Hocam Selam..!
Bu makalemde hem gördüğümüz süreç hem de nasıl çözüm yollarına ulaştığımızı anlatmaya çalıştım. Okuduğunuz için şimdiden teşekkürler.
Kısa süre öncesinde Fortigate 6.4.11 versiyonundan hadi bir çılgınlık yapalım diyerek 7.2.3 versiyon upgrade ettik. Sonrasında SSL-VPN kullanıcılarına (FortiToken para vermemek için) 2FA email ile iletilen token ların ulaşmadığını en pahalı SIEM ya da Monitoring uygulamalarından daha net olan son kullanıcıların söylemesiyle fark ettik. “Alert” oluşturduğumuz keza mailler de iletilmediğini anlayınca. Acep bu durum nedir dedik !!
Fortigate 6.4.11 versiyon da bilindiği gibi web ara yüzden System>>Settings>>Email Service altında
SMTP Server: smtp.ilgisizbirhostingfirması.com
Port:465,587 artık hangi portsa
username: [email protected] (ilgisiz bir hosting firmasından alınmış domain adına ait mail adresi)
Pass: xxxxxxxx* (yıldız önemli 🙂 )
Securtiy Mode: SMTPS,STARTTLS
ayarları girilerek mükemmel çalışmaya başlıyordu. 7.2.3 versiyonunda bu durumun pekte öyle olmadığını aşağıdaki resimdeki gibi Failed lar dönüdüğünü gördüm.
Belki Forti arayüze güven olmaz düzgün çalışmıyordur, biz bide diagnostic çalıştıralım dedik. Smtp 535 hatası aldığımızı gördüğümde bir credentials hatası döndüğünü anladım.
Diagnostic komutları aşağıdaki gibi;
- diag debug enable
- diag debug console timestamp enable
- diag debug application alertmail -1
Hemen paniğe kapılıp hata mı yaptık, zaten bug dolu bu Forti ler , Check Point – PaloAlto neden bu kadar pahalı Nutanix mi Simplivity mi gibi yorumlara gelmeden google search ile nasıl yapılırlara baktım.. Fakat bu toprakların insanlarından birisinin yazısını göremedim. Sonrasında relay atılan ucuz hosting firmalarındaki mailler ile Forti otantikasyon da sorun yaşadığını görünce Gmail ya da O365 yapayım dediğimde de yine güzel bir sonuç elde edemedim. Kimse mi geçmedi bu sürüme çok anlamadım diye düşünerek zaman kaybetmeden, FortiCommunity konuyu açtım ama hala default olan notification.fortinet.net neden kullanmıyorsun gibi çözümleri söyleyenler oldu. Zaten bir kere o hatayı yapıp maillerin 45dk sonra geldiğine şahit olup, TAC bile kendi smtp ayarlı bir yer kullanın dedikten sonra hiç düşünmezdim. Community de de hala yazıyorlardır noti.forti yi kullan diye. Her neyse…
Anladığım kadarıyla Fortigate otantikasyonlar kurarken SecurtiyFabric kardeşlerinden değilsen güvenlik seviyesini bir tık artırıp; basit bir otantikasyon için bile CLI larından DB lerinden ayar çektiren CheckPoint den neyim eksik diyerek doğrulama ve güvenlik ilişkilerine göre düzenlediğini anladım. Ya da daha önceden de herkes böyle kullanıyordu ben bilmiyordum, çünkü eskiden içerdeki exchange suncusuna “relay aç baba” smtp 25 den devam ediyorduk. Sonunda biraz araştırıp deneme yanılmalar ile hem Gmail ve Office365 hesaplarınız ile nasıl bağlarsınız aşağıda anlatmaya çalıştım, umarım sizlere de faydası olur.
Gmail;
1-Öncelikle gmail üzerinde bir hesap açmanız gerekli . Örneğin: [email protected]
2-Bu Gmail hesabının MFA etkinleştirmeniz de gerekecek. Google Authenticator ya da SMS de olur.
3-Sonrasında da… Burası Önemli…. App password ekleyerek bir kereliğine eşleşecek 16 haneli bir şifreyi oluşturuyorsunuz. Bu eşleşmeden sonrada google-forti kardeşliği kurulup hazır hale geliyor.
4-Son olarak aşağıdaki gibi Email Service ayarlarını yazmak kalıyor.
***10 Puan değerinde basit ama benim gibiler için değerli bir bilgi: username sadece kullanıcı ismi yazılır @gmail.com yazmıyoruz***
password yerine gmail hesabınızın şifresi değil app pass. oluşturalan 16 hanelik şifreyi yazıyor ve maillerin gidip gitmediğini test edebiliyorsunuz.
Office365 ke; ( ünlü felsefeci Platon dediği gibi “PowerShell bilmeyen giremez”)
1- Bir tane micorosft kurumsal E5 paket….. 🙂 yok yok standart sadece bir kurumsal mail adresiniz yeterli
2-Powerhell yönetici olarak açıyoruz. O365 tarafında exchangeshell yetkili olmalısınız, yoksa daha iyi bir durum…. Hemen Sistemcilere paslayıp şunu bir çözün diyebilirsiniz. kendiniz yapmak istersenizde aşağıdaki komutlar girilirken “Yes” cevaplı devam ve yüklemeler olacaktır. (tabi burda bir youtube yapın connect gerçekten olabildiniz mi “Get-Mailbox” ile bir iki basit sistemi yormayan komutları çalıştırın sonrasında aşağıdaki komutlara gelirsiniz)
- Set-ExecutionPolicy RemoteSigned
- Install-Module -Name ExchangeOnlineManagement -RequiredVersion 2.0.5
- Import-Module ExchangeOnlineManagement
- $User = “istediğinizisim@kurumsalbirşirket.com.“
- Get-CASMailbox $User | Set-CASMailbox -SmtpClientAuthenticationDisabled $false
Sonrasında yine Email Service ayalarını girdiğiniz de testlerinizi yapıp çalıştırabilirsiniz.
Herkese kesintisiz günler dilerim