Forum

Bildirimler
Hepsini Temizle

Office365 - Alan adımız üzerinden Spam mail atılması

8 Yazılar
3 Üyeler
0 Reactions
200 Görüntüleme
(@DenizASLAN)
Gönderiler: 812
Noble Member
Konu başlatıcı
 

Merhaba,

3 gün önce ofisimizdeki bir çalışanımızın bana teslim edilemedi mailleri düşüyor, 100 lerce demesi ile bu arkadaşımızın adresi üzerinden mail çıktığını ve bazılarının ulaşmadığı (SPF, DKIM, DMARC kontrolü yapanlar muhtemelen) için NDR ın bize döndüğünü gördüm.

Office365 exchange panelde message trace yaptığımda bir mail çıkışı göremedim.

MFA tüm kullanıcılarımızda aktif. otomatikmen SMTP de kapalı oluyor bu durumda.

Nasıl olur anlamadım, bir arkadaşın tavsiyesi ile,

v=DMARC1; p=none şeklinde olan DMARC kaydımda aşağıdaki düzenlemeleri yaptım. 

v=DMARC1; p=reject; pct=100; sp=reject;

Ben kaydı değiştirdikten sonra artık teslim edilemedi NDR ları almıyoruz. 

Office 365 tarafına case açtım ama 2 gün sonra döndü, pek birşey diyemedi. 

Bu konu ile ilgili kafam halen net değil, şunları kontrol edebilirsin dediğiniz bir önerisi olan var mı?

DMARC kaydını bu şekilde düzenlemek bu sorunu tekrar yaşamayacağım anlamına gelir mi? 

 

şimdiden desteğiniz için teşekkürler. 

 
Gönderildi : 09/05/2024 14:21

ibrahim yildiz
(@ibrahimyildiz)
Gönderiler: 4385
Co-Helper
 

Kişinin cihazına bulaşma olabilir kontrol edin, hesapların girildiği noktaları kontrol etmelisiniz.

'balık vermez, nasıl tutulabildiğine yönlendirir'
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız. Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz. Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 09/05/2024 20:26

(@DenizASLAN)
Gönderiler: 812
Noble Member
Konu başlatıcı
 

Merhaba, teşekkür ederim bilgi için.

Ama bu mail adresinden çıkan bir mail görünmüyor. Outlook üzerinden kontrol ediyorum, ayrıca exchange online üzerinden messages trace de bakıyorum direk sunucu üzerinden çıkan bir mail yok.

 
Gönderildi : 09/05/2024 21:08

ibrahim yildiz
(@ibrahimyildiz)
Gönderiler: 4385
Co-Helper
 

Açık yakalanmadıkça bu zor zaten, gönderimler 365 bacağından yapılmıyorsa raporlayamazsınız panelden. PS ile bulup hangi noktalardan o mail ile auth. var araştırılabilir. Burada ki işaret kişiye NDR düşmesi, demek ki bir cihazda birşey var başka bir smtp kullanılıyor olabilir yanıt adresi olarak kişiye dönüyor olabilir. Sadece adresi girerek spoofing yapıyor olsalar ndr size düşmez gönderene gider.
Siz yaptığınız ayarla sorunun kaynağını bulmuş olmuyorsunuz reddetmiş oluyorsunuz sadece. Local exch den log'ları bulmak kolay ama support dan ticketla buna istinaden konuşun.

'balık vermez, nasıl tutulabildiğine yönlendirir'
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız. Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz. Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 09/05/2024 22:40

(@DenizASLAN)
Gönderiler: 812
Noble Member
Konu başlatıcı
 

Teşekkür ederim bilgi için

"PS ile bulup hangi noktalardan o mail ile auth. var araştırılabilir" konusuna bakacağım.

