Exchange Online İstenmeyen Posta – SPAM Önleme İlkeleri

Microsoft 365 aboneliğiniz içerisinde kullandığınız mailbox’lar varsayılan olarak Exchange Online Protection hizmeti ile korunur. Bu sayede dışarıdan gelen spam, oltamala ve zararlı yazılım içeren mailer kullanıcıların gelen kutusuna ulaşmaz. Sizin belirleyeceğiniz aksiyon planına göre istenmeyen posta kutusuna veya karantinaya alınabilir. Aynı zamanda spam konumuna düşmemek için şirket içi veya dışına gönderilen mailler üzerinde de limitler tanımlayabilir ve bu limitleri aşan kullanıcılarınızı kısıtlayabilirsiniz.

Microsoft, her tenant için varsayılan bir spam ilke yapılandırması sunuyor. Fakat bu ilkeleri daha sıkı hale getirmek veya özel ihtiyaçlarınıza göre daha esnek hale getirmek sizin elinizde.

security.microsoft.com/antispam bağlantısını kullanarak Tehdit ilkeleri menüsüne geris yapabilirsiniz. Burada Istenmeyen Posta önleme gelen ilkesiBağlantı filtresi ilkesi ve İstenmeyen posta önleme giden ilkesi ana başlıklarını göreceksiniz.

Burada yer alan ana başlıklar ve özelleştirmelerden biraz bahsedelim. Bu işlemleri gerçekleştirmek için en azından Security Administrator veya Organization Management rollerinden birine sahip olmanız gerekmektedir.

Bağlantı filtresi ilkesi: Kuruluş dışından gelen maillerin kaynağını engellemek veya izin vermek amaçlı kullanılan bir filtredir. Bildiğiniz ve tanıdığınız bir mail sağlayıcı ile sorun yaşamamak adına IP adreslerini izin verilenler listesine ekleyebilir veya zararlı olduğunu düşündüğünüz mail sağlayıcı IP adreslerini engellenenler listesine ekleyebilirsiniz. Ek olarak Safe list özelliğini aktif ederseniz Microsoft tarafından güncellenenen dinamik bir güvenilenler listesine de izin vermis olursunuz. Microsoft bu listeyi 3rd party sağlayıcılardan da destek alarak güncellemekte. Sizin herhangi bir düzenleme şansınız veya katkınız söz konusu değil fakat bu listede yer alan IP adresleri herhangi bir spam filtresine uğramadan size mail gönderebilir.

Güvenilen veya engellenen göndericiler için farklı yapılandırmalar da mevcut. Örn: Birazdan inceleyeceğimiz Istenmeyen Posta önleme gelen ilkesi içerisinde gönderici mail adresi veya etki alanını yazarak engelleme-izin verme işlemlerini gerçekleştirebilirsiniz. Bir başka alternatif olarak Exchange yönetim merkezinden kural oluşturarak da gönderici engelleyebilir veya izin verebilirsiniz.

Istenmeyen Posta önleme gelen ilkesi: Exchange Online Protection gelen mailleri sizin belirlediğiniz seçenekleri de göz önünde bulundurarak Spam, yüksek olasılıklı spam, toplu mail, oltalama mail ve yüksek olasılıklı oltalama mail olarak kategorize eder. Ardından sizin önceden belirttiğiniz gibi karantinaya alarak, Junk klasörüne göndererek veya direct olarak kullanıcıya ileterek aksiyon alır.

Yeni bir İstenmeyen posta önleme gelen ilkesi oluşturmak istediğinizde ilk olarak bu ilkeden etkilenecek veya hariç tutulacak kullanıcıları belirlemeniz gerekiyor. Bunu aşağıdaki gibi etki alanı kapsamında da belirtebilirsiniz.

Ardından Toplu e-posta eşiği ve istenmeyen posta özellikleri başlığını göreceksiniz. Menü isminden de anlaşıldığı gibi toplu posta eşiğini düzenleyip ardından sunulan seçenekleri düzenleyerek nelerin spam mail olarak algılanması gerektiğini belirteceğiz.

Toplu e-posta eşiği menüsünde bulunan barda varsayılan olarak eşik değeri 7’dir. Burada değer ne kadar yüksek olursa sizin toplu mail olarak adlandırılan maillere toleransınız o kadar yüksek demektir. Neredeyse spam seviyesinde olan maillerin tenant’ınıza iletilmesine izin verdiğiniz anlamına gelir. Burada bulunan toplu mail eşiğini aşağıdaki tabloyu inceleyerek daha iyi anlayabilirsiniz. Gördüğünüz gibi 0,1,2,3 değerleri neredeyse zararlı görülmeyen toplu posta göndericileri. Bunlar genelde e-fatura vb otomatik mail veya bülten gönderen kaynaklardır. 4,5,6,7 değerine sahip olanlar ise geçmişi biraz daha kötü kaynaklardan gelen postalardır. Fakat 8,9 değerini alanlar artık bariz bir şekilde sorunlu göndericilerden gelen maillerdir. Burada eşiği 1 puan azalttığınızda veya arttırdığınızda gerçekten kullanıcılarınıza erişen toplu maillerin arttığını veya azaldığını görebilirsiniz.

Peki toplu mail yani Bulk mailin Spam mailden farkı nedir?

Spam, mail sağlayıcıları veya genel filtreler tarafından belirlenmiş spam puanlamasına takılan, kötü IP geçmişine ve zararlı içeriğe sahip maillerdir.  Bulk mail ise daha çok reklam, tanıtım gibi amaçlara hizmet eden maillerdir. Spam mail aksine bazı kullanıcılar tarafından teslim alınmak istenen mailler olabilir. Hatta bir çok toplu mailin kaynağı abone olunan bültenler ve bağlı servisleridir. Aslında aradaki ince çizgi gönderici IP geçmişi ve içerik bakımından zararlı olup olmaması. Bu da gerek 3rd party filtreler gerekse EOP spam filtresi tarafından gözden geçirilerek belirleniyor. Toplu mailin 8 ve 9 puan değerindeki içeriği Spam maile en çok benzediği kısımdır. Bu nedenle özel bir nedeniniz yoksa 7 üzerine çıkmamak kuruluşunuz için daha doğru olacaktır.

Sırada Gereksiz e-posta özellikleri var. Burada seçeceklerimiz yukarıda da bahsettiğimiz mailin spam puanını artırıyor. Örneğin ben URL’deki sayısal IP adresi seçeneğini aktif ettim. Eğer mail içerisindeki bir bağlantı, IP adresi ile adreslenmişse bu söz konusu mailin spam değerini daha yukarıya çekecektir.

İstenmeyen posta olarak işaretle: Bu kısımda belirteceğiniz değerlere sahip maillerin Spam değeri direkt 9’a ayarlanır. Bu işlem gelen mailin yüksek olasılıklı spam olarak işaretlenmesine yol açar.

Aşağıdaki örnekte ben “SPF kaydı: önemli hata” seçeneğini açarak SPF bulunmayan veya SPF kaydına karşılık gelen IP’den gönderilmeyen maillerin yüksek olasılıklı spam olarak işaretlenmesini belirtmiş oldum.

Yukarıdaki menülerde neyin spam neyin toplu mail olduğunu tarif etmiş olduk. Şimdi ise Eylemler menüsünde bu spam mailleri nasıl değerlendirip aksiyon alacağımızı belirliyoruz.

Örneğin İstenmeyen Postalar için “iletiyi Gereksiz E-posta klasörüne taşı” diyorum fakat Yüksel olasılıklı istenmeyen posta yani çok daha yüksek spam değerine sahip mailler için “İletiyi karantinaya al” diyebiliyorum. Ek olarak Karantinaya alınan mailler içinde kullanıcıları bilgilendirecek bir ilke atayabiliyorum. Ama buna farklı bir makalede değineceğiz.

Karantinaya alınan maillerin kaç gün boyunca saklanacağını “Bu kadar gün boyunca karantinadaki istenmeyen postalatı tut” seçeneği ile belirliyoruz. Kullanıcılar yetkileri var ise bu kadar gün boyunca karantinadaki öğeyi serbest bırakabilirler veya yöneticilerin serbest bırakmasını talep edebilirler. Burada değinmek gereken önemli bir özellik de Sıfır anında otomatik temizlemeyi etkinleştir (ZAP) seçeneği. Bu seçenek ile daha önce alıcının posta kutusuna düşmüş spam veya oltalama mailler tespit edilerek otomatik olarak işlem yapılabiliyor. Yani burada değiştirdiğiniz spam ayarları sadece bundan sonrası için değil öncesi için de uygulanabilir oluyor.

Son olarak İzin ver ve engelle listesi. Bu listede kullanıcı veya etki alanı bazında engelleme ve izin verme gerçekleştirebiliyoruz. Aşağıdaki örnekte gördüğünüz gibi spam.com etki alanını engellenen etki alanlarına ekledim. Bu nedenle artık bu etki alanına sahip göndericiler organizasyon içerisindeki kullanıcılarıma mail gönderemeyecekler.

Bu kısmı da ayarladıktan sonra özel ilkemizi oluşturabiliriz. Dikkat etmeniz gereken bir başka konu ise birden fazla ilkeniz olduğunda ilkelerin önceliklendirme yöntemiyle çalıştığı. Önceliği en yüksel olan ilke (0 en yüksek) diğer ilkelerden önceliklidir ve çakışan herhangi bir konuda bu ilke etki edecektir. Varsayılan tüm ilkelerin öncelik değeri en düşük seviyededir ve bu değiştirilemez bir ayardır. Yeni oluşturduğunuz her bir ilke ise diğerlerinden daha düşük önceliğe sahip olarak oluşur. Bu önceliklendirmeyi düzenlemek için ilgili ilkenin üzerine tıkladıktan sonra Önceliği azalt veya artır butonlarını kullanabilirsiniz.

Son olarak İstenmeyen posta önleme giden ilkesi için bir ilke oluşturalım. Yine ilkeden etkilenecek veya hariç tutulacak kullanıcıları belirterek işe başlıyoruz.

Ardından karşımıza Koruma Ayarları kısmı geliyor. Burada bir mailbox üzerinden şirket içine veya şirket dışına saat başına mail teslim edilecek maximum alıcı sayısını belirtilebilir. Varsayılan olarak bir değer yani limit belirtilmemiştir fakat 0 ile 1000 arasıdna bir değer girebilirsiniz. Örneğin Dış ileti sınırı ayarla bölümünde 100 değerini girersek bir saatte maximum 100 adet dış alıcıya mail iletilebilir. Aynı zamanda Günlük ileti sınırı ayarla kısmında gireceğiniz değer ise günlük toplam alıcı sayısını sınırlamanızı sağlar.

Belirtilen bu limitleri aşan kullanıcılar ise İleti sınırına ulaşan kullanıcılara getirilen kısıtlama seçeneğinde belirleyeceğimiz aksiyona göre kısıtlanabilir veya uyarabilirsiniz. Bu aksiyonlara değinmek gerekirse;

Kullanıcının posta göndermesini ertesi güne kadar kısıtla: Belirtilen limitleri aşan kullanıcı ertesi güne kadar tekrar mail gönderemez. Yönetici istese dahi bu engeli zamanından önce kaldıramaz.

Kullanıcının poste göndermesini kısıtla: Bu seçenek ile limitleri aşan kullanıcı Kısıtlı kullanıcılar listesine eklenir. Bir yönetici kullanıcıyı bu listeden kaldırınca gönderim kısıtı sona erer ve kullanıcı aynı gün tekrar kısıtlı kullanıcılar listesine tekrar eklenmez.

Eylem yok, yalnızca uyar: Bu seçenekte kullanıcıya herhangi bir kısıt uygulanmaz, yalnızca e-posta bildirimi gönderilir.

Sıkça karşımıza gelecek bir başka ayar ise İletme Kuralları’dır. Genellikle kuruluş dışında bir tedarikçi veya kişisel mail adresine yönlendirme yapılmak istendiğinde mail iletme işlemi başarısız olur. Bunun nedeni İletme kurallarının Otomatik veya Kapalı olarak seçilmiş olmasıdır.

Açık-İletme etkin seçeneği ile kuruluş dışına mail yönlendirme işlemini başarıyla gerçekleştirebilirsiniz.

Son kısım olan Bildirimler altında ise iki seçenek önümüze çıkıyor.

Bu sınırları aşan şüpheli giden mesajların bir kopyasını bu kullanıcılara ve gruplara gönderin: Sistem, bu seçenekte belittiğiniz mail adresini limitleri aşan ve şüpheli olarak nitelendirilen maillerin BCC kısmında ekler. Bu sayede belirttiğiniz adres şüpheli olabilecek maillerin bir kopyasını teslim almış olur.

Giden spam gönderme nedeniyle bir gönderen engellenirse bu kullanıcıları ve grupları bilgilendirin: Eğer bir kullanıcı engellenir veya kısıtlı kullanıcılara düşerse buraya yazacağınız mail adresleri bu durum ile ilgili bir bilgilendirme maili alırlar.

Tıpkı gelen ilkede olduğu gibi giden ilkelerde de üstün ilke önceliklendirme ile belirlenir. Öncelik değeri en düşük olan (0) en yüksek önceliğe sahip ilkedir.

!!! Bu noktada bir hatırlatma yapmak gerekir. Herhangi bir nedenle kısıtlı kullanıcılara düşmüş veya engellenmiş olan kullanıcının parolasını değiştirip MFA’sını aktif etmeden kısıtını kaldırmayın. Eğer hesap ele geçirilmiş veya kötü bir şekilde etkilenmişse sorunu çözmeden kısıtı kaldırmanız doğru olmayacaktır.

Umarım bu yazı Exchange Online Protection SPAM filtresi ile ilgili güzel bir çerçeve çizmiş ve daha anlaşılır hale gelmesini sağlamıştır. Herhangi bir sorunuz olursa yorum kısmından bana iletebilirsiniz.

Exit mobile version