Exchange Online Protection (EOP)Microsoft 365Microsoft Defender for Office 365

Office 365 Neden WhiteListe Domain Eklememeliyim ?

    Bir çok kurum ve kuruluş bir yerden mail alamadıklarında ilgili domain adresini whiteliste eklemektedirler. Böylelikle karşı taraftan gelen mailin alınmış ve ilgili kişinin posta kutusuna ulaşmasını sağlıyoruz. Bakıldığında evet problem çözüldü. Herhangi bir sıkıntı görünmüyor. Ama arka planda doğan yeni bir problem oluşuyor. E-mail spoofing (e-posta sahtekarlığı) Evet domain Whiteliste eklendi ama arka planda sistem arka planda eklenen domain ismini hiçbir ilke veya kurala takılmadan gelen e-postayı kullanıcının mail kutusuna ulaştıracaktır. Eğer ilgili domain taklit edilirse ne olacak peki ? Sorumuzun cevabını bir uygulama ile birlikte görelim.

Bu test işlemini Kali Linux üzerinde yerleşik olarak gelen The Social-Engineer Toolkit (SET) aracı ile gerçekleştireceğiz. Bu uygulamayı uzun uzun anlatmayacağım. Googledan araştırdığınızda bir çok bilgilendirme yazısı video v.s çıkıyor.

Şimdi Setookit aracımızı çalıştıralım. Ve Yukarıda ki görselde olduğu gibi bir phishing bir mail atmaya çalışalım. Kullandığım domain adresi abc.com bu domain hiçbir şekilde bana ait değil. Aktif mi değil mi ? bilmiyorum.

Bir müddet bekledim kullanıcımın posta kutusuna baktım lakin posta kutusuna düşen bir mail olmadığı için Office 365 üzerinden karantinayı kontrol ettim. Setoolkit ile attığım posta karantinaya düşmüş. Yani Office 365 üzerinde Default olarak gelen AntiPhishPolicy takılmış. Bu bana Exchange Online Protection doğru bir şekilde çalıştığını gösteriyor. Şuan abc.com domain adresi whitelist üzerinde ekli değil.

Şimdi istenmeyen posta önleme ayarlarımız üzerinde abc.com domain adını whiteliste ekleyim.

Görüldüğü gibi abc.com adlı domainimizi whiteliste ekledik. Kaydedelim.

Şimdi tekrar phishing bir e-posta atalım. Yukarıda ki görselde gördüğünüz ekranda iki farklı terminal açık sol tarafta ilk gönderdiğim sahte e-posta var. Kırmızı kare içerisinde ki gönderdiğim e-posta abc.com domain adresini whiteliste ekledikten sonra gönderdiğim e-postadır.

Tekrar e-posta kutumu kontrol ettiğimde phishing mailin geldiğini görüyoruz. Hiçbir engele takılmadan nerdeyse hiç beklemeden posta kutuma düştü. Eğer bu mai üzerinde illegal bir durum varsa kullanıcımda yanlış bir hareket yaparsa vay halime

Şimdi farklı bir işlem yapacağız. Exchange Online Protection ve Office 365 Advanced Threat Protection (Office 365 ATP) hizmetlerimizi Microsoft’un önermiş olduğu best practice göre yapılandırmamız için olan Recommended Configuration Analyzer Report (ORCA) aracını kullanarak bir rapor çekelim. Daha önceden ORCA’yı hiç kullanmadıysanız bu bağlantı üzerinden nasıl kullanıldığına ne işe yaradığına ulaşabilirsiniz. Böylelikle mail alt yapınızı sıkılaştırmış ve daha güvenli kullanmış olursunuz.

ORCA raporumuzu çektik Anti-Spam Policies kategorisi altında bulunan Domain Whitelisting bir uyarı vermektedir. Uyarının sebebi ise abc.com domain adresini whiteliste eklememden dolayıdır. Açıklamasını kontrol ettiğimizde “Emails coming from whitelisted domains bypass several layers of protection within Exchange Online Protection. If domains are whitelisted, they are open to being spoofed from malicious actors.” Yani “Whiteliste alınan etki alanlarından gelen e-postalar Exchange Online Protection içindeki çeşitli koruma katmanlarını atlar. Etki alanları whiteliste alınıyorsa, kötü amaçlı aktörlerden sızdırılmaya açıktır.” Siz siz olun elinizden geldiği kadar whiteliste domain eklememeye çalışın. Eğer ekliyorsanız buradan gelebilecek atakların riskini almış olacaksınız.

Başka yazılarda görüşmek üzere…

Mehmet PARLAKYİĞİT

Office Apps & Services MVP | Arena Bilgisayar A.Ş'de Microsoft Satış Mühendisi olarak çalışmakta.

4 thoughts on “Office 365 Neden WhiteListe Domain Eklememeliyim ?

  • ILKER SEFEROGLU

    Merhabalar Mehmet Bey

    tesekkurler bilgileriniz icin pekala musterinin diyelimki çalışmış olduğu bir firma var güvenli bir firma buradan gelen emailler de karantina kısmına takılıyor ise bu domainlere de izin vermeyelim yada sadece email adreslerine mi izin verelim

    Tesekkurler
    ILKER

    Yanıtla
    • Merhaba İlker bey

      öncelikle karantinaya takılan mailin sebebini araştırmak lazım. Bazı durumlarda zor olacağı için mail adresine izin vermek daha mantıklı (mail adresine dahi izin vermek risklidir.) domaine izin verildiği taktirde hiç bir policy takılmadan mail kullanıcının posta kutusuna ulaşacaktır. Bu arada hiç bir firmanın güvenliğinden bahsedemeyiz. Aşağıda ki örneğin yeterli olacağını düşünüyorum. 🙂

      Yanıtla
  • ilker Seferoglu

    Merhabalar

    Mehmet Bey teşekkürler bilgileriniz için
    ben Son kullanıcı istenmeyen posta bildirimlerini etkinleştir kısmını aktif hale getirdim burda karantinaua düşen emaillerine ve domainlerine izin verilenler listesinde domain ve email adreslerine izin veriyorum bu risk oluşturuyor ise microsoft makalesin de bahsetmiş oldugu Create safe sender lists in EOP de domainlere izin vermek daha mantıklı

    https://docs.microsoft.com/tr-tr/microsoft-365/security/office-365-security/create-safe-sender-lists-in-office-365?view=o365-worldwide

    Tesekkurler
    ILKER SEFEROGLU

    Yanıtla

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.