Kategori arşivi: Exchange Server

SPF (Sender Policy Framework) Nedir? SPF Kaydı Nasıl Oluşturulur?

SPF nedir ile başlayalım isterseniz.

SPF temel olarak mail sistemlerinin aldığı bir maili gerçekten doğru kişilerin gönderip göndermediğini kontrol etmesini sağlayan bir DNS kaydıdır.

Örneğin ben hakan olarak info@hakanuzuner.com mail adresimden info@cozumpark.com mail adresine mail gönderdiğim zaman cozumpark.com’ domaininin mail server’ ı ki bu bir Exchange Server olabilir, Office 365, G-Suite, Yandex, Mail Enable vs yani günün sonunda MTA dediğimi bir mail transfer agent tarafından bu mail karşılanır. Veya bir SMTP GW dediğimiz cihaz teslim alır. Teslim alan MTA veya cihaz ya da uygulama üzerinde SPF kontrolü açık ise eğer cihaz hakanuzuner.com için public DNS üzerinden SPF kaydı olup olmadığını kontrol eder ve bu kayıt içerisindeki ip adresi ile maili kendisine ileten mail sunucu ip adresi eşleşiyor ise maili kabul eder veya ayarlara göre reddeder. Tabiki bunu cozumpark.com domain için kullanılan mail sunucusu yöneticisi ayarlar. Yani isterse SPF kontrolünü açmayabilir, ancak bu durumda pek çok Spoof dediğimiz sahte mail ile karşı karşıya kalabilir.

Peki biz spam ya da Spoof mail alan taraftaysak ya da birileri bizim domain adına mailler yolluyor ise en azından kendi sistemimiz için hem SPF kontrolünü açabiliriz (her sistem için ayar farklı olmak ile beraber son derece basittir) hem de DNS üzerinde bir SPF kaydı oluşturarak domainimizi koruma altına alabiliriz.

SPF kaydı nasıl oluşturulur?

Öncelikle mail gönderimi yaptığınız ip adreslerini öğrenin. IP adresleri diyor olmamdaki sebep bazı müşterilerimde kendileri normal iletişim maillerini kendi sunucularından yollarken CRM, SAP veya toplu mailleri bir mail servis sağlayıcısından yollamayı tercih ediyor. Bu durumda servis sağlayıcı ip adresini de öğrenmek bu maillerin spam olarak algılanmamasında yardımcı olacaktır.

Örneğin benim mail gönderimi yaptığım adres 185.25.101.165 olsun.

İkinci olarak mail gönderimi yapacak domain isimlerini belirleyin. Örneğin hakanuzuner.com, cozumpark.com gibi.

Şimdi SPF kaydını oluşturmaya başlayalım.

Örnek bir SPF kaydı aşağıdaki gibidir;

v=spf1 a mx include: spf.protection.outlook.com -all

Bu bir örnek çünkü ufak tefek farklar görebilirsiniz. Bende zaten bu yazımda sizlere bu konuda bilgi vereceğim.

Öncelikle spf1 sürüm numarası ve spf kaydı olduğunu belirten bir etiket olup sabittir.

Sonrasında gelen “a” ise mail gönderen domain için DNS A kaydı karşılığındaki ip adresinden mail attığını gösterir. Örneğin maili hakanuzuner.com atıyor ise bu adrese ping attığınızda dönen ip adresi ile mail atan ip adresi aynı olmalı. Eğer aynı ise maili karşı sistem alır, değil ise ayarına göre maili alabilir veya almayabilir. Eğer böyle bir durum yoksa ki genelde görülmez “a” olmamalı.

İkinci kontrol noktası ise “mx”

Burada ise bu sefer mail atan hakanuzuner.com için A kaydı değil MX kaydı sorgulanır, MX kaydındaki IP adresi ile maili yollayan ip adresi aynı ise eşleşir ve karşı sistem maili kabul eder, eğer eşleşmez ise ayarlarına göre kabul etmez.

Belki ptr görmüş olabilirsiniz ancak artık bu kullanılmamaktadır. Zaten kısa bir araştırma yaparsanız RFC7208 Section 5.5 içerisinde artık bu parametrenin kullanılmaması gerektiğini görürsünüz.

Geriye include kalıyor.Include ise 3 parti mail göndericileri için kullandığımız bir kavramdır. Yani siz kendi mail alt yapınızdan mail gönderiyorsanız zaten MX yeterli bir kontroldür, ancak Office 365, G-Suite, Yandex ya da toplu mail gönderme programları gibi bir program için kullanılır.

