Merhaba, bu yazıda, Microsoft Exchange Server’ın ECP (Exchange Control Panel) erişimini dış dünyaya kapatmanın neden önemli olduğundan ve nasıl yapılacağından bahsedeceğim.
ECP, Exchange Server yöneticileri için birçok işlemi kolaylaştıran bir web arayüzüdür. Ancak, bu kolaylık kötü amaçlı saldırganlar için bir zafiyete dönüşebilir. Özellikle dış dünyadan erişilebilir bir ECP, brute force saldırıları gibi güvenlik tehditlerine açık hale gelir. Bu nedenle, ECP erişimini sınırlandırmak ve yalnızca yetkili kullanıcıların erişimine izin vermek kritik öneme sahiptir.
İçindekiler
Exchange Server’da ECP Erişimi Neden Kısıtlanmalı
ECP’nin her yerden erişilebilir olması, sisteminizi ciddi güvenlik tehditlerine açık hale getirebilir. Örneğin:
- Brute Force Saldırıları: Saldırganlar, kullanıcı hesaplarına erişmek için ECP üzerinden parola denemeleri yapabilir.
- Yetkisiz Erişim: Açık bırakılan ECP, hassas yönetim araçlarına yetkisiz erişim sağlayabilir.
Bu tür tehditlerin önüne geçmek için ECP erişimini kapatmanız önerilir. ECP erişimini sınırlandırmanın birkaç yöntemi vardır:
- Firewall veya WAF Kullanımı (En İyi Yöntem).
- IIS Üzerinden IP ve Domain Kısıtlamaları (Alternatif Yöntem).
Exchange Server’da ECP ve Remote PowerShell Engelleme işlemini Client Access Rule kullanarakda yapabilmektesiniz.
IIS Üzerinden Exchange Server ECP Erişimini Kapatma
ECP’nin erişim yönetimi, Exchange Server üzerinde Mailbox Role sunucusundaki Client Access (Frontend) servisi tarafından gerçekleştirilir. Bu işlemi yapmak için IIS üzerindeki IP and Domain Restrictions modülünü kullanacağız.
IP and Domain Restrictions Modülünü Yükleme
Eğer bu modül sisteminizde yüklü değilse aşağıdaki adımları takip ederek yükleyebilirsiniz:
- Server Manager‘ı açın.
- Add Roles and Features seçeneğini tıklayın.
- Server Roles > Web Server (IIS) > Web Server > Security > IP and Domain Restrictions yolunu izleyin.
- İlgili seçeneği işaretleyin ve kurulumu tamamlayın.

Exchange Server ECP Erişimini Sınırlandırma Adımları
Kurulum tamamlandıktan sonra aşağıdaki adımları izleyerek ECP erişimini sınırlandırabilirsiniz:
- IIS Konsolunu Açın:
- Komut satırında
inetmgr
yazarak IIS yönetim konsolunu açın.
- Komut satırında
- ECP Dizinine Erişim:
- IIS > Default Web Site > ECP yolunu izleyin.
- IP Address and Domain Restrictions modülüne tıklayın.

- Genel Ayarları Düzenleyin:
- Sağ tarafta bulunan Actions > Edit Feature Settings menüsüne tıklayın.

- Access for unspecified clients seçeneğini Deny olarak değiştirin.
- Deny Action Type seçeneğini “Abort” olarak ayarlayın.

Herhangi bir IP adresine IIS üzerinden izin verilmezse Exchange Server ECP sayfası erişimi heryerden engellenecektir.
- Yetkili IP Adreslerini Tanımlayın:
- Add Allow Entry seçeneği ile yetkili IP adreslerini ekleyin.
- Specific IP Address: Tek bir IP adresine izin verir.
- IP Address Range: Belirli bir IP aralığını tanımlamak için kullanılır.
Öneri: Yalnızca Exchange Server’ın yüklü olduğu sunucular veya yönetim IP’leri için erişim izni verin.

Tek IP Adresi:
- Örneğin,
127.0.0.1
adresini kullanarak yalnızca yerel erişime izin verebilirsiniz.
IP Aralığı:
Belirli bir aralığa izin vermek için şu formatı kullanabilirsiniz:192.168.1.0 - 192.168.1.255

Değişiklikleri uygulamak için IIS’i yeniden başlatmanız gerekmektedir:
- Komut satırını Yönetici Yetkileriyle (Run as Administrator) açın ve şu komutu çalıştırın
IISRESET
ECP Kapatma İşlemini Doğrulama
Ayarlamaları tamamladıktan sonra aşağıdaki adımlarla işleminizi doğrulayabilirsiniz:
İzin verilmeyen bir IP adresinden localhost/ECP veya FQDN/ecp sayfasına gitmek istediğiniz zaman aşağıdaki gibi bir uyarı ile karşılaşmanız gerekmektedir.
- Yerel Test:
- https://localhost/ecp adresine giderek erişimi kontrol edin.
- Harici Test:
- Yetkili olmayan bir IP adresinden erişim denemesi yapın. Eğer işlem başarılıysa, “403 – Forbidden” hata sayfası görmeniz gerekir.

Exchange Server altyapınızda güvenliği artırmak için ECP erişimini dış dünyaya kapatmanız kritik öneme sahiptir. Bu işlem, özellikle brute force saldırılarını ve yetkisiz erişimleri önlemede etkili bir yöntemdir. Firewall veya WAF gibi daha kapsamlı çözümler kullanılamıyorsa, IIS üzerindeki IP and Domain Restrictions modülüyle bu erişimi yönetebilirsiniz.
İlgili içerik: Exchange Server DAG Kurulumu
İlgili içerik: Exchange Server’da Witness Server Yapılandırması
İlgili içerik: Exchange Server’da RFC Uyumlu Olmayan P2 FROM Header Tespiti
İlgili içerik: Exchange Server November 2024 Security Update
İlgili içerik: Exchange Server A Reboot From a Previous Installation Is Pending
“Exchange Server ECP Kapatma” üzerine 2 yorum