Browse > Home / Archive by category 'e-posta güvenliği'

| Subcribe RSS

Günümüz İletişim Aracı E-posta’ların Önemi ve Güvenlik Öğeleri

October 2nd, 2010 | No Comments | Posted in e-posta güvenliği, Güvenlik, Phishing

İş dünyasının en sık iletişim araçlarından biri olan E-posta’ların önemi, artan mobil telefon, PDA ve akıllı telefonlarla birlikte her geçen gün artmaya devam ediyor. Bütün bu artan araçlarla birlikte Internet kullanımının artması, beraberinde e-mail/e-posta kullanımını da arttırmaya devam ederken, özellikle son kullanıcılar açısından; phishing saldırıları, malware siteleri, kısaltılmış URL adresleri ve spam gibi zararlı içeriklere sahip e-mail’lere karşı önlem alınmasını zorunlu hale getiriyor. Bu konuda özellikle spam mail içerikli yazımı okuyabilirsiniz.

Web tabanlı vs İstemci Tabanlı

Web tabanlı mail hizmetleri konusunda GMail, Hotmail ve Yahoo’yu örnek gösterebiliriz ya da şirketlerin kendi kurumlarında uyguladıkları Outlook Web Access (OWA) gibi hizmetleri sıralayabiliriz. Tüm hizmetlerin kendi has güvenlik öğeleri olsa da, standart protokol destekleri mevcut. Bunların başında SSL (Secure Socket Layer) ve TLS (Transport Layer Security) geliyor. Bu nedenle bu tür hizmetlere abone olurken mutlaka güvenlik ve gizlilik politiklarına göz atın ve kullanıcı adı/şifrelerinizin şifrelendiği GMail’de bile standart olarak kullanılan HTTP(s) protokolünün kullanıldığına dikkat edin.

İstemci tarafında ise durum daha kontrolümüz altında diyebiliriz. En popüler istemci e-mail araçlarından olan MS Outlook ve Mozilla Thunderbird, kullanıcı isteklerine göre politikalar oluşturabiliyor. Özellikle yeni sürüm Outlook 2011’i ciddi manada beğendiğimi söyleyebilirim. iPhone ile sağladığım entegrasyon ile kişilerin adres bilgilerinden, fotoğraflarına ve takvim bilgilerime kadar hemen herşeyi senkron edebiliyorum ve yine aynı şekilde Outlook’taki toplantılarım iPhone’a eklenerek, vaktinden önce uyarı almamı sağlayabiliyorum.

HTTP(s) ve SMTP gibi transport protokollerinin kullanıldığı e-mail sistemleri kendi güvenlik öğelerini içerir.
Biliyor muydunuz?
E-posta alıcıları kendilerine gelen maillerin gerçekte kim tarafından, hangi IP’den ve hangi süreçlerden geçtiğini izleyebilirler. Bu mailler spam’cilerden geliyor olsa bile…

ISP Güvenliği: Bot’lar ve  Spam’ler

Türkçesi ISS olmasına rağmen nedense hala ISP diye tabir edilen Internet Servis Sağlayıcı’ların oluşturduğu güvenlik kavramları da oldukça önem kazanıyor. Bu konude Türk Telekom’un geçtiğimiz sene projelendirdiği Bot Sistemlere engel teşkil eden Port değişikliğini yine blog yazımdan okuyabilirsiniz. Standart SMTP portunun yerine, daha güvenli olması açısından farklı bir porttan e-mail haberleşmesini sağlayan bu proje ile ciddi bir sorunun önüne geçilmişti.

