Exchange Server Temmuz 2026 Security Update Yayımlandı
Microsoft, Exchange Server ürünlerinde tespit edilen güvenlik açıklarını gidermek amacıyla Temmuz 2026 güvenlik güncellemelerini yayımladı. Güncellemeler; Exchange Server Subscription Edition, Exchange Server 2019 ve Exchange Server 2016 sürümlerini kapsıyor.
Temmuz 2026 güvenlik güncellemeleri, Microsoft’un güvenlik iş ortakları tarafından sorumlu açıklama yöntemiyle bildirilen ve şirketin kendi güvenlik süreçleri sırasında tespit edilen güvenlik açıklarını gideriyor.
İçindekiler
Güncelleme Yayımlanan Exchange Server Sürümleri
Temmuz 2026 güvenlik güncellemeleri aşağıdaki Exchange Server sürümleri için kullanılabilir:
- Exchange Server Subscription Edition RTM
- Exchange Server 2019 CU14 ve CU15
- Exchange Server 2016 CU23
Exchange Server 2016 ve Exchange Server 2019 güncellemelerine yalnızca Period 2 Extended Security Update — ESU programına kayıtlı kuruluşlar erişebiliyor.
Exchange Online müşterileri, bu güvenlik açıklarına karşı Microsoft tarafından halihazırda korunuyor. Ancak hibrit yapılarda veya yalnızca yönetim amacıyla kullanılan şirket içi Exchange Server ya da Exchange Management Tools sistemleri bulunuyorsa bu sistemlerin güncellenmesi gerekiyor.
İlgili CVE kayıtlarının ayrıntıları Microsoft Security Update Guide üzerinden incelenebilir. Exchange Subscription Edition için ürün ailesi filtresinden “Server Software”, Exchange Server 2016 ve 2019 için ise “ESU” seçilmelidir.
Eski Exchange Güvenlik Grupları Kontrol Edilmeli
Temmuz 2026 güvenlik güncellemesiyle doğrudan ilişkili olmamakla birlikte Microsoft, Exchange Health Checker betiğinin artık eski ve kullanımdan kaldırılmış Exchange güvenlik gruplarını da kontrol edeceğini açıkladı.
Kontrol edilen gruplar şunlardır:
- Exchange Domain Servers
- Exchange Enterprise Servers
Bu gruplar Exchange Server 2007 döneminden beri kullanım dışıdır. Modern Exchange güvenlik gruplarına göre daha geniş yetkilere sahip olabilecekleri için kullanılmıyorlarsa Active Directory ortamından silinmeleri öneriliyor.
Kuruluşundaki son şirket içi Exchange Server’ı kaldırmış olan yöneticilerin de bu grupların varlığını kontrol etmesi gerekiyor. Şirket içinde artık Exchange Server bulunmuyorsa daha kapsamlı bir Active Directory temizliği yapılması da öneriliyor.
CVE-2026-42897 Önlemleri Güncellemeden Sonra Kaldırılmalı
Temmuz 2026 güvenlik güncellemesinin kurulması, daha önce CVE-2026-42897 için uygulanmış geçici önlemleri otomatik olarak kaldırmıyor.
Bu nedenle güvenlik güncellemesi kurulduktan sonra uygulanan yönteme göre ek işlem yapılması gerekiyor.
CVE-2026-42897 Emergency Mitigation ile Uygulandıysa Kaldırma Yöntemi
CVE-2026-42897 için uygulanan EEMS M2.1 OWA CSP önlemi, Temmuz 2026 güvenlik güncellemesi kurulduktan sonra otomatik olarak kaldırılmaz. Bu nedenle M2.1 IIS URL Rewrite kuralının manuel olarak kaldırılması gerekir.
Exchange Server Haziran 2026 Güvenlik Güncellemesi konusunda bahsetmiştik, güncellenmiş bilgi olarak tekrar aşağıda paylaşıyorum.
Kaldırma işleminden önce aşağıdaki şartlar doğrulanmalıdır:
- Temmuz 2026 Exchange Server güvenlik güncellemesi başarıyla kurulmuş olmalıdır.