Son bölümdeki işaretler ise Hard fail (-) ve Soft fail (~) anlamına gelir. Eğer -all kullanırsanız kayıt içerisindeki ip adresi dışında başka bir sunucudan mail gönderilmesi durumunda bu yetkisiz bir gönderim olarak kabul edilir ve mail ulaştırılmaz. Yani SPF kontrolünde başarısız olması durumunda yetkisiz kullanımı işaret etmiş oluyorsunuz. Eğer ~all kullanırsanız bu durumda bu domain için SPF kaydından tüm mail sunucularının olmadığını ifade etmiş olursunuz. Yani başka bir sunucudan mail gelmesi durumunda mail kabul edilip edilmeyeceğini mail alan sisteme bırakırsınız ki gelende spam olarak işaretlenebilir. Eğer mail sunucu ip adresiniz belirli ise bu durumda “-” kullanmanız önerilir.

Şimdi örnek bir sihirbaza bakacak olursak aslında yukarıdaki bilgiler ile çok rahatlıkla kendi SPF kaydınızı oluşturabilirsiniz

https://mxtoolbox.com/SPFRecordGenerator.aspx

Sorular aynı makalemde anlattığım gibi.

İlk olarak web siteniz üzerinden mail gönderimi yapıyor musunuz? Hayır

MX kaydı üzerinden siz mail gönderiyor olabilirsiniz ÇözümPark’ ın mail alt yapısı doğrudan bulutta olduğu için No dedim.

İkinci bölümü yine boş bıraktım çünkü bana ait bir mail server son, son bölümde ise benim yerime mail atan iki sistemin onlardan aldığım bakın burası önemli o şirketlerden aldığım dns isim bilgisini buraya ekledim ve sonuç ortaya çıktı.

Bu bilgiler ışığında sizlerde kolayca bir SPF kaydı oluşturabilirsiniz.

SPF kaydı DNS sistemlerde bir TXT kaydı olarak geçer, örneğin Microsoft DNS için aşağıdaki gibi bir tanım yapabilirsiniz.

Not: SPF public DNS üzerinde tanımlı olması gereken bir kayıt olduğu için eğer Name server bir Microsoft DNS değil ise muhtemel bu ekrana gerek duymayacaksınız. Çünkü çoğu public DNS hizmeti veren sistemler Linux üzerinde çalışıyor ve size bu kaydı açmanız için bir web ara yüzü sunuyor.

Diğer sistemlere örnek verelim;

Azure DNS paneli

Buda kaydın dolu hali;

Bu da bir ISP nın dns paneli

Umarım faydalı bir yazı olmuştur.

Exchange Server Dağıtım Grupları için Otomatik Yanıt Mesajı – Auto-reply for a distribution group

Exchange Server üzerinde dağıtım grupları çok sık kullanılmaktadır. Genel olarak muhasebe, info, iletişim ve benzeri aslında arka planda başka kişilerin olduğu ancak görevi kişiselleştirmeden tüzel kişi olarak devam ettirmemiz gereken konularda kullandığımız mail adresleridir. Ancak yine bu mail adresleri genelde müşteri, tedarikçi veya pek çok kişiye dokunduğu için memnuniyet açısından önemlidir. Pek çok şirket grup mail adreslerine gönderilen mailler için bir otomatik cevap isterler. Aslında bunu yeni yapacak olanlar daha çok shared mailbox kullanırlar çünkü bu durumda otomatik yanıt çok daha kolay olmaktadır. Ancak hali hazırda bir dağıtım grubunuz var ve bu gruba gönderilen mesajlarda otomatik bir yanıt dönmek istiyorsanız ne yazık ki işiniz biraz uzun.

Öncelikle bu bir dağıtım grubu olduğu için ne yazık ki outlook’ a bir profil bağlayıp OOF mesajı tanımlayamıyoruz. Tabiki aklınıza şu gelebilir, bu gruba bir kullanıcı eklenip ona OOF mesajı tanımlarız noktasında bir çözüm üretebilirsiniz. Ancak gruba gelen her mail bu kullanıcıya da gelecek ve posta kutusunun dolmaması gerekli, aksi halde bu durumda NDR dönmeye başlayacaktır. Ya da dağıtım grubu için -SendOofMessageToOriginatorEnabled parametresini true olarak değiştirmeniz durumunda ise grup üyelerinden birindeki OOF otomatik kullanılır. Sorun ise grup üyelerinden diğer kişilerde OOF açar ise onlarda otomatik alıcıya gideceği için bu yöntemde tavsiye edilmemektedir.

Ben ise daha farklı bir yöntem kullanıyorum. Mevcut dağıtım grubunu silip bunun yerine bir shared mailbox oluşturuyorum.

Öncelikle mevcut grubu sileceğimiz için iç mesajlaşmada kullanılan LegacyDN kaydını yedekleyip yeni oluşturacağımız ortak posta kutusuna eklemek için yedekliyorum.

Get-DistributionGroup “inf@cozumpark.com” | Select LegacyExchangeDN

Bunu not defterine not alabilirsiniz.

Bu arada public folder üzerinden yaparım diyen var ise aşağıdaki makalede yardımcı olabilir sizlere.

Daha sonra ise bu dağıtım grubunun üyelerini alalım

Get-DistributionGroupMember “info@cozumpark.com” -ResultSize Unlimited | Select alias | Export-CSV -Path “c:\komut\info.csv”

Şimdi dağıtım grubunu silelim.

Ardından shared mailbox açalım. Hesabı açarken mutlaka alt bölümden kendinize tam yetki veriniz.

Ayrıca makalenin başında info grubu üyelerini csv dosyasına almıştık, onları da yine tam yetkili ve send as gibi yetkiler ile donatalım. Bu konuda daha fazla bilgi için shared mailbox nedir, nasıl kullanılır konulu aşağıdaki makalemi inceleyebilirsiniz

Özetle info da mail alan ve mail gönderen kim var ise burada onlara hem okuma hem de mail gönderme yetkisi vermeniz gerekli. Yetkinin aktif olması maksimum 2 saat sürecektir.

Hemen ardından AD üzerinde ilgili posta kutusunun öz niteliklerinden LegacyDN kaydını tekrar ekleyelim.

Hesap disable olup normal bir durumdur.

Aşağıdaki gibi LegacyDN kaydını not aldığımız kayıt ile değiştiriyoruz.

/o=First Organization/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Recipients/cn=infodff

Şimdi shared mailbox yani info@cozumpark.com için bir outlook profili oluşturalım.

Bunun için tek yapmanız gereken normal bir outlook profili oluşturmak, mail adresi olarak info@cozumpark.com yazıyorsunuz, ancak kimlik bilgisi sorulduğunda hatırlarsanız shared mailbox oluştururken kendi hesabınıza full yetki vermiştiniz kendi hesabınız ile oturum açmanız yeterli.

Şimdi ise ister OOF mesajı isterseniz aşağıdaki gibi bir şablon üzerinden gelen her mesaj için otomatik yanıtlama seçeneği seçebilirsiniz.

Outlook üzerinde ise

Umarım faydalı bir yazı olmuştur. Sorularınız için ÇözümPark forumlarını kullanabilirsiniz.

Exchange Server Group Mailleri için Otomatik Mesaj – auto-reply for a distribution group

Bu konuda mevcut müşterilerim dahil ÇözümPark Bilişim Portalın da da çok soru geldiği için hızlıca bir blog yazıp link vermek istedim. Gerçekten çok güzel bir makale ile bu konuyu çözebilirsiniz veya ürün satın alabilirsiniz.

https://www.codetwo.com/admins-blog/setting-an-autoreply-for-a-distribution-group/

Exchange Server Impersonation – Delegation ve Folder Permissions Arasındaki Farklar

Exchange Server Impersonation – Delegation ve Folder Permissions Arasındaki Farklar

Exchange server organizasyonlarında pek çok farklı yetki talepleri bulunmaktadır. Bunların en başında birisi veya bir grup adına mail gönderme gelmektedir. Ancak bu izinler bazen bu kadar masum veya bilindik olmayabilir. Özellikle arşivleme ile başlayan ve ajanda, posta kutusu raporlama, audit gibi izleme derken çok ciddi seviyelere gelmektedir. Özellikle bir hesaba verilen aşırı yetki toplam güvenlik seviyesi için büyük risk doğurabilir. Buraya kadar anlattığım işlemler aslında hep delegation – delasyon başlığı altında bildiğimiz izinler. Yani bir active directory hesabına atanmış izinler olarak tanımlanabilir. Tabiki bu izinler aslında güvenlik yöneticilerinin çok hoşuna giden türden izinler değildir.

