Office365 Exchange Online (EOP) Anti-Spoofing Protection

Office365 Exchange Online (EOP), kuruluşunuzu spoofing (sahte) eposta göndericilerden korumaya yardımcı olan bir özelliktir. Spoofing saldırganlar tarafından kullanılan yaygın bir tekniktir. Spopfing nedir bilmeyenler için E-posta sahteciliği, gönderici adresi sahte olan e-posta mesajlarının oluşturulmasıdır. Temel e-posta protokollerinde kimlik doğrulama için herhangi bir mekanizma yoktur, bu da spam ve kimlik avı e-postalarının alıcıyı mesajın kaynağı hakkında yanıltma yöntemidir.

Spoofing mail sahte bir göndericinin bildiğiniz bir alan adını kullanarak e-posta adresini taklit ederek, kuruluşunuzda bir kullanıcıya e-posta gönderdiğinde normal bir ileti gibi görünür. Bu nedenle sahte posta gönderimleri için kuruluşunuzda önlem almanızda önemli fayda sağlayacaktır. Microsoft Office365 kullanıcısı iseniz Ekim 2018 itibariyle EOP tarafından kimlik sahtekarlığına karşı otomatik olarak koruma özelliği getirilerek kuruluşunuzun kimlik avına karşı genel savunması olduğunu ve içiniz rahat olmasını söyleyebilirim.

Microsoft 365 Güvenlik ve Uyumluluk Merkezi’nde veya PowerShell’de (Microsoft 365 müşterileri için Exchange Online PowerShell; onprem EOP müşterileri için Exchange Online Protection PowerShell) spoof intelligence yönetebilirsiniz.EOP Spoof özelliğini yönetmeniz için bazı izinlere ihtiyacınız olacaktır.Bunlar hesabınızın “Security Reader Role” grubunun üyesi olması gerekmektedir.

Office 365 Spoofing Intelligence Abonelik Kapsamı:

• Office 365 Kurumsal E5
  

• Advanced Thread Protection for Office 365
  

• Ekim 2018 itibarıyla Exchange, Online Protection (EOP)
  

Office 365 Kurumsal E5 aboneliğiniz varsa veya ayrı olarak satın aldığınız Advanced Thread Protection (ATP) eklentiniz varsa, Spoof Intelligence insight yoluyla alan adınızı taklit eden gönderenleri de yönetebilirsiniz.

Resim-1

Alan adınızı taklit eden gönderenleri yönetmeye başlamak için Microsoft 365 Güvenlik ve Uyumluluk Merkezi’ni açalım.

Resim-2

İstenmeyen posta ayarları bölümünden gönderenlerin kullanıcılarınızı kullanarak kimlik sahtekarlığı yapmak için izne sahip olup olmadıklarına karar vermenizi sağlayacaktır.

Resim-3

Etki alanlarınız bölümü göndericiler, alan adınızdaki kullanıcıları taklit eder. Gördüğünüz sütunlar ve değerler listelendi her sekme satır kurulumunuzdaki bir veya daha fazla kullanıcı sahteciliği amacıyla bir gönderici temsil eder.

Resim-4

Dış etki alanları bölümünde göndericiler, harici etki alanlarındaki kullanıcıları taklit ederler. Listeyi gözden geçirerek, gönderenin kullanıcıları kullanarak kimlik sahtekarlığı yapmasına izin verilip verilmeyeceğine karar vermeniz gerekiyor. Bazı gönderenler birden fazla kullanıcıyı kullanarak kimlik sahtekarlığı yapabilir. Böyle bir durumda, tüm kullanıcılar için kimlik sahtekarlığına izin verebilir veya her kullanıcı için tek tek karar vermek üzere Ayrıntılı görünümü açabilirsiniz. “Evet” veya “Hayır” eylemi ile varsayılan olarak spoofing önleme ilkesi veya ATP spoofing önleme ilkeleri tarafından denetlenir ve İleti Önemsiz E-posta klasörüne taşınır. Şimdi başlıklar neyi ifade ediyor inceleyelim.

Kullanıcı: Sahte olan kullanıcı hesabıdır. Kimden adresinde e-posta istemcilerinde gösterilen ileti göndericisidir. Bu adresin geçerliliği SPF tarafından kontrol edilmez.

• Etki alanınız: sekmesi, tek bir eposta adresi içeren veya kaynak e-posta sunucusu birden fazla kullanıcı hesabı sahteciliği amacıyla kullanılıp kullanılmadığını, içermektedir
  
• Dış Etki sekmesi, değerleri alan adlarının taklit edildiğini ifade eder.
  

Gönderen Altyapı: Kaynak e-posta sunucusunun IP adresinin ve DNS aramasında (PTR kaydı) veya kaynakta PTR kaydı yoksa IP adresinde bulunan etki alanını ifade eder.

İleti Sayısı: Gönderen altyapıdan kuruluşunuza son 30 gün içinde belirtilen sahte göndereni veya göndereni içeren ileti sayısını ifade eder.

Kullanıcı şikâyeti sayısı: Son 30 gün içinde kullanıcılarınızın bu gönderene karşı yaptıkları şikayetleri ifade eder. Microsoft’a göndericinin veya alan adı taklit edildiğini geri bildirim anlamına gelir.

Kimlik doğrulama sonucu:

• Başarılı: Gönderen e-posta kimlik doğrulama kontrollerini (SPF veya DKIM) geçti.
  
• Başarısız: Gönderen EOP gönderen kimlik doğrulama kontrollerinde başarısız oldu.
  
• Bilinmiyor: Bu kontrollerin sonucu bilinmiyor.
  

Kararı ayarlayan: Gönderen altyapının kullanıcıyı aldatmasına izin verilip verilmediğini kimin belirlediğini ifade eder.

Son görülme: Kimlik sahtekarlığı olan kullanıcıyı içeren gönderen altyapıdan ileti alındığı son tarihini ifade eder.

Kimlik sahtekarlığına izin verilsin mi? Burada gördüğünüz değerler:

• Evet: Sahte kullanıcı ve gönderme altyapısında gelen iletilere izin verilir ve sahte e-posta olarak değerlendirilmez.
  
• Hayır: Sahte kullanıcı ve gönderme altyapısı birleşiminden gelen iletiler sahte olarak işaretlenir ve ileti Önemsiz E-posta klasörüne taşınır.