Office 365 Neden WhiteListe Domain Eklememeliyim ?

    Bir çok kurum ve kuruluş bir yerden mail alamadıklarında ilgili domain adresini whiteliste eklemektedirler. Böylelikle karşı taraftan gelen mailin alınmış ve ilgili kişinin posta kutusuna ulaşmasını sağlıyoruz. Bakıldığında evet problem çözüldü. Herhangi bir sıkıntı görünmüyor. Ama arka planda doğan yeni bir problem oluşuyor. E-mail spoofing (e-posta sahtekarlığı) Evet domain Whiteliste eklendi ama arka planda sistem arka planda eklenen domain ismini hiçbir ilke veya kurala takılmadan gelen e-postayı kullanıcının mail kutusuna ulaştıracaktır. Eğer ilgili domain taklit edilirse ne olacak peki ? Sorumuzun cevabını bir uygulama ile birlikte görelim.

Bu test işlemini Kali Linux üzerinde yerleşik olarak gelen The Social-Engineer Toolkit (SET) aracı ile gerçekleştireceğiz. Bu uygulamayı uzun uzun anlatmayacağım. Googledan araştırdığınızda bir çok bilgilendirme yazısı video v.s çıkıyor.

Şimdi Setookit aracımızı çalıştıralım. Ve Yukarıda ki görselde olduğu gibi bir phishing bir mail atmaya çalışalım. Kullandığım domain adresi abc.com bu domain hiçbir şekilde bana ait değil. Aktif mi değil mi ? bilmiyorum.

Bir müddet bekledim kullanıcımın posta kutusuna baktım lakin posta kutusuna düşen bir mail olmadığı için Office 365 üzerinden karantinayı kontrol ettim. Setoolkit ile attığım posta karantinaya düşmüş. Yani Office 365 üzerinde Default olarak gelen AntiPhishPolicy takılmış. Bu bana Exchange Online Protection doğru bir şekilde çalıştığını gösteriyor. Şuan abc.com domain adresi whitelist üzerinde ekli değil.

Şimdi istenmeyen posta önleme ayarlarımız üzerinde abc.com domain adını whiteliste ekleyim.

Görüldüğü gibi abc.com adlı domainimizi whiteliste ekledik. Kaydedelim.

Şimdi tekrar phishing bir e-posta atalım. Yukarıda ki görselde gördüğünüz ekranda iki farklı terminal açık sol tarafta ilk gönderdiğim sahte e-posta var. Kırmızı kare içerisinde ki gönderdiğim e-posta abc.com domain adresini whiteliste ekledikten sonra gönderdiğim e-postadır.

Tekrar e-posta kutumu kontrol ettiğimde phishing mailin geldiğini görüyoruz. Hiçbir engele takılmadan nerdeyse hiç beklemeden posta kutuma düştü. Eğer bu mai üzerinde illegal bir durum varsa kullanıcımda yanlış bir hareket yaparsa vay halime

Şimdi farklı bir işlem yapacağız. Exchange Online Protection ve Office 365 Advanced Threat Protection (Office 365 ATP) hizmetlerimizi Microsoft’un önermiş olduğu best practice göre yapılandırmamız için olan Recommended Configuration Analyzer Report (ORCA) aracını kullanarak bir rapor çekelim. Daha önceden ORCA’yı hiç kullanmadıysanız bu bağlantı üzerinden nasıl kullanıldığına ne işe yaradığına ulaşabilirsiniz. Böylelikle mail alt yapınızı sıkılaştırmış ve daha güvenli kullanmış olursunuz.

ORCA raporumuzu çektik Anti-Spam Policies kategorisi altında bulunan Domain Whitelisting bir uyarı vermektedir. Uyarının sebebi ise abc.com domain adresini whiteliste eklememden dolayıdır. Açıklamasını kontrol ettiğimizde “Emails coming from whitelisted domains bypass several layers of protection within Exchange Online Protection. If domains are whitelisted, they are open to being spoofed from malicious actors.” Yani “Whiteliste alınan etki alanlarından gelen e-postalar Exchange Online Protection içindeki çeşitli koruma katmanlarını atlar. Etki alanları whiteliste alınıyorsa, kötü amaçlı aktörlerden sızdırılmaya açıktır.” Siz siz olun elinizden geldiği kadar whiteliste domain eklememeye çalışın. Eğer ekliyorsanız buradan gelebilecek atakların riskini almış olacaksınız.

Başka yazılarda görüşmek üzere…