Sayı: 35 [ Ağustos 2017 ]
Nebula Siber İstihbarat servisi ile ilgili bilgi almak için aşağıdaki bağlantıyı
kullanabilirsiniz.
https://www.nebulabilisim.com.tr/urunler/nebula-siber-istihbarat-servisi
SMTP gateway ürününüzde, zarf göndereni de kontrol edilebilir.
Varsayılan olarak bu kontrol, bazı SMTP gateway ürünlerinde gerçekleştiril-
meyebiliyor.
Aşağıdaki adresten alan adınızda yer alan karakterlerin diğer alfabelerdeki
eşleniklerini belirleyip, kendi sözlüğünüzü hazırlayabilirsiniz.
http://www.unicode.org/cldr/utility/confusables.jsp?a=&r=IDNA2008
Gelen postaların gönderen kısmındaki alan adını hazırlamış olduğunuz söz-
lük ile kontrol ederek oltalama e-postalarını engelleyebilirsiniz.
Sözlük yerine regex ile de bu kontrolü sağlayabilirsiniz. Senaryomuz için
örnek regex;
^(?:xn--).*(?:m|e|h|t)(?:-)?
Burada alan adımızda yer alan m,e,h,t harflerini alternatifli olarak bir puny-
code kullanılmış bir alan adında geçip geçmediğini kontrol ediyoruz.
Saldırganlar, alan adlarında her seferinde farklı karakterin punycode alter-
natifini kullanabilmektedirler. Bu yüzden, alan adında yer alan her harfin latin
alfabedeki halini içeren alan adlarını kontrol ediyoruz.
Ayrıca, SMTP gateway ürününde bu kontrolü yaparken, adres “–xn” ile baş-
lıyorsa ve regexte yer alan şablonumuz ile eşleşiyorsa blokla şeklinde yapılan-
dırırsak her mailde regex kontrolü yapılmayacağı için performans açısında da
iyileştirme sağlayacaktır.
Yapmış olduğum araştırmalarda, protokol göndereni ile zarf göndereni
birbirinden farklı olan e-postaların engellenmesi için e-posta güvenlik ürünle-
rinde anti-spam kuralları olabilmektedir. Konu ile ilgili üreticinize danışmanızı
öneririm.
Bir sonraki yazıda görüşmek üzere.
Kaynaklar;
[1] https://www.punycoder.com
[2] https://www.xudongz.com/blog/2017/idn-phishing/