Merhaba, e-posta güvenliğinizi sağlamak için FortiMail ürününüzde anti-spoofing yapılandırması gerçekleştirmeniz gerekmektedir. Fortimail default olarak Fortiguard servisleri ile iletişim modu açık olarak gelmektedir fakat, security ürünlerinin default yapılandırmaları hiç bir zaman sizin ortamınızı tam olarak korumamaktadır.
Spoofing Nedir?
Spoofing, e-posta başlığındaki bilgileri değiştirerek gerçekte kim tarafından gönderildiğini gizlemeyi amaçlayan bir sahtekârlık yöntemidir. Bu yöntem, e-postaların aslında bildirildiği adresten farklı bir adresten gönderildiği izlenimini yaratır.
E-posta sahteciliği, nispeten kolay gerçekleştirilebildiğinden dolayı, birçok kullanıcı bu tür sahtekârlıklarla karşı karşıya kalabilir. Kişisel bilgileri çalmak veya kullanıcıları zararlı yazılım indirmeye teşvik etmek amacıyla kullanılan spoofing, bazı durumlarda yasal nedenlerle de gerçekleştirilebilir; örneğin, bir kullanıcı kişisel e-posta hesabından iş ile ilgili e-postaları yanıtlamak zorunda kalabilir. Ancak, çoğunlukla spam ve dolandırıcılık amaçlı kullanılmaktadır.
Kimlik avı (phishing) saldırıları, spoofing’in en yaygın şeklidir. Bu tür saldırılar, saldırganın meşru bir kaynak gibi görünerek, alıcının kişisel bilgilerini; kullanıcı adı, parola, kredi kartı bilgileri ve diğer kişisel verileri toplamasını amaçlar. Alıcıyı ikna etmek üzere tasarlanan bu e-postalar, genellikle gerçek şirket e-postalarına benzer şekilde tasarlanır ve şirketin web sitesi, e-posta adresi ve logosunun tasarımı, kurbanı manipüle etmek için dikkatlice ayarlanır. Saldırganların bu yöntemi kullanmalarının ana sebebi, hedef kişinin güvenini kazanmaktır
Spoofing Mail Nasıl Oluşturulur?
Spoofing bir mail oluşturmak nispeten kolaydır. İki temel tür adres kılıflaması bulunmaktadır: birincisi zarf gönderici (envelope sender) ve ikincisi SMTP Header (SMTP Header From) yapılır. Her iki yöntemin de farklı kullanım alanları bulunmakta ve FortiMail bu tür sahtecilikleri doğrulamak ve tespit etmek için çeşitli metodlar kullanmaktadır:
- SMTP Header’dan (RFC 822‘den adresi olarak da bilinir), kullanıcı dostu görünüm olarak kabul edilir ve mesaj iletiminin SMTP “Data” fazında belirlenmektedir. Bu alanda kılıflama daha yaygındır ve genellikle hem meşru hem de kötü niyetli sahte e-posta kullanım durumları için tercih edilir. SMTP Header’da, e-posta istemcisinde kullanıcıların “From:” alanında görüldüğü bilgidir.
- Zarf Gönderici (envelope sender) (RFC 821 gönderici adresi olarak da bilinir), SMTP iletişim fazının başlangıcında, DATA komutundan önce tanımlanır. Bu, alıcı SMTP MTA’ya mesajı hangi posta kutusunun gönderdiğini ve gerekirse geri dönüş mesajlarının nereye gönderileceğini bildiren “Mail From:” komutunun verildiği yerdir. NOT: Bu alan tanımlı olmak zorunda değildir ve boş (Mail From: <>) bırakılabilir; ayrıca, SMTP Başlık’taki “data” yükündeki “from adresi” ile eşleşmesi gerekmez.
