Exchange 2003'te SMTP istemci iletisi nasıl güvenli şekilde teslim edilir

Makale çevirileri Makale çevirileri
Makale numarası: 823019 - Bu makalenin geçerli olduğu ürünleri görün.
Hepsini aç | Hepsini kapa

Bu Sayfada

™zet

Bu makalede Exchange 2003 bilgisayarlarınıza gelen istemci Basit Posta Aktarım Protokolü (SMTP) bağlantılarının güvenlik ayarlarının nasıl yapılandırılacağı anlatılmaktadır. Bu ayarlar kullanıcılarınızın kimlik doğrulamasına ve önemli olabilecek içeriği almasına izin verir ve kullanıcı adı, parola veya ileti içeriğinin ele geçirilmesinin engellenmesine yardımcı olur. Exchange 2003 bilgisayarınıza bağlanmak için Postane Protokolü 3 (POP3) ya da Internet İleti Erişim Protokolü 4 (IMAP4) kullanan kullanıcılarınız olabilir. Bu protokollerin ikisi de ileti teslimi için SMTP'yi kullanır.

Not Exchange 2003'ün varsayılan yüklemesinde, sunucuya bağlanan POP3 veya IMAP4 istemcileri için ek seçenek yapılandırmanız gerekmez. Bu makalede bazı varsayılan güvenlik ayarları anlatılmakta ve Exchange 2003'te bulunan ek seçenekler hakkında bilgi sağlanmaktadır.

Dikkate Alınması Gereken Noktalar

Aşağıdaki dikkate alınması gereken noktaları unutmayın:

Ek SMTP sanal sunucusu oluşturma



Gelen istemci bağlantıları için kullanılacak yeni bir SMTP sanal sunucusu oluşturun.

Bağlantı denetimi



Bağlantı denetimi, ters Etki Alanı Ad Sistemi (DNS) aramaları dahil olmak üzere IP adresine ve etki alanı adına göre bağlantıları kısıtlar. Bağlantı denetimi parolaları ve ileti verilerini şifrelemez.

Erişim denetimi



Temel kimlik doğrulamayı, anonim kimlik doğrulamayı ya da tümleşik Windows kimlik doğrulamasını (önceden NTLM veya Windows NT Sınama/Yanıt kimlik doğrulaması olarak adlandırılıyordu) yapılandırabilirsiniz. Temel kimlik doğrulama kullanıcı adlarını ve parolaları düz metin olarak gönderdiğinden güvenli değildir. Kullanıcı adlarının ve parolaların şifrelenmesini sağlamak için temel kimlik doğrulamayı Aktarım Katmanı Güvenliğiyle (TLS) birlikte kullanın ya da tümleşik Windows kimlik doğrulaması kullanın. Güvenli Yuva Katmanı (SSL) gibi TLS de kullanıcı adlarını, parolaları ve ileti verisini şifreler. Tümleşik Windows kimlik doğrulamasının yalnızca istemci bilgisayarın kimlik bilgilerini doğrulamak için Windows tabanlı bir etki alanı denetleyicisiyle iletişim kurabildiği senaryolarda çalıştığını unutmayın. Çoğu güvenlik duvarı yapılandırmasında bu iletişim kurulamayabilir. Bununla birlikte, SMTP erişiminin dahili uygulamaları (oturum açma oturumunun Internet'ten dolaşmadığı) tümleşik Windows kimlik doğrulaması kullanabilir.

Şifreleme



Artırılmış güvenliğe sahip iletişim, SSL şifrelemesi kullanarak kullanıcı adı, parola ve ileti verisi dahil olmak üzere SMTP oturumunu şifreler. Exchange 2003'e Internet gibi genel ağlar üzerinden kurulan tüm SMTP bağlantılarında SSL kullanmak daha iyidir. SMTP sanal sunucunuza bir sertifika yüklemeniz gerekir. Sertifika yüklemek için bir dış sertifika yetkilisini kullanabilir ya da Microsoft Active Directory dizin hizmeti ormanınıza Sertifika Hizmetleri yükleyebilirsiniz.

