Office 365 Neden WhiteListe Domain Eklememeliyim ?
Bir çok kurum ve kuruluş bir yerden mail alamadıklarında ilgili domain adresini whiteliste eklemektedirler. Böylelikle karşı taraftan gelen mailin alınmış ve ilgili kişinin posta kutusuna ulaşmasını sağlıyoruz. Bakıldığında evet problem çözüldü. Herhangi bir sıkıntı görünmüyor. Ama arka planda doğan yeni bir problem oluşuyor. E-mail spoofing (e-posta sahtekarlığı) Evet domain Whiteliste eklendi ama arka planda sistem arka planda eklenen domain ismini hiçbir ilke veya kurala takılmadan gelen e-postayı kullanıcının mail kutusuna ulaştıracaktır. Eğer ilgili domain taklit edilirse ne olacak peki ? Sorumuzun cevabını bir uygulama ile birlikte görelim.
Bu test işlemini Kali Linux üzerinde yerleşik olarak gelen The Social-Engineer Toolkit (SET) aracı ile gerçekleştireceğiz. Bu uygulamayı uzun uzun anlatmayacağım. Googledan araştırdığınızda bir çok bilgilendirme yazısı video v.s çıkıyor.
Şimdi Setookit aracımızı çalıştıralım. Ve Yukarıda ki görselde olduğu gibi bir phishing bir mail atmaya çalışalım. Kullandığım domain adresi abc.com bu domain hiçbir şekilde bana ait değil. Aktif mi değil mi ? bilmiyorum.
Bir müddet bekledim kullanıcımın posta kutusuna baktım lakin posta kutusuna düşen bir mail olmadığı için Office 365 üzerinden karantinayı kontrol ettim. Setoolkit ile attığım posta karantinaya düşmüş. Yani Office 365 üzerinde Default olarak gelen AntiPhishPolicy takılmış. Bu bana Exchange Online Protection doğru bir şekilde çalıştığını gösteriyor. Şuan abc.com domain adresi whitelist üzerinde ekli değil.
Şimdi istenmeyen posta önleme ayarlarımız üzerinde abc.com domain adını whiteliste ekleyim.
Görüldüğü gibi abc.com adlı domainimizi whiteliste ekledik. Kaydedelim.
Şimdi tekrar phishing bir e-posta atalım. Yukarıda ki görselde gördüğünüz ekranda iki farklı terminal açık sol tarafta ilk gönderdiğim sahte e-posta var. Kırmızı kare içerisinde ki gönderdiğim e-posta abc.com domain adresini whiteliste ekledikten sonra gönderdiğim e-postadır.
Tekrar e-posta kutumu kontrol ettiğimde phishing mailin geldiğini görüyoruz. Hiçbir engele takılmadan nerdeyse hiç beklemeden posta kutuma düştü. Eğer bu mai üzerinde illegal bir durum varsa kullanıcımda yanlış bir hareket yaparsa vay halime
Şimdi farklı bir işlem yapacağız. Exchange Online Protection ve Office 365 Advanced Threat Protection (Office 365 ATP) hizmetlerimizi Microsoft’un önermiş olduğu best practice göre yapılandırmamız için olan Recommended Configuration Analyzer Report (ORCA) aracını kullanarak bir rapor çekelim. Daha önceden ORCA’yı hiç kullanmadıysanız bu bağlantı üzerinden nasıl kullanıldığına ne işe yaradığına ulaşabilirsiniz. Böylelikle mail alt yapınızı sıkılaştırmış ve daha güvenli kullanmış olursunuz.
ORCA raporumuzu çektik Anti-Spam Policies kategorisi altında bulunan Domain Whitelisting bir uyarı vermektedir. Uyarının sebebi ise abc.com domain adresini whiteliste eklememden dolayıdır. Açıklamasını kontrol ettiğimizde “Emails coming from whitelisted domains bypass several layers of protection within Exchange Online Protection. If domains are whitelisted, they are open to being spoofed from malicious actors.” Yani “Whiteliste alınan etki alanlarından gelen e-postalar Exchange Online Protection içindeki çeşitli koruma katmanlarını atlar. Etki alanları whiteliste alınıyorsa, kötü amaçlı aktörlerden sızdırılmaya açıktır.” Siz siz olun elinizden geldiği kadar whiteliste domain eklememeye çalışın. Eğer ekliyorsanız buradan gelebilecek atakların riskini almış olacaksınız.
Eski aydıyla #Office365ATP yeni adıyla Microsoft Defender for Office 365 White liste alınan bir domain üzerinden kimlik avı saldırısı yapıldığında ilgili kullanıcının e-posta kutusuna ulaşırken mail içerisinde bulunan zararlı link #Office365ATP tarafından engellenir. pic.twitter.com/eBYVWbNNNo
— Mehmet PARLAKYİĞİT (@mparlakyigit) November 14, 2020
Başka yazılarda görüşmek üzere…
Merhabalar Mehmet Bey
tesekkurler bilgileriniz icin pekala musterinin diyelimki çalışmış olduğu bir firma var güvenli bir firma buradan gelen emailler de karantina kısmına takılıyor ise bu domainlere de izin vermeyelim yada sadece email adreslerine mi izin verelim
Tesekkurler
ILKER
Merhaba İlker bey
öncelikle karantinaya takılan mailin sebebini araştırmak lazım. Bazı durumlarda zor olacağı için mail adresine izin vermek daha mantıklı (mail adresine dahi izin vermek risklidir.) domaine izin verildiği taktirde hiç bir policy takılmadan mail kullanıcının posta kutusuna ulaşacaktır. Bu arada hiç bir firmanın güvenliğinden bahsedemeyiz. Aşağıda ki örneğin yeterli olacağını düşünüyorum. 🙂
Merhabalar
Mehmet Bey teşekkürler bilgileriniz için
ben Son kullanıcı istenmeyen posta bildirimlerini etkinleştir kısmını aktif hale getirdim burda karantinaua düşen emaillerine ve domainlerine izin verilenler listesinde domain ve email adreslerine izin veriyorum bu risk oluşturuyor ise microsoft makalesin de bahsetmiş oldugu Create safe sender lists in EOP de domainlere izin vermek daha mantıklı
https://docs.microsoft.com/tr-tr/microsoft-365/security/office-365-security/create-safe-sender-lists-in-office-365?view=o365-worldwide
Tesekkurler
ILKER SEFEROGLU
Atak yüzeyini ne kadar daraltırsanız daha az seviyede etkilenirsiniz.