E-Postalar herzaman saldırıların hedefi olmuştur, sunuculara yapılan saldırıları bir kenara bırakalım en çok mail kullanıcıları saldırıların hedefindedir. Saldırganlar size posta ile zararlı yazılımlar, ek dosyaları veya URL gönderebilirler. Bu tarz saldırıları önlemek için öncelikle kullanıcı farkındalığını artırmak gerekmektedir.
Kimlik avı, “Failin meşru bir işletme veya saygın bir kişi kılığına girdiği e-postada veya bir web sitesinde hileli bir talep yoluyla banka hesap numaraları gibi hassas verileri elde etmeye çalışmak için kullanılan bir tekniktir.”
Kimlik avı saldırılarını engellemek çok parçalı bir savunmadır. Bir savunma kurmak için ayarlara ve seçeneklere doğrudan girelim.
Kimlik Avı Korunması Ayarları
Kimlik avı koruması > Tehdit ilkeleri > Microsoft 365 Defender > İlkeleri’ni açın.
2. Office365 AntiPhish Varsayılan (Varsayılan) ilkesine tıklayın.
Office365 AntiPhish Default üzerinden varsayılan gelen ayarları yapılandırabilmekteyiz.
Öncelikle Phishing email threshold değerimize bakacağız.
Phishing email threshold, kimlik avı olarak kabul edildiğiiğini belirlemek için hassasiyeti kontrol etmektedir. Varsayılan olarak en düşük seviyeyi işaretlemektedir. Bu ayarda en az kısıtlayıcı düzey olarak bilinmektedir.
Kimlik avı e-posta eşiği, neyin kimlik avı olarak kabul edildiğini belirlemek için iletilere makine öğrenimi uygulama hassasiyetini kontrol eder. Standart düzey, en az miktarda kimlik avı e-postasını engelleyecek en az kısıtlayıcı düzeydir. En saldırgan, en çok kimlik avı e-postasını engeller, ancak bazı iyi e-postaları da yakalayabilir. Bu değeri artırabilirsiniz, veya standart olarak bırakabilirsiniz.
Seviye 2 Agresiv olarak bilinmektedir. Toplamda 4 seviye bulunuyor ve bu seviye arttıkça agresivlik düzeyide artmaktadır.
Manage senders for impersonation protection
BU alandan, şirket yöneticileriniz hesapları için ek bir koruma sağlayabilirsiniz. Aşağıdaki örnekte olduğu gibi kişileri ekleyebiliriz. Örneğin: cengiz@cengizyilmaz.net için ekleme yaptım ve daha sonra cengiz@gmail.com adresinden bir mail gelirse bu adres direk karantinaya düşmektedir.
Add trusted senders and domains
Bir önceki adımda şirket yöneticimiz için kimlik avı korunması sağlamıştık. Fakat yöneticimiz kendisine @gmail.com hesabından mail göndermek istiyor, ancak Microsoft bunu kimlik sahteciliği olarak algıladığı için bunu otomatik olarak engelliyor. Sakin olmalısınız 🙂 Microsoft 365’in bu bölümünde güvenilir gönderici veya güvenilir domain ekleyebilirsiniz. Daha önceki makalemde belirttiğim gibi safe domain işlemi önerilmemektedir.
Office 365’te Domaini WhiteList Olarak Ekleme – Cengiz YILMAZ
Mailbox Intelligence
Posta Kutusu Yapay Zekası, (Mailbox Intelligence) kabul edilebilir kimliğe bürünmüş kullanıcıları yakalamaya da yardımcı olmaktadır. Kısacası, kullanıcının daha önce kullanıcıdan gönderip göndermediğini veya alıp almadığını görmek için kullanıcının posta kutusunu tarar. Varsa, e-postayı kimliğe bürünme olarak işaretlemez.
Not: Posta Kutusu Bilgileri’nin çalışması için posta kutusunun Microsoft 365’te bulunması gerekir. Bu nedenle, şirket içi posta kutularınız varsa ve bu posta kutuları için posta kutusu yönetim bilgilerini etkinleştirmek istiyorsanız, bunların Exchange Online’a geçirilmesi gerekmektedir..
Enable Intelligence for Impersonation Protection
Her kullanıcının bireysel gönderen haritasına dayalı gelişmiş kimliğe bürünme sonuçlarını etkinleştirir ve kimliğe bürünen iletiler üzerinde belirli eylemler tanımlamanıza olanak tanımaktadır.
Spoof Intelligence
Adres sahteciliği, yanlış gönderen / gönderen adresine sahip bir e-postanın oluşturulmasıdır. Örneğin, posta kutunuz Microsoft 365’te ayarlanmışsa ve Microsoft 365’ten kendiniz gibi adres sahteciliği olmayan bir e-posta gönderirseniz. Ancak, birisi sizi taklit eden ancak yetkili gönderme ortamınızdan olmayan bir e-posta gönderirse, bu e-postalar sahte olarak kabul edilir.
Allowed spoofing
Bazı durumlarda sahte mailler kabul edilebiliyor, aslında bu durum M365’e özel bir durum değil, third party bir spam gateway kullansanız dahi bu durum yaşanabiliyor, işte bu durumda kullanıcı farkındalığı devreye giriyor. Örneğin: başka bir e-posta ortamından gelen bir mail bulunuyor, fakat gönderenin e-posta sunucu olarak yetkilendirilmemiş gibi bir bülten görebilirsiniz. Bunlar onaylanmış bir e-posta ortamından gelmediği için olmaktadır.
Bu alandan sahte maillerin göndericilerini izin verebilir yada engelleyebilirsiniz.
Kimlik Avı Önleme Ayarları
Bir kimlik avı girişimi bulunduğunda ne olacağını ayarlamak için aşağıdakileri gerçekleştirin:
1. Microsoft 365 Defender > İlkeleri’ni ve kurallarını > Kimlik Avı Koruması’> Tehdit ilkeleri’ni açın.
2. Office365 AntiPhish Varsayılan (Varsayılan) ilkesine tıklayın.
3. Aşağı kaydırın ve İşlemleri düzenle’yi tıklayın.
If message is detected as an impersonated user: Burası, kimliğine bürünmüş bir kullanıcıdan ileti gönderildiğinde ne olacağını ayarlayabileceğiniz yerdir.
If message is detected as an impersonated domain: Burası, kimliğe bürünmüş bir etki alanından bir ileti gönderildiğinde ne olacağını ayarlayabileceğiniz yerdir.
If Mailbox Intelligence detects an impersonated user: Posta kutusu yönetim bilgileri bir kimlik avı girişimi algıladığında ne olacağını ayarlayabileceğiniz yer burasıdır.
If message is detected as spoof: Bu ayar, sahte olarak görülen iletileri işlemenize olanak tanır.
Güvenlik ipuçları ve göstergeleri bölümü, Outlook’ta e-postalarla ilgili güvenli olmayan bir şey olabileceğini belirten bir ileti gösterir.
Show first contact safety tip (Recommended) ayarı, bir kullanıcıdan ilk kez e-posta aldığınızda bir ileti gösterir.
Onay kutusu, e-posta aldığınız kişinin adı e-posta aldığınız başka birine benzediğinde size bir ileti gösterir. İletide “Bu gönderen size daha önce e-posta gönderen birine benziyor, ancak o kişi olmayabilir” şeklinde görünür.
Etki alanı kimliğe bürünmeyi göster güvenlik ipucu, kendi alanlarınızdan birine benzer bir dış etki alanından e-posta aldığınızda bir ileti gösterir. İletide “Bu gönderen, kuruluşunuzla ilişkili bir etki alanının kimliğine bürünüyor olabilir” ifadesi görüntülenir
Kullanıcı kimliğine bürünme olağandışı karakterleri göster güvenlik ipucu iletisi, gönderenin e-posta adresinde olağandışı karakterler olduğunda görünür. İletide Beklenmeyen harfler veya sayılar John.Gruber@Gitb1t.org e-posta adresi yazacaktır
. Bu mesajla etkileşimde bulunmamanızı önerilmektedir”
Kimlik doğrulaması yapılmamış gönderenleri adres sahteciliği için göster (?) onay kutusu, gönderen SPF veya DKIM’yi geçemezse ve ileti DMARC kontrollerini geçemezse gönderenin resmine bir soru işareti (?) ekler.
Show “via” etiketi, mesajın from kısmında bir via görüntüler. Örneğin, Kendra.Gruber@gruber12.onmicrosoft.com üzerinden sendpulse.me gösterecektir