Peki bir kullanıcı veya servis hesabına bir başka kullanıcı posta kutusuna erişim izni vermek istersek ne yapabiliriz?

Okumaya devam et

Outlook 2016 ve 2019 Exchange Bağlanma Sorunu – Direct Connect to Office 365

Microsoft Outlook 2016 sürüm 16.0.6741.2017′ dan sonra “Direct Connect to Office 365” olarak isimlendirdiği bir özellik sunmaya başladı. Bu özellik Office 365 Outlook 2016 ilgili sürüm ve Outlook 2019 gibi yeni sürümlerde aktif olarak gelmektedir. Peki nedir bu özellik derseniz, eğer outlook herhangi bir autodiscover servisine ulaşamaz ise doğrudan office 365′ e bağlanmaya çalışmaktadır. Aslında kullanıcılar için kolaylık sağlamak adına yapılan bu değişiklik özellikle autodiscover özelliğini kullanmayan müşterilerin başını bir hayli ağrıttı. Örneğin On-Prem Exchange kullanırken müşteri Outlook 2019 geçişlerini yaptıktan sonra birden yerleşik Exchange sunucusuna bağlanamadığını fark ediyor, bunun sebebi ise bundan önceki outlook profilleri autodiscover yerine elle yapılandırılmış. Outlook herhangi bir autodiscover bağlantısı tespit etmediği içinde otomatik olarak office 365′ e bağlanamaya çalışıyor.

Aslında bu yeni özellik görebileceğiniz gibi en alt sırada yer alıyor;

  • SCP lookup
  • HTTPS root domain query
  • HTTPS Autodiscover domain query
  • Local XML file
  • HTTP redirect method
  • SRV record query
  • Cached URL in the Outlook profile (new for Outlook 2010 version 14.0.7140.5001 and later versions)
  • Direct Connect to Office 365 (new for Outlook 2016 version 16.0.6741.2017 and later versions)

Tabiki tek sorun bu değil, bazen network kaynaklı da autodiscover servisine ulaşamadığınız durumlarda yine sonuç can sıkıcı olabiliyor.

Bu durumda aşağıdaki gibi bir uyarı alabilirsiniz;

Your mailbox has been temporarily moved to Microsoft Exchange server.
A temporary mailbox exists, but might not have all of your previous data.
You can connect to the temporary mailbox or work offline with all of your old data.
If you choose to work with your old data, you cannot send or receive e-mail messages.

‘AD lookup for email address failed “0x800500d”‘

Okumaya devam et

Exchange Server Yükleme Hatası Hakkında – The Mailbox server role isn’t installed on this computer

Exchange Server yüklemelerinde veya CU geçişlerinde aşağıdaki gibi hatalar alabilirsiniz;

Error:
The Mailbox server role isn’t installed on this computer.
For more information, visit: https://technet.microsoft.com/library(EXCHG.150)/ms.exch.setupreadiness.UnifiedMessagingRoleNotInstalled.aspx

Error:
The Mailbox server role isn’t installed on this computer.
For more information, visit: https://technet.microsoft.com/library(EXCHG.150)/ms.exch.setupreadiness.BridgeheadRoleNotInstalled.aspx

Error:
Global updates need to be made to Active Directory, and this user account isn’t a member of the ‘Enterprise Admins’ group.
For more information, visit: https://technet.microsoft.com/library(EXCHG.150)/ms.exch.setupreadiness.GlobalUpdateRequired.aspx

Error:
You must be a member of the ‘Organization Management’ role group or a member of the ‘Enterprise Admins’ group to continue.
For more information, visit: https://technet.microsoft.com/library(EXCHG.150)/ms.exch.setupreadiness.GlobalServerInstall.aspx

Error:
You must use an account that’s a member of the Organization Management role group to install or upgrade the first Mailbox server role in the topology.
For more information, visit: https://technet.microsoft.com/library(EXCHG.150)/ms.exch.setupreadiness.DelegatedBridgeheadFirstInstall.aspx

Error:
You must use an account that’s a member of the Organization Management role group to install the first Client Access server role in the topology.
For more information, visit: https://technet.microsoft.com/library(EXCHG.150)/ms.exch.setupreadiness.DelegatedCafeFirstInstall.aspx

