Phishing saldırıları, siber güvenlik dünyasında bir numaralı düşman olarak yerini koruyor. Microsoft 365, işletmelerin bu tehditlere karşı savunmasını güçlendirmek için kapsamlı kimlik avı önleme politikaları sunuyor. Yanıltıcı e-postaları anında tespit ederek kullanıcılarınızın güvenliğini sağlamak için tasarlanmış bu politikalar, kötü niyetli aktörlerin saldırılarını boşa çıkarmak için en ön saflarda duruyor. Banka hesaplarından sosyal medya bilgilerine kadar her türlü kişisel veriyi koruma altına almak için geliştirilen bu stratejiler, e-postaları Junk klasörüne yönlendirerek veya karantinaya alarak işletmenizi korur. Bu rehberde, Microsoft 365 kullanarak kuruluşunuzun siber güvenlik duvarlarını nasıl sağlamlaştıracağınızı adım adım anlatıyoruz. Hazır olun, çünkü siber avcılara karşı en güçlü savunmanızı şimdi oluşturuyoruz!
Microsoft 365’in güvenlik özelliklerine erişmek için https://security.microsoft.com adresini ziyaret edin. Bu platform, işletmenizin siber güvenlik önlemlerini yönetmek ve güçlendirmek için merkezi bir noktadır. Burada, kimlik avı saldırılarına karşı koruma sağlayan ayarları yapılandırabilir, güvenlik duvarlarınızı test edebilir ve güvenlik politikalarınızı güncelleyebilirsiniz.
İlkeler ve Kurallar Menüsüne Erişim: Microsoft 365 güvenlik portalında, sol taraftaki menüden ‘İlkeler ve kurallar’ seçeneğine tıklayarak ilerleyin.
Tehdit İlkelerine Geçiş: ‘İlkeler ve kurallar’ menüsünün içinde yer alan ‘Tehdit ilkeleri’ bölümüne gidin. Bu bölüm, tehditlere karşı koruma sağlayan çeşitli güvenlik politikalarını içerir.
Kimlik Avından Korunma Yapılandırması: ‘Tehdit ilkeleri’ altında, özellikle ‘Kimlik avından korunma’ ayarlarına odaklanın. Bu yapılandırma, kimlik avı saldırılarına karşı savunmanızı güçlendirir ve kullanıcılarınızın güvenliğini artırır.
Politika Ayarlarının Genel Bakışı
Politika Adlandırma
Her politika, tanımlanabilir ve yönetilebilir olmalıdır. Microsoft 365 Defender portalında, özel oluşturulan kimlik avı politikalarınızın adlandırılması mümkündür, ancak varsayılan politikanın adı değiştirilemez.
Açıklama Ekleme
Varsayılan politikaya açıklama eklenemezken, özel politikalarınıza açıklama ekleyebilir ve bu açıklamaları güncelleyebilirsiniz.
Uygulama Kapsamı
Kimlik avı politikaları, belirli kullanıcılar, gruplar ve etki alanları için geçerlidir. Varsayılan politika tüm alıcıları kapsarken, özel politikalar spesifik alıcıları hedef alır.
Koşullar ve İstisnalar
Bir koşul veya istisna, birden fazla değer içerebilir ve bu değerler ‘VEYA’ mantığı ile işlenir. Farklı koşullar ve istisnalar ise ‘VE’ mantığına göre çalışır.
Kullanıcılar, gruplar ve etki alanları
Kullanıcı ve Grup Tanımlama
Politikalar, organizasyonunuzdaki bireyleri veya grupları korumak için belirli kullanıcıları ve grupları tanımlar. Dinamik dağıtım grupları desteklenmezken, Microsoft 365 Grupları desteklenir.
Etki Alanları
Politikalar, Microsoft 365’te tanımlanmış kabul edilen etki alanları için geçerlidir ve alıcının birincil e-posta adresi bu etki alanlarından birinde olmalıdır.
Kimlik avı eşiği ve koruması
Kimlik Sahtekarlığı Ayarları
Kimlik sahtekarlığı, gönderenin e-posta adresi ile e-posta kaynağının etki alanı eşleşmediğinde devreye girer. Bu, Microsoft 365’te kimlik sahtekarlığına karşı koruma sağlayan önemli bir özelliktir.
Kimlik Sahtekarlığı Zekası
Bu özellik, sahte e-posta gönderenlerini algılamak ve onları engellemek veya izin vermek için kullanılır. Bu ayarın etkinleştirilmesi önerilir.
Eylemler
Engellenen sahte gönderenlerden gelen e-postalar için alınacak eylemler, iletinin Gereksiz E-posta klasörüne taşınmasından karantinaya alınmasına kadar değişebilir.
Kimlik Sahtekarlığı ve DMARC Politikaları
DMARC politikaları, gönderenin DMARC kaydındaki p=quarantine veya p=reject değerlerine göre e-postaların işlenmesini sağlar. Bu ayarlar, kimlik sahtekarlığı zekası ile birlikte çalışarak güvenliği artırır.
p=quarantine ve p=reject değerleri, Domain-based Message Authentication, Reporting, and Conformance (DMARC) protokolünün bir parçası olan iki politikadır. DMARC, e-posta alıcılarına bir gönderenin e-posta adresinin gerçekten gönderenin iddia ettiği domain tarafından kullanılıp kullanılmadığını doğrulama yeteneği verir. Bu, e-posta kimlik avı ve diğer e-posta tabanlı saldırılara karşı bir koruma sağlar.
Bu iki politika, bir domain sahibinin DMARC kaydında belirttiği ve e-posta altyapısına uygulanan bir politikadır. E-posta alıcıları (örneğin, bir e-posta servis sağlayıcısı veya kurumsal e-posta sunucusu), DMARC politikalarına göre gelen e-postaları işler ve bu politikalara uygun eylemleri gerçekleştirir. Bu, e-posta güvenliğini artırmak ve kullanıcıları kötü niyetli e-postalardan korumak için önemli bir adımdır.
İleti kimlik sahtekarlığı olarak algılandıysa ve DMARC İlkesi p=quarantine olarak ayarlandıysa iki seçenek bulunmaktadır:
İletiyi karantinaya al
İletiyi alıcıların gereksiz e-posta klasörlerine taşı
İleti kimlik sahtekarlığı olarak algılandıysa ve DMARC İlkesi p=reject olarak ayarlandıysa iki seçenek bulunmaktadır:
İletiyi karantinaya al
İletiyi reddet
İleti, kimlik sahtekarlığı analizi tarafından kimlik sahtekarlığı olarak algılanırsa iki seçenek bulunmaktadır:
İletiyi alıcıların gereksiz e-posta klasörlerine taşı
İletiyi karantinaya al
- DMARC İlkesi Açık veya Kapalı:
- Açık: DMARC ilkesi etkinleştirildiğinde, p=quarantine veya p=reject gibi belirli eylemler ayarlanabilir.
- Kapalı: DMARC ilkesi etkinleştirilmediğinde, p=none kullanılır ve bu, DMARC uyum denetimlerinin yapılmadığı anlamına gelir.
- Kimlik Sahtekarı Zekası Açık:
- Örtük Hatalar: Eğer bir ileti, sahtecilik tespit sistemleri tarafından şüpheli olarak algılanırsa, bu, genellikle örtük bir hata olarak kabul edilir ve belirli bir eylem gerektirebilir.
- Açık Hatalar: Eğer bir ileti DMARC tarafından doğrudan sahtekarlık olarak algılanırsa ve p=quarantine veya p=reject politikaları ayarlanmışsa, bu politikalara göre işlem yapılır.
- DMARC İlkesi veya Diğer Değerler:
- p=quarantine: İletiler, DMARC ilkesine göre karantinaya alınır.
- p=reject: İletiler, DMARC ilkesine göre reddedilir ve alıcının posta kutusuna ulaşmaz.
- p=none: İleti, DMARC tarafından sahtekarlık olarak tanımlanmasa bile, diğer koruma mekanizmaları tarafından işlem görebilir.
- Kimlik Sahtekarlık Zekası Kapalı:
- Bu durumda, örtük e-posta kimlik doğrulama denetimleri kullanılmaz, yani e-postaların sahtekarlık içerip içermediğini belirlemek için DMARC dışında bir mekanizma kullanılmaz.
- Açık E-posta Kimlik Doğrulama Hataları ve İlgili DMARC Eylemleri:
- p=quarantine: İletiler, karantinaya alınır.
- p=reject: İletiler, reddedilir.
- p=none: İleti, DMARC tarafından sahtekarlık olarak tanımlanmasa bile, diğer koruma özellikleri devreye girebilir.
Kimliği Doğrulanmamış Gönderen Göstergeleri
- Bu göstergeler, bir e-posta göndericisinin kimliğinin doğrulanıp doğrulanmadığını gösterir. E-posta güvenlik politikaları, göndericinin SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) ve DMARC (Domain-based Message Authentication, Reporting, and Conformance) gibi standart kimlik doğrulama protokollerini geçip geçmediğini kontrol eder.
- Kimlik Sahtekarlığına Yönelik Gösterge (?):
- Eğer bir e-posta göndericisinin kimliği bu protokoller kullanılarak doğrulanamazsa, gönderenin fotoğrafının yanına bir soru işareti eklenir. Bu, alıcının göndericiye dikkatli yaklaşması gerektiğinin bir işaretidir.
- “Via” Etiketi:
- Eğer bir e-posta göndericisinin ‘Kimden’ adresindeki etki alanı, DKIM imzasındaki veya ‘MAIL FROM’ adresindeki etki alanından farklıysa, ‘via’ etiketi eklenir. Bu, e-postanın başka bir etki alanı üzerinden gönderildiğini gösterir ve alıcıyı bilgilendirir.
- Belirli Gönderenler İçin İstisnalar:
- Eğer bir gönderenin güvenilir olduğuna dair bir içgörü varsa veya Kiracı İzin Ver/Engelle Listesi’nde belirtilmişse, bu gönderen için ‘via’ etiketi veya soru işareti gösterilmez.
- E-posta Kimlik Doğrulaması Yapılandırması:
- Gönderen etki alanı için SPF veya DKIM doğrulamasını yapılandırmak, kimlik doğrulama protokollerini geçmeyi sağlar ve böylece gönderenin fotoğrafındaki soru işareti eklenmesini önler.
- “Via” Etiketi İçin Etki Alanı Onayı:
- ‘MAIL FROM’ adresi ve ‘Kimden’ adresindeki etki alanının eşleşmesi veya bir alt etki alanı olması durumunda, ‘via’ etiketi eklenmez.
Bu ayarlar, e-posta güvenlik politikalarının bir parçası olarak, kimlik avı ve diğer e-posta tabanlı tehditlere karşı koruma sağlamak için kullanılır. E-posta sistemleri, bu tür göstergelerle kullanıcıları bilgilendirerek, potansiyel zararlı veya aldatıcı içeriklere karşı dikkatli olmalarını sağlar.
İlk temas emniyet ipucu
- İlk Temas Emniyet İpucu Ne Zaman Gösterilir?
- Kullanıcılar, belirli bir gönderenden ilk kez bir e-posta aldıklarında.
- Kullanıcılar, belirli bir gönderenden nadiren e-posta alıyorlarsa.
- İlk Temas Emniyet İpucu Nasıl Belirlenir?
- İletinin üst bilgisindeki “X-Forefront-Antispam-Report” alanındaki “SFTY” değeri 9.25 olarak denetlenir.
- “X-MS-Exchange-EnableFirstContactSafetyTip” üst bilgisi, posta akışı kuralları aracılığıyla iletiye eklenir ve bu özellik hala kullanılabilir durumdadır.
- İlk Temas Emniyet İpucunun Değerleri:
- Tek Alıcı İçin: “Genellikle e-posta adresinden e-posta almazsınız.” şeklinde bir uyarı alıcılara gösterilir.
- Birden Çok Alıcı İçin: “Bu iletiyi alan bazı kişiler genellikle e-posta adresinden e-posta alamaz.” şeklinde bir uyarı gösterilir.
- Birden Çok Alıcı Durumunda İpucunun Gösterilmesi:
- İpucu, alıcıların çoğunluğunun gönderenle önceki iletişim alışkanlıklarına dayanarak gösterilir. Eğer alıcıların çoğu gönderenden nadiren veya hiç e-posta almamışsa, ilgili alıcılar için güvenlik ipucu gösterilir.
- Gizlilik Endişeleri:
- Eğer bir organizasyon, bir alıcının iletişim alışkanlıklarının diğer alıcılarla paylaşılmasından endişe ediyorsa, ilk temas güvenlik ipucu özelliğini devre dışı bırakabilir ve yerine posta akışı kurallarını kullanabilir.
- S/MIME İmzalı İletiler:
- S/MIME imzalı e-postalar, güvenlik ipucu özelliğinden muaf tutulur ve bu ipuçları bu tür imzalı iletilerde gösterilmez.
About the Author