 

 

 
Gönderildi : 10/05/2024 09:28

ibrahim yildiz
(@ibrahimyildiz)
Gönderiler: 4385
Co-Helper
 

Aynı olmayabilir fakat bugün benzer bir durumu bizde yaşadık. İlk defa bu içerikte ki durumu görmüş oldum.
Bir kullanıcıya yüzlerce NDR düştüğü görüldü. İlk girişim ve gönderim hybrid yapıda ki local exch den idi. 

https://serverfault.com/questions/1154095/spf-spf-protection-outlook-com-is-invalid-for-messages-within-tenant/1154098#1154098
Arada ilginç v6 IP'ler gördük incelemeyi devam ettirdik. Kaynaklara bakıp Headerları inceleyince daha anlaşılır oldu.

https://www.reddit.com/r/Office365/comments/x66c0v/is_office_365_currently_allowing_open_relay/
Bir açık olmasından şüphelendik fakat değil, sanırım açıklar söz konusu benzer benzemez çok şikayet var bu konuda net'de.

Bizim durumda kullanıcı şifresiyle relay başlatıldığını connector ve trace loglarından tespit ettik. Bir ilk doğrulama almışlar sanırım yazılım ve datacenter'lar üzerinden spam basıyorlar. Fakat gönderim aracıları yukarıda ki linkte ki gibi bazıları ilginç.
Kullanıcı şifresini nasıl elde ettiklerini bulamadık (muhtemel word attack ile). Şifre ve kuyruk temizliği ile, dmarc güncellemeleriyle durumu şimdilik kapattık. Detay yapılandırma değişiklikleri ile devam ettirilecek.

Bunları da buraya bırakmış olayım. İlgili konular;

https://practical365.com/how-to-ensure-your-third-party-filtering-gateway-is-secure/
https://www.hakanuzuner.com/office-365-icin-iis-ile-smtp-relay-yapilandirmasi/

'balık vermez, nasıl tutulabildiğine yönlendirir'
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız. Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz. Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 18/05/2024 00:34

(@tayfuntech)
Gönderiler: 62
Trusted Member
 

Merhaba Deniz Bey, teknik olarak bir başkası sizin domainizi kullanarak email gönderebilir fakat spf dkim ve dmarc kayıtları da tam olarak sistemlerin bu emailleri ayırt edip önlemesini kolaylaştırmak için var. sizin dmarc kaydınız none iken sadece raporlama modundaydı fakat reject olarak güncellediğinizde tüm dış dünyaya spf veya dkim ile uyuşmayan emailleri reddetmesini söylemiş oluyorsunuz. bu sayede atağı durdurabildiniz. sizin domaininiz ile yetkisiz email gönderimleri engellendiği için buna istinaden ndr’lar da almamış oluyorsunuz.

Microsoft 365 Support Engineer
-----------------------------------------
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
------------------------------------------

 
Gönderildi : 21/05/2024 02:49

(@DenizASLAN)
Gönderiler: 812
Noble Member
Konu başlatıcı
 

@tayfuntech 

Hocam, yazılarınızı takip eden biri olarak desteğiniz çok kıymetli. teşekkür ediyorum öncelikle.

"teknik olarak bir başkası sizin domainizi kullanarak email gönderebilir" demişsiniz... 

Sistem relaya açık olmadıktan, MFA açık olmasına rağmen de mümkün müdür?

bazı forumlarda şunu gördüm, 

https://www.reddit.com/r/Office365/comments/x66c0v/is_office_365_currently_allowing_open_relay/?rdt=34447

biz office365 kiracısıyız, yine herhangi bir kötü niyetli office365 kiralayarak, bizim adımıza mail gönderebilen durumlar yaşanmış.

burada böyle bir sorun yaşamış olabilir miyiz, SPF, DMarc, DKIM kayıtları sadece bu maillerin bana düşmemesini sağlar ama benim adıma mail gönderilmesini yaşamıyor olmamız lazım, bu büyük bir sorun olur.

yani burada DMARC, SPF ve DKIM ayarlarını yapmamış mail sistemlerin de ciddi bir açık oluşur.

 

 

 

 
Gönderildi : 21/05/2024 09:36

Paylaş: