[NetsecTR] Mail hesaplarımızdan bilgimiz dışında mail gidiyor

48 views
Skip to first unread message

ibrahim Çelik

unread,
Mar 28, 2017, 4:10:19 PM3/28/17
to liste
Arkadaşlar merhaba,

Bayilerimize sunmuş olduğumuz mail hizmeti var. Bazı bayilerimizde kullanıcının bilgisi dışında adresinden bir çok kişiye phising mailleri gidiyor.Hesabı kaldırdım. Şifresini değiştirdim, bilgisayarları fortmatlattım ama yinede mailler gitmeye devam ediyor. Bilgisi olan var mı bu tarz bir durumda ne yapmalıyız. Fikri olan var mı?

--
İBRAHİM ÇELİK
-------------------------------------------------
Günlük pentest(sızma testi) teknik ipuçları - https://twitter.com/dailypentest

-------------------------------------------------

Alper Basaran

unread,
Mar 28, 2017, 4:39:33 PM3/28/17
to li...@netsectr.org
İbrahim Bey merhaba,

Mail sunucunuzun ayarlarını (open relay, vs.) kontrol etmenizde fayda var. 

https://www.slideshare.net/bgasecurity/gvenlik-testlerinde-bilgi-toplama 40. sayfada buna benzer bir örnek görebilirsiniz. 

Saygılarımla,
Alper 

Gokan Atmaca

unread,
Mar 28, 2017, 4:40:16 PM3/28/17
to li...@netsectr.org
>
> Bayilerimize sunmuş olduğumuz mail hizmeti var. Bazı bayilerimizde kullanıcının bilgisi dışında adresinden bir çok kişiye phising mailleri gidiyor.Hesabı kaldırdım. Şifresini değiştirdim, bilgisayarları fortmatlattım ama yinede mailler gitmeye devam ediyor. Bilgisi olan var mı bu tarz bir durumda ne yapmalıyız. Fikri olan var mı?
>

Merhaba

BF saldırıları yapılıyor olabilirler. Yada from domain relay
ettiriyorsaniz (genel olarak her domain sadece relay
izin verilen domain auth. yapmadan...) buda neden olabilir. Biz bu
tarz şeyler uğraşmamak için şu servise geç
tik. Belki sizinde işinize yarar.

https://www.ofisbulutta.com/zimbra-bulut-hizmeti/

Zimbra base hizmet lakin default zimbra değil. Mailbox seviysinde
yedeklme ve ldap check
mail archive gibi özellikler eklenmiş. Diğer yandan antispam ve
antivirüste bir takım ekleme
ler yapılmış. SSD storage üzeirnden hizmet veriyorlar ve dedike sunucu
her bir müşteri için.
Google mailbox sayısı artınca pahalıya kaçtı bizde OB geçtik.


2017-03-28 22:56 GMT+03:00 ibrahim Çelik <ibrah...@yandex.com>:

Ozan UÇAR (BGA)

unread,
Mar 28, 2017, 4:41:15 PM3/28/17
to li...@netsectr.org
Merhabalar,
E-Posta servisinde eksik/hatalı bir yapılandırma yada güvenlik zafiyeti bu duruma sebebiyet veriyorda olabilir.

E-Posta servisinin o kullanıcı (yada firma için) e-posta akışını (loglardan) takip edip; kullanıcı kimlik doğrulama yapıyor mu, kimlik doğrulamaksızın eposta gönderimi var mı (relay'e açık olabilir) diye bakmak lazım.

2017-03-28 22:56 GMT+03:00 ibrahim Çelik <ibrah...@yandex.com>:



--

Ozan UÇAR

Managing Partner / BGA Bilgi Güvenliği A.Ş

My brand profile

Istanbul:Kozyatağı Mah. İnönü Cad. Çetinkaya İş Merkezi No: 92 Kat:4 Kadıköy, İstanbul

Tel: +90 216 4740038 | Fax: +90 216 4749386 | Mobile: +90 551 4119596

Ankara:Ceyhun Atuf Kansu Caddesi Gözde Plaza İş Merkezi Kat:5 No:72 BALGAT ÇANKAYA/ANKARA

ozan...@bga.com.tr|BGASecurity.com | @BGASecurity | #BGASecurity | www.ozanucar.com



YASAL UYARI: Bu e-posta'nin icerdigi bilgiler (ekleri de dahil olmak uzere) gizlidir. Sahibinin onayi olmaksizin icerigi kopyalanamaz, ucuncu kisilere aciklanamaz veya iletilemez . Bu mesajin gonderilmek istendigi kisi degilseniz (ya da bu e-posta'yi yanlislikla aldiysaniz), lutfen yollayan kisiyi haberdar ediniz ve mesaji sisteminizden derhal siliniz. BGA, bu mesajin icerdigi bilgilerin dogrulugu veya eksiksiz oldugu konusunda bir garanti vermemektedir. Bu nedenle, bilgilerin ne sekilde olursa olsun iceriginden, iletilmesinden, alinmasindan, saklanmasindan BGA sorumlu degildir. Bu mesajin icerigi yazarina ait olup, BGA'nın  goruslerini icermeyebilir. Bu e-posta bizce bilinen tum bilgisayar viruslerine karsi taranmistir.


DISCLAIMER: This e-mail (including any attachments) may contain confidential and/or privileged information. Copying, disclosure or distribution of the material in this e-mail without owner authority is strictly forbidden. If you are not the intended recipient (or have received this e-mail in error), please notify the sender and delete it from your system immediately. BGA makes no warranty as to the accuracy or completeness of any information contained in this message and hereby excludes any liability of any kind for the information contained therein or for the information transmission, reception, storage or use of such in any way whatsoever. Any opinions expressed in this message are those of the author and may not necessarily reflect the opinions of BGA. This e-mail has been scanned for all computer viruses known to us.

Mesut Tunga

unread,
Mar 28, 2017, 4:42:14 PM3/28/17
to li...@netsectr.org
Alicilardan bir tanesinden header bilgisi istemeniz mumkun mu?

Mesut TUNGA

28 Mart 2017 22:56 tarihinde ibrahim Çelik <ibrah...@yandex.com> yazdı:

ibrahim Çelik

unread,
Mar 29, 2017, 9:16:25 AM3/29/17
to li...@netsectr.org
Arkadaşlar merhaba,
 
Alıcılar sacma sapan mail adresleri. O yüzden header isteme şansım yok. Gateway olarak ıronport kullanıyoruz ve 3000 kullanıcıdan sadece 4 hesapta böyle bir durum var. relay leri kontrol ettim sorun yok. Tüm gönderimler normal legal gibi ulaşıyor. Adamların şifrelerini değiştirdiğim halde client'a bişey bulaşmış olsa bile nasıl hala gönderiyor anlamıyorum.
 
Böyle bir durum yaşıyan yok mu? Tecrübe eden.
 
-- 
İBRAHİM ÇELİK
 
 
 
28.03.2017, 23:42, "Mesut Tunga" <me...@tunga.com>:
,

Ahmet Efe

unread,
Mar 29, 2017, 9:16:56 AM3/29/17
to li...@netsectr.org
Daha önceki yazışmalara reply olarak göndermiyorsa fake mail üzerinden başka yollardan elde ettiği veya tahmin ettiği mevcut müşterilerin adreslerine gönderiyordur. Bunu engelleyemezsiniz. Ya da mail sunucu varsa oraya bulaşmış oradan spear phising yapıyordur.

Dr. Ahmet Efe

28 Mar 2017 23:10 tarihinde "ibrahim Çelik" <ibrah...@yandex.com> yazdı:

İbrahim Çalışır

unread,
Mar 29, 2017, 9:18:35 AM3/29/17
to li...@netsectr.org

Merhaba,

Ozan hocam tam dogru noktayi soylemis. Yuksek olasilikla, epostalar sizin sunucunuzdan cikmamistir. "Tam Baslik" (Full Header) bilgisinde, Ozan Bey'in belirtigi gibi yanlis yapilandirilmis hangi sunucudan ciktigini gorebilirsiniz. Sunucudan sorumlu kuruma haber vermenizi de oneririm.

Dr. Ibrahim Calisir
Orta Doğu Teknik Üniversitesi| Middle East Technical University
Bilgi İşlem Daire Başkanlığı | Computer Center
Bilgi Güvenliği Birimi | Information Security Unit

Ali Abakan

unread,
Mar 29, 2017, 9:19:06 AM3/29/17
to li...@netsectr.org
Giden phishing mailinin sizin sunucunuzdan çıktığından emin msiniz?

2017-03-28 22:56 GMT+03:00 ibrahim Çelik <ibrah...@yandex.com>:

Ozan UÇAR (BGA)

unread,
Mar 29, 2017, 9:19:36 AM3/29/17
to li...@netsectr.org
Ayrıca e-posta servislerinin ve güvenlik bileşenlerinin zafiyet testini yaptırmak için https://ets.sinaralabs.com kullanabilirsiniz.

Detaylarına şu dökümandan ulaşabilirsiniz, https://www.slideshare.net/SinaraLabs/sinara-ets-email-threat-simulator
Reply all
Reply to author
Forward
0 new messages