GüvenlikOffice 365

Office 365 Exchange Online: Header Üzerinden IP Bilgisinin Silinmesi

Düşünün ki her sabah işe giderken anahtarı paspasın altına koyup gidiyorsunuz, sizi gözetleyen bir hırsız anahtarı koyduğunuz yeri görmüşse eğer içeriye girmek için denemeler yapabilir değil mi?

Böyle bir durumda evinizden bir şey çalınmayacağına ne kadar güvenebilirsiniz?

Office 365 Exchange Online  üzerinden mail gönderdiğinizde IP bilgisi, mesaj header’i üzerinde gönderdiğiniz mail içerisinde taşınır. Bazı kişiler bu bilginin silinmesinin ya da silinmemesinin bir önemi olmadığını düşünse de bana göre bu bilginin gizleniyor olması gerekli. 

Firmanızı kafaya takmış bir hacker, sizin ve firmanız hakkında “Big Data” dediğimiz büyük veriyi elde etmeye çalışır. Nedir bu big data derseniz sizin hakkınızda çer çöp ne varsa tüm bilgiler puzzle’ın aslında bir parçası gibi düşünebilirsiniz, daha sonra elde edilen bu bilgilerle sistemlerinize sızmak için girişim denemeleri yapabilirler.

 Bu yazımda Office 365 Exchange Online üzerinden gönderilen maillerde ki header’ın içerisinde taşınan IP bilgisi nasıl silinir bu konuya değiniyor olacağız.

Header’i okuyabilmenin iki kolay yöntemi var ben güvenlik sebebiyle bazen şüpheli mailler’in header bilgisini alarak analiz ettiğim için daha kolayıma gidiyor, bu yüzden bir eklenti yardımıyla header bilgisini alacağız. Dilerseniz işlem sonrası eklentiyi kaldırabilirsiniz.

Eklenti kullanmadan yapmak istiyorsanız veya bu makaleyi Exchange sunucu üzerinde uygulamaya çalışıyorsanız buradaki makalemi okuyabilirsiniz.

Outlook’u açtığınızda Giriş sekmesi var ona tıkladığınızda Eklenti Edinin yazılı butona tıklayarak eklenti edinme sayfasına gelerek “Header” kelimesini yazarak aratıyorum. “Microsoft Header Analyzer” yazan eklenti karşımıza çıkıyor.

Ekle diyerek eklentinin Outlook içerisine gelmesini sağlıyoruz.

Bu işlemi test edebilmek amacıyla kendi kendime bir test maili gönderiyorum ve eklentimizden other sekmesine gelip incelediğimde benim IP adresimin göründüğü; alttaki resimde ‘de görülmekte. Bu bilgiyi elde eden saldırgan, sizin ip adresinizdeki zafiyetler üzerinden açıklıkları bularak içeriye sızmaya çalışabilir.

https://admin.microsoft.com/ adresine giderek Office 365 üzerindeki transport servisi üzerinde bir kural yazmamız gerekiyor.

Yönetim Merkezi (Office 365 Admin Center)> Exchange seçeneğini seçerek ilerleyelim

Açılan sayfada URL adresini İngilizce yapabilirsiniz benim gibi (makaleyi uygulayan herkesin aynı sayfayı görmesi için)

***Admin sayfası İngilizce olanların herhangi bir şey yapmasına gerek yoktur.

Adres satırındaki tr-TR alanını en-US olarak değiştirerek Enter tuşuna basıyoruz.

Posta Akışı (Mail Flow) >Yeni bir kural oluştur (rules)

Başlık olarak X-Originating-IP-Remove yazıyorum.

Apply this rule if.. Seçeneğini Apply to All Messages seçeneğini seçiyorum,.

Do the following.. Seçeneğinde ise Modify the message properties > remove a message header seçeneğini seçebilirsiniz.

Message header textbox’ına X-Originating-IP yazarak Ok diyoruz. Eğer buradaki ismi yanlış ya da boşluklarla yazarsanız, kuralınız çalışmayacaktır.

Son durum yukarıdaki gibidir.

Kural işlemeye başladığında yukarıdaki gibi, gönderdiğiniz mailler ‘de X-Originating-IP bilgisinin karşı tarafa iletilmediğini görebilirsiniz.

Referans

https://answers.microsoft.com/en-us/site/completesignin?silent=True&returnUrl=https%3A%2F%2Fanswers.microsoft.com%3A443%2Fen-us%2Fmsoffice%2Fforum%2Fmsoffice_o365admin%2Fcan-i-remove-tag-x-originating-ip-from-header-e%2Fe5cde56c-b18c-444b-9b30-433fdb08463f%3Fauth%3D1&wa=wsignin1.0

İlgili Makaleler

4 Yorum

  1. Davut bey detaylı yazı için teşekkürler.
    Benzer rule işlemi ile return-path veya reply-to header bilgisini değiştirebilir miyiz? saatlerce ugraşmama rağmen çözüme kavuşamadım.

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu