Office 365 Neden WhiteList’e Domain Eklememeliyim?

Birçok kurum ve kuruluş bir yerden mail alamadıklarında ilgili domain adresini whitelist’e eklemektedirler. Böylelikle karşı taraftan gelen mailin alınmış ve ilgili kişinin posta kutusuna ulaşmasını sağlıyoruz. Bu şekilde bakıldığında evet problem çözülüyor. Herhangi bir sıkıntı görünmüyor. Ama arka planda doğan yeni bir problem oluşuyor. E-mail spoofing. (e-posta sahtekarlığı) Domain whitelist’e eklendi ama sistem arka planda eklenen domain ismini hiçbir ilke veya kurala takılmadan gelen e-postayı kullanıcının mail kutusuna ulaştıracaktır. Eğer ilgili domain taklit edilirse ne olacak peki? Sorumuzun cevabını bir uygulama ile birlikte görelim.

Bu test işlemini Kali Linux üzerinde yerleşik olarak gelen The Social-Engineer Toolkit (SET) aracı ile gerçekleştireceğiz. Bu uygulamayı uzun uzun anlatmayacağım. Google’dan araştırdığınızda bir çok bilgilendirme yazısı video v.s. mevcut.

Şimdi Setookit aracımızı çalıştıralım ve yukarıdaki görselde olduğu gibi bir phishing e-mail atmaya çalışalım. Kullandığım domain adresi abc.com. Bu domain bana ait değil.

Bir müddet bekledim kullanıcımın posta kutusuna baktım, lakin posta kutusuna düşen bir mail olmadığı için Office 365 üzerinden karantinayı kontrol ettim. Setoolkit ile attığım posta karantinaya düşmüş. Yani Office 365 üzerinde default olarak gelen AntiPhishPolicy takılmış. Bua bana Exchange Online Protection doğru bir şekilde çalıştığını gösteriyor. Şuan abc.com domain adresi whitelist üzerinde ekli değil.

Şimdi istenmeyen posta önleme ayarlarımız üzerinde abc.com domain adını whitelist’e ekleyim.

Görüldüğü gibi abc.com adlı domainimizi whitelist’e ekledik. Kaydedelim.

Şimdi tekrar phishing bir e-posta atalım. Yukarıda ki görselde gördüğünüz ekranda iki farklı terminal açık sol tarafta ilk gönderdiğim sahte e-posta var. Kırmızı kare içerisindeki gönderdiğim e-posta abc.com domain adresini whiteliste ekledikten sonra gönderdiğim e-postadır.

Tekrar e-posta kutumu kontrol ettiğimde phishing mailin geldiğini görüyoruz. Hiçbir engele takılmadan nerdeyse hiç beklemeden posta kutuma düştü. Eğer bu mail üzerinde illegal bir durum varsa kullanıcımda yanlış bir işlem yaparsa sonuçları sorun doğuracaktır.

Şimdi farklı bir işlem yapacağız. Exchange Online Protection ve Office 365 Advanced Threat Protection (Office 365 ATP) Yeni adıyla Microsoft Defender for Office 365 hizmetlerimizi Microsoft’un önermiş olduğu best practice göre yapılandırmamız için olan Recommended Configuration Analyzer Report (ORCA) aracını kullanarak bir rapor çekelim. ORCA hakkında detaylı bilgiye bu linkten ulaşabilirsiniz.

ORCA raporumuzu çektik. Anti-Spam Policies kategorisi altında bulunan Domain Whitelisting bir uyarı vermektedir. Uyarının sebebi ise abc.com domain adresini whiteliste eklememden dolayıdır. Açıklamasını kontrol ettiğimizde “E-mails coming from whitelisted domains bypass several layers of protection within Exchange Online Protection. If domains are whitelisted, they are open to being spoofed from malicious actors.” Yani “Whitelist’e alınan etki alanlarından gelen e-postalar Exchange Online Protection içindeki çeşitli koruma katmanlarını atlar. Etki alanları whitelist’e alınıyorsa, kötü amaçlı aktörlerden sızdırılmaya açıktır.” Siz siz olun elinizden geldiği kadar whtelist’e domain eklememeye çalışın. Eğer ekliyorsanız buradan gelebilecek atakların riskini almış olacaksınız.

Başka yazılarda görüşmek üzere…

Mehmet Parlakyiğit
Kıdemli Satış Mühendisi / Arena Bilgisayar

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir