Office 365 Exchange Online: Header Üzerinden IP Bilgisinin Silinmesi

Düşünün ki her sabah işe giderken anahtarı paspasın altına koyup gidiyorsunuz, sizi gözetleyen bir hırsız anahtarı koyduğunuz yeri görmüşse eğer içeriye girmek için denemeler yapabilir değil mi?

Böyle bir durumda evinizden bir şey çalınmayacağına ne kadar güvenebilirsiniz?

Office 365 Exchange Online  üzerinden mail gönderdiğinizde IP bilgisi, mesaj header’i üzerinde gönderdiğiniz mail içerisinde taşınır. Bazı kişiler bu bilginin silinmesinin ya da silinmemesinin bir önemi olmadığını düşünse de bana göre bu bilginin gizleniyor olması gerekli.

Firmanızı kafaya takmış bir hacker, sizin ve firmanız hakkında “Big Data” dediğimiz büyük veriyi elde etmeye çalışır. Nedir bu big data derseniz sizin hakkınızda çer çöp ne varsa tüm bilgiler puzzle’ın aslında bir parçası gibi düşünebilirsiniz, daha sonra elde edilen bu bilgilerle sistemlerinize sızmak için girişim denemeleri yapabilirler.

Bu yazımda Office 365 Exchange Online üzerinden gönderilen maillerde ki header’ın içerisinde taşınan IP bilgisi nasıl silinir bu konuya değiniyor olacağız.

Header’i okuyabilmenin iki kolay yöntemi var ben güvenlik sebebiyle bazen şüpheli mailler’in header bilgisini alarak analiz ettiğim için daha kolayıma gidiyor, bu yüzden bir eklenti yardımıyla header bilgisini alacağız. Dilerseniz işlem sonrası eklentiyi kaldırabilirsiniz.

Eklenti kullanmadan yapmak istiyorsanız veya bu makaleyi Exchange sunucu üzerinde uygulamaya çalışıyorsanız buradaki makalemi okuyabilirsiniz.

Outlook’u açtığınızda Giriş sekmesi var ona tıkladığınızda Eklenti Edinin yazılı butona tıklayarak eklenti edinme sayfasına gelerek “Header” kelimesini yazarak aratıyorum. “Microsoft Header Analyzer” yazan eklenti karşımıza çıkıyor.

Ekle diyerek eklentinin Outlook içerisine gelmesini sağlıyoruz.

Bu işlemi test edebilmek amacıyla kendi kendime bir test maili gönderiyorum ve eklentimizden other sekmesine gelip incelediğimde benim IP adresimin göründüğü; alttaki resimde ‘de görülmekte. Bu bilgiyi elde eden saldırgan, sizin ip adresinizdeki zafiyetler üzerinden açıklıkları bularak içeriye sızmaya çalışabilir.

https://admin.microsoft.com/ adresine giderek Office 365 üzerindeki transport servisi üzerinde bir kural yazmamız gerekiyor.

Yönetim Merkezi (Office 365 Admin Center)> Exchange seçeneğini seçerek ilerleyelim

Açılan sayfada URL adresini İngilizce yapabilirsiniz benim gibi (makaleyi uygulayan herkesin aynı sayfayı görmesi için)

***Admin sayfası İngilizce olanların herhangi bir şey yapmasına gerek yoktur.

Adres satırındaki tr-TR alanını en-US olarak değiştirerek Enter tuşuna basıyoruz.

Posta Akışı (Mail Flow) >Yeni bir kural oluştur (rules)

Başlık olarak X-Originating-IP-Remove yazıyorum.

Apply this rule if.. Seçeneğini Apply to All Messages seçeneğini seçiyorum,.

Do the following.. Seçeneğinde ise Modify the message properties > remove a message header seçeneğini seçebilirsiniz.

Message header textbox’ına X-Originating-IP yazarak Ok diyoruz. Eğer buradaki ismi yanlış ya da boşluklarla yazarsanız, kuralınız çalışmayacaktır.

Son durum yukarıdaki gibidir.

Kural işlemeye başladığında yukarıdaki gibi, gönderdiğiniz mailler ‘de X-Originating-IP bilgisinin karşı tarafa iletilmediğini görebilirsiniz.

Referans

https://answers.microsoft.com/en-us/site/completesignin?silent=True&returnUrl=https%3A%2F%2Fanswers.microsoft.com%3A443%2Fen-us%2Fmsoffice%2Fforum%2Fmsoffice_o365admin%2Fcan-i-remove-tag-x-originating-ip-from-header-e%2Fe5cde56c-b18c-444b-9b30-433fdb08463f%3Fauth%3D1&wa=wsignin1.0

Son kullanıcı için şüpheli dosya analizi nasıl yapılır?

Merhabalar, öncelikle son zamanlarda gelen zararlı yazılım, zararlı link ve ekli dosya olan şüpheli mailer için her ne kadar bizler yani BT çalışanları önlem alsalar da zararlı ekli dosya ve linkler durmak bilmeden gelmeye devam ediyor. Burada biz BT çalışanlarına düşen, bilgisayar kullanıcılarını eğitmek ve bilgilendirmek. Bir nevi balık tutmak değil de balık tutmayı öğretmek gibi düşünebiliriz 😊

Yukarıdaki maili incelediğimizde;

Ben [email protected]adresinden herhangi bir mail beklemiyordum, mail başlığına baktığımızda pek de kurumsal bir dil olmayan “merhabalar siparişlerimize bakarmısınız …”yazdığını görüyorum.

Mail eki olarak Bel_54.xlsadında bir dosya göndermiş, bana bu isim pek bir şey çağrıştırmıyor.

Mail içeriğine baktığımızda ise Türkçe karakter formatının bozuk olduğu bir font tipi kullanılmış.

Bu tür mailler benim için her zaman şüphe uyandıran maillerdir, genellikle eğer buradaki mail atan kullanıcıyı tanıyorsam arar sorarım, hem bir halini hatırını sormuş olurum hem de siparişi ile ilgili maili onun gönderip göndermediğini öğrenmeye çalışırım, ya da şüpheli olarak gördüğüm mailleri zaman kaybetmeden direk silerim.

Eğer silemiyorsanız yazının devamında nasıl analiz edebileceğimize dair detayları bulabilirsiniz.

Benim zararlı ek ve yazılımları analiz amacıyla kullandığım 2 web site var

virustotal.com genel olarak eğer exe formatında bir dosya alınmışsa kabaca taratılıp virüs var mı yok mu gibi kontrolleri yapabileceğimiz bir sitedir.

Hybrid-analysis.com ise sandbox dediğimiz teknoloji ile çalışmaktadır.

Peki, o zaman kısaca sandbox nedir?

Sandbox, Bilgisayarınızdan farklı bir alanda yalıtılmış sanal ortam üzerinde güvensiz ve güvenli dosyaların çalıştırılabildiği bir ortam olarak düşünebiliriz.

Bu örneğimizde ekli dosyayı bu sandbox ortamında açarak sonuçları görüntülüyor olacağız.

Şüpheli ekli dosyayı bilgisayarımıza indirerek (açmadan, sadece eki kaydet diyerek) masaüstüne kaydediyoruz. Hybrid-analysis.com da üst ok ile işaretli alana zararlı ek dosyayı sürükleyebilirsiniz ya da alt kısımdaki ataç işareti olan alana tıklayarak ekli dosyayı göstererek yükleyelim.

Üst kısma email adresinizi yazabilirsiniz, opsiyoneldir. Bu bölüme mail yazarsanız sonuçları sizin mail adresinize atılır.

Allow community members to Access sampleve I consent to the Terms & Conditions and Data Protection Policyseçeneklerini işaretliyoruz.

Ben robot değilim seçeneğine tıkladığınızda çıkan doğrulama seçeneklerini işaretleyerek doğrula butonuna basarak bu bölümü geçebiliriz.

Bu bölümde hazırda kurulmuş, bulut üzerinde bulunan yalıtılmış bir alanda üzerinde MS Office uygulamaları, Adobe Flash Player, Adobe Reader olan temel uygulamaların yer aldığı bilgisayarlar bulunmakta. Burada bilgisayarınızın işlemci modeline ya da işletim sistemine göre bir seçim yapabilirsiniz. Örneğin genellikle 64 bit Windows işletim sistemi kullanıyoruz, bu yüzden Windows 7 64 bit seçeneğini seçerek devam edebiliriz. VMs kısmında o andaki sıra bekleme sayısını bize göstermektedir. Bizim bu örneğimizi yaptığımız sırada 11 adet sanal makine varmış, biz 1. Sıradaymışız.

Generate Public Report seçeneği ile devam ediyorum. Bu seçenek seçildiğinde ayrıca, çıkan sonuçlar virüs programı firmalarının da veritabanına gitmekte, bir sonraki virüs programı güncelleştirmesinde virüs programları size gönderilen zararlı yazılımı keşfetmiş ve engelliyor olacaktır.

Birkaç dakika bekledikten sonra dosyamızın MALICIOUS yani zararlı bir dosya olduğunu görüyoruz.

Dosya 4 virüs firması algoritması tarafından zararlı olarak görülmüş. Bakalım gerçekten zararlı mı?

Excel 2010 sembolü olan resimlere tıklıyorum (buradaki resim dosyaya göre değişiklik gösterebilir)

Dosyamız sandbox ortamında açılarak yazılımın zarar vermeye çalışan bir dosya olduğu komutların çalıştırılmaya çalışıldığı, linklere gitmek istediği gibi birçok detayı buradan görüntüleyebilirseniz.

Bu gibi mailleri bu şekilde analiz ettikten sonra hem maili hem de analiz etmek için masaüstüne kaydettiğiniz dosyayı direk olarak açmadan siliniz.

Eğer mail adresinizi yazmışsanız yazının ilk başında zararlı yazılım ya da ek incelendikten sonra size ekteki gibi bir link göndereceklerdir.

Zararlı olabilecek eklere ve dosyalara her zaman şüphe ile bakarak yaklaşın.

Güvenli günler dilerim