Office 365 Anti-Phishing Policy ile Spoofing Önleme

Bu yazımda, Office 365 Anti-Phishing Policy ile kimlik avı saldırılarına karşı önlem alma konusuna bakacağız. Exchange Online içeren herhangi bir Office 365 ile birlikte yerleşik gelen bu Exchange Online Protection özelliği, Defender for Office 365’le birlikte ek yetenekler kazanıyor.

E-posta güvenliğini arttırmak ve korumanızı güçlendirmek için farklı kimliğe bürünen, sahtekarlık içeren e-postaları tespit etmek ve onlara karşı önlem almak için bu Office 365 Anti-Phishing Policy uygulamanız sağlıklı olacaktır.

Office 365 Anti-Phishing Policy Nedir?

Kısaca özletmek gerekirse, Office 365’in Spoof intelligence policy ile birlikte çalışan ve kimlik avına karşı önlem almaya yarayan hizmeti. Office 365 Anti-Spam ayarlarını spoof intelligence policy makalesinde ayarlamıştık. Bu makalede ise, güvenlik ayarlarına bakacağız. Öncesinde lisanslama kısmına bakalım:

Office 365 Anti-Phishing hangi lisanslarda var?

E-posta hizmetini kullanan, yani Exchange Online Protection içeren her Microsoft 365 lisansı Office 365 Anti-Phishing özelliğini kullanır. Fakat Defender for Office 365 ile birlikte ekstra iki farklı özellik daha geliyor.

ÖzellikExchange Online
Protection
Microsoft Defender
for Office 365
Default PolicyYapabilirYapabilir
Yeni ilke oluşturmaYapabilirYapabilir
Policy düzenleme*YapabilirYapabilir
Impersonation ayarlarıHakkı YokYapabilir
Spoof ayarlarıYapabilirYapabilir
Gelişmiş phishing ayarlarıHakkı YokYapabilir
* Default policyde isim ve açıklama silinemez read-only olarak açılır. Ama içeriğini düzenleyebilirsiniz.

Office 365 Anti-Phishing Policy Oluşturma

Office 365 Anti-Phishing Policy oluşturmak için, öncelikle Office 365 güvenlik ve uyumluluk sayfasına gitmemiz gerekiyor. Aşağıdaki adımları takip edebilirsiniz;

  • Office 365 Protection sayfasına giriş yapın.
  • Sol menüde Policies & rules‘e tıklayın.
  • Threat policies‘e tıklayın ve
  • Sağ taraftaki menüden Anti-Phishing‘ı tıklayın.

Sayfa açıldıktan sonra, + Create butonuna tıklayarak yeni bir policy oluşturabilirsiniz, ama ben herkese uygulamak istiyorum derseniz “Default Policy” kısmını tıklayıp düzenlemek daha doğru.

Varsayılan policy düzenleme

Default Policy’yi tıkladığınızda, aşağıdaki resimde de göreceğiniz gibi boş üst kısımda herşey pasif olarak geliyor. Yukarıdaki tabloda da belirtmiştim bazı özellikleri read-only olarak açar. Adını, önem derecesini veya açıklamasını ve kimlere uygulanacağını değiştiremeyiz ama geri kalan detayları değiştirebilirsiniz.

dipnot: Varsayılan ilke içinde kimlik sahtekarlığı için ayarlar yapılandırılmış olarak gelir. Fakat kimliğe bürünme olarak geçen ayarlar varsayılan ilke içinde yapılandırılmadan boş olarak geliyor. Gelişmiş bir koruma için bunu değiştirmeniz gerekir.

Office 365 Anti-Phisging Policy

Kimliğe Bürünme Ayarları | Impersonation Settings

Sırasıyla giderken, ilk değiştireceğimiz Office 365 Anti-Phishing ayarı kimliğe bürünmeyi engellemek için olan Impersonation settings. Aşağıdaki yazıları gördüğünüz alanın yanında bulunan edit butonuna tıklayalım ve detayına girelim.

Office 365 Anti-Phisging impersonation

add users to protect ile önemli kullanıcıları ekleme

Office 365 Anti-Phishing ayarlarındaki önemli noktalardan birisi, kurumdaki yöneticilerin adından giden e-postaları engellemek için ekstra önlem almak faydalı olacaktır. Örneği CEO, CFO, CIO gibi kişilerin e-posta adreslerini buraya eklerek özel önlem alabilirsiniz.

