derssaati.net

Bu gün şirkette bazı şeylerin ters gittiği kanısına vardım. Malum bir sürü telefon trafiği vs.. Mail alıp veremiyoruz. Hemen Exchange sunucusuna uzak masaüstü yaptım. Kuyrukta bekleyen mail olup olmadığına bir bakayım dedim. Farklı domainlere ait bir sürü mailin kuyrukta beklediğini farkettim. Her bir domain için mailleri Delete (no NDR) diyerek silmeye kalksam bile bir süre sonra silinenlerin yerine yenileri gelecek ve nitekimde öyle oldu. Öncelikle bu maillerin kaynağını bulmam gerekiyor ama kaynak belirsiz olunca işler karışıyo haliylen. Atılan maillerden birisine örnek vermek gerekirse aşağıda resimleri mevcut.

Buradan maillerin kime atıldığını göremiyorum ama şunu biliyorum ki gönderilen maillerdeki eposta adresleri bizim mail sunucusunda kayıtlı değil. Eğer gönderilen mailler benim sunucumda tanımlı bir mail adresine gönderilmiş olsaydı ilgili mailler yerine ulaşmış olacaktı ve maili gönderen sunucuya benim mail sunucum üzerinden postmaster mailleri gitmeyecekti. Bunun gibi bir sürü domain üzerinden mail atıldığını düşünürsek, mail kuyruğunun şişmesi olası bir durum. Bu durumda ne yapılabilir ?

Microsoft bu durumu SMTP tar pit feature ( SMTP bataklık özelliği ) olarak nitelendiriyor. Bu durumdan korunmak için SMTP tar pit özelliğinin etkinleştirilmesini öneriyor.

Peki SMTP tar pit nedir ?

Tar pit ( Bataklık ) , istenmeyen posta veya diğer istenmeyen trafikle ilgili olarak belirli SMTP iletişimlerine bilerek bir gecikme ekleme uygulaması olarak adlandırılabilir. SMTP görüşmelerini yavaşlatarak, otomatik olarak istenmeyen eposta gönderimlerini veya sözlük saldırısı gerçekleşme oranını önemli ölçüde azaltabilir. Fakat bu uygulama ile normal işlemlerde de bir yavaşlık oluşabilir.

Not: Bu özellik server 2003 ve sonrasında çalışmaktadır. Bazı SMTP sunucuları da bu özelliği desteklemektedir. Tar pit özelliği, SMTP protokolü 5.x.x hata kodları içeren tüm yanıtları yavaşlatarak çalışmaktadır.

Not: Tar pit özelliği eğer Recipient Filter ( Alıcı Filtreleme ) özelliği etkinleştirilmemişse exchange sunucusu üzerinde çok fazla bir etki yapamayacaktır.

Tar pit özelliğini nasıl aktif ederim ?

Notepad ile boş bir dosya açıp içine aşağıdakileri yapıştırın ve tarpit.reg ismi ile kaydedin. Farklı bir isimde verebilirsiniz size kalmış. Sonra bu dosyayı çalıştırın ve ilgili kayıtları kayıt defterine ekletin.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SMTPSVC\Parameters]
“TarpitTime”=dword:00000005

Bu işlemden sonra SMTP servisini yeniden başlatın.

Recipient Filter nedir ve nasıl etkinleştirilir ?

Recipient Filter özelliği Exchange 2003 ile beraberinde gelen bir özelliktir. Recipient Filter özelliği, tanımladığınız alıcılar için ve Active Directory de listelenmeyen tüm kullancılar için gelen postalara filtre uygulamamıza veya bunları reddetmemize olanak sağlamaktadır. Uygulamayı bir örnek ile açıklayalım.

Yukarıdaki işlemleri sırası ile yaptıktan sonra kuyrukta bekleyen mailler varsa hepsini seçin sağ tuş > freeze  yapın. yada tek tek içlerine girerek ilgili  mesajları find messages diyerek bulun ve Delete (no NDR) diyerek uçurun. Exchange kuyruğunuz bir süre sonra normale dönecektir.

Not:  Exchange’in saldırganlara yardımcı olabilecek yanıtlar göndermesini engellemenin bazı dezavantajları olabileceğini unutmayın. Ör: Kuruluşumuzdaki bir ail adresine mail gönderen x kişi eğer yazım hatası yaparak mail adresini yanlış girer ise, kendisine karşı tarafın ( bizim mail sunucumuz ) mail sunucusu üzerinden mail gönderilmeyeceği için, mailin ulaştığını düşünecektir. Aynı zamanda Microsoft Recipient Filter özelliği etkinleştirilirse, toplama saldırılarına karşı riskimizin artabileceğini söylüyor. Ancak, bir NDR baskın saldırısı için taşıyıcı olarak kullanılma olasılığımızın da azalacağını belirtiyor.

Not : Makalenin bazı yerlerinde aşağıdaki linklerden alıntılar yapılmıştır.

Filter Out Mail to Non-Existent Users – Exchange 2003

SMTP tar pit feature for Microsoft Windows Server 2003