Geçiş denetimi



Varsayılan olarak, Exchange 2003'te bir SMTP sanal sunucusu oluşturduğunuzda, sunucu e-posta iletilerinin geçişini engelleyecek şekilde yapılandırılır. POP3 veya IMAP4 istemcilerinizin geçiş yapma izni olmadığında, kullanıcıların SMTP sanal sunucusu üzerinden dış etki alanlarına SMTP postası gönderemeyeceğini unutmayın. Ancak, iletilerin geçirilmesine izin verirseniz, bir kullanıcı istenmeyen ticari e-posta iletileri (önemsiz e-posta iletileri) yaymak için kullanılabilir. Varsayılan geçiş ayarlarını kullandığınızda, yalnızca kimliği doğrulanmış olan istemciler SMTP sanal sunucusu üzerinden ileti geçirebilir. Daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
319278 Exchange 2000'de Internet İleti Erişim Protokolü istemci erişimi güvenliği nasıl sağlanır (Bu bağlantı, bir kısmı veya tamamı İngilizce olan içeriğe işaret edebilir)

Yeni bir SMTP Sanal Sunucusu Oluşturma

  1. Başlat'ı tıklatın, Programlar'ın üzerine gelin, Microsoft Exchange'in üzerine gelin ve sonra Sistem Yöneticisi'ni tıklatın.
  2. Yönetimsel Gruplar'ı genişletin (uygunsa), YönetimselGrup'u genişletin (uygunsa), Servers'ı (Sunucular) genişletin, SunucuAdı'nı genişletin ve sonra Protocols'ü (Protokoller) genişletin.
  3. SMTP'yi sağ tıklatın, New'un (Yeni) üzerine gelin ve sonra SMTP Virtual Server'ı (SMTP Sanal Sunucusu) tıklatın.
  4. Name (Ad) kutusuna sanal sunucusunun adını yazın ve sonra Next'i (İleri) tıklatın.
  5. Kullanmak istediğiniz IP adresini ve sonra Finish'i (Son) tıklatın.
  6. SMTP sanal sunucusunu oluşturduktan sonra, yeni sanal sunucunun doğru tam etki alanı adını (FQDN) kullandığını doğrulayın. Bunu yapmak için:
    1. Oluşturduğunuz SMTP sanal sunucusunu sağ tıklatın ve sonra Properties'i (Özellikler) tıklatın.
    2. Delivery (Teslim) sekmesini ve sonra Advanced'i (Gelişmiş) tıklatın.
    3. Fully-qualified domain name (Tam etki alanı adı) kutusundaki etki alanı adının, kullanıcılarınızın SMTP postayı teslim eden istemci yazılımı yapılandırırken yazdıkları adla eşleştiğini doğrulayın. Etki alanı adının doğru şekilde çözümlendiğini doğrulamak için, Check DNS'yi (DNS'yi Denetle) tıklatın.
    4. Tamam'ı ve sonra yine Tamam'ı tıklatın.
Not SMTP sanal sunucusunu söz konusu SMTP sanal sunucusuna Internet üzerinden erişen kullanıcılar için yapılandırıyorsanız, SMTP sanal sunucusunun FQDN'sinin bir dış Internet adresine çözümlenmesi gerektiğinden dış DNS sunucuları yapılandırmanız gerekebilir. Bunu yapmak için, Advanced Delivery (Gelişmiş Teslim) iletişim kutusunda Configure'ı (Yapılandır) tıklatın, Add'i (Ekle) tıklatın ve sonra dış DNS sunucusunun IP adresini yazın. Daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
326992 Giden SMTP posta iletileri gönderilmiyor (Bu bağlantı, bir kısmı veya tamamı İngilizce olan içeriğe işaret edebilir)


IP Adresi Kısıtlamalarını Yapılandırma

IP adresi kısıtlamalarını yapılandırmak için:
  1. Başlat'ı tıklatın, Programlar'ın üzerine gelin, Microsoft Exchange'in üzerine gelin ve sonra Sistem Yöneticisi'ni tıklatın.
  2. Yönetimsel Gruplar'ı genişletin (uygunsa), YönetimselGrup'u genişletin (uygunsa), Servers'ı (Sunucular) genişletin, SunucuAdı'nı genişletin ve sonra Protocols'ü (Protokoller) genişletin.
  3. SMTP'yi genişletin, Default SMTP Virtual Server'ı (Varsayılan SMTP Sanal Sunucusu) sağ tıklatın ve sonra Properties'i (Özellikler) tıklatın.
  4. Access (Erişim) sekmesini ve ardından Connection'ı (Bağlantı) tıklatın.
  5. Connection (Bağlantı) iletişim kutusunda, Only the list below (Yalnızca aşağıdaki liste) seçeneğini tıklatın.

