Ele Geçirilen Microsoft 365 Hesabının Spam E Posta Göndermesini Engelleyin
Microsoft 365 hizmetlerini kullanan birçok firma için karşılaşabilecekleri sorunlardan biri, kullanıcıların veya kullanıcıların phishing saldırısına maruz kalmasıdır. Bu, oltalama veya kimlik avı olarak da adlandırılabilir. Bu tür bir durumda, kullanıcının Microsoft 365 kimlik bilgileri çalındıktan sonra hesabı ele geçiren kişi, ilgili hesap üzerinden spam e-postalar gönderebilir. Üzücü olan tarafı ise kullanıcının bundan habersiz olmasıdır. Bu tür bir durumdan etkilenmemek için gönderilen e-postaların belirli bir sayıyı aştığında, ele geçirilen hesabın bloke edilmesini sağlamak önemlidir. Ancak, işlerin bu boyutlara gelmesinin ana nedenleri; kullanıcıların bilinçsiz olması ve MFA (Çoklu Faktör Doğrulama) kullanmamasıdır. İşin kötü yanı, sahada bunun en azından ayda bir kez yaşandığını görüyoruz. İlgili firma veya kuruluşlarda, kullanıcı hesaplarının ele geçirilmesiyle tüm dünyaya spam gönderilmesi durumunda asıl müdahale bu noktada başlar. Microsoft haberdar edilmeden, şirketin tüm e-posta trafiği durur. Sonrasında, 365 bozuk, yardım edin. İşler bu aşamaya geldiğinde, Microsoft'a bir vaka açarak bloke edilen firmanın e-posta trafiğini yeniden açtırmak gerekebilir. Bu süre bazen haftaları bulabilir. Ancak işler bu aşamaya gelmeden önce, Microsoft 365 tarafında sıkılaştırmalar yapılması önemlidir. Aksi takdirde, güvenlikten bahsedemeyiz. Neyse, fazla uzatmadan uygulamaya başlayalım.
Öncelikle yapmamız gereken https://security.microsoft.com/ adresine giriş yaparak yukarıdaki görseldeki adımları izleyerek İstenmeyen posta önleme giden ilkesine (Varsayılan) gitmek olacaktır. Paneli ing olarak kullananlar ise Outbound spam filter policy settings gidebilirler. Yada ben bu kadar yolu takip edemem diyorsanız https://security.microsoft.com/antispam bu adres tam size göre. 
Açılan pencereden Dış alıcılara gönderimi kısıtla (saat başına) 500, İç alıcılara gönderimi kısıtla (saat başına) 1000, Günlük alıcı üst sınırı 1000 olarak belirleyelim. Son olarak, Sınır aşıldığında yapılacak eylem olarak 'Kullanıcının posta göndermesini kısıtla' seçeneğini seçelim. Bu işlemleri yaptıktan sonra, kullanıcının hesabı ele geçirilirse; spam gönderen art niyetli kişi muhtemelen bu değerleri aşamayacak ve ilgili hesap bloklanacaktır. İlgili kullanıcı hiçbir yere e-posta gönderemeyeceği için Microsoft 365 yöneticisine ulaşacaktır. Tabii ki, yönetici kullanıcının bloğunu kaldırması gerekecektir. Kaldırırken, kullanıcının neden bloklandığını tespit etmesi ve buna göre bir aksiyon alması gerekebilir. Bunun nedeni, kullanıcının bilgisayarında bir arka kapı veya zararlı yazılım olabilir. Bu tespit faydalı olacaktır.
Peki Kısıtlanan kullanıcının engelini nasıl kaldıracağız ?
Aşağıda belirttiğim adres üzerinden girerek kullanıcının engelini kaldırabilirsiniz.
https://security.microsoft.com/restrictedentities
Bu işlemleri dilerseniz PowerShell ile Exchange online bağlanarak gerçekleştirebilirsiniz.Exchange Online Bağlanmak için;
Set-ExecutionPolicy Unrestricted
Install-Module -Name ExchangeOnlineManagement
Import-Module ExchangeOnlineManagement
Connect-ExchangeOnline
------
Set-HostedOutboundSpamFilterPolicy -Identity Default -RecipientLimitExternalPerHour 500 -RecipientLimitInternalPerHour 1000 -RecipientLimitPerDay 1000 -ActionWhenThresholdReached BlockUser
Get-HostedOutboundSpamFilterPolicy Default | Format-List