- Güncelleme sonrasında sunucu yeniden başlatılmış olmalıdır.
- Exchange servislerinin ve OWA erişiminin sağlıklı olduğu doğrulanmalıdır.
- EM Service’in kaldırılan önlemi yeniden uygulamayacağından emin olunmalıdır.
Exchange Server M2.1 Önlemini Kaldırma
Komutlar Exchange Server üzerinde yönetici yetkileriyle açılmış Exchange Management Shell veya Windows PowerShell üzerinden çalıştırılmalıdır.
İlk komut, değişiklik yapılacak OWA web.config dosyasının tarih ve saat bilgisi içeren bir yedeğini oluşturur.
Ardından M2.1 tarafından oluşturulan OWA outbound URL Rewrite kuralı kaldırılır:
Son olarak outbound kuralının kullandığı precondition kaydı kaldırılır:
Copy-Item -Path "$env:ExchangeInstallPath\FrontEnd\HttpProxy\owa\web.config" -Destination "$env:ExchangeInstallPath\FrontEnd\HttpProxy\owa\web.config.$((Get-Date).ToString('yyyyMMdd-HHmmss')).bak"
Remove-WebConfigurationProperty -PSPath "IIS:\Sites\Default Web Site\owa" -Filter "system.webServer/rewrite/outboundRules" -Name "." -AtElement @{name="EEMS M2.1 OWA CSP - outbound"}
Remove-WebConfigurationProperty -PSPath "IIS:\Sites\Default Web Site\owa" -Filter "system.webServer/rewrite/outboundRules/preConditions" -Name "." -AtElement @{name="EEMS M2.1 OWA SPA HTML shell - precondition"}
Exchange Server 2016 ve 2019 İçin ESU Zorunluluğu
Exchange Server 2016 ve Exchange Server 2019 artık standart destek kapsamı dışında bulunuyor.
Mayıs 2026 ile Ekim 2026 arasında yayımlanan Exchange Server 2016 ve 2019 güvenlik güncellemelerine yalnızca Period 2 ESU programına kayıtlı müşteriler erişebiliyor.
Period 2 ESU programına dahil olmayan kuruluşların güncel güvenlik güncellemelerini almaya devam edebilmek için Exchange Server Subscription Edition sürümüne geçmesi gerekiyor.
Period 2 ESU lisansını satın aldığı halde güncellemelere erişemeyen müşteriler Microsoft’un ilgili Exchange ve Skype for Business Server ESU iletişim kanalı üzerinden destek talebinde bulunabilir.
Bilinen Sorunlar
Microsoft, bu güncelleme sürümüyle ilgili aşağıdaki bilinen sorunu yayımladı:
Hibrit ortamlarda paylaşımlı posta kutularının gelen kutusunda wrapper mesajlarının görüntülenmesi.
wrapper messages appear in shared mailbox inbox in hybrid environments | Microsoft Support
Güncelleme öncesinde Microsoft’un ilgili destek makalesinin incelenmesi öneriliyor.
Temmuz 2026 Exchange Güncellemesi Nasıl Kurulmalı?
Exchange Server güncellemelerinde aşağıdaki işlem sırasının izlenmesi öneriliyor.

1. Exchange Sunucularını Envanterleyin
Exchange Server Health Checker betiğini çalıştırarak ortamdaki Exchange sunucularının mevcut CU ve SU seviyelerini kontrol edin.
Health Checker aşağıdaki durumları tespit edebilir:
- Eksik Cumulative Update sürümleri
- Eksik Security Update paketleri
- Uygulanması gereken manuel güvenlik işlemleri
- Eski Exchange güvenlik grupları
- Desteklenmeyen Exchange Server sürümleri
2. Gerekiyorsa En Güncel CU Sürümüne Geçin
Sunucunun mevcut CU sürümü Temmuz 2026 güvenlik güncellemesi tarafından desteklenmiyorsa önce uygun Cumulative Update sürümüne geçilmelidir.
Geçiş adımları için Microsoft Exchange Update Wizard kullanılabilir.
3. Temmuz 2026 Güvenlik Güncellemesini Kurun
Sunucunun sürümüne ve CU seviyesine uygun güvenlik güncellemesi yönetici yetkileriyle kurulmalıdır.
Exchange güvenlik güncellemeleri kümülatiftir. Desteklenen bir CU kullanılıyorsa önceki tüm SU ve Hotfix Update paketlerini sırasıyla kurmak gerekmez. Doğrudan en güncel güvenlik güncellemesi kurulabilir.
4. Sunucuyu Yeniden Başlatın
Güncelleme kurulumu tamamlandıktan sonra Exchange Server yeniden başlatılmalıdır.
Yeniden başlatma sonrasında aşağıdaki kontroller gerçekleştirilmelidir:
- Exchange servislerinin çalışma durumu
- IIS uygulama havuzlarının durumu
- OWA ve ECP erişimi
- İç ve dış posta akışı
- Database mount durumu
- DAG kopyalarının sağlık durumu
- Event Viewer üzerindeki Exchange hataları
- Health Checker sonuçları
Bazı Exchange servisleri Disabled durumunda kalmışsa güncelleme kurulumu kesintiye uğramış veya tamamlanamamış olabilir.
5. Health Checker’ı Yeniden Çalıştırın
Güncelleme sonrasında Exchange Health Checker betiği tekrar çalıştırılarak eksik güncelleme, yapılandırma veya manuel işlem bulunup bulunmadığı kontrol edilmelidir.
Kurulum sırasında hata alınırsa SetupAssist betiği kullanılabilir. Başarısız CU veya SU kurulumları için Microsoft’un Exchange kurulum onarım adımları uygulanmalıdır.
CVE-2026-42897 azaltma işlemi yayımlandığında, bilinen birkaç sorun bildirildi. Bu güncellemelerde bunlar ele alındı mı?
Evet, Temmuz 2026 SU kurulduğunda ve azaltma kaldırıldığında, bilinen azaltma sorunları da çözülmelidir.
Bazı sunucularımızı güncelledik ama diğerlerini güncelleyemezsek, güncelleme almayacak sunucular CVE-2026-42897 azaltmalarıyla kalabilir mi? Bazı sunucuların güncellenmesi, bazılarının ise hâlâ azaltma yöntemleri kullanması uygun mu?
Temmuz 2026 SU (veya daha yenisi) olarak güncelleyemediğiniz herhangi bir sunucuda azaltma önlemlerini kullanmaya devam edebilirsiniz. Ancak dikkat edin, bu sunucularda da bu tür önlemlerin bilinen sorunları geçerli olmaya devam edecek. Ayrıca, bu güncelleme uygulandıktan sonra, Office Online Server (OOS) ile Exchange Server entegrasyonu organizasyondaki tüm Exchange sunucuları güncellenene kadar beklendiği gibi çalışmayabilir.
Organizasyonumuz Exchange Online ile Hybrid modda. Bir şey yapmamız mı gerekiyor?
Exchange Online zaten korunuyor, ancak bu SU, sadece yönetim amaçlı kullanılsa bile Exchange sunucularınıza yüklenmelidir. Bir SU kurduktan sonra doğrulama sertifikasını değiştirirseniz, Hibrit Yapılandırma Büyücüsü’nü yeniden çalıştırmalısınız.
Son kurduğumuz SU/HU birkaç aylık. En yenisini kurabilmek için tüm SU’ları kurmamız mı gerekiyor?
SU’lar birikimlidir. SU tarafından desteklenen bir CU çalıştırıyorsanız, tüm SU veya HU’ları sıralı olarak kurmanıza gerek yoktur; Sadece en son SU’yu yükleyin
Organizasyonumuzdaki tüm Exchange Sunucularına SU kurmamız mı gerekiyor? Peki ya ‘Sadece Yönetim Araçları’ makineleri?
Önerimiz, yönetim araçları, istemci ve sunucular arasında uyumluluğu sağlamak için tüm Exchange Sunucularına ve Exchange Yönetim Araçları çalıştıran tüm sunucular ile iş istasyonlarına SU’lar kurmamızdır