    Bu seçenek, yalnızca listedeki IP adreslerinin ve etki alanlarının SMTP sanal sunucusuna bağlanmasına izin verileceği anlamına gelir.
  6. Add'i (Ekle) tıklatın ve durumunuza göre tek bir bilgisayar, bir grup bilgisayar veya bir etki alanı eklemek için aşağıdakilerden birini yapın:
    • Tek bir bilgisayar eklemek için, Single Computer'ı (Tek Bilgisayar) tıklatın, Internet servis sağlayıcınızın (ISP) e-posta iletisi sunucusunun IP adresini IP address (IP adresi) kutusuna yazın ve sonra Tamam'ı tıklatın.

      Alternatif olarak, DNS Lookup'ı (DNS Arama) tıklatın, bir ana bilgisayar adı yazın ve sonra Tamam'ı tıklatın.
    • Bir grup bilgisayar eklemek için, Group of computers'ı (Bilgisayar grubu) tıklatın, grubun alt ağ adresini ve alt ağ maskesini ilgili kutulara yazın ve sonra Tamam'ı tıklatın.

      Microsoft, ISS'niz e-posta iletisi sunucusunun IP adresini önceden uyarmadan değiştirme eğilimindeyse bu seçeneği önerir.
    • Etki alanı eklemek için, Domain'i (Etki alanı) tıklatın, istediğiniz etki alanı adını Name (Ad) kutusuna yazın ve sonra Tamam'ı tıklatın.

      Bu seçeneğin, gelen her bağlantı için bir ters DNS araması yapılması gerektirdiğini unutmayın. Bu gereksinim Exchange Server'ın performansını olumsuz bir şekilde etkileyebilir. Daha fazla bilgi için, bu makalenin ilerisindeki Sorun Giderme bölümüne bakın.

Erişim Denetimini Yapılandırma

Erişim denetimini yapılandırmak için:
  1. Başlat'ı tıklatın, Programlar'ın üzerine gelin, Microsoft Exchange'in üzerine gelin ve sonra Sistem Yöneticisi'ni tıklatın.
  2. Yönetimsel Gruplar'ı genişletin (uygunsa), YönetimselGrup'u genişletin (uygunsa), Servers'ı (Sunucular) genişletin, SunucuAdı'nı genişletin ve sonra Protocols'ü (Protokoller) genişletin.
  3. SMTP'yi genişletin, SMTP sanal sunucusunu sağ tıklatın ve sonra Properties'i (Özellikler) tıklatın.
  4. Access (Erişim) sekmesini ve sonra Authentication'ı (Kimlik Doğrulaması) tıklatın.

    Varsayılan olarak, anonim erişim devre dışıdır ve temel kimlik doğrulama ile tümleşik Windows kimlik doğrulaması etkindir. SMTP sanal sunucusunu, TLS şifrelemesi ile temel kimlik doğrulama veya tümleşik Windows kimlik doğrulaması kullanacak şekilde yapılandırın ve sonra Tamam'ı tıklatın.
Not SMTP istemci yazılımında Güvenli Parola Kimlik Doğrulaması seçeneğini kullanarak oturum açmayı da etkinleştirmeniz gerekir. Bunu Microsoft Outlook Express'te yapmak için:
  1. Outlook Express'i başlatın.
  2. Araçlar menüsünde, Hesaplar'ı tıklatın.
  3. Posta sekmesini ve sonra Özellikler'i tıklatın.
  4. Sunucular sekmesini tıklatın, Güvenli Parola Doğrulaması kullanarak oturum aç onay kutusunu seçin, Tamam'ı tıklatın ve sonra Kapat'ı tıklatın.
    Kullanıcı adının ve parolanın şifrelendiğine dikkat edin. İleti verileri şifrelenmemiştir.

