Exchange Server’da RFC Uyumlu Olmayan P2 FROM Header Tespiti

Microsoft, Microsoft Exchange Server‘a karşı kimlik sahtekarlığı (spoofing) saldırılarının yapılmasına olanak tanıyan bir güvenlik açığının (CVE-2024-49040) kapattı.

Bu güvenlik açığı, transport işlemi sırasında gerçekleştirilen header doğrulamasının mevcut uygulamasından kaynaklanmaktadır. Mevcut uygulama, RFC 5322 standardına uyumlu olmayan bazı P2 FROM header bilgilerinin geçmesine izin vermektedir; bu durum e-posta istemcilerinin (örneğin, Microsoft Outlook) sahte bir göndereni meşru bir gönderici gibi göstermesine neden olabilmektedir.

Kasım 2024 Security Update (SU) ile birlikte, Exchange Server, P2 FROM Header potansiyel olarak zararlı kalıplar içeren e-posta mesajlarını tespit edip işaretleyebilecek hale gelmiştir.

Exchange Server’da RFC Uyumluluğu Olmayan P2 FROM Header Kuralı Nasıl Çalışır?

Öncelikle Exchange Server ortamınızı mevcut en güncel CU/SU yüklemelerini gerçekleştirmeniz gerekmektedir, Exchange Server ortamınızın sürüm bilgisini ve genel yapılandırma bilgilerini kontrol etmek için Exchange Server’da Health Check Scriptini çalıştırabilirsiniz.

Exchange Server, şüpheli bir mesaj tespit ettiğinde, e-posta mesajının gövdesine aşağıdaki uyarıyı otomatik olarak ekleyecek şekilde yapılandırılmıştır:

image 1
Notice: This email appears to be suspicious. Do not trust the information, links, or attachments in this email without verifying the source through a trusted method. For more information see: https://aka.ms/ProtectYourselfFromPhishing.

Exchange Server, aynı zamanda, P2 özelliği tarafından tespit edilen herhangi bir e-posta mesajına bir başlık ekler. Özelliğin tespit ettiği e-postalar üzerinde herhangi bir işlem yapmak isterseniz, Exchange Transport Rule (ETR) kullanarak bu başlığı tespit edebilir ve belirli bir işlem gerçekleştirebilirsiniz.

Aşağıdaki örnekte, e-posta, başlık içeriyorsa Exchange Server tarafından reddedilmektedir: X-MS-Exchange-P2FromRegexMatch

New-TransportRule -HeaderContainsMessageHeader "X-MS-Exchange-P2FromRegexMatch" -HeaderContainsWords @("True") -RejectMessageReasonText "Message not accepted due to a non-RFC compliant P2 FROM header" -Name "NonCompliantP2FromDetectionRule" -SenderAddressLocation "Header"

Exchange Server’da RFC Uyumluluğu Olmayan P2 FROM Header Kuralı Yapılandırılması

Exchange Server Kasım Security Update ile gelen özellik, varsayılan olarak güvenliği artırmak adına etkin olarak gelmektedir.

Exchange Server‘da özelliği New-SettingOverride komutunu kullanarak devre dışı bırakmak mümkün olsa da, bu özelliği etkin durumda bırakmanız şiddetle tavsiye edilmektedir. Özelliğin devre dışı bırakılması, kötü niyetli aktörlerin kurumunuza karşı kimlik sahtekarlığı (phishing) saldırıları gerçekleştirmesini kolaylaştırır.

Exchange Server’da RFC Uyumluluğu Olmayan P2 FROM Header Kuralı Disclaimer Nasıl Devre Dışı Bırakılır

Eğer Exchange Server’in, algoritma ile tespit edilen mesajlara otomatik olarak bir sorumluluk metni (disclaimer) eklemesini istemiyorsanız, yalnızca sorumluluk metni (Disclaimer) eylemini devre dışı bırakabilirsiniz. Bu, özelleştirilmiş bir ETR (Transport Rule) kullanarak bu e-postaları farklı bir şekilde yönetmenize olanak tanır. Aşağıdaki komutları kullanarak sorumluluk metni eylemini devre dışı bırakabilirsiniz:

New-SettingOverride -Name "DisableP2FromRegexMatchDisclaimer" -Component "Transport" -Section "NonCompliantSenderSettings" -Parameters @("AddDisclaimerforRegexMatch=false") -Reason "Disabled For Troubleshooting"

Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh

Restart-Service -Name MSExchangeTransport

Exchange Server’da RFC Uyumluluğu Olmayan P2 FROM Header Kuralı Nasıl Devre Dışı Bırakılır

Exchange Server November SU v2 sürümü ile birlikte, Varsayılan ayarlarla bu özellik, belirlenen mesajlara özel bir başlık (X-MS-Exchange-P2FromRegexMatch) ekler. Ancak, bu başlık ekleme işlemini devre dışı bırakmak isteyebilirsiniz. Örneğin, bu değişiklikler Exchange Server Kasım 2024 SUv2 güncellemesi ile tanıtılmıştır. Aşağıdaki komutları kullanarak yalnızca özel başlık ekleme eylemini devre dışı bırakabilirsiniz:

New-SettingOverride -Name "DisableP2FromRegexMatchHeader" -Component "Transport" -Section "NonCompliantSenderSettings" -Parameters @("AddP2FromRegexMatchHeader=false") -Reason "Disabled For Troubleshooting"

Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh

Restart-Service -Name MSExchangeTransport

Exchange Server’da RFC Uyumluluğu Olmayan P2 FROM’da Header ve Disclaimer Nasıl Devre Dışı Bırakılır

Eğer özelliği tamamen devre dışı bırakmanız gerekiyorsa (önerilmese de), hem sorumluluk metni hem de özel başlık ekleme işlemlerini aşağıdaki komutlarla kapatabilirsiniz:

New-SettingOverride -Name "DisableP2FromRegexMatchDisclaimer" -Component "Transport" -Section "NonCompliantSenderSettings" -Parameters @("AddDisclaimerforRegexMatch=false") -Reason "Disabled For Troubleshooting"
New-SettingOverride -Name "DisableP2FromRegexMatchHeader" -Component "Transport" -Section "NonCompliantSenderSettings" -Parameters @("AddP2FromRegexMatchHeader=false") -Reason "Disabled For Troubleshooting"
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh
Restart-Service -Name MSExchangeTransport

Bu yazımızda Exchange Server Kasım Security Update ile hayatımıza giren P2 From Header kuralından bahsettik.

Exchange Server‘da diğer makaleler için aşağıdaki linkleri takip edebilirsiniz;


Benzer Yazilar – Exchange Server'da RFC Uyumlu Olmayan P2 FROM Header Tespiti

“Exchange Server’da RFC Uyumlu Olmayan P2 FROM Header Tespiti” üzerine 2 yorum

Yorum yapın