Kısaca özetlemek gerekirse, belirttiğiniz e-posta adreslerini kurum içinden veya kurum dşından kullanıcıların taklit etmesini engeller. Buraya sadece 60 kişi ekleyebiliyorsunuz, daha fazla ekmek isterseniz yeni bir policy daha ekleyebilirsiniz.

add domain to protect ile alan adı koruması

Kullanıcı bazlı yaptığımız işlemi domain bazlı da yapabiliyoruz. İki farklı alanımız mevcut burada;

  • Automatically include the domains i own kısmını On olarak işaretlerseniz bütün domainleri otomatik ekler.
  • Include custom domain kısmını aktif ettiğinizde de alt kısımdan manuel ekleyebilirsiniz.

action ile yakalanan e-postalarına önlem alma

Biraz önce koruma kurallarımızı oluşturduk ama ayrıca bunlar ile ilgili aksiyon da aldırmamız gerekecek. Eğer sorunlu bir e-posta yakalarsa ne olsun? Bu alanda altı farklı aksiyon alma imkanımız var.

If email is sent by an impersonated users kısmından aksiyon alırsanız, kullanıcılar üzerinden yapılan kimlik sahtekarlığı yakalandığında aksiyon alır.

If email is sent by an impersonated domain kısmından aksiyon alırsanız, domain üzerindeki kurala yakalanan e-postalara aksiyon alır.

Redirect message to other email addresses

Yakalanan e-postayı bt ekibinin grup adresine veya bir bireysel kişiye yönlendirmesini yapmak isterseniz bu aksiyonu seçin ve e-posta adresini ekleyin..

Move message to the recipients junk email folders

Seçiminizi bunu yaptığınızda Office 365 Anti-Phishing kuralınıza yakalanan e-postalar kullanıcının gereksiz posta kutusuna düşecektir. Varsayılan olarak burası seçili geliyor.

Quarantine the message

Gönderilen e-postaları karantinaya alır ve admin tarafından kontrol edildikten sonra kullanıcıya teslim edilecek veya zaman aşımından sonra tamamen silinir.

Deliver the message and add other addresses to the bcc line

E-posta her ne kadar Office 365 Anti-Phishing ilkesine takılsa da alıcıya teslim eder, ayrıca alıcıya haber vermeden BCC’ye ekleyerek başka bir kullanıcıya da denetlemesi için gönderir.

delete the message before it’s delivered

Pek tavsiye etmesem de, gelen e-postayı yargısız infaz yaparak tamamen sistemden siler.

don’t apply any action

Herhangi bir aksiyon almaz, bunu sadece test modu gibi kullanmak için açamanız gerekir.

Bunun dışında ekranın alt kısmında turn on impersonation safety tips adında bir ayar göreceksiniz. Tıkladığınızda da, yakalanan e-postalar eğer kullanıcılara gösteriliyorsa bu tür e-postalar için uyarı mesajları göstermeniz için alan var.

  • Show tips for impersonated users
    • Burayı aktif ettiğinizde kimden kısmı korumalı bir kullanıcı içeriyorsa bilgilendirir.
  • Show tip for impersonated domain
    • Gönderen adresi korumalı bir domain içeriyorsa bilgilendirir.
  • Show tip for unusual characters
    • Gönderici adresi olağan dışı karakterler içeriyorsa bilgilendirme yapar. Örnek BiLGi@CanGunesS.com
Office 365 Anti-Phisging Policy safety tips

Mailbox intelligence ile e-posta bazlı analiz

Office 365 Anti-Phishing Policy ile makine öğrenimini de kullanarak kullanıcıları analiz eder ve çalışma modellerine göre hangi kullanıcılarla sık iletişim kurduğunu belirler. Ardından, e-postanın bu kişilerden birinin kimliğine bürünen bir saldırgandan geldiğini daha kolay anlamanıza yardımcı olur. Varsayılan olarak aktif olarak eglen bu özelliğe ek birkaç küçük ayar yapabilirsiniz.

Anti-Phishing Mailbox intelligence
Enable mailbox intelligence

Resimden önce bahsettiğim özellik, eğer bu kısım on olarak kalırsa sık iletişim kurulan kişileri algılayıp sahte e-postaları tespit etmesinde destek olacak.

Enable mailbox intelligence based impersonation

Varsayılanda Off olarak gelen bu özelliği aktif ettiğinizde ise, her kullanıcının bireysel gönderen haritasına göre gelişmiş kimliğe bürünme sonuçları da etkinleşmiş olacak. Etkinleştiğinde ise, false pozitif kavramlarının iyileşmesine destek olacak.

If email is sent by an impersonated user:

Yukarıdaki kurallara takılan bir e-posta olduğunda nasıl bir aksiyon alacağımızı soruyor. Makalenin biraz üst kısmında yazdığım alanlar burada da geçerli. Tekrar yazmıyorum.

Add trusted sender and domains kısmından güvenilirleri ekle

Aslında oldukça basit bir alan, güvenli olarak gördüğünüz kullanıcıları ve domainleri burada tanımlayın. Unutmayın, spoofing mailler sadece kötü amaçlı e-postalar değildir. Outbound Spam Policy adlı makalemde de bahsetmiştim. Aynı zamanda sizin adınıza çalışan vendor firmalar da olabilir. Örneğin: destek@cangunes.com adresinden on-behalf e-posta atan çağrı merkezi gibi..

Office 365 Spoofing trusted sender

Güvenli kişileri ve alan adlarını da ekledikten sonra, sizden gözden geçirmenizi ayrıca bitir butonunu tıklamanızı istiyor. 🙂 Save diyerek kapatabilirsiniz. Ama makale burada bitmedi, ikinci ve üçüncü alanlarımız da var.. 🙂 Sadece Impersonation kısmını tamamladık. Gerisi daha kısa tabii ki.

Office 365 Anti-Phishing Spoof Intelligence ayarları

Alan adlarını taklit eden gönderenlerden gelen e-postaları nasıl filterelemek istediğimizi bu alanda belirteceğiz. Edit diyerek düzenlemeye başlıyoruz.

Office 365 Anti-Phisging Policy unauthenticated sender

Spoofing filter settings

Bu ayar varsayılan olarak sizde açık gelecektir. Uyarı

Unauthenticated sender settings

Outlook’da kimliği doğrulanmamış göndericilerin kimliğini etkinleştirir veya devredışı bırakır.

  • SPF veya DKIM kontrollerini geçemeyen gönderenin fotoğrafına ? işareti ekler.
  • Gönderenin DKIM imzasında e-posta adresi farklı görünüyorsa, orjinal adresi de gönderici adına ekler. x kişi adına gönderildi gibi bir uyarı görür kullanıcı.

Hemen peşinden ise action tabı geliyor. Daha önce de bahsettiğim konu olduğu için tekrar yazmayacağım ama burada sadece 2 tanesi geliyor. Birisi sadece e-postayı gereksiz kutusuna at, diğeri ise karantinaya al. Ardından da , ayarları gözden geçirmenizi ve kaydetmenizi isteyecek. Daha sonra son konumuza geçeceğiz.

Office 365 Anti-Phishing Gelişmiş Ayarlar – Advanced settings

Son alanımızda ise Office 365 Anti-Phishing için ne derece hassassınız onu konuşacağız. 🙂 Burası da thresholds ayarladığımız yer. Edit diyelim ve düzenlemeye başlayalım.

Makine öğrenimini kullanarak yaptığımız modellemenin hassasiyetini kontrol edeceğiz. Threshold kısmında bize 4 farklı seçenek sunuyor.

Office 365 Anti-Phisging Policy thresholds limits
  • Standard: İletinin önem derecesine göre hareket eder ve en idealidir.
  • Aggressive: Standard’a göre biraz daha seçici davranmaya çalışır.
  • More aggressive: Orta ve yüksek derecede kimlik avı gibi yüksek güven derecesiyle tarama yapar
  • Most aggressive: Bütün e-postalarda yüksek derecede kimlik avı var gibi davranarak önlem alır.

Bu ayarları yapılandırdıktan sonra kapatabilirsiniz. Office 365 Anti-Phishing yapıladırmamızı tamamlamış olduk. Sadece bu yazıyı değil, yazı içinde paylaştığım diğer makaleler de işinize yarayacaktır es geçmeyin.

Can Güneş

Microsoft Bulut Teknolojileri üzerine kafa yoran ve bu alanda kendini geliştiren birisi. Çalışıp öğrendiğim bilgileri sizlerle paylaşmak için bu internet sayfasını kurdum.