Merhaba, bu yazımda Microsoft Exchange Server ECP (Exchange Control Panel) arayüzünü dış erişime kapatma yöntemlerini adım adım anlatacağım.
Exchange Control Panel (ECP), yöneticilere birçok kolaylık sunan bir yönetim panelidir. Ancak her yerden erişilebilir olması, potansiyel bir güvenlik açığı oluşturur. Özellikle brute force saldırıları, yetkisiz giriş denemeleri ve kimlik avı (phishing) senaryoları için risklidir. Bu nedenle ECP erişimini yalnızca belirli IP adreslerinden sınırlandırmak en doğru yaklaşımdır.
İçindekiler
Exchange Server ECP Dış Erişime Neden Kapatılmalı?
- Brute Force saldırılarını önlemek: Kimlik bilgisi tahminine dayalı saldırılar engellenir.
- Yetkisiz erişimi azaltmak: Yalnızca yönetici sunucularından erişim sağlanabilir.
- Exchange Server güvenliğini artırmak: Internet üzerinden açık bırakılan yönetim panelleri, saldırı yüzeyini büyütür.
Öneri: Mümkünse erişim kontrolünü Firewall veya WAF (Web Application Firewall) üzerinden yapmanız daha güvenli olacaktır. Ancak bunun mümkün olmadığı senaryolarda IIS üzerinden IP Restriction özelliği kullanılabilir.
Hangi Exchange Server Sürümlerinde Geçerli?
- Exchange Server 2013 ve 2016: IIS üzerinden IP and Domain Restrictions modülüyle erişim kısıtlaması yapılabilir.
- Exchange Server 2019: Bunun yerine Client Access Rules özelliğini kullanmak daha uygundur.
- Exchange Server SE
Detaylı bilgi için: https://cengizyilmaz.net/exchange-server-client-access-rules-ile-ecp-ve-remote-powershell-engelleme/
IIS Üzerinde IP and Domain Restrictions Modülünü Kurma
ECP erişimini sınırlamak için öncelikle IIS üzerinde IP and Domain Restrictions modülünün kurulu olması gerekir.
Kurulum adımları:
Server Manager → Add Roles and Features yolunu izleyin.
Server Roles → Web Server (IIS) → Web Server → Security altından IP and Domain Restrictions seçeneğini işaretleyin.
Next → Install diyerek kurulumu tamamlayın.
IIS Üzerinde Exchange Server ECP Kısıtlama
IP and Domain Restrictions kurulumunu tamamladıktan sonra, Exchange Server‘da ECP erişimini kısıtlamak için aşağıdaki adımları takip edebilirsiniz.
- IIS Manager (inetmgr) uygulamasını açın.
- Default Web Site → ECP → IP Address and Domain Restrictions menüsüne girin.
- Sağ tarafta bulunan Actions → Edit Feature Settings bölümüne gelin
- Access for unspecified clients seçeneğini Deny olarak ayarlayın.
- Deny Action Type bölümünde Abort seçeneğini kullanmanız önerilir.
Not: Deny Action Type bölümünü "Abort" olarak ayarlamazsanız, Exchange Server ECP dış erişime açık kalacak ve kullanıcı giriş yaptıktan (LOGIN) sonra sayfa kapanacaktır. "Abort" seçeneğini kullanmanız durumunda ise ECP’nin giriş sayfası harici istemcilerden hiç açılmayacaktır.
Bu işlemden sonra tanımlı olmayan tüm IP adresleri ECP’ye erişemeyecektir.
Belirli IP Adreslerine Exchange Server ECP için İzin Verme
Belirlediğimiz IP adreslerine ECP erişimi vermek için, aşağıdaki adımları izleyebilirsiniz.
- Default Web Site → ECP → IP Address and Domain Restrictions menüsüne girin.
- Actions – Add Allow Entry bölümünü açın
Tek bir IP adresi için: Specific IP Address seçeneğini kullanın.
Bir IP aralığı için: IP Address range seçeneğini kullanın.
Örneğin yalnızca yönetim sunucunuzdan erişim sağlamak için 127.0.0.1 adresini tanımlayabilirsiniz.
IP address range ile birlikte belirli bir IP adresi aralığı kullanabilirsiniz.
Erişim izni verdiğimiz IP adresinden “localhost/ecp” – “https://fqdn/ecp” ile ECP erişimi sağlayabilirsiniz.
Exchange Server üzerinde ECP erişimini sınırlandırmak, sunucunuzu olası saldırılara karşı korumak için kritik bir adımdır. Eğer Exchange Server 2013 veya 2016 kullanıyorsanız IIS üzerinden IP Restriction, Exchange Server 2019 kullanıyorsanız Client Access Rules ile bu işlemi kolayca yapabilirsiniz.
Güvenlik açısından en ideal yöntem, erişimi Firewall veya WAF seviyesinde kısıtlamaktır. IIS üzerinden yapılan kısıtlama, yalnızca ek bir güvenlik katmanı olarak düşünülmelidir.
