Kimlik avından korumayı ayarlama

• Şunlara uygulanır:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Microsoft 365 varsayılan olarak etkinleştirilen çeşitli kimlik avı önleme özellikleriyle birlikte gelse de, bazı kimlik avı iletilerinin kuruluşunuzdaki posta kutularına erişmeye devam ediyor olması mümkündür. Bu makalede, bir kimlik avı iletisinin neden geçtiğini keşfetmek için yapabilecekleriniz ve Microsoft 365 kuruluşunuzdaki kimlik avı önleme ayarlarını yanlışlıkla kötü hale getirmeden ayarlamak için yapabilecekleriniz açıklanmaktadır.

Öncelikle güvenliği aşılmış hesaplarla ilgilenin ve diğer kimlik avı iletilerinin üzerinden geçmelerini engellediğinizden emin olun

Kimlik avı iletisi nedeniyle bir alıcının hesabı tehlikeye girdiyse, Microsoft 365'te güvenliği aşılmış bir e-posta hesabını yanıtlama makalesindeki adımları izleyin.

Aboneliğinizde Office 365 için Microsoft Defender varsa, kimlik avı iletisini de alan diğer kullanıcıları belirlemek için Office 365 Tehdit Bilgileri'ni kullanabilirsiniz. Kimlik avı iletilerini engellemek için ek seçenekleriniz vardır:

• Office 365 için Microsoft Defender'da Güvenli Bağlantılar
• Office 365 için Microsoft Defender'da Güvenli Ekler
• Office 365 için Microsoft Defender kimlik avı önleme ilkeleri. İlkedeki Gelişmiş kimlik avı eşikleriniStandart,Daha agresif veya En agresif olarak geçici olarak artırabilirsiniz.

Bu ilkelerin çalıştığını doğrulayın. Güvenli Bağlantılar ve Güvenli Ekler koruması, önceden ayarlanmış güvenlik ilkelerindeki Yerleşik koruma sayesinde varsayılan olarak açıktır. Kimlik avı önleme, kimlik sahtekarlığı önleme korumasının varsayılan olarak açık olduğu tüm alıcılar için geçerli olan varsayılan bir ilkeye sahiptir. Kimliğe bürünme koruması ilkede açık değildir ve bu nedenle yapılandırılması gerekir. Yönergeler için bkz. Office 365 için Microsoft Defender'de kimlik avı önleme ilkelerini yapılandırma.

Kimlik avı iletisini Microsoft'a bildirme

Kimlik avı iletilerini raporlamak, Microsoft 365'teki tüm müşterileri korumak için kullanılan filtrelerin ayarlanmasında yararlıdır. Yönergeler için bkz . Şüpheli istenmeyen postaları, kimlik avı, URL'leri, engellenen meşru e-postaları ve e-posta eklerini Microsoft'a göndermek için Gönderimler sayfasını kullanma.

İleti üst bilgilerini inceleme

Daha fazla kimlik avı iletisinin gelmesini önlemek için kendiniz yapabileceğiniz bir şey olup olmadığını görmek için kimlik avı iletisinin üst bilgilerini inceleyebilirsiniz. Başka bir deyişle, iletilerin üst bilgilerini incelemek, kuruluşunuzda kimlik avı iletilerine izin vermekle sorumlu olan tüm ayarları belirlemenize yardımcı olabilir.

Özellikle, İstenmeyen Posta Filtreleme Kararı (SFV) değerinde istenmeyen posta veya kimlik avı için atlanan filtrelemenin göstergeleri için ileti üst bilgilerindeki X-Forefront-Antispam-Report üst bilgi alanını denetlemeniz gerekir. Filtrelemeyi atlayan iletilerin girdisi SCL:-1vardır. Bu, ayarlarınızdan birinin hizmet tarafından belirlenen istenmeyen posta veya kimlik avı kararlarını geçersiz kılarak bu iletiye izin verdiği anlamına gelir. İleti üst bilgilerini alma hakkında daha fazla bilgi ve tüm kullanılabilir istenmeyen posta önleme ve kimlik avı önleme ileti üst bilgilerinin tam listesi için bkz. Microsoft 365'te istenmeyen posta önleme ileti üst bilgileri.

İpucu

İleti üst bilgisinin içeriğini kopyalayıp İleti Üst Bilgisi Çözümleyicisi aracına yapıştırabilirsiniz. Bu araç üst bilgileri ayrıştırma ve daha okunabilir bir biçime yerleştirmeye yardımcı olur.

EOP ve Office 365 için Defender güvenlik ilkelerinizi Standart ve Katı önerilerle karşılaştırmak için yapılandırma çözümleyicisini de kullanabilirsiniz.

Korunmaya yönelik en iyi yöntemler

• Kuruluşunuzun güvenlik ayarlarını değerlendirmek için aylık olarak Güvenli Puan'ı çalıştırın.

• Yanlışlıkla karantinaya alınan iletiler için (hatalı pozitifler) veya üzerinden izin verilen iletiler için (hatalı negatifler), bu iletileri Tehdit Gezgini'nde ve gerçek zamanlı algılamalarda aramanızı öneririz. Gönderene, alıcıya veya ileti kimliğine göre arama yapabilirsiniz. İletiyi buldukktan sonra, konuya tıklayarak ayrıntılara gidin. Karantinaya alınmış bir ileti için, geçersiz kılmak için uygun yöntemi kullanabilmeniz için "algılama teknolojisinin" ne olduğuna bakın. İzin verilen bir ileti için, iletiye hangi ilkenin izin verdiğini görün.

• Sahte gönderenlerden gelen Email (iletinin Kimden adresi iletinin kaynağıyla eşleşmiyor) Office 365 için Defender kimlik avı olarak sınıflandırılır. Bazen sahtekarlık zararsızdır ve bazen kullanıcılar sahte gönderenin belirli iletilerinin karantinaya alınmasına izin vermez. Kullanıcılar üzerindeki etkiyi en aza indirmek için kimlik sahtekarlığına ilişkin bilgi sahtekarlık içgörülerini, Kiracı İzin Ver/Engelle Listesindeki sahte gönderenlerin girdilerini ve Kimlik sahtekarı algılamaları raporunu düzenli aralıklarla gözden geçirin. İzin verilen ve engellenen kimlik sahtekarlığı gönderenleri gözden geçirdikten ve gerekli geçersiz kılmaları yaptıktan sonra kimlik avı önleme ilkelerindeki kimlik sahtekarlığı bilgilerini kullanıcının Gereksiz Email klasörüne teslim etmek yerine şüpheli iletileri karantinaya almak üzere güvenle yapılandırabilirsiniz.

• Office 365 için Defender'de, kullanıcı kimliğe bürünme veya etki alanı kimliğe bürünme algılamalarını izlemek için konumundaki https://security.microsoft.com/impersonationinsight Kimliğe Bürünme içgörü sayfasını da kullanabilirsiniz. Daha fazla bilgi için bkz. Office 365 için Defender'de Kimliğe Bürünme içgörüleri.

• Kimlik avı algılamaları için Tehdit Koruması Durumu raporunu düzenli aralıklarla gözden geçirin.

• Bazı müşteriler istenmeyen posta önleme ilkelerinde kendi etki alanlarını Gönderene izin ver veya Etki alanına izin ver listesine koyarak kimlik avı iletilerine yanlışlıkla izin verir. Bu yapılandırma bazı meşru iletilere izin verse de, normalde istenmeyen posta ve/veya kimlik avı filtreleri tarafından engellenecek kötü amaçlı iletilere de izin verir. Etki alanına izin vermek yerine, temel alınan sorunu düzeltmeniz gerekir.

  Etki alanınızdaki gönderenleri içeren Microsoft 365 (hatalı pozitifler) tarafından engellenen meşru iletilerle başa çıkmanın en iyi yolu , tüm e-posta etki alanlarınız için DNS'deki SPF, DKIM ve DMARC kayıtlarını tam olarak ve tamamen yapılandırmaktır:

  • SPF kaydınızın etki alanınızdaki gönderenler için tüm e-posta kaynaklarını tanımladığını doğrulayın (üçüncü taraf hizmetlerini unutmayın!).

