Ele Geçirilen Microsoft 365 Hesabının Spam E-Mail Göndermesini Engelleyin
Microsoft 365 hizmetlerini kullanan bir çok firmanın başına gelebilecek durumlardan biriside kullanıcı veya kullanıcıların phishing atak yemesidir. Buna oltalama veya kimlik avı diyebiliriz. Böyle bir durumda kullanıcının Microsoft 365 kimlik bilgileri çalındıktan sonra hesabı ele geçiren kişi ilgili hesap üzerinden spam mailler gönderebilmektedir. İşin üzücü taraflarından biriside kullanıcının bundan bir haber olmasıdır. Böyle bir durumdan etkilenmemek adına gönderilen maillerin belli bir sayı üzerine çıktığında ele geçirilen hesabın bloklanmasını sağlamaktır. Tabii işlerin bu boyutlara gelmesinin ana nedenlerinden; kullanıcının bilinçsiz olması, ve MFA kullanmıyor olması başlıca sebeplerdendir. İşin kötü tarafı ise sahada ayda 1 kere en azından şunu görüyoruz. İlgili firma veya kuruluşlar kullanıcılarının hesapları ele geçirilmiş ve tüm dünyaya spam basıyor olması asıl aksiyon bundan sonra başlıyor. Microsoft haklendiğinden bi haber olan firmanın tüm mail trafiği duruyor. Sonra 365 bozuk yardımcı olun. 😂 işler bu aşamaya geldiğinde ise Microsoft tarafına case açarak bloklanan firmanın mail trafiğini açtırmak oluyor. Bu süre bazen haftaları bulabiliyor. İşler bu aşamaya gelmeden önce muhakkak Microsoft 365 tarafında sıkılaştırmalarınızı yapıyor olmanız gerekir. Aksi takdirde güvenlikten söz edemeyiz. Neyse lafı fazla uzatmadan uygulamamıza başlayalım.
Not : bahsetmiş olacağımız bu özellik Exchahnge Online Protection içerisinde gelen bir özelliktir. En azından Exchange Online kullanıyorsanız ayrıca lisans almanıza gerek yok.
Öncelikle yapmamız gereken https://security.microsoft.com/ adresine giriş yaparak yukarıdaki görseldeki adımları izleyerek İstenmeyen posta önleme giden ilkesine (Varsayılan) gitmek olacaktır. Paneli ing olarak kullananlar ise Outbound spam filter policy settings gidebilirler. Yada ben bu kadar yolu takip edemem diyorsanız https://security.microsoft.com/antispam bu adres tam size göre. 😂
Yukarıdaki adımları takip edelim.
Açılan pencereden Dış alıcılara gönderimi kısıtla (saat başına) 500 , İç alıcılara gönderimi kısıtla (saat başına) 1000 , Günlük alıcı üst sınırı 1000, son olarak Sınır aşıldığında yapılacak eylem Kullanıcının posta göndermesini kısıtla seçeneğini seçelim. Bu işlemleri yaptıktan sonra kullanıcının hesabı ele geçirilirse; spam basan art niyetli arkadaşımız muhtemelen bu değerlerin üzerine çıkamayacak ve ilgili hesap bloklanacaktır. İlgili kullanıcı hiçbir yere mail atamayacağı için Microsoft 365 yöneticisine bir şekilde ulaşacaktır. Tabii yöneten arkadaşın kullanıcının bloğunu kaldırması gerekecektir. Kaldırırken kullanıcının neden bloklandığını tespit etmesi ve bu göre bir aksiyon alması gerekebilir. Nedeni ise kullanıcının bilgisayarında bir backdoor veya bir zararlı olabilir. Tespit etmeniz faydalı olacaktır.
Peki Kısıtlanan kullanıcının engelini nasıl kaldıracağız ?
Aşağıda belirttiğim adres üzerinden girerek kullanıcının engelini kaldırabilirsiniz.
https://security.microsoft.com/restrictedentities
Bu işlemleri dilerseniz PowerShell ile Exchange online bağlanarak gerçekleştirebilirsiniz. Yukarıdaki görselde; 1.aşamada olması gereken değerleri giriyorum. 2.aşamada ise girdiğim değerlerin sisteme yansıyıp yansımadığını kontrol ediyorum. Sonuçları kırmızı kare içerisinde görüntüleyebilirsiniz.
Exchange Online Bağlanmak için;
Set-ExecutionPolicy Unrestricted
Install-Module -Name ExchangeOnlineManagement
Import-Module ExchangeOnlineManagement
Connect-ExchangeOnline
Set-HostedOutboundSpamFilterPolicy -Identity Default -RecipientLimitExternalPerHour 500 -RecipientLimitInternalPerHour 1000 -RecipientLimitPerDay 1000 -ActionWhenThresholdReached BlockUser
Get-HostedOutboundSpamFilterPolicy Default | Format-List
Eğer Microsoft Defender for Office 365 Recommended Configuration Analyzer (ORCA) aracını kullanıyorsanız rapor çıktılarına yaptığınız işlem yansıyacaktır.
