtlama ve engelleme. Sistem, şirket içi ortamlarında düzeltme (yükseltme veya yama) gerektiren desteklenmeyen veya yamalanmamış Exchange sunucuları hakkında bir yöneticiyi uyarmak için tasarlanmıştır. Sistem ayrıca kısıtlama ve engelleme özelliklerine de sahiptir, bu nedenle bir sunucu düzeltilmezse, bu sunucudan gelen posta akışı kısıtlanır (geciktirilir) ve sonunda engellenir.
Meşru e-postaları geciktirmek veya engellemek istemiyoruz, ancak bulut hizmetimize giren e-postalar için güvenlik önlemleri ve standartlar getirerek Exchange Online’a kötü amaçlı e-posta girme riskini azaltmak istiyoruz. Ayrıca, desteklenmeyen veya yamalanmamış Exchange sunucuları olan müşterilerin dikkatini çekmek ve onları şirket içi ortamlarını güvenli hale getirmeye teşvik etmek istiyoruz.
Raporlama
Exchange Server yöneticileri yıllardır, yaygın yapılandırma ve performans sorunlarını tespit eden ve hangi sunucuların desteklenmediği veya yamalanmadığı da dahil olmak üzere yararlı bilgiler toplayan Exchange Server Health Checker’a sahiptir. Health Checker, sunucu düzeltmelerine öncelik vermenize yardımcı olmak için renk kodlu HTML raporları bile oluşturabilir.
Exchange Online’daki Exchange yönetim merkezine (EAC), Health Checker’dan ayrı ve onu tamamlayıcı nitelikte yeni bir posta akışı raporu ekliyoruz. Bu rapor, bir kiracı yöneticisine, e-posta göndermek için Exchange Online’a bağlanan ortamlarındaki desteklenmeyen veya güncel olmayan Exchange sunucuları hakkında ayrıntılar sağlar.
Aşağıdaki Şekil 1’de yeni raporun yayınlandığında nasıl görünebileceğine dair bir model gösterilmektedir:
Yeni posta akışı raporu, sunucuyu düzeltmek için herhangi bir işlem yapılmazsa bir sonraki adımda ne olacağına ilişkin bilgilerle birlikte iletilerin herhangi bir şekilde azaltılması veya engellenmesi hakkında ayrıntılar sağlar. Yöneticiler bu raporu güncellemelere (güncellenebilen sunucular için) ve yükseltmelere veya geçişlere (güncellenemeyen sunucular için) öncelik vermek için kullanabilir.
Yavaşlatma
Bir sunucu belirli bir süre sonra düzeltilmezse (aşağıya bakın), Exchange Online bu sunucudan gelen iletileri kısmaya başlayacaktır. Bu durumda, Exchange Online, gönderen sunucuya geri alınabilir bir SMTP 450 hatası verir ve bu da gönderen sunucunun iletiyi kuyruğa almasına ve daha sonra yeniden denemesine neden olarak iletilerin gecikmeli olarak teslim edilmesine neden olur. Bu durumda, gönderen sunucu otomatik olarak mesajı yeniden göndermeyi deneyecektir. SMTP 450 hatasının bir örneği aşağıdadır:
450 4.7.230 Bağlanıyor Exchange sunucusu sürümü güncel değil; Exchange Online’a bağlantı 5 dakika/saat için kısıtlandı. Daha fazla bilgi için bkz. https://aka.ms/BlockUnsafeExchange.
Kısıtlama süresi zaman içinde aşamalı olarak artacaktır. Birden fazla gün boyunca aşamalı kısıtlama, yöneticinin farkındalığını artırmak ve sunucuyu düzeltmeleri için onlara zaman tanımak üzere tasarlanmıştır. Ancak, yönetici kısıtlama başladıktan sonra 30 gün içinde sunucuyu düzeltmezse, uygulama e-postanın engelleneceği noktaya kadar ilerleyecektir.
Engelleme
Daraltma, bir yöneticinin sunucuyu düzeltmesine neden olmazsa, belirli bir süre sonra (aşağıya bakın), bu sunucudan gelen e-posta engellenir. Exchange Online göndericiye kalıcı bir SMTP 550 hatası verir ve bu da göndericiye bir teslim edilemedi raporu (NDR) gönderilmesini tetikler. Bu durumda, göndericinin mesajı yeniden göndermesi gerekecektir. SMTP 550 hatasının bir örneği aşağıdadır:
550 5.7.230 Bağlanıyor Exchange sunucu sürümü güncel değil; Exchange Online’a bağlantı 10 dakika/saat boyunca engellendi. Daha fazla bilgi için https://aka.ms/BlockUnsafeExchange adresine bakın.
Uygulama Aşamaları
Zaman içinde yavaşlatmayı kademeli olarak artıran ve ardından kademeli olarak artan aşamalarda engelleme getiren ve tüm uyumlu olmayan trafiğin %100’ünün engellenmesiyle sonuçlanan aşamalı bir uygulama yaklaşımı benimsiyoruz.
Uygulama eylemleri, sunucu düzeltilene kadar zaman içinde artacaktır (örneğin, azaltmayı artırma, engelleme ekleme, engellemeyi artırma, tam engelleme): ya hizmetten kaldırılır (kullanım ömrünün sonundaki sürümler için) ya da güncellenir (mevcut güncellemelerle desteklenen sürümler için).