  • Yetkisiz gönderenlerin bunu yapacak şekilde yapılandırılmış e-posta sistemleri tarafından reddedildiğinden emin olmak için sabit başarısız (-tümü) kullanın. SPF kaydınıza yetkili üçüncü taraf gönderenleri dahil edebilmeniz için, etki alanınızı kullanan gönderenleri tanımlamaya yardımcı olması için kimlik sahtekarlık bilgileri içgörülerini kullanabilirsiniz.

  Yapılandırma yönergeleri için bkz:

  • Kimlik sahtekarlığını önlemeye yardımcı olmak için SPF'yi ayarlama
  • Özel etki alanınıza gönderilen giden e-postayı doğrulamak için DKIM'yi kullanma
  • E-postayı doğrulamak için DMARC kullanma

• Mümkün olduğunda, etki alanınız için doğrudan Microsoft 365'e e-posta göndermenizi öneririz. Başka bir deyişle, Microsoft 365 etki alanınızın MX kaydını Microsoft 365'e işaret edin. Exchange Online Protection (EOP), postaları doğrudan Microsoft 365'e teslim edildiğinde bulut kullanıcılarınız için en iyi korumayı sağlayabilir. EOP'nin önünde bir üçüncü taraf e-posta hijyen sistemi kullanmanız gerekiyorsa Bağlayıcılar için Gelişmiş Filtreleme'yi kullanın. Yönergeler için bkz. Exchange Online'da Bağlayıcılar için Gelişmiş Filtreleme.

• Kullanıcıların Web üzerinde Outlook yerleşik Rapor düğmesini kullanmasını sağlayın veya kuruluşunuzda Microsoft Rapor İletisi veya Rapor Kimlik Avı eklentilerini dağıtın. Kullanıcı tarafından bildirilen ayarları, kullanıcı tarafından bildirilen iletileri bir raporlama posta kutusuna, Microsoft'a veya her ikisine de gönderecek şekilde yapılandırın. Daha sonra, kullanıcı tarafından bildirilen iletiler, üzerindeki Gönderimler sayfasındaki https://security.microsoft.com/reportsubmission?viewid=userKullanıcı tarafından bildirilen sekmesinde yöneticiler tarafından kullanılabilir. Yönetici, şüpheli istenmeyen postalar, kimlik avı, URL'ler, engellenen meşru e-postalar ve e-posta eklerini Microsoft'a göndermek için Gönderimler sayfasını kullanma bölümünde açıklandığı gibi, kullanıcı tarafından bildirilen iletileri veya iletileri Microsoft'a bildirebilir. Algılama sistemlerimizi eğitmeye yardımcı olduğundan, yanlış pozitif veya hatalı negatifleri Microsoft'a bildiren kullanıcı veya yönetici önemlidir.

• Çok faktörlü kimlik doğrulaması (MFA), güvenliği aşılmış hesapları önlemenin iyi bir yoludur. Tüm kullanıcılarınız için MFA'yi etkinleştirmeyi kesinlikle göz önünde bulundurmalısınız. Aşamalı bir yaklaşım için, MFA'yı herkes için etkinleştirmeden önce en hassas kullanıcılarınız (yöneticiler, yöneticiler vb.) için MFA'yı etkinleştirerek başlayın. Yönergeler için bkz. Çok faktörlü kimlik doğrulamasını ayarlama.

• Dış alıcılara iletme kuralları genellikle saldırganlar tarafından verileri ayıklamak için kullanılır. Kuralların dış alıcılara iletilmesini bulmak ve hatta engellemek için Microsoft Güvenli Puanı'ndaPosta kutusu iletme kurallarını gözden geçirme bilgilerini kullanın. Daha fazla bilgi için bkz. Güvenli Puan ile İstemci Dış İletme Kurallarını Azaltma.

  İletilen e-postayla ilgili belirli ayrıntıları görüntülemek için Otomatik olarak yönlendirilen iletiler raporunu kullanın.