Office 365 + DMARC: Kurumunuzu ve Müşterilerinizi Kimlik Avı Saldırılarından Korumaya Yönelik En İyi Yöntemler
Gartner, 2021'de en iyi 10 güvenlik projesi listesine DMARC'ı veya tam adıyla Etki Alanı Tabanlı Mesaj Kimlik Doğrulaması, Raporlama ve Uyumluluk'u (Domain-based Message Authentication, Reporting & Conformance) dahil etmiştir. Çok az istisna dışında kurumların e-posta saldırılarında başkasının kimliğine bürünülmesini önlemenin en iyi yolu olarak DMARC'ı, Office 365 tabanlı e-posta ekosistemlerine entegre etmektedir.
Giden E-posta: O365 Neden DMARC ile Daha İyi?
CISCO'nun 2021 Siber Güvenlik Tehdit Eğilimleri raporu, kimlik avının (phishing) veri ihlallerinin yaklaşık %90'ından sorumlu olduğunu öne sürdü. DMARC ise bunu önlemek için tasarlanmıştır.
DMARC, bir e -postanın "Kimden:" başlığına sahip olan kurum tarafından yetkilendirilmediğini e-posta alıcı sistemlerin tanımasına yardımcı olmak amacıyla Gönderici Politikası Çerçevesi (SPF - Sender Policy Framework) ve Etki Alanı Anahtarları Tanımlanmış Posta (DKIM - DomainKeys Identified Mail) için bir politika katmanı olarak çalışan e-posta kimlik doğrulama standartıdır. DMARC, e-posta alma sistemlerine bu yetkisiz mesajların nasıl güvenli bir şekilde imha edileceğine ilişkin talimatlar sağlar.
En agresif yaptırım politikası reddetmedir (p=reject). Bu da DMARC kimlik doğrulamasını geçemeyen e-posta iletilerinin hedeflenen alıcılara ulaşmasının engelleneceği anlamına gelir. Daha az katı politika ayarları arasında, bu e-postaları spam klasörüne yerleştiren karantina (p=quarantine) ve kuruluşların, etki alanlarının kendileri tarafından nasıl sahtekarlık yapıldığını izlemelerine olanak tanıyan ancak alıcıları korumayan yalnızca izleme (p=none) yer alır.
DMARC zaten O365'te yerleşik olan sağlam güvenlik kontrollerinin bir parçasıdır, dolayısıyla gelen kimlik avı ve spam saldırılarının çoğuna karşı yeterli korumaya sahip olursunuz. Aslında, Office 365 içinde aldığınız e-postalar için DMARC'ı uygulamak üzere herhangi bir şey yapmanıza gerek yoktur. Dahası, giden e-posta için özel bir etki alanı kullanmıyorsanız bunun yerine standart onmicrosoft.com alt etki alanını kullanıyorsanız, Office 365 adınızda (tenant) DMARC'ı yapılandırmak veya uygulamak için başka bir şey yapmanıza gerek yoktur.
Ancak Office 365 adınızı (tenant) özel bir alan adı (ör. contoso.com) kullanacak şekilde yapılandırdıysanız veya e-postanızın bir bölümünü göndermek için SendGrid, MailChimp, Salesforce, veya diğerleri gibi herhangi bir üçüncü tarafı kullanıyorsanız, DMARC'ı kendiniz uygulamak isteyeceksiniz. Peki Office 365 ortamınızda DMARC'ı kullanmaya nasıl başlarsınız?
Office 365 için DMARC'ı Dağıtırken En İyi Yöntemi Kullanın
DMARC'yi uygularken aşamalı dağıtım kullanmak daha güvenlidir ve özellikle bölümler, departmanlar ve üçüncü taraf gönderenleri kapsayan çok sayıda alana sahip büyük şirketler için e-posta akışınızın geri kalanını etkilememenizi sağlar. Agari'nin DMARC'yi uygulamaya yönelik en iyi uygulamaları şunları içerir:
İlk önce etkiyi izleyin. Çok sayıda alanda DMARC kuran büyük kuruluşlar için basit bir izleme modu kaydıyla başlamanızı öneririz. İzleme modu kaydı, politikası p=none olarak ayarlanmış bir DMARC TXT kaydıdır. Birçok şirket, daha kısıtlayıcı bir DMARC politikası yayınlayarak ne kadar e-posta kaybedebileceklerinden emin olmadıkları için DMARC TXT kaydını bu şekilde yayınlar ve bu, düzenleme yapmadan önce etkiyi izlemelerine olanak tanır.
Planlarınıza SPF ve DKIM standartlarını dahil edin. Tüm meşru e-posta kaynaklarına SPF ve DKIM uygulamadığınız sürece, DMARC ile postaları güvenli bir şekilde karantinaya alamayacağınızı veya reddedemeyeceğinizi unutmayın. DMARC raporlarınız, alanınız adına e-posta gönderen tüm barındırıcıları gösterir. Meşru posta kaynaklarında SPF ve DKIM'yi başarılı bir şekilde uyguladığınızda, sahte mesajlar dikkat çekici olacaktır. Çünkü bunlar DMARC'da başarısız olacak ve size veya yetkili gönderenlerinizden herhangi birine ait olmayan sunuculardan gelecektir.
Harici posta sistemlerinin DMARC'da başarısız olan tüm postaları karantinaya almasını isteyin. Meşru trafiğinizin çoğunun SPF ve DKIM tarafından korunduğuna inandığınızda ve DMARC uygulamasının etkisini anladığınızda bir karantina politikası uygulayabilirsiniz. Bunu yaparak, DMARC alıcılarından alan adınızdan DMARC'da başarısız olan iletileri müşterilerinizin gelen kutuları yerine spam klasörünün yerel eşdeğerine koymalarını istersiniz.
Harici posta sistemlerinin DMARC'de başarısız olan iletileri kabul etmeyeceğini belirtin. Meşru postanızın tamamen doğrulandığından emin olduğunuzda son adım bir reddetme politikası uygulamaktır. Bunu yaptığınızda, DMARC alıcılarından DMARC kontrollerini geçemeyen mesajları kabul etmemelerini istemiş olursunuz. Bu, yasa dışı e-postaların son kullanıcılarınıza ulaşmasını önlediği için alanınızı güvence altına almanın son ve en etkili yoludur.
Birden fazla alan için DMARC uygularken DMARC kayıtlarının hiyerarşik olduğunu unutmamak önemlidir. Daha geniş kapsam için daha az sayıda yüksek düzey DMARC kaydı belirtebileceğiniz için bu yararlı olabilir. Ancak, alt alan adlarının üst düzey alan adının DMARC kaydını devralmasını istemediğiniz açık alt alan adı DMARC kayıtlarını yapılandırırken dikkatli olunmalıdır.
Microsoft, Agari DMARC Protection’a güveniyor
DMARC'ı tek bir alana dağıtmak nispeten basit olsada, büyük ölçekte karmaşıklıkla doludur. Agari'nin DMARC standardının öncüsü olduğu göz önüne alındığında Agari, DMARC dağıtımlarına öncülük eden ve birçok Global 2000 şirketi de dahil olmak üzere kurumlarda izlenen yöntemelerde ölçek ve verimliliği arttırmıştır.
Bu nedenle, DMARC'ın Office 365 tabanlı e-posta ortamlarında uygulanmasıyla ilgili zorlukları basitleştiren ve etki alanınızdaki sahte mesajları neredeyse sıfıra yakın seviyelerine indirdiği Agari DMARC Protection gibi bir çözümü düşünmek isteyebilirsiniz. Aslında Microsoft, kendi e-postasını korumak için Agari'yi seçti ve yüz milyarlarca dolar değerinde olduğu tahmin edilen bir markayı korumak için Microsoft'un güvendiği üründen daha iyi ne olabilir?
Agari ile Azure Sentinel ve Microsoft Graph Security API'yi dağıtın
Dolandırıcılık aktörleri, kaçırma ve gizleme tekniklerini geliştirmeye devam ettikçe kurumlar artık çalışanlarını, müşterilerini, tedarikçilerini ve ortaklarını etkili bir şekilde korumak için tekelleşmiş ve parçalanmış nokta ürünlere güvenemekten çekinmektedirler. Büyük bir bulut hizmet sağlayıcısının dünyanın ilk bulut SIEM/SOAR/UEBA platformu olan Azure Sentinel, siber güvenlik yığınına entegrasyon ve konsolidasyon yönündeki uzun vadeli trendin ön sıralarında yer alıyor.
DMARC bir ada değil, entegre bir güvenlik stratejisinin kritik bir bileşenidir. Agari DMARC Protection, Agari'nin diğer iki çözümüyle birlikte, tehdit istihbaratını paylaşmak için Azure Sentinel ile sorunsuz bir şekilde bütünleşir. Agari Phishing Defense, hedef odaklı kimlik avı (spear phishing), iş e-postasının ele geçirilmesi (BEC – Business Email Compromise), satıcı e-postasının ele geçirilmesi (VEC – Vendor Email Compromise) ve hesap ele geçirmeye (account takeover) dayalı saldırılar gibi karmaşık kimlik tabanlı tehditleri tespit etmek ve düzeltmek için ML/AI tekniklerini kullanan Defender for Office 365 yönelik son derece uzmanlaşmış, tamamlayıcı bir çözümdür. Ayrıca Agari Phishing Response, kimlik avı yanıtı, düzeltme ve ihlalleri engelleme sürecini otomatikleştiren bir çözümdür.
Ek olarak, Agari'nin Data Connector for Sentinel, müşterilerin tehditleri daha etkili bir şekilde tespit etmek, ilişkilendirmek ve düzeltmek için Agari DMARC Protection ve Agari Phishing Defense'inden günlükleri (log) almasına olanak tanır. Data Connector, saldırı türleri, ilke isabetleri ve en çok saldırıya uğrayan kullanıcılar gibi öngörüler etrafında ek Azure Sentinel analizleri, çalışma kitapları ve iş akışlarının oluşturulmasına bilgi veren örnek sorgularla birlikte gelir. Ek olarak, Microsoft Graph Security API'nin birleşik modelini kullanan müşteriler, tehditleri daha etkili bir şekilde önceliklendirme ve izole etme arayışlarında Agari Phishing Response tarafından paylaşılan IOC'lerin (Indicator Of Compromise – Uzlaşma Göstergesi) araştırılmasından ve Agari DMARC Protection tarafından bildirilen kötü amaçlı etki alanlarından veya URL'lerden yararlanabilir.
Özetle, Defender for Office 365, Azure Sentinel ve Microsoft Graph Güvenlik API'ını içeren Agari çözümlerini kapsayan entegre bir güvenlik mimarisi, kurumların saldırı yüzeyini azaltmak, temel savunmaları güçlendirmek için ilk savunma hattı olarak e-posta güvenliğinin zengin görünürlüğünden yararlanmasına olanak tanır ve genel güvenlik duruşunu geliştirir.