FortiMail Anti-Spoofing Rules

Merhaba, e-posta güvenliğinizi sağlamak için FortiMail ürününüzde anti-spoofing yapılandırması gerçekleştirmeniz gerekmektedir. Fortimail default olarak Fortiguard servisleri ile iletişim modu açık olarak gelmektedir fakat, security ürünlerinin default yapılandırmaları hiç bir zaman sizin ortamınızı tam olarak korumamaktadır.

Spoofing Nedir?

Spoofing, e-posta başlığındaki bilgileri değiştirerek gerçekte kim tarafından gönderildiğini gizlemeyi amaçlayan bir sahtekârlık yöntemidir. Bu yöntem, e-postaların aslında bildirildiği adresten farklı bir adresten gönderildiği izlenimini yaratır.

E-posta sahteciliği, nispeten kolay gerçekleştirilebildiğinden dolayı, birçok kullanıcı bu tür sahtekârlıklarla karşı karşıya kalabilir. Kişisel bilgileri çalmak veya kullanıcıları zararlı yazılım indirmeye teşvik etmek amacıyla kullanılan spoofing, bazı durumlarda yasal nedenlerle de gerçekleştirilebilir; örneğin, bir kullanıcı kişisel e-posta hesabından iş ile ilgili e-postaları yanıtlamak zorunda kalabilir. Ancak, çoğunlukla spam ve dolandırıcılık amaçlı kullanılmaktadır.

Spoofing Mail

Kimlik avı (phishing) saldırıları, spoofing’in en yaygın şeklidir. Bu tür saldırılar, saldırganın meşru bir kaynak gibi görünerek, alıcının kişisel bilgilerini; kullanıcı adı, parola, kredi kartı bilgileri ve diğer kişisel verileri toplamasını amaçlar. Alıcıyı ikna etmek üzere tasarlanan bu e-postalar, genellikle gerçek şirket e-postalarına benzer şekilde tasarlanır ve şirketin web sitesi, e-posta adresi ve logosunun tasarımı, kurbanı manipüle etmek için dikkatlice ayarlanır. Saldırganların bu yöntemi kullanmalarının ana sebebi, hedef kişinin güvenini kazanmaktır

Spoofing Mail Nasıl Oluşturulur?

Spoofing bir mail oluşturmak nispeten kolaydır. İki temel tür adres kılıflaması bulunmaktadır: birincisi zarf gönderici (envelope sender) ve ikincisi SMTP Header (SMTP Header From) yapılır. Her iki yöntemin de farklı kullanım alanları bulunmakta ve FortiMail bu tür sahtecilikleri doğrulamak ve tespit etmek için çeşitli metodlar kullanmaktadır:

  • SMTP Header’dan (RFC 822‘den adresi olarak da bilinir), kullanıcı dostu görünüm olarak kabul edilir ve mesaj iletiminin SMTP “Data” fazında belirlenmektedir. Bu alanda kılıflama daha yaygındır ve genellikle hem meşru hem de kötü niyetli sahte e-posta kullanım durumları için tercih edilir. SMTP Header’da, e-posta istemcisinde kullanıcıların “From:” alanında görüldüğü bilgidir.
  • Zarf Gönderici (envelope sender) (RFC 821 gönderici adresi olarak da bilinir), SMTP iletişim fazının başlangıcında, DATA komutundan önce tanımlanır. Bu, alıcı SMTP MTA’ya mesajı hangi posta kutusunun gönderdiğini ve gerekirse geri dönüş mesajlarının nereye gönderileceğini bildiren “Mail From:” komutunun verildiği yerdir. NOT: Bu alan tanımlı olmak zorunda değildir ve boş (Mail From: <>) bırakılabilir; ayrıca, SMTP Başlık’taki “data” yükündeki “from adresi” ile eşleşmesi gerekmez.
CommandServer ResponseComments
telnet mailhost:25Run a telnet connection to the mail server’s IP or hostname on TCP port 25
220 hostname…220 responseConfirms the SMTP service is ready for commands
helo <mail.cengizyilmaz.net>250…Identify yourself with ehlo or helo handshake. Please to meet you. Acceptance of command confirmed. If otherwise, rerun the helo or ehlo command.
mail from: [email protected]250…Specify the 821 “envelope sender” of the message. Sender ok. Acceptance of command confirmed. If otherwise, SPF or other AntiSpoofing applied rules may block the message delivery attempt.
rcpt to:[email protected]250…Specify the 821 “envelope recipient” of the message. Recipient ok. Acceptance of command confirmed. If otherwise, the recipient may be invalid or relaying is not being allowed.
Data354 …The “data” command indicates you are done specifying recipients and ready to transmit the message content. Send message. Server is ready to accept the message. NOTE: A new line feed followed by a period “.” and another line feed will mark the end of the message.
From: “Bill Gates” [email protected]Specify the 822 “SMTP Header From”
To: “Blank Doe”[email protected]Specify the 822 “SMTP Header To” – Optional
Subject: Some eye catching descriptionSpecify the message subject
This indicates the end of the 822 Header
Specify the message body contentSpecify the message body
.250…Indicate the body context is done and message is ready to be queued for processing. Queued. Acceptance of message confirmed.
quit221…This command indicates you are done sending messages. Goodbye. Server accepted command to close the SMTP session.

