IT & IoT Security | Cloud | It's all about the life itself

Merhaba;

Enterprise Vault’un yeni versiyonu(11) ile ürüne çeşitli yenilikler eklendi. Bu yeniliklerden biri de mobil cihazlardan, akıllı telefonlardan veya IMAP protokolünü destekleyen cihazlardan; arşive erişim sağlayan IMAP Client Access yeniliğidir.

Enterprise Vault(kısaca EV)’un önceki versiyonlarında,Internet Browser üzerinden Mobile Search imkanı sunan basit bir yapı mevcuttu. Bence kullanışlı değildi. Bu yapı hakkındaki yazımı https://aydogmusoglu.com/enterprise-vault-mobile-search.html adresinden inceleyebilirsiniz.

Yazımda, Enterprise Vault üzerindeki arşive konforlu erişim imkanı sunan IMAP Client Access yeniliğinden bahsedeceğim.

Test ortamımdan ve topolojimden bahsedeyim.

.

Sanallaştırma platformu, Windows 8.1 üzerinde hyper-v çalışıyor.

Domain controller , Windows Server 2012 R2 üzerinde çalışıyor

Exchange Server 2013 rolleri aynı sanal sunucuda çalışıyor.

Enterprise Vault 11 ve SQL Server 2012 aynı sanal sunucuda çalışıyor.

Check Point R77 sanal sunucuda çalışıyor ve bir internal iki external interface’e sahip.

Imap erişimi,owa erişimi,smtp erişimi,dns query için Check Point’in external interface’lerinden iç network’e doğru NAT mevcut. Ekran görüntüsü aşağıdaki gibidir.

Üstteki nat kuralları test ortamım içindir. Gerçek ortamlarda gereksinimler, port’lar, host’lar vb. farklı olabilir!

IMAP erişimi, Enterprise Vault sunucuda veya sunucularda devreye alınıyor. Imap özelliğinin devreye alındığı Enterprise Vault sunucu, IMAP server olarak hizmet veriyor. Email relay için, var olan smtp sunucularınızdan birini kullanıyor.Test ortamımda, Enterprise Vault’un kullandığı email relay smtp sunucusu Exchange Server 2013 sunucumdur.

Enterprise Vault neden email relay ihtiyacı duyuyor?

– Arşivdeki mail üzerinden “reply”, “reply to all”, “forward” yapılmak istenirse; EV sunucusu bu talebi bir smtp sunucu üzerinden geçirmek durumunda kalıyor(relay)!

– Bu trafiğin, journal archiving tarafından arşivlenemeyebileceğine dikkat etmek gerekir!

IMAP Acces devreye alınırken; güvenli erişim için SSL sertifikası kullanılmalıdır ve şifrelenmemiş trafiğe izin verilmemelidir. SSL sertifikası oluşturma süreci aşağıdaki gibidir.

EV kurulumu ile birlikte openssl.exe uygulaması geliyor. Sertifika üzerindeki değerleri üstteki biçimde belirleyebilirsiniz.

Uygulama çalıştırıldıktan sonra iki adet dosya üretiyor. Bir dosyada csr mevcut. Diğerinde key! Üstteki komut penceresinden anlaşılacağı üzere benim csr dosyam ev11csr.pem ‘dir. Bu talebi, güvenilen bir otoritesinden onaylatmanız gerekiyor. Test ortamında çalıştığım için Domain controller üzerinde çalışan sertifika otoritesini kullandım.

CSR ‘ı güvenilen bir sertifika otoritesinden onaylattıktan sonra, cer dosyanız ve private key’i içeren pem dosyanız kullanıma hazır olmuş olacak.

IMAP’i yapılandıralım. Bu özelliği devreye almak için policy ve provisioning group yapılandırması gerekiyor. Test ortamıma uygun policy detayları aşağıdaki gibidir.

IMAP tab’ında; üzerinde IMAP servisi çalışacak EV sunucunun alias ve sertifika bilgilerini yapılandırıyorsunuz.

Alias Name, sertifika içinde geçmelidir! Bu isim için DNS’te kayıt oluşturunuz!

Sertifikayı değiştirmek isterseniz, daha önce de belirttiğim gibi private key’i içeren pem dosyasına ve onaylanmış sertifikayı içeren cer doyasına ihtiyacınız olacak!

SMTP tab’ında, email notification ve mail relay için kullanılacak smtp server bilgilerini belirliyorsunuz. Burada belirlenen sunucu bilgisi ve önceki aşamada belirlenen IMAP endpoint bilgisi; IMAP erişim özelliğini kullanacak olan kullanıcılara bilgilendirme email’i şeklinde gönderilecek.

Policy hazırlanmış oldu. Provisioning group’u hazırlayalım. Email archiving için hazırlanan provisioning group ile IMAP erişimi için hazırlanan provisioning group farklıdır! Mailbox’ını arşivlediğiniz her kullanıcının IMAP erişimi olmayabilir!

Targets tab’ında; Enterprise Vault üzerindeki arşivine Secure IMAP ile erişecek olan kullanıcıları belirliyoruz.Tek tek account eklemek yöntemi ile veya farklı yöntemler ile target kısmını doldurabilirsiniz.

IMAP için policy ve provisioning group işlemlerini tamamladık. İlgili EV sunucunun Tasks kısmına bakıldığında, Client Access için yeni task/task’ler belirmiş olacaktır.

Task’leri manual olarak çalıştırabilirsiniz veya doğal çalışma zamanını bekleyebilirsiniz(schedule). Task’ler çalıştıktan sonra; provisioning group’taki kullanıcılar için IMAP Access devreye alınmış olacak.

***#***

Not(opsiyonel):

Belli bir OU içindeki account’larda, office mail app’ini devreye amak için aşağıdaki fonksiyon’u kullanabilirsiniz. Office mail app’inin mailbox’lar üzerinde aktif olup olmaması, mailbox arşivlemeyi veya imap client access ‘ini etkilemiyor. Office mail app’i, office 2013 ile veya office web app ile mailbox’a bağlantıktan sonra, arşive erişimi sağlayan konforlu bir web uygulamasıdır.

***#***

Task’ler çalıştıktan sonra; IMAP hizmetinden faydalanacak olan kullanıcıya aşağıdakine benzer bir email gönderilecektir.

Email’in biçimini test amaçlı olarak değiştirmiştim. Bilgilendirme mesajını özelleştirmeniz için EV kurulum dizininde bir araç mevcut. Siz de email’in biçimini, kurumsallığınıza uygun olacak şekilde değiştirebilirsiniz. Email ile gelen bilgileri değerlendirelim.

– IMAP yapılandırması için kullanılacak email adresi

– Incoming IMAP Mail Server ( Enterprise Vault , policy ile belirlemiştik)

– IMAP Port’u ( SSL kullanıdık , 993)

– Username, biçime dikkat!

– Password, user account’un parolası

– Outgoing SMTP Mail Server ( SMTP server’ı policy ile belirlemiştik)

– Port, smtp portu ( Port’u policy ile belirlemiştik)

Personeliniz mobil cihazından,akıllı telefonundan ve imap destekleyen tüm cihazlardan güvenli biçimde arşivine erişebilir.

Yapılandırmayı tamamlamış olduk. Öncelikli olarak dikkat edilmesi gerekenler aşağıdaki gibidir .

– SSL sertifikası

– SSL sertifikası içinde kullanılması planlanan tüm alias’lar mutlaka common name & subject alternate name olarak geçmelidir.

– IMAP Server(EV) alias’ı ve SMTP server ismi için DNS bilgileri, iç ve dış DNS sunucularında yapılandırılmalıdır.

– IMAP özelliğinden hizmet alacak personele gönderilecek email, kurum standartlarına uygun olarak özelleştirilmelidir.

– Edge firewall ‘unuzda veya aralardaki firewall ’larınızda Secure IMAP ( 993 ) için NAT kurallarının yapılandırılması.

IMAP erişimi ile ilgili kullanabileceğiniz dashboard’lara veya konsollara aşağıdaki yöntemler ile erişebilirsiniz.

Enterprise Vault konsolundan

Internet Browser ’dan (http://evault/enterprisevault/MonitorIMAP.aspx)

Users tab ’ından

Son olarak, kullanılacağını sanmasam da http://ev_server/enterprisevault/IMAP.aspx?sid=user_SID şeklinde.

Örneğin corp\arthas ’ın IMAP Access detayı için http://evault/enterprisevault/IMAP.aspx?sid=S-1-5-21-1626825390-285430590-2561215432-1173 kullandım. SID bilgisi değişecektir!

Enterprise Vault Management Shell ‘deki IMAP cmdlet ’leri aşağıdaki gibidir.

Şimdilik, Enterprise Vault ile gelen powershell modülündeki cmdlet ’ler aşağıdaki gibidir.

Bir kullanıcının IMAP detaylarını, Enterprise Vault Management Shell ile aşağıdaki gibi inceleyebilirsiniz.

Get-EVIMAPUserSettings cmdlet’inde SID yerine archive ismi veya username kullanılabilirdi ama SID tercih edilmiş 🙂

Enterprise Vault 11 ile gelen özelliklerden IMAP Client Access özelliğini incelemiş olduk.

Herkese sorunsuz ve neşeli günler dilerim.