Aracılığıyla paylaş

Risk altındaki bağlayıcıyı yanıtlama

İpucu

Office 365 için Microsoft Defender Plan 2'deki özellikleri ücretsiz olarak deneyebileceğinizi biliyor muydunuz? Microsoft Defender portalı deneme hub'ında 90 günlük Office 365 için Defender deneme sürümünü kullanın. Deneme Office 365 için Microsoft Defender'nda kimlerin kaydolabileceği ve deneme koşulları hakkında bilgi edinin.

Bağlayıcılar, Şirket içi ortamınızda bulunan Microsoft 365 ile e-posta sunucuları arasında posta akışını etkinleştirmek için kullanılır. Daha fazla bilgi için bkz. Exchange Online'da bağlayıcıları kullanarak posta akışını yapılandırma.

Tür değerine OnPremises sahip bir gelen bağlayıcı, saldırgan yeni bir bağlayıcı oluşturduğunda veya istenmeyen posta veya kimlik avı e-postası göndermek için bağlayıcıyı değiştirdiğinde ve mevcut bağlayıcıda güvenliğin aşıldığı kabul edilir.

Bu makalede, ele geçirilen bağlayıcının belirtileri ve bunun denetiminin nasıl yeniden kazanıldığı açıklanmaktadır.

Güvenliği aşılmış bağlayıcının belirtileri

Güvenliği aşılmış bağlayıcı aşağıdaki özelliklerden birini veya daha fazlasını sergiler:

  • Giden posta hacminde ani bir artış.
  • Giden e-postadaki 5321.MailFrom adres ( MAIL FROM adresi, P1 göndereni veya zarf göndereni olarak da bilinir) ile 5322.From adres (Kimden adresi veya P2 göndereni olarak da bilinir) arasında uyuşmazlık. Bu gönderenler hakkında daha fazla bilgi için bkz. Kimlik avının önlenmesi için EOP Kimden adresini nasıl doğrular?
  • Sağlanmamış veya kaydedilmemiş bir etki alanından gönderilen giden posta.
  • Bağlayıcının posta göndermesi veya iletmesi engellendi.
  • Yönetici tarafından oluşturulmamış gelen bağlayıcının varlığı.
  • Mevcut bağlayıcının yapılandırmasında yetkisiz değişiklikler (örneğin, ad, etki alanı adı ve IP adresi).
  • Kısa süre önce güvenliği aşılmış bir yönetici hesabı. Bağlayıcıları oluşturmak veya düzenlemek için yönetici erişimi gerekir.

Bu belirtileri veya diğer olağan dışı belirtileri görürseniz, araştırmanız gerekir.

Güvenliği aşılmış olduğundan şüphelenilen bağlayıcıya e-posta işlevinin güvenliğini sağlama ve geri yükleme

Bağlayıcının denetimini yeniden kazanmak için aşağıdaki adımların tümünü yapın. Bir sorundan şüphelendiğiniz anda ve saldırganın bağlayıcı denetimini sürdürmediğinden emin olmak için mümkün olan en kısa sürede adımları izleyin. Bu adımlar, saldırganın bağlayıcıya eklemiş olabileceği arka kapı girdilerini kaldırmanıza da yardımcı olur.

1. Adım: Gelen bağlayıcının güvenliğinin aşılıp aşılmadığını belirleme

Office 365 için Microsoft Defender Plan 2'de adresinden Microsoft Defender portalını açın ve Gezgin'ehttps://security.microsoft.com gidin. Veya doğrudan Gezgin sayfasına gitmek için kullanın https://security.microsoft.com/threatexplorer.

  1. Gezgin sayfasında, Tüm e-posta sekmesinin seçili olduğunu doğrulayın ve aşağıdaki seçenekleri yapılandırın:

    • Tarih/saat aralığını seçin.
    • Bağlayıcı'ya tıklayın.
    • Ara kutusuna bağlayıcı adını girin.
    • Yenile'yi seçin.

    Gelen bağlayıcı gezgini görünümü

  2. E-posta trafiğindeki anormal ani artışları veya düşüşleri arayın.

    Gereksiz klasöre teslim edilen e-posta sayısı

  3. Aşağıdaki soruları yanıtlayın:

    • Gönderen IP adresi kuruluşunuzun şirket içi IP adresiyle eşleşmiyor mu?
    • Önemsiz Email klasörüne gönderilen son iletilerin önemli bir sayısı oldu mu? Bu sonuç, istenmeyen posta göndermek için güvenliği aşılmış bir bağlayıcının kullanıldığını açıkça gösterir.
    • İleti alıcılarının kuruluşunuzdaki gönderenlerden e-posta alması makul mü?