ISS’lerin bu konudaki en büyük sıkıntıları kuşkusuz sistemlerden dışarıya atılan mailler. Gelen mailler her şekilde belirli taramalardan geçerken, sanırım giden maillerin kontrolü bu kadar da kolay değil (Aslında gayet mümkün). Bu nedenle ISS’lerin en büyük yaptırımı belirli IP aralıklarını bloklamak ya da ilgili bant genişliğini kısıtlamak olabilir. Yine en büyük engellerden bir tanesi de Spam içerikli kabaca propaganda, reklam, zararlı kod’lar içeren reklam içerikli mailler. Bunların önüne geçmek ne yazık ki %100 etkili değil ancak Tumbleweed/Axway, Cisco, Symantec gibi büyük firmaların %99’a varan e-mail güvenliği sağlayan yazılım ve donanım bazlı çözümleri mevcut.

Biliyor muydunuz?

Kişisel Bilgisayarlarınızda Anti-Virüs kullanırken her zaman tam sistem taramasını seçmelisiniz. Bu tarama bilgisayarınızdaki tüm malware, bot ve zararlı kod (malicious code) öğelerini bulmanızı kolaylaştırır.

E-Mail Sistemlerinde Sosyal Mühendislik Kavramı

Aslında bu konudan başlı başına bir blog yazısı çıkabilir ancak genel olarak bahsetmek gerekirse; en çok güvendiğiniz çocukluk arkadaşınızdan gelen e-mailleri bile sorgu/sualsiz açıyorsanız ve güveniyorsanız, bence bu alışkanlığınızı/davranışınızı tekrar gözden geçirmelisiniz. Hiç ummadığınız bir anda e-posta ile birlikte gelen MP3, PDF, MOV ya da en çok kullanılan EXE uzantılı dosyalarda hiç beklemediğiniz zararlı içerik yeralabilir. Kurumlar bunun önlemini rahatlıkla alabilirken, webmail kullanan kişisel e-posta hizmetlerine sahip kişiler, durumdan daha bihaberler. Önlemi ise basit ama ön-sezileriniz sizi yanıltabilir: Burnunuza herhangi bir şekilde kötü koku gelen e-postaları açmayın 🙂

Yazının sonlarına gelirken, geniş çapta kullanılan dijital imza gibi güvenlik öğelerini de kullanabilirsiniz. Bu konuda OpenPGP, SSL sertifikaları gibi kavramlar; e-postaların siz tarafından atıldığına ya da yine sizin isteğinizde bağlı olarak içeriğin tamamen şifrelenmesini sağlayabilir. Bu opsiyonel ve anlaşılması zor bir sistem gibi gözükse de, bu konuda çalışan vendorlar, sundukları çözümlerle birlikte bu özelliği çok kolay ve uygulanabilir bir hale getirmeyi başarıyorlar.

Tags: , ,

Hotmail ve farklı domainlerin qmail e-mail sunucuları ile haberleşememesi

October 7th, 2009 | 1 Comment | Posted in e-posta güvenliği

E-mail güvenlik sistemlerini yönetirken geçen ay başından itibaren dikkatimi çeken bir sorun vardı. Özellikle Microsoft’un live.com, msn.com, hotmail.com e-posta hizmetleri ve Türkiye’deki bazı kurumların Newsletter tarzında yolladığı mailler; güvenlik sistemimize takılıyor ve e-posta sunucumuza ulaştırılamayarak, takılan e-postalar RETRY kuyruğuna düşüyordu. More »

Tags: , , , , , , , ,

yahoo domainkeys ile e-mail güvenliği

May 12th, 2009 | No Comments | Posted in e-posta güvenliği

Yahoo belki de, e-mail hesabı sağlama işini en uzun süredir yapan firmaların başında geliyor. Daha eski var mı bilmiyorum ancak gmail yokken hotmail ve yahoo sıkı bir rekabet içindeydi. Şimdi çok çeşitli firmalar çıktı. Hatta insanlar artık kendi domain adreslerine sahip, mail hesapları kullanıyor oldular.

Spider-man çizgi dizi ve filminden Uncle Ben’in meşhur lafını hatırlarsınız: “With great power, comes great responsibility” Eğer bunun gibi e-mail hizmetlerini güç ile bağdaştıracak olursak, beraberinde çok çeşitli güvenlik tedbirleri almalarını gerektirerek, firmaların müşterilerine karşı sorumlu oldukları yargısına varabiliriz. yahoo’nun da bu konuda çeşitli güvenlik tedbirleri bulunuyor. Genel olarak tüm e-mail servis sağlayıcıların maillerini kullanıyorum. Ve gördüğüm kadarıyla yahoo’nun hizmeti içlerindeki en iyi güvenlik öğelerini sağlıyor. Bunlar arasında; spam, virüs ve phishing önleme sistemleri bulunuyor. Bunlara ek olarak  “domainkeys” özelliğini de kullanıyor yahoo.

Domainkeys’in yaratılma amacı genel olarak spoofed sistemler dediğimiz olmadığın gibi görünme prensibine dayanıyor (Nedense bu lafı birden çok sevdim). Atıyorum sizin zafer.com’dan geldiğini sandığınız bir mail aslında yilmaz.com’dan ya da zaferrrr.com’dan geliyor olabilir. Bunu ilgili mailin headerlarına bakarak tespit edebilirsiniz. İşte bu nedenden ötürü domainkeys dediğimiz özelliği kullanarak, her bir domain’in kendine ait bir sertifikası (public ve private olmak üzere 2 adet) oluyor ve domain’ler birbirleriyle bu sayede haberleşip, rahatlıkla kendileri arasında tanımlama yapabiliyorlar.  Domainkeys,  C üzerine geliştirilmiş bir yöntem ve başta mail sunucuları olmak üzere, istenirse client dediğimiz (istemci lafını sevmiyorum) kişilerin kullandıkları sistemlere de kolaylıkla entegre edilebiliyor. Desteklediği birçok platformun yanısıra, desteklenmeyek ortamlar için de, kendi entegrasyonunuzu yapabilirsiniz.

Bu ve bu tarz yöntemlerin bir standart olması gerekir diye düşünüyorum ancak bu konuda nasıl bir çalışma yapılıyor emin değilim. Daha fazla bilgi için: Wiki Domainkeys ve Sourceforge Domainkeys sitelerine gözatabilirsiniz.

Tags: , , ,

Spam mailleri anlamak mı dediniz?

April 20th, 2009 | No Comments | Posted in e-posta güvenliği

Hergün inbox’unuzu kontrol ederken maillerinize yan gözle mi bakıyorsunuz?

Acil olan bir mail bekliyorsunuz ancak inbox’unuz o kadar dolu ki, aradığnız maili bulamıyor musunuz?

Çocuğunuza mail adresi aldınız ancak sizin isteğiniz dışında gelen abuk-sabuk mailleri, çocuğunuzun görmemesini mi istiyorsunuz?

O zaman siz hala SPAM maillerle tanışmamışsınız demektir. SPAM‘ı genel olarak; istenmeyen, talep edilmeyen mail olarak adlandırabiliriz. En basit anlamda, yolanan bir SPAM mailin,  alıcıların istekleri haricinde birbirinden farklı alıcılara gitmesi ve ideal olarak hiçbir şekilde durdurulamayan maillere verilen genel ad’dır. JUNK mail olarak ta adlandırılabilen SPAM, daha çok kurumsal olarak reklam amaçlı gönderilen ve isteğimiz dışında aldığımız maillere verilen addır.  Özellikle son yıllarda ciddi bir oranda artış gösteren SPAM mailler, dünyadaki e-mail mesajlarının yaklaşık olarak %85’ini kapsamaktadır.

Peki SPAM,  Ne değildir?

Bireysel olarak bir kişinin diğer bir kişiye küfürlü bir mail göndermesi, SPAM değildir.

Broadcast ya da Bulk e-mail nedir?