Error:
You must use an account that’s a member of the Organization Management role group to install the first Client Access server role in the topology.
For more information, visit: https://technet.microsoft.com/library(EXCHG.150)/ms.exch.setupreadiness.DelegatedFrontendTransportFirstInstall.aspx

Error:
You must use an account that’s a member of the Organization Management role group to install or upgrade the first Mailbox server role in the topology.
For more information, visit: https://technet.microsoft.com/library(EXCHG.150)/ms.exch.setupreadiness.DelegatedMailboxFirstInstall.aspx

Error:
You must use an account that’s a member of the Organization Management role group to install or upgrade the first Client Access server role in the topology.
For more information, visit: https://technet.microsoft.com/library(EXCHG.150)/ms.exch.setupreadiness.DelegatedClientAccessFirstInstall.aspx

Error:
You must use an account that’s a member of the Organization Management role group to install the first Mailbox server role in the topology.
For more information, visit: https://technet.microsoft.com/library(EXCHG.150)/ms.exch.setupreadiness.DelegatedUnifiedMessagingFirstInstall.aspx

Error:
Setup encountered a problem while validating the state of Active Directory: Exchange organization-level objects have not been created, and setup cannot create them because the local computer is not in the same domain and site as the schema master. Run setup with the /prepareAD parameter on a computer in the domain and site , and wait for replication to complete. See the Exchange setup log for more information on this error.
For more information, visit: https://technet.microsoft.com/library(EXCHG.150)/ms.exch.setupreadiness.AdInitErrorRule.aspx

Error:
The forest functional level of the current Active Directory forest is not Windows Server 2003 native or later. To install Exchange Server 2013, the forest functional level must be at least Windows Server 2003 native.
For more information, visit: https://technet.microsoft.com/library(EXCHG.150)/ms.exch.setupreadiness.ForestLevelNotWin2003Native.aspx

Error:
Either Active Directory doesn’t exist, or it can’t be contacted.
For more information, visit: https://technet.microsoft.com/library(EXCHG.150)/ms.exch.setupreadiness.CannotAccessAD.aspx

Warning:
Setup will prepare the organization for Exchange 2013 by using ‘Setup /PrepareAD’. No Exchange 2007 server roles have been detected in this topology. After this operation, you will not be able to install any Exchange 2007 servers.
For more information, visit: https://technet.microsoft.com/library(EXCHG.150)/ms.exch.setupreadiness.NoE12ServerWarning.aspx

Warning:
Setup will prepare the organization for Exchange 2013 by using ‘Setup /PrepareAD’. No Exchange 2010 server roles have been detected in this topology. After this operation, you will not be able to install any Exchange 2010 servers.
For more information, visit: https://technet.microsoft.com/library(EXCHG.150)/ms.exch.setupreadiness.NoE14ServerWarning.aspx

Kontol ettiğiniz zaman aslında bu hataların gerçekci olmadığını görebilirsiniz. Yani hataların mantıklı hatalar olmadığını fark etmişsinizidir. Bunun temel nedeni yüklemeye çalıştığınız CU veya ilk yükleme ise schema extend işlemi yapmak istemektedir. Ancak yükleme yapmaya çalıştığınız exchange sunucusu farklı bir site içerisinde ise (Schema master’ dan) bu hatayı alırsınız.

Microsoft’ un önerisi aşağıdaki gibidir;

https://docs.microsoft.com/en-us/exchange/not-in-schema-master-site-domain-notinschemamasterdomain-exchange-2013-help

Veya benim daha basit bir önerim var, kurulumu aşağıdaki gibi katılımsız deneyin;

Setup.exe /M:Upgrade /IAcceptExchangeServerLicenseTerms

Diğer komut setleri için

https://docs.microsoft.com/en-us/exchange/plan-and-deploy/deploy-new-installations/unattended-installs?view=exchserver-2019

Zafiyet Bilgisi – Privilege escalation vulnerability in Microsoft Exchange

Güvenlik uzmanlarından Dirk-jan Mollema tarafından tespit edilen bir açık kullanılarak standart bir posta kutusu kullanıcısı yani bir şirket çalışanı kendisini domain admin yapabilmektedir.

Malum hepimiz pentest yaptırıyoruz ve standart olarak her pentest sırasında domain admin hakkını kaptırmamak için elimizden gelen çabayı gösteriyoruz. Ancak pek çok pentest sırasında nasıl standart bir user açıyor isek beraberindeki porta kutusu aslında o arkadaşların çok kolay bir şekilde domain admin olmasını sağlıyor. Bu nedenle exchange server kullanan ve güvenliğe önem veren herkes için çok kritik bir mail okuyorsunuz şu anda.

Atak iki tane Python temelli araç ile başarılı bir şekilde gerçekleştiriliyor. Hatta o kadar iddialı ki bu kodları paylaşmış durumda.

https://github.com/dirkjanm/privexchange/

Özetle size pentest’ e gelen birisi rahatlıkla domain admin olabilir.

Atak hakkında daha fazla bilgi için;

https://dirkjanm.io/abusing-exchange-one-api-call-away-from-domain-admin/

Peki neler öneriliyor?

  • Remove the unnecessary high privileges that Exchange has on the Domain object (see below for some links on this).
  • Enable LDAP signing and enable LDAP channel binding to prevent relaying to LDAP and LDAPS respectively
  • Block Exchange servers from making connections to workstations on arbitrary ports.
  • Enable Extended Protection for Authentication on the Exchange endpoints in IIS (but not the Exchange Back End ones, this will break Exchange). This will verify the channel binding parameters in the NTLM authentication, which ties NTLM authentication to a TLS connection and prevent relaying to Exchange web services.
  • Remove the registry key which makes relaying back to the Exchange server possible, as discussed in Microsofts mitigation for CVE-2018-8518.
  • Enforce SMB signing on Exchange servers (and preferable all other servers and workstations in the domain) to prevent cross-protocol relay attacks to SMB.
  • If EWS push/pull subscriptions aren’t used, they can be disabled by setting the EWSMaxSubscriptions to 0 with a throttling policy, as discovered by @gentilkiwi here. I haven’t tested how much these are used by legitimate applications, so testing it with a small user scope is recommended.

Yada aşağıdaki güncel yamaları yükleyebilirsiniz;

https://support.microsoft.com/en-us/help/4490060/exchange-web-services-push-notifications-can-provide-unauthorized-acce

Görüşmek üzere.

1 Soru 1 Cevap: Exchange Server CU Kurulumu Yetki Hatası

Soru: Mevcut Exchange server üzerine veya ortamına yeni sürüm bir Exchange server yüklenirken yetkili bir kullanıcı olmasına rağmen yetki hatası neden alınır?

Cevap: Genel bir hata olmasına karşın muhtemel schema upgrade işlemi gerektiği için bu false positive hatayı alıyorsunuz. Bunun sebebi ise eğer schema güncelleme gibi bir işlem yapılması gerekiyor ise öncelikle schema master rolü ile aynı site içerisinde hatta ilgili role üzerinde bu yükseltme işlemini gerçekleltirmeniz önerilmektedir. Bunu yaptıktan sonra kuruluma devam edebilirsiniz.

Setup.exe /IAcceptExchangeServerLicenseTerms /PrepareSchema

Setup.exe /IAcceptExchangeServerLicenseTerms /PrepareAD  /OrganizationName:”<Organization name>”

Setup.exe /IAcceptExchangeServerLicenseTerms /PrepareAllDomains

Exchange Server Sorun Çözümü için Kolay Log Toplama Yöntemi – Exchange Log Collector Script

Özellikle Exchange Server 2013 sonrasında loglama alt
yapısında pek çok değişiklik oldu. Özellikle kendi kendine yönetim ve
iyileştirme politikasının bir ürünü olan “Managed Availability” kavramını çok
ciddi manada sistemin log üretmesine neden oldu.

https://www.cozumpark.com/blogs/exchangeserver/archive/2015/03/01/exchange-server-2013-managed-availability.aspx