Aşağıdaki Tablo 1, zaman içinde aşamalı uygulamanın aşamalarını detaylandırmaktadır:
1. Aşama yalnızca rapor modudur ve uyumlu olmayan bir sunucu ilk kez tespit edildiğinde başlar. Sunucu tespit edildiğinde, daha önce bahsedilen güncel olmayan raporda görünecek ve yöneticinin sunucuyu düzeltmek için 30 günü olacaktır.
Sunucu 30 gün içinde düzeltilmezse, kısıtlama başlayacak ve sonraki 30 gün boyunca her 10 günde bir Aşama 2-4’te artacaktır.
Sunucu tespit edildikten sonra 60 gün içinde düzeltilmezse, yavaşlatma ve engelleme başlar ve engelleme 5-7. Aşamalarda sonraki 30 gün boyunca her 10 günde bir artar.
Tespit edildikten 90 gün sonra sunucu düzeltilmemişse, Aşama 8’e ulaşılır ve Exchange Online artık sunucudan herhangi bir ileti kabul etmez. Sunucu kalıcı olarak engellendikten sonra yamalanırsa, Exchange Online, sunucu uyumluluk içinde kaldığı sürece sunucudan gelen iletileri tekrar kabul eder. Bir sunucuya yama uygulanamıyorsa, sunucu kalıcı olarak hizmetten kaldırılmalıdır.
Yürütme Duraklatması
Her kiracı, kısıtlama ve engellemeyi yılda 90 güne kadar duraklatabilir. EAC’deki yeni posta akışı raporu, bir yöneticinin geçici bir uygulama duraklatması talep etmesine olanak tanır. Bu, tüm kısıtlama ve engellemeyi duraklatır ve sunucuyu yönetici tarafından belirtilen süre boyunca (yılda 90 güne kadar) yalnızca rapor moduna geçirir.
Zorlamayı duraklatmak, yılda 90 güne kadar istediğiniz zaman ve istediğiniz şekilde kullanabileceğiniz ön ödemeli bir banka kartı gibi çalışır. Belki bir sunucuyu düzeltmek için 1. çeyrekte 5 güne ihtiyacınız vardır ya da belki 15 güne ihtiyacınız vardır. İkinci çeyrekte 15 güne daha ihtiyacınız olabilir ve bu şekilde takvim yılı başına 90 güne kadar çıkabilirsiniz.
İlk Kapsam
Zorlama sistemi sonunda Exchange Server’ın tüm sürümleri ve Exchange Online’a gelen tüm e-postalar için geçerli olacaktır, ancak çok küçük bir eski sunucu alt kümesiyle başlıyoruz: Exchange Online’a onprem bağlanan Exchange 2007 sunucuları.
Exchange 2007 ile başlamayı özellikle seçtik çünkü Exchange Online’a hibrit bir yapılandırmada geçiş yapabileceğiniz en eski Exchange sürümüdür ve bu sunucular tanımlayabildiğimiz ve mevcut bir ilişkimiz olan müşteriler tarafından yönetilmektedir.
Bu ilk dağıtımın ardından, diğer Exchange Server sürümlerini aşamalı olarak zorlama sisteminin kapsamına alacağız. Sonunda, Exchange Online’a nasıl posta gönderdiklerine bakılmaksızın, kapsamımızı Exchange Server’ın tüm sürümlerini içerecek şekilde genişleteceğiz.
Ayrıca müşterileri bilgilendirmek için Mesaj Merkezi gönderileri de göndereceğiz. Bugün, tüm Exchange Server müşterilerine onları bu blog gönderisine yönlendiren bir Mesaj Merkezi gönderisi gönderiyoruz. Ayrıca müşterilere, Exchange Server sürümlerinin zorlama sistemine dahil edilmesinden 30 gün önce hedeflenmiş Mesaj Merkezi gönderileri göndereceğiz. Ayrıca, onprem sunucuları üzerinden gelen postaların ötesine geçmeden 30 gün önce, müşterileri Mesaj Merkezi aracılığıyla bilgilendireceğiz.
Geri Bildirim ve Yaklaşan AMA
Her zaman olduğu gibi, geri bildirimlerinizi bekliyor ve bekliyoruz. Paylaşmak istediğiniz herhangi bir sorunuz veya geri bildiriminiz varsa bu gönderiye bir yorum bırakın.
10 Mayıs 2023 tarihinde saat 09:00’da Microsoft Tech Community’de bu değişiklikler hakkında bir “Microsoft’a Her Şeyi Sor” (AMA) etkinliği düzenleyeceğiz. Sizi bize katılmaya, soru sormaya ve geri bildirim paylaşmaya davet ediyoruz. Bu AMA, ses veya video içermeyen, metin tabanlı canlı bir çevrimiçi etkinlik olacaktır. Bu AMA size bizimle bağlantı kurma, soru sorma ve geri bildirimde bulunma fırsatı verecektir. Bu AMA için buradan kayıt yaptırabilirsiniz.
Kaynak:
Yorum yazabilmek için oturum açmalısınız.