CyberFlow Logo CyberFlow BLOG
Smtp Pentest

SMTP Spoofing: E-posta Sahteciliğini Anlamak ve Engellemek

✍️ Ahmet BİRKAN 📂 Smtp Pentest

SMTP spoofing nedir? E-posta sahteciliği ile mücadele etmek için SPF, DKIM ve DMARC gibi yöntemleri nasıl kullanabilirsiniz? Detaylar blogumuzda.

SMTP Spoofing: E-posta Sahteciliğini Anlamak ve Engellemek

E-posta sahteciliği, siber güvenlikte önemli bir tehdittir. Bu yazımızda SMTP spoofing kavramını, savunma yöntemlerini ve saldırı tekniklerini ele alıyoruz.

Giriş ve Konumlandırma

SMTP, yani Simple Mail Transfer Protocol, e-posta iletimi için kullanılan temel bir protokoldür. Ancak, bu protokolün tasarımındaki bazı zayıflıklar, e-posta sahteciliği olarak bilinen bir saldırı türüne yol açmaktadır: SMTP Spoofing. SMTP spoofing, bir saldırganın bir e-postanın gönderen bilgilerini değiştirmesi ve böylece alıcıyı yanıltarak dolandırıcılık yapmasıdır. Bu durum, sadece bireyler değil, aynı zamanda kuruluşlar için de ciddi güvenlik riskleri oluşturur.

SMTP Spoofing Nedir?

SMTP spoofing, bir saldırganın sahte bir e-posta adresi kullanarak alıcıya e-posta göndermesi anlamına gelir. Bu süreç, genellikle saldırganın, SMTP sunucusuna doğrudan bağlantı kurarak ve "MAIL FROM" komutunu kullanarak sahte bir gönderen bilgisi belirlemesi ile başlar. Bu tür bir saldırı, alıcının gönderenin kim olduğunu güvenilir bir şekilde doğrulayamaması nedeniyle etkili olabilir. Saldırganlar, şirketlerin üst düzey yöneticilerini taklit ederek veya tanıdık adreslerden geliyormuş gibi görünen mailler göndererek kurbanları manipüle ederler. 

MAIL FROM: <ceo@sirket.com>

Yukarıdaki komut, saldırganın, e-postayı bir şirketin CEO'su gibi görünerek göndermesine olanak tanır. Sonuç olarak, hedef kullanıcılar aldanma potansiyeline sahip olur ve zararlı içeriklere veya sahte linklere tıklamaya daha eğilimli hale gelirler.

Neden Önemlidir?

SMTP spoofing, bugün siber güvenlik alanında dikkate alınması gereken en önemli tehditlerden biridir. Bu tür saldırılar, veri ihlalleri, mali kayıplar ve güven kaybı gibi sonuçlara yol açabilir. Özellikle büyük organizasyonlar, kötü niyetli saldırganların hedefi olma konusunda daha savunmasızdır. Bu durum, sadece bireylerin değil, aynı zamanda şirketlerin de itibarını zedelemekte ve ekonomik kayıplara neden olmaktadır.

Ayrıca, bu tür saldırılar phising (oltalama) saldırılarının temelini oluşturmaktadır. Saldırganlar, sahte e-postalar aracılığıyla kullanıcıların kimlik bilgilerini ele geçirmeye çalışır. E-posta sahteciliği, hem teknik hem de sosyal mühendislik unsurlarını bir araya getirerek, hedeflerin dikkatini dağıtır ve güvenlik duvarlarını aşmayı kolaylaştırır.

Siber Güvenlik, Pentest ve Savunma Açısından Bağlamlandırma

Siber güvenlik alanında, SMTP spoofing tehdidinin anlaşılması ve korunma yollarının belirlenmesi büyük önem taşır. Pentest (sızma testi) uygulamaları sırasında, güvenlik uzmanları SMTP yaygınlığı ve bağlı güvenlik açıklarını test etmek için çeşitli yöntemler kullanırlar. Bu açıdan, SMTP spoofing testleri, organizasyonların e-posta sistemlerinin ne kadar güvenli olduğunu belirlemekte kritik bir rol oynar.

E-posta sahteciliğinin önlenmesi için birkaç strateji geliştirilmiştir. Bunlar arasında SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) ve DMARC (Domain-based Message Authentication, Reporting & Conformance) gibi protokoller bulunmaktadır. Bu protokoller, göndericinin kimliğini doğrulamaya yardımcı olur ve sahte e-postaların engellenmesini sağlar.

Örnek vermek gerekirse, bir şirketin e-posta sunucusunda geçerli bir SPF kaydı yoksa, bu durum saldırganların onu kötüye kullanabilmesi için uygun bir veri sağlar. Bu nedenle, e-posta yöneticilerinin SPF, DKIM ve DMARC kayıtlarının doğru bir biçimde yapılandırıldığından emin olması gerekir. Aksi takdirde, konumlandırılan e-posta sunucuları, saldırılar için birer hedef haline gelir.

SMTP spoofing ile ilgili bilgi sahibi olmak, güvenlik uzmanlarının kendi savunma hatlarını oluşturmasına yardımcı olur. Bu yanlış anlayışın önüne geçmek ve etkili, stratejik güvenlik politikaları geliştirmek için olmazsa olmaz bir adımdır. Sonuç olarak, e-posta sahteciliğini anlayarak önlemenin, hem bireyler hem de organizasyonlar açısından kritik bir öneme sahip olduğu ortaya çıkmaktadır.

Teknik Analiz ve Uygulama

Telnet ile Manuel Spoofing

E-posta sahteciliğinin en temel yöntemi, hedef sunucu ile ham bir TCP bağlantısı kurarak kendi kimliğinizi başka bir kullanıcı gibi tanıtmaktır. Bu işlem, Telnet aracılığıyla SMTP protokolü kullanılarak gerçekleştirilebilir. Telnet ile manuel spoofing yapmak, saldırganların sunucunun savunmasız olduğunu doğrulamak için kullanabileceği ilkel bir tekniktir.

Öncelikle, hedef sunucuya bağlanmak için aşağıdaki komutu çalıştırarak Telnet oturumunu başlatabiliriz:

telnet 10.0.0.1 25

Bu komut, 10.0.0.1 IP adresinde çalışan SMTP sunucusuna bağlanır. Bağlantı kurulduğunda, SMTP komutları kullanarak e-posta gönderimine başlayabiliriz.

E-posta göndermek için ilk önce gönderen adresini belirtmeliyiz:

MAIL FROM: <ceo@sirket.com>

Bu komuttan sonra, alıcı adresini belirtmek için aşağıdaki komutu kullanmalıyız:

RCPT TO: <kurban@mail.com>

Mesajın içeriğini belirlemek için DATA komutunu kullanın:

DATA
Subject: Deneme E-postası
Merhaba, bu bir deneme e-postasıdır.
.

Son olarak, bağlantıyı kapatmak için QUIT komutunu kullanabilirsiniz.

Gönderen Bilgisi Karmaşası

SMTP protokolü içinde, 'gönderen' bilgisi iki farklı yerden tanımlanır: MAIL FROM ve From: başlığı. Saldırganlar, bu iki farklı tanımı kullanarak e-posta istemcilerini (Outlook, Gmail vb.) kandırabilir. Bu nedenle, e-posta güvenliği açısından bu bilgilerin hizalanması önem arz eder.

Savunma Kalkanı: SPF

SPF (Sender Policy Framework), bir domain adına hangi IP adreslerinin e-posta gönderebileceğini belirten ve DNS üzerinde barındırılan bir kayıt türüdür. Düzgün yapılandırıldığında, SPF kullanımı sahtecilik girişimlerini büyük ölçüde azaltabilir. SPF kaydını sorgulamak için dig komutunu kullanabiliriz:

dig TXT hedef.com

Elde edilen sonuçlar, domainin hangi IP adreslerinin SPF kaydında yer aldığını göstermektedir.

SPF kaydının sonundaki semboller, kuralın ne kadar sert uygulanacağını belirler:

  • -all: Listelenmeyen IP'leri kesinlikle reddet.
  • ~all: Listelenmeyen IP'leri "şüpheli" olarak işaretle ve kabul et.
  • +all: Herhangi bir IP'nin mail göndermesine izin ver.

SWAKS ile Gelişmiş Test

SWAKS (Swiss Army Knife for SMTP), mail sahteciliği testleri yapmak için kullanılan güçlü bir araçtır. SWAKS ile bir e-posta göndermek için aşağıdaki komutu kullanabiliriz:

swaks --to kurban@mail.com --from admin@banka.com --server 10.0.0.1

SWAKS ile gönderilen e-postaların başlıklarını manuel olarak manipüle etme imkanı, güvenlik testleri sırasında oldukça faydalıdır.

Dijital İmza: DKIM

DKIM (DomainKeys Identified Mail), gönderilen her e-postaya özel bir kriptografik imza ekleyerek, alıcı sunucunun bu imzayı DNS üzerinden doğrulamasını sağlayan bir mekanizmadır. DKIM uygulamanın amacı, e-postanın yolda değiştirilmediğini ve gönderildiği domain ile ilişkilendirildiğini kanıtlamaktır.

Nihai Politika: DMARC

DMARC (Domain-based Message Authentication, Reporting & Conformance), SPF veya DKIM doğrulamaları başarısız olduğunda ne yapılacağına dair politikaları belirler. DMARC, e-posta sahteciliğine karşı son bir savunma katmanıdır ve genellikle SPF ve DKIM ile birlikte kullanılır.

DMARC kaydı, DNS üzerinde yapılandırılmalı ve SPF ile DKIM politikalarına referans vermelidir.

Spoofing Tespit Yöntemleri

E-posta sahteciliği tespit etmenin en etkili yolu, e-posta başlıklarını (headers) analiz etmektir. E-posta başlıklarında 'Received:', 'Authentication-Results:' gibi alanlar, e-postanın hangi yolları izlediğini ve hangi doğrulama testlerinden geçtiğini gösterir. Bu bilgiler, sahteciliği kanıtlamak için kritik öneme sahiptir.

Saldırı Amacı

E-posta sahteciliği genellikle kullanıcıları kandırmak, parolalarını çalmak, veya zararlı yazılımları indirmeye yönlendirmek amacıyla gerçekleştirilir. Bu dikkate değer saldırı türleri, birçok organizasyonun güvenlik protokollerini sürekli olarak gözden geçirmesine neden olmaktadır.

Bu nedenle, hem kullanıcıların hem de IT ekiplerinin e-posta güvenliği konusunda bilgili olması büyük önem taşır. E-posta güvenliği stratejileri, sadece teknik önlemlerle değil, aynı zamanda eğitimle de desteklenmelidir.

Risk, Yorumlama ve Savunma

E-posta sahteciliği, bir kullanıcıyı veya kuruluşu, gerçek göndericinin kimliğiyle aldatmak amacıyla sahte e-postalar gönderme girişimidir. E-posta sunucuları arasındaki iletişimin standartlarına göre, SMTP (Simple Mail Transfer Protocol) protokolü, birçok güvenlik açığı barındırmaktadır. Bu durum, saldırganların doğru yapılandırılmamış e-posta sunucuları üzerinden e-postaları manipüle etmesine ve kullanıcılara zarar vermesine olanak tanımaktadır.

E-posta Sahteciliğinin Güvenlik Anlamı

SMTP protokolü, "gönderen" bilgisini iki farklı yerde tanımlar; "Envelope Sender" (zarf gönderen) ve "Header From" (başlık gönderici). Saldırganlar, bu iki tanımlama arasındaki farkı kullanarak alıcıyı yanıltabilir. Örneğin, bir saldırgan, SMTP sunucusuna bağlanarak "MAIL FROM" komutunu kullanarak gönderici bilgisi olarak bir CEO adresini belirtebilir. Bu, potansiyel olarak alıcıların güvenini kazanmak için etkili bir teknik olan phishing (oltalama) saldırılarına zemin hazırlar.

Saldırganlar tarafından gerçekleştirilen bu tür saldırılar sonucunda, kullanıcıların parolaları çalınabilir veya zararlı yazılımlar indirebilir. Bu durum, kuruluşların itibarına ve kullanıcıların güvenliğine ciddi zararlar verebilir. Dolayısıyla, SMTP spoofing riskini anlamak ve yönetmek kritik bir gerekliliktir.