Öncelikle 2010 uzmanları bu loglar ile sık sık dolan C
disklerinden dolayı tanıştı, daha çok neden bu kadar çok log üretildiğini
araştırdılar, sonuca ulaşınca ise genelde otomatik temizleme komutlarını
zamanlanmış görev yapıp sorundan kurtuldular. Ancak gelin görün ki zaman
içerisinde sorun çözümlemek için bu logların hayati önemi olduğunu anladılar.
Durum böyle olunca logların silme sürelerini en azından son 7 günden 30 güne
yükselttiler. Buraya kadar hayat güzel gidiyordu ancak yine başka bir sorun ile
karşı karşıya kaldık. Çok büyük yapılarda özellikle bildiğiniz gibi sorunların
çözülmesi için yeniden kurmak, silmek tekrar oluşturmak gibi kobi çözümleri çok
kabul edilen çözümler değildir. Şimdi bir kobi çalışanı iseniz sakın alınmayın
bu sektörün bir gerçeği. Bende kobide çalıştım ve çok iyi biliyorum. Eğer sarf
edeceğiniz efor, alacağınız danışmanlığın ücreti karşılığını bulmayacak ise bu
kadar uzman bir personel veya danışmana gerek yoktur. Ancak bir mail kesintisi
ile milyonları kaybeden veya kaybedeceği prestijin telafisi olmayan kurumlar
için bu tarz iletişim alt yapılarındaki kesiniler kabul edilemez. Bir sorunun bu
nedenle kök neden araştırması çok önemlidir. Bir uzman olarak sizlerin de çok
iyi bildiği gibi sorun çözmek için öncelikle teşhisi iyi koymak lazım, bunun
için de iyi bir analiz yani log okumak lazım. Makalemin başında anlattığım
dağınık yapı itibari ile büyük bir exchange sunucu ortamı için bu kadar bilgiyi
toplamak son derece zor olacaktır.

Ama her türlü zorlukta imdadımıza yetişen powershell
burada da hayatımızı kurtarıyor. Aşağıdaki linkten edineceğiniz log collector
komut seti sayesinde tüm exchange loglarını merkezi olarak alabilir ve daha
sonra sorun çözümlemek için kullanabilirsiniz.

https://github.com/dpaulson45/ExchangeLogCollector

Peki nasıl kullanıyoruz. Öncelikle bildiğiniz gibi
exchange server çok fazla log üretiyor ve siz merkezi olarak birden çok sunucu
log dosyasını bir sunucu üzerine toplamak istiyorsanız öncelikle yeterli boş
alanınızın olduğunu kontrol edin. Benim tavsiye yanlış hesaplama durumuna
karşılık C diskinizin dolması = işletim sisteminizin her an mavi ekran vermesi
ve bir daha normal açılmamasına yol açabilir. Ondan en temizi bir yönetim
sunucusu gibi bir sunucuda komutu çalıştırmanız veya gerçekten yeterli
yerinizin olduğundan emin olduktan sonra çalıştırmanızı öneririm.

İlk komutumuz aşağıdaki gibidir;

.\ExchangeLogCollector.ps1 -AllPossibleLogs

Bu komutu çalıştırdıktan sonra komutu çalıştırdığınız
sunucu üzerindeki tüm varsayılan logları toplayıp aşağıdaki dizine
yerleştirecektir;

C:\MS_Logs_Collection

Not: Ortalama 1000 kullanıcı ve iki MBX sunucu olan bir
exchange server ortamında tek bir sunucu için bu komut ortalama 30GB log
topladı, tabiki bu sizin kullanıcı, mail alma gönderme sayısı, ekleri, DAG
yapısı vb pek çok değişkene göre değişir ancak fikir vermesi açısından
paylaşmak istiyorum ki olası bir disk boş yer sorunu yaşamayın.

clip_image002

Bir uyarı sonrası “y” tuşuna basarak toplama işlemi
için onay verebilirsiniz.

clip_image004

Not: remote toplama için exchange server minimum 2012
ve üstü bir OS de çalışmalı. 2008 ve 2008 R2 üzerinde ise bu log toplama
işlemini remote yapamazsınız.

clip_image006

Log toplama işlemi başladı.

Okumaya devam et

1 Soru 1 Cevap: Exchange Mail Limitleri

Exchange Server 2010 -2019 sistemleri için mail alma ve gönderme limitlerinden hangisi en bakındır?


Exchange ortamında temel 4 mail alma gönderme limit uygulanabilir;
Organizational limits
Connector limits
Server limits
Recipient limits

Bunlardan baskın olan çakışma anında değeri en küçük olandır. Önerilen yapılandırma ise olası bir farklılıkta mailin sistemde en az noktaya kadar ilerlemesidir. Örneğin Kullanıcı kotası düşük ise connector kotalarının yüksel olması malinin aslında buraya kadar iletilmeyi denemesine neden olur. Ama tabiki pek çok gerçek hayat senaryosunda bunu yapamayabilirsiniz.