| Command | Server Response | Comments |
|---|---|---|
| telnet mailhost:25 | Run a telnet connection to the mail server’s IP or hostname on TCP port 25 | |
| 220 hostname… | 220 response | Confirms the SMTP service is ready for commands |
| helo <mail.cengizyilmaz.net> | 250… | Identify yourself with ehlo or helo handshake. Please to meet you. Acceptance of command confirmed. If otherwise, rerun the helo or ehlo command. |
| mail from: [email protected] | 250… | Specify the 821 “envelope sender” of the message. Sender ok. Acceptance of command confirmed. If otherwise, SPF or other AntiSpoofing applied rules may block the message delivery attempt. |
| rcpt to:[email protected] | 250… | Specify the 821 “envelope recipient” of the message. Recipient ok. Acceptance of command confirmed. If otherwise, the recipient may be invalid or relaying is not being allowed. |
| Data | 354 … | The “data” command indicates you are done specifying recipients and ready to transmit the message content. Send message. Server is ready to accept the message. NOTE: A new line feed followed by a period “.” and another line feed will mark the end of the message. |
| From: “Bill Gates” [email protected] | Specify the 822 “SMTP Header From” | |
| To: “Blank Doe”[email protected] | Specify the 822 “SMTP Header To” – Optional | |
| Subject: Some eye catching description | Specify the message subject | |
| — | This indicates the end of the 822 Header | |
| Specify the message body content | Specify the message body | |
| . | 250… | Indicate the body context is done and message is ready to be queued for processing. Queued. Acceptance of message confirmed. |
| quit | 221… | This command indicates you are done sending messages. Goodbye. Server accepted command to close the SMTP session. |
Fortimail Spoofing Kuralı
Fortimail ürününü Cloud ve On-Premises olarak kullanabilmektesiniz. Exchange Server, Exchange Online ve diğer sağlayıcılar ile uyumlu olarak çalışmaktadır. Fortimail Spoofing, Phishing engellemek için bir çok yöntem sunuyor bunlardan en önemli iki kural;
- Envelope Sender (Access Control Reject)
- SMTP Header From (Regex)
Fortimail Spoofing Kuralı Oluşturma
Envelope Sender (Access Control Reject)
Fortimail – Policy – Access Control adımlarını takip ediyoruz.
Access Control Rule bölümü içerisinde New butonu ile yeni bir kural oluşturmamız gerekiyor. Oluşturacağımız kural ise aşağıda ki gibi olması gerekmektedir.
Sender – Internal
Recipient – Internal
Source – IP/Netmask “0.0.0.0”
Reverse DNS pattern – *
Authentication status – Not Authencated
TLS profile – –None–
Action – Reject
Comment – Opsiyonel
Not: Aktif olarak kullandığımız Domainler için bir Mail Relay hizmeti satın alınıyorsa veya ek bir MTA üzerinde de barınıyorsa, Fortimail diğer MTA'lar üzerinden gelen mailleri Reject edecektir. Bu yüzden diğer sağlayıcılar üzerinde bulunan IP adreslerini ekleyerek ek bir kural oluşturulması gerekiyor ve Action bölümünün Safe/Relay olması gerekiyor.
SMTP Header kullanarak Spoofing Engelleme Yöntemi
Fortimail‘de SMTP Header kullanarak Spoofing mail engellemek için, yeni bir Dictionary oluşturmamız gerekiyor ve aşağıda paylaştığım Regex‘i aktif hale getirmemiz gerekiyor.
Fortimail – Profile – Dictionary adımlarını takip ediyoruz ve New butonu ile yeni bir Dictionary kuralı oluşturuyoruz.
Oluşturacağımız kural aşağıdaki gibi olması gerekmektedir.
Pattern : [EHeAdEr]^from:.*\b\@domain.com\b
Pattern type : Regex
Search Header : Enabled
Yukarıda verilen RegEx, ‘From’ alanında eklemiş olduğunuz domaini içeren e-postaları arar . Kullandığınız birden fazla alan adı varsa, eşleşmeye çalıştığınız her bir benzersiz alan adı için yeni bir Dictionary eklemeniz önerilir.
NOT: Yukarıdaki RegEx, FortiMail’e özgü bir eşleşme koşulu olan ‘[EHeAdEr]’ kullanır ve RegEx test araçları gibi www.regex101.com ile desen(ler)i test ederken kaldırılmalıdır.
Adım 2: Yeni Dictionary uygulamanız gerekmektedir. Bu sözlük, bir İçerik Profili veya AntiSpam Profili’ne uygulanabilir.
Fortimail – Profile – AntiSpam adımlarını takip ederek, Inbound profili açın.
AntiSpam Profile içerisin de Dictionary sekmesini genişlettikten sonra “With dictionary profile” adımından oluşturduğunuz Dictionary kuralını eklemeniz yeterlidir.
Yukarı da yapmış olduğumuz işlemler ile birlikte Fortimail üzerinde Spoofing mail engellemesinden bahsettik ve Spoofing mail için bilgiler sağladık. Umarım faydalı olmuştur, bir başka yazı da görüşmek üzere.