Yanlış Yapılandırma veya Zafiyet Etkisi

Yanlış yapılandırılmış e-posta sunucuları, spoofing saldırılarına karşı en büyük hedeflerden biridir. SPF (Sender Policy Framework) gibi DNS tabanlı güvenlik kayıtlarının yokluğu veya hatalı ayarları, bir domainin tüm sahteciliğe açık olduğunun göstergesidir. Eğer bir domainin SPF kaydı yoksa veya doğru yapılandırılmamışsa, saldırganlar sunucuya kolayca erişim sağlayabilir.

Örnek olarak, "spam" olarak işaretlenen bir e-posta alanı, sahteciliğe dair uygun herhangi bir güvenlik katmanı olmayabilir. Bir kurumun SPF kaydını sorguladığımızda aşağıdaki gibi bir çıktı elde edebiliriz:

dig TXT example.com

Elde edilen sonuçlar, güvenliğin ne kadar zayıf olduğuna ilişkin önemli ipuçları sunar. SPF kaydı yoksa veya hatalıysa, "güvenli olmayan" olarak işaretlenmiş tüm e-postalar, sistemimizin bir güvenlik açığına maruz kalmasına sebep olacaktır.

Sızan Veriler ve Sonuçları

E-posta sahteciliği sonucunda, kullanıcıların hassas verileri (kredikartı bilgileri, parolalar vb.) kötü niyetli kişiler tarafından ele geçirilebilir. Ayrıca, bu verilerin herhangi bir siber saldırının başlangıç noktası olabileceği gibi, bu bilgiler bir ağın topolojisi hakkında önemli bilgiler sağlayabilir. Örneğin, bir saldırgan, yalnızca bir e-posta yoluyla edindiği bilgileri kullanarak daha karmaşık saldırılar gerçekleştirebilir.

Sızan verilerin etkisi, basit bir veri kaybının ötesine geçer. Bu durum sistem güvenliğini tehdit eder; kullanıcıların güvenliği riske girer ve aynı zamanda siber suçların artmasına sebep olur. Bu bağlamda, sürekli izleme ve savunma stratejileri kritik hale gelir.

Profesyonel Önlemler ve Hardening Önerileri

E-posta sahteciliğini önlemek için çeşitli profesyonel önlemler alınabilir. Bu önlemlerden bazıları şunlardır:

  1. SPF Kaydı Oluşturma: Her bir domain için, hangi sunucuların e-posta gönderebileceğini belirtmek adına SPF kayıtları oluşturulmalıdır. Bu kayıtlar, doğru şekilde yapılandırıldığında, yalnızca yetkilendirilmiş sunucular tarafından gönderilen e-postaların kabul edilmesini sağlar.

  2. DKIM Uygulaması: DKIM (DomainKeys Identified Mail) uygulaması, gönderilen her e-postaya özel bir kriptografik imza ekler. Böylece, e-postanın alıcı sunucu tarafından gönderilmiş olduğu doğrulanabilir. Bu, e-postaların bütünlüğünün sağlanmasına yardımcı olur.

  3. DMARC Uygulaması: DMARC (Domain-based Message Authentication, Reporting & Conformance), SPF ve DKIM doğrulamasından sonra, yanlış yapılandırmalarda ne yapılacağına dair politikalar belirler. SPF ve DKIM sonuçları başarısız olduğunda e-postaların karantinaya alınması veya reddedilmesi gibi yöntemler kullanarak sahteciliği engeller.

  4. E-posta Başlıklarının Analizi: Gelen e-postalarda sahteciliği tespit etmek için başlıkların analizi yapılmalıdır. "Received Headers" sayesinde, e-postaların geçtiği sunucuların IP adresleri takip edilebilir. Bu, potansiyel sahte e-postaları işaretlemek için kritik bir aşamadır.

Sonuç

SMTP spoofing, günümüzde hala birçok şirketin maruz kaldığı ciddi bir siber tehdit olarak karşımıza çıkmaktadır. Güvenlik açıkları ve yanlış yapılandırmalar, saldırganların bu tür eylemleri gerçekleştirmesinde kolaylık sağlamakta. Önerilen güvenlik önlemleri ve doğru yapılandırmalar ile bu durumun riskleri azaltılabilir. Ancak siber güvenlik, sürekli bir çaba gerektirdiğinden, kuruluşların bu önlemleri sürekli güncellemeleri ve geliştirmeleri önemlidir.