Şifrelemeyi Yapılandırma

Şifrelemeyi yapılandırmak için:
  1. Başlat'ı tıklatın, Programlar'ın üzerine gelin, Microsoft Exchange'in üzerine gelin ve sonra Sistem Yöneticisi'ni tıklatın.
  2. Yönetimsel Gruplar'ı genişletin (uygunsa), YönetimselGrup'u genişletin (uygunsa), Servers'ı (Sunucular) genişletin, SunucuAdı'nı genişletin ve sonra Protocols'ü (Protokoller) genişletin.
  3. SMTP'yi genişletin, SMTP sanal sunucusunu sağ tıklatın ve sonra Properties'i (Özellikler) tıklatın.
  4. Access (Erişim) sekmesini ve sonra Certificate'i (Sertifika) tıklatın. Web Sunucusu Sertifika Sihirbazı başlar.
  5. İleri'yi tıklatın.
  6. Yeni bir sertifika oluşturmak veya varolan bir sertifikayı atamak için sihirbazın kalan sayfalarındaki yönergeleri izleyin.
Sertifika sunucuya yüklendikten sonra iletişim yöntemini doğrulayın. Bunu yapmak için:
  1. Başlat'ı tıklatın, Programlar'ın üzerine gelin, Microsoft Exchange'in üzerine gelin ve sonra Sistem Yöneticisi'ni tıklatın.
  2. Yönetimsel Gruplar'ı genişletin (uygunsa), YönetimselGrup'u genişletin (uygunsa), Servers'ı (Sunucular) genişletin, SunucuAdı'nı genişletin ve sonra Protocols'ü (Protokoller) genişletin.
  3. SMTP'yi genişletin, SMTP sanal sunucusunu sağ tıklatın ve sonra Properties'i (Özellikler) tıklatın.
  4. Access (Erişim) sekmesini ve sonra Communication'i (İletişim) tıklatın.
  5. Require secure channel (Güvenli kanal kullanılmasını iste) onay kutusunu tıklatıp seçin.
  6. Hem Exchange 2003 bilgisayarı hem de istemci 128-bit şifrelemeyi destekliyorsa, Require 128-bit encryption'ı (128-bit şifreleme iste) tıklatın.
  7. Tamam'ı ve sonra yine Tamam'ı tıklatın.
  8. SMTP sanal sunucusunu durdurup yeniden başlatın.
İstemcileriniz Outlook Express kullanıyorsa, Outlook Express'i SSL kullanacak şekilde yapılandırın. Bunu yapmak için:
  1. Outlook Express'i başlatın.
  2. Araçlar menüsünde, Hesaplar'ı tıklatın.
  3. Posta sekmesini tıklatın.
  4. Exchange Server posta hesabını çift tıklatın ve sonra Gelişmiş sekmesini tıklatın.
  5. Giden Posta (SMTP) altında, Bu sunucu için güvenli bağlantı (SSL) gereklidir onay kutusunu tıklatıp seçin.
  6. Tamam'ı ve sonra Kapat'ı tıklatın.

Geçişi Yapılandırma

Geçişi yapılandırmak için:
  1. Başlat'ı tıklatın, Programlar'ın üzerine gelin, Microsoft Exchange'in üzerine gelin ve sonra Sistem Yöneticisi'ni tıklatın.
  2. Yönetimsel Gruplar'ı genişletin (uygunsa), YönetimselGrup'u genişletin (uygunsa), Servers'ı (Sunucular) genişletin, SunucuAdı'nı genişletin ve sonra Protocols'ü (Protokoller) genişletin.
  3. SMTP'yi genişletin, SMTP sanal sunucusunu sağ tıklatın ve sonra Properties'i (Özellikler) tıklatın.
  4. Access (Erişim) sekmesini ve ardından Relay'i (Geçiş) tıklatın.

    Varsayılan ayarlar kimliği doğrulanmış kullanıcıların ileti geçişi yapmasına izin verir. Normal olarak, kimlik bilgileri doğru olan istemcilerin SMTP sanal sunucusu üzerinden ileti geçirebilmesi için bu ayarlar yeterlidir. Geçiş izinlerini tek IP adresleriyle, IP adresi aralıklarıyla veya DNS sonekleriyle de kısıtlayabilirsiniz.
  5. Tamam'ı tıklatın.

Yapılandırdığınız SMTP Sanal Sunucusu Ayarlarının Doğru Çalışıp Çalışmadığını Sınama

Yapılandırdığınız SMTP sanal sunucusu ayarlarının doğru çalışıp çalışmadığını sınamak için:
  • IP kısıtlamalarının doğru çalıştığını doğrulamak için, bir POP3 ve bir IMAP4 istemcisi kullanarak dışlanan bir IP adresinden sunucuya bağlanmaya çalışın. IP kısıtlamaları doğru yapılandırılmışsa, sunucuya bağlantının reddedildiğini bildiren bir ileti alırsınız.
  • Kimlik doğrulama şifrelemesini doğrulamak için:
    1. Exchange 2003 bilgisayarınızda Ağ İzleyicisi'ni çalıştırın, varsayılan kimlik doğrulama ayarlarını kullanarak istemciden bir SMTP oturumu başlatın ve bu sırada Exchange 2003 bilgisayarına gelen trafiği yakalayın.
    2. SMTP oturumunu gözden geçirin ve 25 (0019h) numaralı bağlantı noktasın istemciden sunucuya giden paketleri not edin.

      Kullanıcının oturum açma adının ve parolasının düz metin olarak gönderildiğine dikkat edin.
    3. Temel kimlik doğrulama desteğini kaldırın, istemciyi Güvenli Parola Kimlik Doğrulaması isteyecek şekilde yapılandırın, istemciden başka bir SMTP oturumu başlatın ve sonra Ağ İzleyicisi'nde trafiği yakalayın.

      Kullanıcı hesabı ve parolası artık şifrelenir.
  • SSL şifrelemesini sınamak için:
    1. Bir sertifika ekleyin, SMTP sanal sunucusunda artırılmış güvenliğe sahip bir kanal isteyecek şekilde ayarları yapılandırın ve sonra istemciyi SSL kullanacak şekilde yapılandırın.
    2. Bir Ağ İzleyicisi yakalaması başlatın ve sonra istemciden bir SMTP posta toplama oturumu başlatın.
    3. Yakalamayı durdurun ve gönderilen paketleri inceleyin.

      İstemciden sunucuya giden ve hedefi 25 (0019h) numaralı bağlantı noktası olan tüm paketlerin şifrelendiğine dikkat edin.
    Not POP3 veya IMAP4 posta toplama için şifrelemeyi etkinleştirmediyseniz, hala istemciden 110 (006Eh) veya 143 (008Fh) numaralı bağlantı noktalarına giden şifrelenmemiş paketler görebilirsiniz.
  • Geçiş kısıtlamalarının doğru çalışıp çalışmadığını sınamak için, dışlanan bir IP adresinden bir dış etki alanına posta gönderin. Sunucunun alıcının e-posta adresi için geçiş yapamadığını belirten bir hata iletisi alırsınız.

Sorun Giderme

DNS aramasına dayalı tüm kısıtlamalar, Exchange 2003 bilgisayarın performansını olumsuz yönde etkileyebilir. Sunucu her gelen bağlantı için bir ters DNS araması gerçekleştirdiğinden, kullanılabilir bir DNS ters arama bölgesi olması ve gönderen ana bilgisayarın bu bölgede kayıtlı olması gerekir.

Referanslar

Exchange Server 2003 hakkında daha fazla bilgi için, aşağıdaki Microsoft Web sitesini ziyaret edin:
http://www.microsoft.com/exchange/library

Özellikler

Makale numarası: 823019 - Last Review: 26 Kasım 2007 Pazartesi - Gözden geçirme: 1.4
Bu makaledeki bilginin uygulandığı durum:
  • Microsoft Exchange Server 2003 Enterprise Edition
  • Microsoft Exchange Server 2003 Standard Edition
Anahtar Kelimeler: 
kbhowto KB823019

Geri Bildirim Ver

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com