Spam’e alternatif olarak çeşitli tipte e-mailler vardır. Bunlardan birtanesi de Broadcast ve Bulk e-mail olarak geçer. Broadcast mailleri daha çok daha önce iş yaptığınız bireysel/kurumsal müşterilerinizin kendi hizmetleri hakkında size gönderdikleri pazarlama amaçlı mailler olarak adlandırabiliriz. Bu mailler sizin bir şirketin “subscription” olarak adlandırılan üyelikle haber alma servisleri bile olabilir. Ideefixe sitesinin size her hafta gönderdiği kampanya haberler, müşterisi olduğunuz bankanın size belirli aralıkla gönderdiği finans ya da kampanya bilgileri broadcast olarak adlandırılır. Yalnız bir mailin broadcast olarak adlandırılabilmesi için sizin bu mailleri almama seçeneğiniz olması gerekiyor (Unsubscribe).

Normal (Regular) Mail nedir?

Spam ya da broadcast maillerin haricinde bir kişinin diğer bir kişiye gönderdiği tüm mailler normal mail olarak adlandırılır.

False Positive nedir?

Spam mailerin hacminin artmasıyla birlikte bu tarz mailleri sınıflandırmak bir hayli zorlaşıyor. Gelişen teknolojilere nazaran birçok spam ve broadcast (bulk) mail üreten sistemlerin tespit edilmesi de, sınıflandırmayı zorlaştırıyor. Bu konuda False Positive dediğimiz klasman, normal bir mailin spam olarak algılanması prensibine dayanıyor.

Sınıflamalar

Spam ve Bulk  olarak adlandırılan maillerin çeşitli sınıflandırmaları bulunuyor. Sektörler çok geniş olduğu için bu sektörlere ait çok farklı klasmanlar bulunuyor. Şimdi bunları tanıyalım:

Adult: Pornografik, seks içerikli, şok verici içeriğe sahip ya da reklamı yapılan ürün/servisler, porno içeriğe ya da yetişkinlere özel web siteleri.

Scam: Alıcıları yanlış yönlendirilmiş birçok mail scam olarak geçer. Phishing dediğimiz oltalama, kimlik hırsızlığı, dolandırıcılık mesajları (mailleri),  direkt ya da indirekt olarak para çekimlerine yönelim tüm mailler.

Unclassified: Yukarıda bahsettiğim tüm kategorilerinin dışındaki tüm spam mailler bu sınıflandırmadadır.

Peki, Güvenlik Sistemleri nasıl işliyor?

Sektörde E-mail Security alanında birçok firma bulunuyor. Bunların çoğu birçok özelliği desteklerini iddia etseler de, asla tam kapasite ile çalışmıyorlar. Bu alandaki firmaların donanımsal ve yazılımsal olarak çeşitli çözümleri bulunsa da, kullanılan yöntemler genel olarak ortak. Şimdi bu yöntemleri tanıyalım:

