Selamlar. Evet DMARC kullandığınız takdirde diğer eposta sağlayıcılarına sizin domaininizden gidiyormuş gibi görünen mailler için sorgulama gelir ve kontrol sizde olur. Böylece kimsenin sizin domaininizi kullanıyor gibi görünerek spoofing yapmasına müsaade etmemiş olursunuz.
Sistem temel olarak şöyle işliyor; 1. Sizin domaininiz spoof edilerek, yani taklit edilerek sizin sunucunuz dışında birisi mail gönderimi yapıyor. Diyelim ki gönderici [email protected] ve alıcı da [email protected] 2. Burada gönderici sunucuya bir müdahale yok, adı üstünde kötü niyetli kişi sizin domaini taklit etmiş durumda. Fakat bu örnekte alıcı taraf olan Gmail, sizin domaininizin DNS kayıtlarını sorguluyor ve DMARC (SPF+DKIM) politikanızı kontrol ediyor ve size göndericinin IP adresini sunuyor. 3. Eğer siz domain DNS DMARC kayıtlarınızda "sadece benim IP'imden gelen mailleri kabul et (SPF)" veya "e-imzasız (DKIM) postaları kabul etme" olarak ayarladıysanız, Gmail bu taklit e-posta'yı geçerli bir mesaj olarak algılamıyor ve alıcıya hiç göstermiyor. (Drop). 4. Eğer gönderici IP adresi sizin SPF kayıtlarınızda izin verilmiş bir IP ise veya imzalı posta olarak gelmiş ve DKIM kaydı sizin domaindeki ile eşleşiyorsa, Gmail onu geçerli bir mesaj olarak algılayıp muhatabına iletiyor. 5. Gmail bu işlemleri yaptıktan sonra, eğer DMAR kaydında raporlama kişisi ayarladıysanız, o kişiye bu işlemlerin raporlarını gönderiyor. Yani şu kişiden gelen mesaj reddedildi, şundan gelen kabul edildi vs.. Mesajların otantik durumunu kontrol etmek için birçok mail uygulamasında "Mesajın Orijinalini Göster" menüsünü kullanarak gelen mesajın SPF, DKIM ve DMARC testlerini geçip geçmediğini, gönderici IP'nin / hostun ilgili domain tarafından yetkilendirip yetkilendirilmediğini görebilirsiniz. DMARC politikası üç şekilde ayarlanabilir.; None: İnisiyatifi alıcı tarafın kurallarına bırak; eğer uygun görürse maili iletir, uygun görmezse düşürür (drop) veya SPAM olarak etkiletleyip düşürebilir. Quarantine: Alıcı tarafa şunu demiş olursunuz; "Bu mesajı kabul et ancak SPAM olarak". Reject: Bu mesaj yetkisizdei hiçbir şekilde kabul etme, alıcıya iletme. SPF ve DKIM kayıtları da aynı şekilde iki politika ile ayarlanabilir. Relaxed (rahat/serbest) ve Strict (katı) olarak. Relaxed olarak ayarlandığında alıcı "SPF doğrulama başarılı" veya "SPF doğrulama başarısız" olarak etkiletler. Yani izin vermediğiniz bir IP ise "SPF başarısız" olarak etkileyip büyük olasılık SPAM klasörüne düşürür. Hatta bazı e-posta istemcileri "DİKKAT! Bu kişi gerçek gönderici olmayabilir" diye bir uyarı mesajı da gösterirler. Eğer Strict olarak ayarlı ise aynı şekilde izin vermediğiniz bir IP'den gelmişse büyük olasılık o mesaj alıcıya hiç ulaşmayacaktır. DKIM'de de aynı şekilde Relaxed ve Strict politikası mevcut. Relaxed olduğunda SPF ile aynı sonuçlanır. Strict olursa, alıcıya şunu demiş olur; göndericinin mesajında bir e-imza başlığı ara ve onu benim domainimde ayarlı e-imza ile doğrula. Eğer e-imzalar örtüşmüyorsa mesaj gerçek değildir. Her durumda, sizin DMARC kayıtlarında belirlediğiniz e-posta adreslerine alıcı sunucular tarafından düzenli rapor gönderilecek ve siz kimler domaininizle ilgili ne işlemler yapıyor görebileceksiniz. Çoğu zaman DMARC kaydının None ve SPF/DKIM kayıtlarının da Relaxed olarak ayarlanıp sonuçlarının raporlardan izlenmesi önerilir. Bu şekilde domaininizi spoof etmeye çalışan var mı varsa ne yapıyor görme şansınız olur ve yavaş yavaş politikanızı katılaştırabilirsiniz. Bunun önerilmesinin sebebi, politikaları baştan katı tutarsanız, doğrucu mailler bile zaman zaman testi geçemeyip mesaj kutunuza düşmeyebilir ve çalışanlardan sık sık "mail gelmiyor" şikayetini duyabilirsiniz. O yüzden süreci izleyip yavaş yavaş arttırarak ilerlemek en mantıklısı. Ayrıca harici mail hizmet sağlayıcı kullananlar (örneğin Sendmail gibi veya harici bir SMTP server gibi vb.) onlar da sizin adınıza gönderim yaparken sıkıntıya girebilirler; onu da göz önünde bulundurarak ek IP izni vermeniz gerekebilir. Özhan ELMA Genel Koordinatör Elmacık Bilgisayar Bilişim ve Reklam. Tic. ve San. Ltd. Şti. Adres: Kayalıbağ Mh. Turhan Cemal Beriker Bulv. No: 7 Dr. Alim Kağızman İş Merkezi Seyhan Adana Telefon: 0850 885 0393 Dâhili: 1020 Mobil: 0541 560 7090 E-mail: [email protected] [mailto:[email protected]] Web: www.elmacik.com [https://elmacik.com/] | www.elmacik.net [https://www.elmacik.net/] Önemli: Bu e-posta kişiye veya kuruma özel olabilir. Sizinle ilgili olmayan içerikle karşılaştığınızda kişisel veya ticari gizliliğe riayet ederek mesajı silmenizi ve bu mesajı size gönderen e-posta adresini bilgilendirmenizi veya 0850 885 03 93 numaralı telefona bildirmenizi rica ederiz. Referans numarası içeren iletilerle ilgili geri dönüşlerinizde referans numarasını belirtmeniz, istenen sonuca en hızlı şekilde ulaşılmasında yardımcı olacaktır. Açık 15.10.2018 12:32:19, Ziyahan Albeniz <[email protected]> yazdı: ------------------------------------------------- Ücretsiz Phishing Domain Tespiti ve Alarm Servisi - https://services.normshield.com/phishing-domain-search ------------------------------------------------- Selamlar, SPF 'yi kullanabilirsiniz. Sender Policy Framework. Bu göndericinin doğrulanmasını sağlıyor. Gönderici doğrulanmadığı takdirde Spam klasörüne düşecektir sizin adınıza gönderilen mailler. En etkili yöntem ise DMARC Kullanmak. DMARC da aslında SPF ve DKIM kullanan bir teknoloji. Siz DMARC'ı destekleyen e-posta servislerine, sizin adınıza gönderilen fakat kimliği doğrulanmamış mailler konusunda nasıl davranması gerektiğini söyleyebiliyorsunuz. Örneğin Reject diyerek o e-postanın kullanıcının posta kutusuna erişmesini tamamen engelleyebilirsiniz. Hatta size, gönderilen epostlar ile ilgili de bir rapor sunmaktadır. 2018-10-13 10:36 GMT+03:00 Savaş Özer <[email protected] [mailto:[email protected]]>: Arkadaşlar iyi hafta sonları , Çok nadir de olsa bazen kendi mail adresi üzerinden yine kendi mail adresine [email protected] [mailto:[email protected]] was hacked , şeklinde mailler düşüyor bunları ne tarz bir önlem alarak engelliyorsunuz ve bu mailleri brightmail üzerinden kontrol ettiğimizde ip adresinin farklı bir ip adresi olduğu belli bloklayınca geçmiyor tabi ki ama öncesinde bir önlem alınabilir mi ve bu işlem nasıl bir metodoloji ile yapılıyor ? Teşekkürler. ------------------------------------------------- Ücretsiz Phishing Domain Tespiti ve Alarm Servisi - https://services.normshield.com/phishing-domain-search [https://services.normshield.com/phishing-domain-search] ------------------------------------------------- -- Regards, Ziyahan Albeniz Security Researcher | Netsparker Web Application Security Scanner Follow us on: Twitter [https://twitter.com/netsparker] | LinkedIn [https://www.linkedin.com/company/netsparker-ltd] | Facebook [https://facebook.com/netsparker] | Google Plus [https://plus.google.com/117335596680718226953/posts]
------------------------------------------------- Ücretsiz Phishing Domain Tespiti ve Alarm Servisi - https://services.normshield.com/phishing-domain-search -------------------------------------------------
