Forum
Bildirimler
Hepsini Temizle
Microsoft 365 - Office 365
6
Yazılar
2
Üyeler
0
Reactions
130
Görüntüleme
Konu başlatıcı
Merhaba,
3 gün önce ofisimizdeki bir çalışanımızın bana teslim edilemedi mailleri düşüyor, 100 lerce demesi ile bu arkadaşımızın adresi üzerinden mail çıktığını ve bazılarının ulaşmadığı (SPF, DKIM, DMARC kontrolü yapanlar muhtemelen) için NDR ın bize döndüğünü gördüm.
Office365 exchange panelde message trace yaptığımda bir mail çıkışı göremedim.
MFA tüm kullanıcılarımızda aktif. otomatikmen SMTP de kapalı oluyor bu durumda.
Nasıl olur anlamadım, bir arkadaşın tavsiyesi ile,
v=DMARC1; p=none şeklinde olan DMARC kaydımda aşağıdaki düzenlemeleri yaptım.
v=DMARC1; p=reject; pct=100; sp=reject;
Ben kaydı değiştirdikten sonra artık teslim edilemedi NDR ları almıyoruz.
Office 365 tarafına case açtım ama 2 gün sonra döndü, pek birşey diyemedi.
Bu konu ile ilgili kafam halen net değil, şunları kontrol edebilirsin dediğiniz bir önerisi olan var mı?
DMARC kaydını bu şekilde düzenlemek bu sorunu tekrar yaşamayacağım anlamına gelir mi?
şimdiden desteğiniz için teşekkürler.
Gönderildi : 09/05/2024 14:21
Kişinin cihazına bulaşma olabilir kontrol edin, hesapların girildiği noktaları kontrol etmelisiniz.
'balık vermez, nasıl tutulabildiğine yönlendirir'
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız. Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz. Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Gönderildi : 09/05/2024 20:26
Konu başlatıcı
Merhaba, teşekkür ederim bilgi için.
Ama bu mail adresinden çıkan bir mail görünmüyor. Outlook üzerinden kontrol ediyorum, ayrıca exchange online üzerinden messages trace de bakıyorum direk sunucu üzerinden çıkan bir mail yok.
Gönderildi : 09/05/2024 21:08
Açık yakalanmadıkça bu zor zaten, gönderimler 365 bacağından yapılmıyorsa raporlayamazsınız panelden. PS ile bulup hangi noktalardan o mail ile auth. var araştırılabilir. Burada ki işaret kişiye NDR düşmesi, demek ki bir cihazda birşey var başka bir smtp kullanılıyor olabilir yanıt adresi olarak kişiye dönüyor olabilir. Sadece adresi girerek spoofing yapıyor olsalar ndr size düşmez gönderene gider.
Siz yaptığınız ayarla sorunun kaynağını bulmuş olmuyorsunuz reddetmiş oluyorsunuz sadece. Local exch den log'ları bulmak kolay ama support dan ticketla buna istinaden konuşun.
'balık vermez, nasıl tutulabildiğine yönlendirir'
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız. Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz. Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Gönderildi : 09/05/2024 22:40
Konu başlatıcı
Teşekkür ederim bilgi için
"PS ile bulup hangi noktalardan o mail ile auth. var araştırılabilir" konusuna bakacağım.
Gönderildi : 10/05/2024 09:28
Aynı olmayabilir fakat bugün benzer bir durumu bizde yaşadık. İlk defa bu içerikte ki durumu görmüş oldum.
Bir kullanıcıya yüzlerce NDR düştüğü görüldü. İlk girişim ve gönderim hybrid yapıda ki local exch den idi.
https://serverfault.com/questions/1154095/spf-spf-protection-outlook-com-is-invalid-for-messages-within-tenant/1154098#1154098
Arada ilginç v6 IP'ler gördük incelemeyi devam ettirdik. Kaynaklara bakıp Headerları inceleyince daha anlaşılır oldu.
https://www.reddit.com/r/Office365/comments/x66c0v/is_office_365_currently_allowing_open_relay/
Bir açık olmasından şüphelendik fakat değil, sanırım açıklar söz konusu benzer benzemez çok şikayet var bu konuda net'de.
Bizim durumda kullanıcı şifresiyle relay başlatıldığını connector ve trace loglarından tespit ettik. Bir ilk doğrulama almışlar sanırım yazılım ve datacenter'lar üzerinden spam basıyorlar. Fakat gönderim aracıları yukarıda ki linkte ki gibi bazıları ilginç.
Kullanıcı şifresini nasıl elde ettiklerini bulamadık (muhtemel word attack ile). Şifre ve kuyruk temizliği ile, dmarc güncellemeleriyle durumu şimdilik kapattık. Detay yapılandırma değişiklikleri ile devam ettirilecek.
Bunları da buraya bırakmış olayım. İlgili konular;
https://practical365.com/how-to-ensure-your-third-party-filtering-gateway-is-secure/
https://www.hakanuzuner.com/office-365-icin-iis-ile-smtp-relay-yapilandirmasi/
'balık vermez, nasıl tutulabildiğine yönlendirir'
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız. Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz. Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Gönderildi : 18/05/2024 00:34