  • DNS Block List (DNSBL): 3.parti ya da open source olarak kullanılan bu yöntemde, dünya’da spam yapan DNS ya da IP adresleri belirli bir database altında toplanıyor ve gelen mailler bu güvenlik sistemleri tarafında DNSBL adreslerine bakılıyor (İnternet üzerinden ya da lokal) ve eğer gönderen mail bu adreslerden birinde yeralıyorsa; sistem bu maili bloklayarak, inbox’a düşmesine engel oluyor. Etkili bir sistem olmasının yanında, check edilecek birçok adres olduğu için daha çok büyük firmaların çözümleri tercih ediliyor.
  • Manual IP Address blocking: Belirli bir IP adresinin spam yaptığını düşünüyorsanız, bunu sisteminizden direkt olarak elle bloklayabilirsiniz.
  • Recipient Verification at the Relay: Relay ortamında alıcısı bilinmeyen bir mailin bloklanması prensibine dayanır. Otomatik spam mail gönderen sistemler çok değişik kullanıcılar oluşturduğundan (asflaflgdjb@kurumadi.com gibi) bu tip mail listeleri oluşturarak, gereksiz mailleri bloklayabilir ve mail sunucunuzun yoğunluğunu azaltabilirsiniz.
  • Edge Protection: Maillerin trafik patternlerini analiz ederek Denial of Service (DoS), Directory Harvest ve diğer kötü niyetli ataklara karşı bir koruma yöntemidir. Firmaların güvenlik sistemlerine bağlı olarak Edge Protection dışında farklı bir isimde de bulunabilir.
  • Content Filtering: Maillerin içeriğini filtreyen bu yöntem ile belirli kelimleri ilgili maillerin Subjecti ya da mail içeriğine bağlı olarak filtreleyebilirsiniz. Bu konuda atıyorum Viagra kelimesini tamamen bloklayabileceğiniz gibi bu kelimeye (ve daha fazlasına) belirli bir puanlama verip, X puan olunca maili drop et ya da karantinaya al gibi özellikleri kullanabilirsiniz.
  • White / Grey / Black Listler: Dediğimiz gibi broadcast ya da spam gibi sınıflandırılan mailler kimi zaman false positive olarak gözükebiliyor. Bu noktada tanıdığınız domain’lerden gelen mailleri White List’e koyup, bu domainleri Exclude edebilirsiniz. Ya da tüm bu sistemlerin etkisiz olması durumunda kendi şirketinize özel blacklist’ler oluşturarak, bu domainleri tamamen bloklayabilirsiniz. Bu konuda özellikle gmail, hotmail gibi domainlerden gelen spam mailleri domain bazında değil de, kullanıcı basında bloklamakta fayda var. Bu konuda dikkat edin 🙂
  • Digital Certificate: Sizin belirleyeceğiniz domainlere çeşitli sertifikalar atayarak PKI alanında bir güvenlik sağlanıyor. İlgili domain size mail gönderirken, bu mail bir sertifika ile imzalanıyor ve sizin güvenlik sistemleriniz bu sertifikayı tanıyor, onaylıyor ve sonra size güvenli olarak iletiyor.

Koruma yöntemleri çoğaltılabilir. Kimi firmaların bu konuda özel çözümleri de mevcut (Edge Protection gibi). Şimdi de SPAM konusunda neler yapabilirsiniz bunları kısaca anlatalım:

  • Tavsiye 1: Özellikle Adult içerikli mailler için agresif hatta çok agresif olmaya özen gösterin ve son kullanıcı konusunda bu tarz maillerin raporlanmasını engelleyin. Gerekli politikaları oluşturup bu tarz cinsel içerikli maillerin hepsini bloklayın.
  • Tavsiye 2: Firmanızın bulunduğu sektöre istinaden SCAM mailler konusunda agresif olun. Politikalarınız doğrultusunda bu mailleri raporlanmasını engelleyebilir ya da izin verebilirsiniz.
  • Tavsiye 3: Spam mailler çok çeşitli olduğu için kategori dışı mailler üzerinde agresif olun (agresif kelimesini çok kulladım 🙂 ).

Sonuç olarak güvenlik yöntemleri ne kadar gelişmiş olursa olsun, hepsi 25. porttan (genellikle 25)  SMTP protokolünü kullandığından özellikle network bazında bir zaaf var. Atak yöntemleri her zaman açıklık bulma prensibine dayandığından, her zaman üst düzey güvenlik sistemleri kullanmakta fayda var. Basit yazılımsal çözümler ucuz olduğu kadar özellikle fazla efektif değiller (Özellikle ücretsiz sürümler). Bunun dışında komplex yazılım çözümleri olduğu kadar donanımsal çözümlere yönelmek, her zaman daha etkin bir güvenlik çözümüdür.

Bu yazıda Tumbleweed firmasının “Understanding Spam” dökümanından faydalanılmıştır.
Tags: , ,

TTNET ADSL müşterilerinin SMTP port değişikliği Spam Maillerin önüne geçebilir mi?

April 8th, 2009 | 28 Comments | Posted in e-posta güvenliği

Yahoo’daki BilgiGüvenliği grubunda da paylaşmıştım, konu ile ilgili gelişmeleri gördükten sonra, ilgili konudaki gelişmeleri görmek sevindirici. Hosting hizmeti de verdiğimizden, müşterilerimiz zaman zaman black list denilen ve dünya çapında yaygın olarak kullanılan spam engelleyici DNSBL olarak adlandırılan kara listelere girebiliyor. Geçtiğimiz aylarda bunun check işlemlerini yaparken, TTNET’in ciddi bir spam oranına sahip olduğunu görmüştüm (IP’miz temizdi ancak sağlayıcımız TTNET olduğu için ilgili TTNET IP bloğu blocklanmış gözüküyordu). Aşağıdaki tablolarda detaylarını bulabilirsiniz (Güncel olmayabilir, 25 Mart 09 verileridir).

http://www.uceprotect.net/en/rblcheck.php

Position Spammer Provider AS – Test
1. 90993 TTNET TTnet Autonomous System AS9121

UCEPROTECT-Level3

Reputation of ASN 9121 | TTNET TTnet Autonomous System

AS Status Provider has
total IP’s
Level 1 listed spammers
within the last 7 days
Escalation to Level 3
by Level 1 records
Optional Expressdelisting
WARNING!
PROBLEM MUST BE FIXED FIRST
TO PREVENT NEW LISTINGS
9121 LISTED 5908224 90993 (1.54 %) 11816
What means listed at UCEPROTECT-Level 3?
UCEPROTECT Network operates three levels of blacklisting, so our users can make the decision how strong they want to filter.
While UCEPROTECT-Level 1 lists single IP’s only, UCEPROTECT Level-2 escalates and lists spammy allocations.
UCEPROTECT-Level 3 is the highest possible escalaion, complete Autonomus Systems (AS) get listed at Level 3 if there were too many spamming IP’s (listed in Level 1) originating from said AS within the last 7 days.
If the provider harbours too many spammers and only has one ASN (Autonomus System Number) that logically means:
All IP’s of said provider get listed at Level 3 then.
While in fact UCEPROTECT-Level 3 is nothing than pure mathematics based on Level 1, one could best describe UCEPROTECT-Level 3 as a boycottlist.

Spam ile ilgili mücadele konusunu Şubat ayında yayınlanan neler yapabiliriz konulu başlıkta açıklamıştım. Bu konuda ilgili kurum, firmaların görüşlerini almak istemişti. Bu konuda ciddi gelişmelerin olduğunu belirtmemde fayda var. Hemen açıklayalım;

TTNet önderliğinde Mynet, Çizgi Telekom, DorukNet ve TTMail kurumları, Türkiye’de pilot bir uygulama başlatıyor. Bu uygulama kapsamında; SMTP protokolünün default olarak kullandığı 25. port yerine, 587 no’lu port kullanılmaya başlatılacak. Bu konuda özellikle mail gönderirken domain kullanımı yerine, IP lere ve ilgili 25. port ataklarına karşı önlem alınması planlanıyor. Bundan böyle ilgili sistemlerin 25. portlarının INBOUND’larına gelen trafiklere izin verilmeyerek, tamamen bloklanacak.

Konu ile ilgili olarak TTNET’in yaptığı açıklama ve ilgili güvenlik ayarlarını öğrenmek için bu adresi kullanabilirsiniz. Unutmayın, bu bir pilot uygulama ve etkilenecek şehirler şu şekilde sıralanıyor: Aydın, Bayburt, Diyarbakır, Giresun, Gümüşhane, Ordu, Rize, Sivas, Tokat, Trabzon.

Eğer bu şehirlerde yaşayan TTNET ADSL müşterisiyseniz, gerekli talimatları uygulayabilirsiniz.

Tags: , , , , , , , , ,
  • Site istatistik

    Bugünkü ziyaret: 41
  • Add to Technorati Favorites

    Mail adresinizi girin:



  • Google Connnect
  • RSS DarkHardWare News