Fortimail Spoofing Kuralı

Fortimail ürününü Cloud ve On-Premises olarak kullanabilmektesiniz. Exchange Server, Exchange Online ve diğer sağlayıcılar ile uyumlu olarak çalışmaktadır. Fortimail Spoofing, Phishing engellemek için bir çok yöntem sunuyor bunlardan en önemli iki kural;

  • Envelope Sender (Access Control Reject)
  • SMTP Header From (Regex)

Fortimail Spoofing Kuralı Oluşturma

Envelope Sender (Access Control Reject)

Fortimail – Policy – Access Control adımlarını takip ediyoruz.

image
Fortimail Menü

Access Control Rule bölümü içerisinde New butonu ile yeni bir kural oluşturmamız gerekiyor. Oluşturacağımız kural ise aşağıda ki gibi olması gerekmektedir.

Sender – Internal

Recipient – Internal

Source – IP/Netmask “0.0.0.0”

Reverse DNS pattern – *

Authentication status – Not Authencated

TLS profile – –None–

Action – Reject

Comment – Opsiyonel

image 1
Fortimail Access Control Rule
Not: Aktif olarak kullandığımız Domainler için bir Mail Relay hizmeti satın alınıyorsa veya ek bir MTA üzerinde de barınıyorsa, Fortimail diğer MTA'lar üzerinden gelen mailleri Reject edecektir. Bu yüzden diğer sağlayıcılar üzerinde bulunan IP adreslerini ekleyerek ek bir kural oluşturulması gerekiyor ve Action bölümünün Safe/Relay olması gerekiyor.

SMTP Header kullanarak Spoofing Engelleme Yöntemi

Fortimail‘de SMTP Header kullanarak Spoofing mail engellemek için, yeni bir Dictionary oluşturmamız gerekiyor ve aşağıda paylaştığım Regex‘i aktif hale getirmemiz gerekiyor.

Fortimail – Profile – Dictionary adımlarını takip ediyoruz ve New butonu ile yeni bir Dictionary kuralı oluşturuyoruz.

image 2
Fortimail Dictionary

Oluşturacağımız kural aşağıdaki gibi olması gerekmektedir.

Pattern : [EHeAdEr]^from:.*\b\@domain.com\b

Pattern type : Regex

Search Header : Enabled

image 3

Yukarıda verilen RegEx, ‘From’ alanında eklemiş olduğunuz domaini içeren e-postaları arar . Kullandığınız birden fazla alan adı varsa, eşleşmeye çalıştığınız her bir benzersiz alan adı için yeni bir Dictionary eklemeniz önerilir.

NOT: Yukarıdaki RegEx, FortiMail’e özgü bir eşleşme koşulu olan ‘[EHeAdEr]’ kullanır ve RegEx test araçları gibi www.regex101.com ile desen(ler)i test ederken kaldırılmalıdır.

Adım 2: Yeni Dictionary uygulamanız gerekmektedir. Bu sözlük, bir İçerik Profili veya AntiSpam Profili’ne uygulanabilir.

Fortimail – Profile – AntiSpam adımlarını takip ederek, Inbound profili açın.

image 4

AntiSpam Profile içerisin de Dictionary sekmesini genişlettikten sonra “With dictionary profile” adımından oluşturduğunuz Dictionary kuralını eklemeniz yeterlidir.

image 5

Yukarı da yapmış olduğumuz işlemler ile birlikte Fortimail üzerinde Spoofing mail engellemesinden bahsettik ve Spoofing mail için bilgiler sağladık. Umarım faydalı olmuştur, bir başka yazı da görüşmek üzere.

Yorum yapın