[TR] On-Premise Exchange Server’da Relay Yetkili IP Adreslerini Tespit Etmek ve Raporlamak
Posted inMicrosoft Exchange Server

[TR] On-Premise Exchange Server’da Relay Yetkili IP Adreslerini Tespit Etmek ve Raporlamak

Kurumsal e-posta altyapılarında güvenlik ve kontrol her zaman öncelikli konuların başında gelir. Özellikle On-Premise Exchange Server kullanılan ortamlarda “relay” (aktarım) yetkisi verilmiş IP adreslerinin düzenli olarak gözden geçirilmesi hem güvenlik açıklarının önüne geçmek hem de sistemin doğru çalıştığından emin olmak için kritik öneme sahiptir.

Bu makalemde Exchange Server üzerinde belirli bir Receive Connector üzerinden relay yetkisi bulunan IP adreslerini nasıl tespit edebileceğinizi ve bunları CSV formatında nasıl dışa aktarabileceğinizi adım adım ele alacağız.

Receive Connector Nedir ve Neden Önemlidir?

Exchange Server’da Receive Connector, sunucuya gelen SMTP trafiğini karşılayan ve yöneten bileşendir. Her connector belirli IP aralıklarına izin verebilir ve bu IP’lere relay yetkisi tanımlanabilir.

Relay yetkisi verilen IP’ler genellikle şunlar olur:

  • Yazıcılar ve tarayıcılar (scan-to-mail)
  • Uygulama sunucuları
  • Web servisleri veya otomasyon sistemleri

Ancak bu yetkinin yanlış yapılandırılması sunucunun açık relay (open relay) haline gelmesine neden olabilir. Bu da spam gönderimi ve kara listeye girme gibi ciddi sorunlara yol açar.

Relay Yetkili IP’leri Neden Raporlamalıyız?

Sistem yöneticileri için aşağıdaki durumlarda relay IP listesini almak oldukça faydalıdır;

  • Güvenlik denetimleri (audit süreçleri)
  • Migration veya sistem taşıma öncesi analiz
  • Gereksiz veya eski IP’lerin temizlenmesi
  • Yetkisiz erişim risklerinin azaltılması

Bu nedenle, belirli periyotlarla bu bilgilerin dışa aktarılması iyi bir yönetim pratiğidir.

Adım 1: Doğru Receive Connector’ü Tespit Etmek

Öncelikle Exchange ortamınızda hangi connector’ün relay işlemleri için kullanıldığını belirlemeniz gerekir.

Bunun için aşağıdaki komut kullanılabilir;

Get-ReceiveConnector

Bu komut ile ortamınızdaki tüm receive connector’leri listeler. Ortamınıza göre değişmekle birlikte relay işlemleri genelde özel oluşturulmuş connector’ler üzerinden yürütülür.

Adım 2: Relay Yetkili IP Adreslerini Export Etmek

İlgili connector’ü belirledikten sonra, o connector üzerinde tanımlı IP aralıklarını almak oldukça kolaydır.

Aşağıdaki PowerShell script’i, belirttiğiniz connector üzerindeki tüm IP aralıklarını çekerek CSV dosyasına aktarır;

Get-ReceiveConnector "EXCSRV01\IntSend_Mail" |
Select-Object -ExpandProperty RemoteIPRanges |
Select-Object @{Name="IPRange";Expression={$_.ToString()}} |
Export-Csv "C:\Temp\Relay-IP-List.csv" -NoTypeInformation

Script’in Detaylı Açıklaması

Bu komutun ne yaptığını daha iyi anlamak için parçalayarak inceleyelim:

1. Receive Connector’ü Çekmek

Get-ReceiveConnector "EXCSRV01\IntSend_Mail"

Belirtilen sunucu ve connector ismine sahip yapılandırmayı getirir.

2. IP Aralıklarını Genişletmek

Select-Object -ExpandProperty RemoteIPRanges

Connector üzerinde tanımlı olan IP adreslerini ve aralıklarını listeler.

3. Okunabilir Format Oluşturmak

Select-Object @{Name="IPRange";Expression={$_.ToString()}}

IP bilgilerini daha okunabilir hale getirir ve sütun adı olarak “IPRange” belirler.

4. CSV Olarak Dışa Aktarmak

Export-Csv "C:\Temp\Relay_IP_List.csv" -NoTypeInformation

Elde edilen verileri CSV dosyasına yazar. Bu dosya Excel ile kolayca analiz edilebilir.

Elde Edilen Çıktı Nasıl Görünür?

Oluşturulan CSV dosyasında aşağıdaki gibi bir yapı görürsünüz;

IPRange
192.168.1.10
192.168.2.0/24
10.0.0.5

Bu sayede hangi IP veya subnet’lerin relay yetkisine sahip olduğunu hızlıca analiz edebilirsiniz.

Güvenlik İçin Öneriler

Relay yapılandırmaları yapılırken aşağıdaki noktalara dikkat edilmelidir:

  • Sadece gerekli IP adreslerine yetki verin,
  • Geniş subnet tanımlarından (örneğin /16) kaçının,
  • Düzenli olarak IP listelerini gözden geçirin,
  • Kullanılmayan IP’leri kaldırın,
  • Log kayıtlarını periyodik olarak inceleyin,

Exchange Server ortamlarında relay yetkilerinin kontrolü sistem güvenliği açısından kritik bir adımdır. Basit bir PowerShell script’i ile bu bilgileri hızlıca elde etmek ve raporlamak mümkündür.

Bu yaklaşım sayesinde:

  • Ortamınızın daha güvenli hale gelmesini sağlar,
  • Gereksiz yetkileri tespit edebilirsiniz,
  • Denetim süreçlerini kolaylaştırırsınız,

Küçük bir kontrol büyük güvenlik açıklarının önüne geçebilir. Bu yüzden relay IP listelerini düzenli olarak export etmek her Exchange yöneticisinin rutin işlemlerinden biri olmalıdır.

Get-ReceiveConnector "EXCSRV01\IntSend_Mail" | Select-Object -ExpandProperty RemoteIPRanges | Select-Object @{Name="IPRange";Expression={$_.ToString()}} | Export-Csv "C:\Temp\Relay-IP-List.csv" -NoTypeInformation

Tags: