e-posta

Exchange sunucularını güçlendirme

Kuruluşunuzun posta sunucularına yönelik hedefli saldırıların risklerini azaltmanın yollarını açıklıyoruz.

Stan Kaminsky
Aralık 17, 2025

Microsoft Exchange sunucularına yönelik saldırıların kaçınılmaz olarak görülmesi gerektiğine ve güvenlik ihlali riskinin sürekli yüksek olduğuna itiraz edecek çok az siber güvenlik uzmanı vardır. Ekim ayında Microsoft, Exchange Server 2019 desteğini sonlandırarak Exchange Server Subscription Edition (Exchange SE) ürününü 2026 yılı için desteklenen tek kurum içi çözüm haline getirdi. Buna rağmen, birçok kuruluş Exchange Server 2016, 2013 ve hatta daha eski sürümleri kullanmaya devam ediyor.

Tehdit aktörleri için Exchange, karşı konulmaz bir hedeftir. Popülerliği, karmaşıklığı, ayarlarının bolluğu ve en önemlisi dış ağlardan erişilebilir olması, onu çok çeşitli saldırılara karşı savunmasız hale getirir:

Parola püskürtme saldırıları veya hedefli kimlik avı yoluyla posta kutularına sızma
Eski kimlik doğrulama iletişim kuralı yoluyla hesap ele geçirme
Exchange Web Hizmetleri aracılığıyla kötü amaçlı posta akışı kuralları enjekte ederek belirli e-postaları çalma
Exchange posta işleme altyapısındaki kusurları kullanarak çalışan kimlik doğrulama belirteçlerini ele geçirme veya mesaj sahteciliği
Exchange güvenlik açıklarını istismar ederek sunucuda rastgele kod çalıştırma (web kabukları dağıtma)
Yanal hareket ve sunucu güvenliği ihlali, Exchange sunucusunun ağ keşfi, kötü amaçlı yazılım barındırma ve trafik tünelleme için bir dayanak noktası haline geldiği durumlar
Exchange için özel yerleştirmeler aracılığıyla uzun vadeli e-posta sızdırma

Exchange saldırılarının karmaşıklığını ve çeşitliliğini tam olarak anlamak için GhostContainer, Owowa, ProxyNotShell ve PowerExchange tehditleri hakkındaki araştırmaları incelemek faydalı olacaktır.

Saldırganların Exchange’i ele geçirmesini zorlaştırmak ve başarılı bir saldırının etkisini azaltmak imkansız değildir, ancak basit yapılandırma değişikliklerinden yoğun çaba gerektiren kimlik doğrulama protokolü geçişlerine, çok çeşitli önlemler alınmasını gerektirir. CISA, Kanada Siber Güvenlik Merkezi ve diğer siber güvenlik düzenleyicileri tarafından öncelikli savunma önlemlerinin ortak bir incelemesi yakın zamanda yayınlandı. Peki kurum içi Exchange sunucunuzu nasıl güçlendirmeye başlayabilirsiniz?

EOL sürümlerinden geçiş

Hem Microsoft hem de CISA, zamanında güvenlik güncellemeleri almak için Exchange SE‘ye geçiş yapılmasını tavsiye etmektedir. Hemen geçiş yapamayan kuruluşlara, 2016 ve 2019 sürümleri için ücretli Genişletilmiş Güvenlik Güncellemeleri (ESU) aboneliği mevcuttur. Microsoft, 2016 veya 2019 sürümünden Exchange SE’ye yükseltmenin, standart bir Toplu Güncelleştirme yüklemesiyle benzer bir karmaşıklıkta olduğunu vurgulamaktadır.

Herhangi bir nedenle desteklenmeyen bir sürümü çalışır durumda tutmanız gerekiyorsa, bu sürüm hem iç hem de dış ağlardan tamamen izole edilmelidir. Tüm posta akışı, özel olarak yapılandırılmış bir e-posta güvenlik ağ geçidi üzerinden yönlendirilmelidir.

Düzenli güncellemeler

Microsoft, aylık güvenlik düzeltmeleriyle birlikte yılda iki Toplu Güncelleme (CU) yayınlar. Exchange yöneticileri için önemli bir görev, tehdit aktörleri bilinen güvenlik açıklarını hızla silah olarak kullanmaya başladığından, bu güncellemeleri gecikmeden dağıtmak için bir süreç oluşturmaktır. Bu güncellemelerin yayın takvimini ve içeriğini Microsoft’un resmi sayfasından takip edebilirsiniz. Exchange kurulumunuzun durumunu ve güncelleme durumunu doğrulamak için SetupAssist ve Exchange Health Checker gibi araçları kullanabilirsiniz.

Acil durum hafifletme önlemleri

Kritik, aktif olarak istismar edilen güvenlik açıkları için geçici önlem kılavuzları genellikle Exchange blogunda ve Exchange Emergency Mitigation hizmeti sayfasında yayınlanır. Emergency Mitigation (EM) hizmeti, Exchange Posta Kutusu sunucularınızda etkinleştirilmelidir. EM, acil tehditlere yönelik hafifletme kurallarını indirmek ve uygulamak için Office Config Hizmetine otomatik olarak bağlanır. Bu önlemler, IIS‘deki URL yeniden yazma kurallarını kullanarak savunmasız hizmetleri hızla devre dışı bırakabilir ve kötü amaçlı istekleri engelleyebilir.

Güvenli temeller

Bir kuruluşun ihtiyaçlarına göre optimize edilmiş, kuruluş genelinde tek tip bir yapılandırma seti, yalnızca Exchange sunucularına değil, tüm platformlardaki posta istemcilerine ve bunların temel işletim sistemlerine de uygulanmalıdır.

Önerilen güvenlik temel standartları çeşitli işletim sistemleri ve Exchange sürümleri için farklılık gösterdiğinden, CISA kılavuzu ücretsiz olarak erişilebilen popüler CIS Benchmark ve Microsoft talimatlarına atıfta bulunmaktadır. En son CIS Benchmark, Exchange 2019 için oluşturulmuştur, ancak mevcut Subscription Edition, yapılandırılabilir seçenekleri açısından Exchange Server 2019 CU15’ten farklı olmadığından, Exchange SE için de geçerlidir.

Özel güvenlik çözümleri

Birçok kuruluşun yaptığı kritik bir hata, Exchange sunucularında EDR ve EPP ajanlarına sahip olmamaktır. Güvenlik açıklarının istismar edilmesini ve web kabuklarının çalıştırılmasını önlemek için sunucunun Kaspersky Endpoint Detection and Response gibi bir güvenlik çözümü ile korunması gerekir. Exchange Server, güvenlik araçlarının sunucu tarafındaki olayları etkili bir şekilde işlemek için Antimalware Scan Interface (AMSI) ile entegre olur.

Uygulama izin listesi, Exchange güvenlik açıklarını istismar etmeye çalışan saldırganları önemli ölçüde engelleyebilir. Bu özellik, en gelişmiş EPP çözümlerinde standart olarak sunulmaktadır. Ancak, bunu yerel Windows araçlarıyla uygulamak gerekirse, App Control for Business veya AppLocker aracılığıyla güvenilmeyen uygulamaları kısıtlayabilirsiniz.

Çalışanları ve makinelerini korumak için sunucu, posta trafiğini filtrelemek üzere Kaspersky Security for Mail Server gibi bir çözüm kullanmalıdır. Bu, kullanıma hazır şirket içi Exchange’in sahip olmadığı araçlarla ilgili birçok sorunu ele alır. SPF, DKIM ve DMARC iletişim kuralları aracılığıyla gönderen kimlik doğrulaması veya gelişmiş spam ve hedefli kimlik avına karşı koruma örnek olarak verilebilir.

Herhangi bir nedenle sunucuya tam bir EDR kurulmamışsa, en azından varsayılan antivirüs programının etkinleştirilmesi ve Attack Surface Reduction (ASR) kuralı olan “Sunucular için Webshell oluşturmayı engelle” seçeneğinin etkinleştirildiğinden emin olunması çok önemlidir.

Varsayılan antivirüs yazılımını çalıştırırken sunucu performansının düşmesini önlemek için Microsoft, belirli dosya ve klasörleri taramalardan hariç tutmanızı önerir.

Yönetimsel erişimi kısıtlama

Saldırganlar genellikle Exchange Admin Center (EAC) ve PowerShell uzaktan erişimine izinsiz erişim sağlayarak ayrıcalıklarını artırırlar. En iyi uygulama, bu araçların yalnızca sabit sayıda ayrıcalıklı erişim iş istasyonundan (PAW) erişilebilir olmasını gerektirir. Bu, Exchange sunucularındaki güvenlik duvarı kuralları aracılığıyla veya güvenlik duvarı kullanılarak uygulanabilir. Exchange’de yerleşik olarak bulunan İstemci Erişim Kuralları da bu senaryoda sınırlı bir fayda sağlayabilir, ancak PowerShell’in kötüye kullanımını engelleyemez.

NTLM yerine Kerberos ve SMB’yi benimsemek

Microsoft, eski ağ ve kimlik doğrulama iletişim kurallarını kademeli olarak kullanımdan kaldırıyor. Modern Windows kurulumları, SMBv1 ve NTLMv1’i varsayılan olarak devre dışı bırakır, gelecek sürümlerde de NTLMv2’nin devre dışı bırakılması planlanmaktadır. Exchange SE CU1‘den itibaren, NTLMv2, varsayılan kimlik doğrulama iletişim kuralı olarak HTTP üzerinden MAPI kullanılarak uygulanan Kerberos ile değiştirilecektir.

BT ve güvenlik ekipleri, altyapılarındaki eski iletişim kuralları kullanımını kapsamlı bir şekilde denetlemeli, daha modern ve daha güvenli kimlik doğrulama yöntemlerine geçiş için bir plan geliştirmelidir.

Modern kimlik doğrulama yöntemleri

Exchange 2019 CU13’ten itibaren, istemciler sağlam sunucu kimlik doğrulaması için OAuth 2.0, MFA ve ADFS’nin bir kombinasyonunu kullanabilmektedirler. Bu çerçeve, Modern Authentication (Modern Kimlik Doğrulama) veya kısaca Modern Auth olarak bilinir. Bu şekilde, kullanıcılar ADFS aracılığıyla MFA’yı başarıyla tamamladıktan sonra posta kutusuna erişebilirler ve Exchange sunucusu ADFS sunucusundan geçerli bir erişim belirteci alır. Tüm kullanıcılar Modern Auth’a geçiş yaptıktan sonra, Exchange sunucusunda Temel kimlik doğrulama devre dışı bırakılmalıdır.

Genişletilmiş Koruma Özelliğini Etkinleştirme

Genişletilmiş Koruma (EP), NTLM aktarım saldırıları, Ortadaki Saldırgan ve benzeri tekniklere karşı savunma sağlar. Kanal Bağlama Belirteci (CBT) kullanarak TLS güvenliğini artırır. Bir saldırgan kimlik bilgilerini veya bir belirteci çaldığında ve bunları farklı bir TLS oturumunda kullanmaya çalıştığında, sunucu bağlantıyı sonlandırır. EP’yi etkinleştirmek için, tüm Exchange sunucularının aynı TLS sürümünü kullanacak şekilde yapılandırılması gerekir.

Genişletilmiş Koruma, Exchange 2019 CU14 ile başlayan yeni sunucu kurulumlarında varsayılan olarak etkindir.

Güvenli TLS sürümleri

Tüm Exchange sunucuları dahil olmak üzere tüm sunucu altyapısı, aynı TLS sürümünü kullanacak şekilde yapılandırılmalıdır: 1.2 veya ideal olarak 1.3. Microsoft, optimum yapılandırma ve gerekli ön koşul kontrolleri hakkında ayrıntılı bir kılavuz sağlar. Bu ayarların doğruluğunu ve tutarlılığını kontrol etmek için Health Checker komut dosyasını kullanabilirsiniz.

HSTS

Tüm bağlantıların TLS ile korunmasını sağlamak için, ek olarak HTTP Strict Transport Security (HSTS) yapılandırmanız gerekir. Bu, belirli AitM saldırılarını önlemeye yardımcı olur. Microsoft tarafından önerilen Exchange Server yapılandırma değişikliklerini uyguladıktan sonra, web üzerinde Outlook (OWA) ve EAC’ye yapılan tüm bağlantılar şifreleme kullanmaya zorlanacaktır.

İndirme etki alanları

İndirme Etki Alanları özelliği, ek indirmelerini kuruluşun web üzerindeki Outlook’unu barındıran etki alanı dışındaki bir etki alanına taşıyarak belirli çapraz site istek sahteciliği saldırılarına ve çerez hırsızlığına karşı koruma sağlar. Bu, kullanıcı arayüzü ve mesaj listesinin yüklenmesini dosya eklerinin indirilmesinden ayırır.

Rol tabanlı yönetim modeli

Exchange Server, ayrıcalıklı kullanıcılar ve yöneticiler için Rol Tabanlı Erişim Kontrolü (RBAC) modelini uygular. CISA, AD yönetici ayrıcalıklarına sahip hesapların genellikle Exchange’i yönetmek için de kullanıldığını belirtmektedir. Bu yapılandırmada, Exchange sunucusunun güvenliği ihlal edildiğinde, tüm etki alanı güvenliği de hemen ihlal edilmiş olur. Bu nedenle, Exchange yönetimini diğer yönetim ayrıcalıklarından ayırmak için bölünmüş izinler ve RBAC kullanmak çok önemlidir. Bu, çok fazla ayrıcalığa sahip kullanıcı ve yönetici sayısını azaltır.

PowerShell akış imzalaması

Yöneticiler, Exchange Management Shell (EMS) aracılığıyla ayarları değiştirmek ve Exchange sunucularını yönetmek için cmdlet olarak bilinen PowerShell komut dosyalarını sıklıkla kullanırlar. Uzak PowerShell erişimi ideal olarak devre dışı bırakılmalıdır. Etkinleştirildiğinde, sunucuya gönderilen komut veri akışları sertifikalarla korunmalıdır. Kasım 2023 itibarıyla, bu ayar Exchange 2013, 2016 ve 2019 için varsayılan olarak etkindir.

Posta başlıklarının korunması

Kasım 2024’te Microsoft, P2 FROM posta başlıklarının sahteciliğini içeren saldırılara karşı gelişmiş koruma özelliğini tanıttı. Bu özellik, e-postaların kurbanlara güvenilir bir göndericiden gönderilmiş gibi görünmesini sağlıyordu. Yeni tespit kuralları, bu başlıkların muhtemelen değiştirilmiş olduğu e-postaları artık işaretliyor. Yöneticiler bu korumayı devre dışı bırakmamalı ve X-MS-Exchange-P2FromRegexMatch başlığını taşıyan şüpheli e-postaları daha ayrıntılı analiz için güvenlik uzmanlarına iletmelidir.

Araç kameranızın nasıl hacklenebilir ve kendinizi bu saldırılardan nasıl koruyabilirsiniz?

Tekerlekli botnetler: Toplu olarak hacklenen araç kameraları

Araştırmacılar, birkaç saniye içinde başka birinin araç kamerasına nasıl bağlanacaklarını ve bunu gelecekteki saldırılar için nasıl silah olarak kullanacaklarını keşfettiler.

İpuçları

SD-WAN: Verimliliğin yeni boyutları

Kuruluşlar, Kaspersky SD-WAN’ın yeni sürümüyle çalışanlara zaman kazandırıyor ve üretkenliği artırıyor.

Pixnapping güvenlik açığı: Android telefonunuzun engellenemez ekran görüntüleri

Pixnapping, araştırmacılar tarafından keşfedilen bir Android güvenlik açığıdır. Bu güvenlik açığı, uygulamaların işletim sisteminden herhangi bir özel izin almadan ekrandan parolaları, tek kullanımlık şifreleri ve diğer gizli bilgileri çalmasına olanak tanır. Nasıl çalışır ve kendinizi korumak için ne yapabilirsiniz?

E-posta şantajı: Dolandırıcılar şantajı nasıl kullanıyor?

Tehdit içeren bir e-posta aldınız. Bir sonraki adımınız ne olurdu?

Black Friday’i hacklemek: LLM’leri kullanarak yılın indiriminden tasarruf etmek

Yeni bir yöntemle indirimli ürün avına çıkıyoruz: yapay zeka ile donanmış olarak. Etkili komut örnekleri için bu yazıyı okuyun.

Gizlilik ve Çocuklar

Hedeflenen Güvenlik Çözümleri