Office 365 Exchange Online: Header Üzerinden IP Bilgisinin Silinmesi

Düşünün ki her sabah işe giderken anahtarı paspasın altına koyup gidiyorsunuz, sizi gözetleyen bir hırsız anahtarı koyduğunuz yeri görmüşse eğer içeriye girmek için denemeler yapabilir değil mi?

Böyle bir durumda evinizden bir şey çalınmayacağına ne kadar güvenebilirsiniz?

Office 365 Exchange Online  üzerinden mail gönderdiğinizde IP bilgisi, mesaj header’i üzerinde gönderdiğiniz mail içerisinde taşınır. Bazı kişiler bu bilginin silinmesinin ya da silinmemesinin bir önemi olmadığını düşünse de bana göre bu bilginin gizleniyor olması gerekli.

Firmanızı kafaya takmış bir hacker, sizin ve firmanız hakkında “Big Data” dediğimiz büyük veriyi elde etmeye çalışır. Nedir bu big data derseniz sizin hakkınızda çer çöp ne varsa tüm bilgiler puzzle’ın aslında bir parçası gibi düşünebilirsiniz, daha sonra elde edilen bu bilgilerle sistemlerinize sızmak için girişim denemeleri yapabilirler.

Bu yazımda Office 365 Exchange Online üzerinden gönderilen maillerde ki header’ın içerisinde taşınan IP bilgisi nasıl silinir bu konuya değiniyor olacağız.

Header’i okuyabilmenin iki kolay yöntemi var ben güvenlik sebebiyle bazen şüpheli mailler’in header bilgisini alarak analiz ettiğim için daha kolayıma gidiyor, bu yüzden bir eklenti yardımıyla header bilgisini alacağız. Dilerseniz işlem sonrası eklentiyi kaldırabilirsiniz.

Eklenti kullanmadan yapmak istiyorsanız veya bu makaleyi Exchange sunucu üzerinde uygulamaya çalışıyorsanız buradaki makalemi okuyabilirsiniz.

Outlook’u açtığınızda Giriş sekmesi var ona tıkladığınızda Eklenti Edinin yazılı butona tıklayarak eklenti edinme sayfasına gelerek “Header” kelimesini yazarak aratıyorum. “Microsoft Header Analyzer” yazan eklenti karşımıza çıkıyor.

Ekle diyerek eklentinin Outlook içerisine gelmesini sağlıyoruz.

Bu işlemi test edebilmek amacıyla kendi kendime bir test maili gönderiyorum ve eklentimizden other sekmesine gelip incelediğimde benim IP adresimin göründüğü; alttaki resimde ‘de görülmekte. Bu bilgiyi elde eden saldırgan, sizin ip adresinizdeki zafiyetler üzerinden açıklıkları bularak içeriye sızmaya çalışabilir.

https://admin.microsoft.com/ adresine giderek Office 365 üzerindeki transport servisi üzerinde bir kural yazmamız gerekiyor.

Yönetim Merkezi (Office 365 Admin Center)> Exchange seçeneğini seçerek ilerleyelim

Açılan sayfada URL adresini İngilizce yapabilirsiniz benim gibi (makaleyi uygulayan herkesin aynı sayfayı görmesi için)

***Admin sayfası İngilizce olanların herhangi bir şey yapmasına gerek yoktur.

Adres satırındaki tr-TR alanını en-US olarak değiştirerek Enter tuşuna basıyoruz.

Posta Akışı (Mail Flow) >Yeni bir kural oluştur (rules)

Başlık olarak X-Originating-IP-Remove yazıyorum.

Apply this rule if.. Seçeneğini Apply to All Messages seçeneğini seçiyorum,.

Do the following.. Seçeneğinde ise Modify the message properties > remove a message header seçeneğini seçebilirsiniz.

Message header textbox’ına X-Originating-IP yazarak Ok diyoruz. Eğer buradaki ismi yanlış ya da boşluklarla yazarsanız, kuralınız çalışmayacaktır.

Son durum yukarıdaki gibidir.

Kural işlemeye başladığında yukarıdaki gibi, gönderdiğiniz mailler ‘de X-Originating-IP bilgisinin karşı tarafa iletilmediğini görebilirsiniz.

Referans

https://answers.microsoft.com/en-us/site/completesignin?silent=True&returnUrl=https%3A%2F%2Fanswers.microsoft.com%3A443%2Fen-us%2Fmsoffice%2Fforum%2Fmsoffice_o365admin%2Fcan-i-remove-tag-x-originating-ip-from-header-e%2Fe5cde56c-b18c-444b-9b30-433fdb08463f%3Fauth%3D1&wa=wsignin1.0

Office 365 üzerinde imza hazirlamak

Mail altyapılarımızı günden güne Office 365 gibi bulut yapılara taşımaya başladığımız bu günlerde sorulan sorulardan bir tanesi ise MS Exchange Sunucu üzerinde özel imza yazılımları kullanıyorduk, Office 365’e geçtik şimdi ne olacak?

Karmaşık bir imza yapınız varsa, mail imzası altına sürekli olarak banner, fuar, afiş gibi reklam fotoğrafları koyarak kullanıyor ve bunları otomatizme ederek, fuar bitiminde otomatik olarak imzam normal formata dönsün, telefon/tablet’ den mail gönderdiğimde farklı formatlarla göndersin  gibi düşünceleriniz varsa buradaki ya da buradaki ürününü incelemenizi tavsiye ederim, bu yazımda Office 365 transport servisini kullanarak ücretsiz ve otomatik bir şekilde mail imzası nasıl ekleriz bunu inceliyor olacağız.

Her ne kadar imzayı oluşturmak HTML bilgisi gerektirse de biz pek HTML bilgisi olmadan nasıl yapabiliriz buna bakalım.

İlk olarak imzamızın HTML formatında oluşturup, Office 365 üzerinde bir kural yazarak bu kural’a şu kişi/kişiler ya da tüm şirket için şu Html’i mail sonuna ekle dememiz gerekiyor.

Küçük bir şirketiniz varsa bunu elle kolay bir şekilde yapabilirsiniz fakat büyük bir şirketiniz varsa bunu elle yapmak biraz zaman kaybı yaratacaktır. Fazla kafaları karıştırmadan Mail imzamızı oluşturmak için https://www.mail-signatures.com/signature-generator/ adresine gidiyoruz.


Görüldüğü üzere 4 bölümden oluşuyor aslında;

1. bölüm sol üstteki (Choose email platform) imzayı hangi platform için oluşturmak istiyorsunuz.

2. Bölüm (Choose signature template) imza tasarımının olduğu bölüm.

3. Bölüm (Signature preview) tasarımın ön görünümünü görebilirsiniz

4. Bölüm (Enter signature details) ise verileri girdiğimiz bölümdür.

Choose email platform yazan bölümden imzayı oluşturmak istediğiniz platformu seçebilirsiniz, benim uyguladığım senaryoda Kullanıcı adı vb. bilgileri elle gireceğim fakat diğer bir senaryo ise Active Directory üzerinde kullanıcının tüm attribute’lerini doldurarak otomatik olarak gelmesini sağlayabilirsiniz, bunu da anlatıyor olacağım*.

Choose signature template alanından hoşunuza giden tasarımı seçe bilirsiniz.

Enter signature details alanından verileri girelim

*Bu alanda eğer verilerin otomatik olarak gelmesi isteniyorsa Active Directory üzerindeki kullanıcının tüm property’leri (adres, şehir, şirket adı, pozisyonu, web sitesi vs. gibi değerleri doldurulmalıdır)


Replace user data with active directory placeholders seçeneği seçildiğinde buradaki tüm alanlar otomatik olarak active directory üzerindeki kullanıcıdan çekilecektir.

*Bu özelliği kullanabilmeniz için Office 365 Active Directory Senkronizasyonunu yapmanız gerekmektedir. AD Sync yapabilmek için buradaki posta göz atabilirsiniz.


Yukarıdaki gibi tüm değerler otomatik olarak gelecektir.Eğer elle doldurmak istiyorsanız buradaki değerleri oluşturmak istediğiniz kişi bilgilerini girerek devam edebilirsiniz.Logo URL bölümünde logomuzu bir yere yüklememiz gerekir, örneğin kendi web sitemizin olduğu dizine olabilir ya da basit olsun derseniz de hizliresim.com a yükleyebilirsiniz, fakat bu siteye yükleyeceğiniz logo ya da fotoğraflar bazı sunucular üzerinde “Spam” mail olarak algılanarak mailleriniz engellene bilinir. Bu yüzden ben kendi web sunucumuzun arkasına yüklemeyi daha çok öneriyorum.

 


Personal Data alanına kişiyle ilgili bilgileri, Company Data alanına şirket bilgileriniz, Graphicsalanına logonuzu, Style kısmında imzanın renklerini değiştirdik, Social Media Links bölümüne şirketimizin sosyal medya linklerini de ekledikten sonra Apply your signature butonuna basarak imzamızın HTML kod halini alabilmek için diğer sayfaya yönlendiriliyoruz.

 


Generate HTML butonuna basarak imzamızın kod halini çıkartmış oluyoruz. Copy to HTML to the clipboard seçeneği ile tüm kodu kopyalayabiliriz.

https://admin.microsoft.com/ adresine giderek Office 365 üzerindeki transport servisi üzerinde bir kural yazmamız gerekiyor.


Yönetim Merkezi (Office 365 Admin Center)> Exchange seçeneğini seçerek ilerleyelimAçılan sayfada URL adresini İngilizce yapabilirsiniz benim gibi (makaleyi uygulayan herkesin aynı sayfayı görmesi için)

***Admin sayfası İngilizce olanların herhangi bir şey yapmasına gerek yoktur.

Adres satırındaki tr-TR alanını en-US olarak değiştirerek Enter tuşuna basıyoruz.

Posta Akışı (Mail Flow) >Yeni bir kural oluştur (rules)


Burada + işaretine basarak Apply disclaimers seçeneği ile kuralımızı yazmaya başlayalım

Gelen ekranda more options seçeneği ile seçenekleri genişletelim

*Apply this rule if… seçeneğine tıklayarak The sender… is this person ile kişi bazlı imza kuralı oluşturabilirsiniz.

*Apply this rule if… seçeneğinden Apply to all message seçeneği seçilerek tüm mesajlara uygulanması sağlanabilir(AD sync yapılıyorsa bu seçenek seçilmeli).

The sender… adress includes any of therse words seçeneği ile domain bazlı kural oluşturmanız mümkün birden fazla domain’e farklı e-posta imzası uygulamak istiyorsanız, örneğin tüm verileri active directory üzerinden çekerek gönderdiğinizi düşünün mail adresinizin domain adını yazarak özel kural oluşturabilirsiniz. Örneğin nordisglobal.com gibi. Daha fazla bilgi için ilgili TechNet sayfasını inceleyebilirsiniz. https://docs.microsoft.com/en-us/exchange/security-and-compliance/mail-flow-rules/conditions-and-exceptions#Properties

Biz burada tek bir domain’e e-posta imzası hazırlamak istediğimiz için Apply all message seçeneğini seçiyoruz.


Apply all message seçilir. Ve *Do the following… seçeneğinde Append the disclaimerseçiminin yapılıp gelen ekrana hazırladığımız HTML kodlarının yapıştırılması gerekiyor.


Seçeneğinizi girdikten sonra gelen ekranda Enter Text alanına daha önceden kopyalamış olduğunuz imzanızın HTML formatını yapıştırmanız gerekiyor


İşlem onaylandıktan sonra Select one bölümü seçilir


 

Burada mail imzanızda herhangi bir problem olması halinde 3 seçenek mevcuttur, wrap, ignore, reject wrap maili yönlendirir, ignore imza olmasa da göz ardı ederek mailinizi karşı tarafa gönderir, reject ise mailinizi size geri gönderir. Ben ignore seçimi yaparak devam ediyorum, yani mail imzasında bir hata oluşursa dahi mailim karşı tarafa gitsin.


Bu seçeneği de uyguladıktan sonra kuralımız hazırdır.

 

 

Save diyerek kuralımı kaydediyorum. Ve bir test maili gönderiyorum.


 

Test mailimiz başarıyla iletildi, imzamız otomatik olarak eklenmiş.

Office 365 üzerinde mail imzası oluşturmanın bazı eksik yanları da var

Telefon’dan bir mail attığınızda size gelen mail’de fotoğraf çıkmıyor

Maili yanıtla dediğinizde her defasında imzayı yapıştırıyor böylelikle tek mail’de bir sürü imza olmuş oluyor.

Mail imzasını HTML olarak düzenlemek istediğinizde bir editör’e ihtiyacınız oluyor.

Son kullanıcı için şüpheli dosya analizi nasıl yapılır?

Merhabalar, öncelikle son zamanlarda gelen zararlı yazılım, zararlı link ve ekli dosya olan şüpheli mailer için her ne kadar bizler yani BT çalışanları önlem alsalar da zararlı ekli dosya ve linkler durmak bilmeden gelmeye devam ediyor. Burada biz BT çalışanlarına düşen, bilgisayar kullanıcılarını eğitmek ve bilgilendirmek. Bir nevi balık tutmak değil de balık tutmayı öğretmek gibi düşünebiliriz 😊

Yukarıdaki maili incelediğimizde;

Ben [email protected]adresinden herhangi bir mail beklemiyordum, mail başlığına baktığımızda pek de kurumsal bir dil olmayan “merhabalar siparişlerimize bakarmısınız …”yazdığını görüyorum.

Mail eki olarak Bel_54.xlsadında bir dosya göndermiş, bana bu isim pek bir şey çağrıştırmıyor.

Mail içeriğine baktığımızda ise Türkçe karakter formatının bozuk olduğu bir font tipi kullanılmış.

Bu tür mailler benim için her zaman şüphe uyandıran maillerdir, genellikle eğer buradaki mail atan kullanıcıyı tanıyorsam arar sorarım, hem bir halini hatırını sormuş olurum hem de siparişi ile ilgili maili onun gönderip göndermediğini öğrenmeye çalışırım, ya da şüpheli olarak gördüğüm mailleri zaman kaybetmeden direk silerim.

Eğer silemiyorsanız yazının devamında nasıl analiz edebileceğimize dair detayları bulabilirsiniz.

Benim zararlı ek ve yazılımları analiz amacıyla kullandığım 2 web site var

virustotal.com genel olarak eğer exe formatında bir dosya alınmışsa kabaca taratılıp virüs var mı yok mu gibi kontrolleri yapabileceğimiz bir sitedir.

Hybrid-analysis.com ise sandbox dediğimiz teknoloji ile çalışmaktadır.

Peki, o zaman kısaca sandbox nedir?

Sandbox, Bilgisayarınızdan farklı bir alanda yalıtılmış sanal ortam üzerinde güvensiz ve güvenli dosyaların çalıştırılabildiği bir ortam olarak düşünebiliriz.

Bu örneğimizde ekli dosyayı bu sandbox ortamında açarak sonuçları görüntülüyor olacağız.

Şüpheli ekli dosyayı bilgisayarımıza indirerek (açmadan, sadece eki kaydet diyerek) masaüstüne kaydediyoruz. Hybrid-analysis.com da üst ok ile işaretli alana zararlı ek dosyayı sürükleyebilirsiniz ya da alt kısımdaki ataç işareti olan alana tıklayarak ekli dosyayı göstererek yükleyelim.

Üst kısma email adresinizi yazabilirsiniz, opsiyoneldir. Bu bölüme mail yazarsanız sonuçları sizin mail adresinize atılır.

Allow community members to Access sampleve I consent to the Terms & Conditions and Data Protection Policyseçeneklerini işaretliyoruz.

Ben robot değilim seçeneğine tıkladığınızda çıkan doğrulama seçeneklerini işaretleyerek doğrula butonuna basarak bu bölümü geçebiliriz.

Bu bölümde hazırda kurulmuş, bulut üzerinde bulunan yalıtılmış bir alanda üzerinde MS Office uygulamaları, Adobe Flash Player, Adobe Reader olan temel uygulamaların yer aldığı bilgisayarlar bulunmakta. Burada bilgisayarınızın işlemci modeline ya da işletim sistemine göre bir seçim yapabilirsiniz. Örneğin genellikle 64 bit Windows işletim sistemi kullanıyoruz, bu yüzden Windows 7 64 bit seçeneğini seçerek devam edebiliriz. VMs kısmında o andaki sıra bekleme sayısını bize göstermektedir. Bizim bu örneğimizi yaptığımız sırada 11 adet sanal makine varmış, biz 1. Sıradaymışız.

Generate Public Report seçeneği ile devam ediyorum. Bu seçenek seçildiğinde ayrıca, çıkan sonuçlar virüs programı firmalarının da veritabanına gitmekte, bir sonraki virüs programı güncelleştirmesinde virüs programları size gönderilen zararlı yazılımı keşfetmiş ve engelliyor olacaktır.

Birkaç dakika bekledikten sonra dosyamızın MALICIOUS yani zararlı bir dosya olduğunu görüyoruz.

Dosya 4 virüs firması algoritması tarafından zararlı olarak görülmüş. Bakalım gerçekten zararlı mı?

Excel 2010 sembolü olan resimlere tıklıyorum (buradaki resim dosyaya göre değişiklik gösterebilir)

Dosyamız sandbox ortamında açılarak yazılımın zarar vermeye çalışan bir dosya olduğu komutların çalıştırılmaya çalışıldığı, linklere gitmek istediği gibi birçok detayı buradan görüntüleyebilirseniz.

Bu gibi mailleri bu şekilde analiz ettikten sonra hem maili hem de analiz etmek için masaüstüne kaydettiğiniz dosyayı direk olarak açmadan siliniz.

Eğer mail adresinizi yazmışsanız yazının ilk başında zararlı yazılım ya da ek incelendikten sonra size ekteki gibi bir link göndereceklerdir.

Zararlı olabilecek eklere ve dosyalara her zaman şüphe ile bakarak yaklaşın.

Güvenli günler dilerim