Beyaz Şapka Ağustos 2017 - Page 15

Sayı: 35 [ Ağustos 2017 ] Nebula Siber İstihbarat servisi ile ilgili bilgi almak için aşağıdaki bağlantıyı kullanabilirsiniz. https://www.nebulabilisim.com.tr/urunler/nebula-siber-istihbarat-servisi SMTP gateway ürününüzde, zarf göndereni de kontrol edilebilir. Varsayılan olarak bu kontrol, bazı SMTP gateway ürünlerinde gerçekleştiril- meyebiliyor. Aşağıdaki adresten alan adınızda yer alan karakterlerin diğer alfabelerdeki eşleniklerini belirleyip, kendi sözlüğünüzü hazırlayabilirsiniz. http://www.unicode.org/cldr/utility/confusables.jsp?a=&r=IDNA2008 Gelen postaların gönderen kısmındaki alan adını hazırlamış olduğunuz söz- lük ile kontrol ederek oltalama e-postalarını engelleyebilirsiniz. Sözlük yerine regex ile de bu kontrolü sağlayabilirsiniz. Senaryomuz için örnek regex; ^(?:xn--).*(?:m|e|h|t)(?:-)? Burada alan adımızda yer alan m,e,h,t harflerini alternatifli olarak bir puny- code kullanılmış bir alan adında geçip geçmediğini kontrol ediyoruz. Saldırganlar, alan adlarında her seferinde farklı karakterin punycode alter- natifini kullanabilmektedirler. Bu yüzden, alan adında yer alan her harfin latin alfabedeki halini içeren alan adlarını kontrol ediyoruz. Ayrıca, SMTP gateway ürününde bu kontrolü yaparken, adres “–xn” ile baş- lıyorsa ve regexte yer alan şablonumuz ile eşleşiyorsa blokla şeklinde yapılan- dırırsak her mailde regex kontrolü yapılmayacağı için performans açısında da iyileştirme sağlayacaktır. Yapmış olduğum araştırmalarda, protokol göndereni ile zarf göndereni birbirinden farklı olan e-postaların engellenmesi için e-posta güvenlik ürünle- rinde anti-spam kuralları olabilmektedir. Konu ile ilgili üreticinize danışmanızı öneririm. Bir sonraki yazıda görüşmek üzere. Kaynaklar; [1] https://www.punycoder.com [2] https://www.xudongz.com/blog/2017/idn-phishing/