    Gönderen IP adresi ve kuruluşunuzun şirket içi IP adresi

Office 365 için Microsoft Defender veya Exchange Online Protection bağlayıcı güvenliğinin aşılmasına ilişkin belirtileri aramak için Uyarılar ve İleti izlemesini kullanın:

  1. Konumunda Defender portalını https://security.microsoft.com açın ve Uyarılar &> Uyarılar'agidin. İsterseniz, doğrudan Uyarılar sayfasına gitmek için içinde Şüpheli bağlayıcı etkinlik uyarısı aç seçeneğini https://security.microsoft.com/alertsde kullanabilirsiniz.

  2. Uyarılar sayfasında,şüpheli bağlayıcı etkinliğiyle ilgili uyarıları bulmak için Filtre>İlkesi> Şüpheli bağlayıcı etkinliğini kullanın.

  3. Adın yanındaki onay kutusundan başka bir satıra tıklayarak şüpheli bağlayıcı etkinlik uyarısı seçin. Açılan ayrıntılar sayfasında Etkinlik listesi'nin altında bir etkinlik seçin ve uyarıdan Bağlayıcı etki alanı ve IP adresi değerlerini kopyalayın.

    Bağlayıcı güvenliği aşılmış giden e-posta ayrıntıları

  4. adresinde Exchange yönetim merkezini https://admin.exchange.microsoft.com açın ve Posta akışı>İleti izleme'ye gidin. Veya doğrudan İleti izleme sayfasına gitmek için kullanın https://admin.exchange.microsoft.com/#/messagetrace.

    İleti izleme sayfasında Özel sorgular sekmesini seçin, İzleme başlat'ı seçin ve önceki adımda yer alan Bağlayıcı etki alanı ve IP adresi değerlerini kullanın.

    İleti izleme hakkında daha fazla bilgi için bkz. Exchange Online'daki modern Exchange yönetim merkezinde ileti izleme.

    Yeni ileti izleme açılır öğesi

  5. İleti izleme sonuçlarında aşağıdaki bilgileri arayın:

    • Son zamanlarda önemli sayıda ileti FilteredAsSpam olarak işaretlendi. Bu sonuç, istenmeyen posta göndermek için güvenliği aşılmış bir bağlayıcının kullanıldığını açıkça gösterir.
    • İleti alıcılarının kuruluşunuzdaki gönderenlerden e-posta almasının makul olup olmadığı

    Yeni ileti izleme arama sonuçları

Exchange Online PowerShell'de StartDate> ve <EndDate> değerlerini değerlerinizle değiştirin <ve ardından denetim günlüğünde yöneticiyle ilgili bağlayıcı etkinliğini bulmak ve doğrulamak için aşağıdaki komutu çalıştırın. Daha fazla bilgi için bkz. Denetim günlüğünde arama yapmak için PowerShell betiği kullanma.

Search-UnifiedAuditLog -StartDate "<ExDateTime>" -EndDate "<ExDateTime>" -Operations "New-InboundConnector","Set-InboundConnector","Remove-InboundConnector

Ayrıntılı söz dizimi ve parametre bilgileri için bkz . Search-UnifiedAuditLog.

2. Adım: Bağlayıcıdaki yetkisiz değişiklikleri gözden geçirme ve geri döndürme

adresinde Exchange yönetim merkezini https://admin.exchange.microsoft.com açın ve Posta akışı>Bağlayıcıları'na gidin. Veya doğrudan Bağlayıcılar sayfasına gitmek için kullanın https://admin.exchange.microsoft.com/#/connectors.

Bağlayıcılar sayfasında bağlayıcı listesini gözden geçirin. Bilinmeyen bağlayıcıları kaldırın veya kapatın ve her bağlayıcıda yetkisiz yapılandırma değişiklikleri olup olmadığını denetleyin.

3. Adım: Posta akışını yeniden etkinleştirmek için bağlayıcının engellemesini kaldırın

Güvenliği aşılmış bağlayıcının denetimini yeniden kazandıktan sonra, Defender portalındaki Kısıtlı varlıklar sayfasında bağlayıcının engelini kaldırın. Yönergeler için, Kısıtlanmış varlıklar sayfasından engellenen bağlayıcıları kaldırma bölümüne bakın.

4. Adım: Güvenliği aşılmış olabilecek yönetici hesaplarını araştırma ve düzeltme

Yetkisiz bağlayıcı yapılandırma etkinliğinden sorumlu yönetici hesabını belirledikten sonra, güvenliğin aşılması için yönetici hesabını araştırın. Yönergeler için bkz. Güvenliği Aşılmış Email Hesabına Yanıt Verme.

Daha fazla bilgi