Günlük hayatımızın en önemli iletişim araçlarından olan elektronik postalar, dijital dönüşüm süreçlerinde de önemli bir yer tutuyor.

Ferhat Kaysı / Bank Mellat Bilişim Teknolojileri Müdürü 

E-Posta, günümüzde en önemli iletişim araçlarından birisidir.  Çevrimiçi yaptığımız tüm işlemler için günlük hayatımızın bir parçası haline gelen e-posta, özellikle işlemlerini çevrimiçi yapan kurumlar için vazgeçilmez olmuştur. Ayrıca internetteki birçok hizmet, hatta sosyal paylaşım siteleri bile, hizmetlerini kullanabilmeniz için önce e-posta adresinizi istemektedir. Hayatımızın her alanına giren e-postanın bu aşamaya gelmesinin bazı nedenleri vardır:
Bedava iletişim: İnsanoğlunun en önemli özelliklerinden birisi iletişim kurma yeteneğidir. Neredeyse her faaliyetimizde iletişim faktöründen yararlanmaktayız.  Ücretsiz iletişim aracı olan e-posta, iş yerinde veya günlük aktivitelerinizde kullandığımız mükemmel bir araçtır. E-postaların geniş bir alanı da vardır. Taşınabilir bilgisayarlar veya cep telefonları üzerinden de e-posta gönderilebilir. Bu durum e-postanın alanını genişletmekte, sadece masaüstü bilgisayarlara hapsetmemektedir.
Kayıt Tutma Özelliği: İletişim sağlamadaki kolaylık dışında, e-posta ile işlemlerin kaydı tutulabilmektedir. E-postalar ile arşivinizi koruyabilir, geçmiş bilgileri ve işlemleri tekrar kontrol edebilirsiniz. Ayrıca dosyaların depolayabilir, gerektiğinde işlem yapabilirsiniz.
Reklam Özelliği: Potansiyel müşterileri elde etmenin diğer bir yolu da çevrimiçi reklamları müşterilere e-posta ile göndermektedir. E-posta ile ürünler çevrimiçi olarak tanıtılabilir.
Geri Bildirim: İşletmelerin müşteri geribildirimi için kullandığı mükemmel bir araçtır.
İşletmelerin izlenmesi ve yönetilmesi: E-posta aracılığıyla, iş yerinde olmasanız işletmenizi izleyebilir ve yönetebilirsiniz. Taşınabilir cihazlar ile e-posta gönderip alabilme avantajı olduğu için, seyahat sırasında bile, işletmenizi yönetebilirsiniz.
Görev Yöneticisi Özelliği: E-postanın ana kullanımı olan iletişim özelliğinin yanı sıra, görev yönetme özelliği de bulunmaktadır. Görevlerinizi takvim aracılığıyla yönetebilirsiniz.
Otomatik Cevap Özelliği: Kişileriniz ya da müşterileriniz ile, otomatik cevaplama seçeneği üzerinden zaman kaybetmeksizin, daha hızlı bir şekilde iletişim kurabilirsiniz.
Bilgi Veritabanı: E-postalar aynı zamanda bir bilgi veritabanıdır. Müşterileriniz, arkadaşlarınız, potansiyel müşterileriniz hakkında bilgiler kaydedilebilir ve gerektiği taktirde bu bilgiler kullanılabilir. 
 
E-Posta servislerinin güvenlik bileşenleri
Günümüzde kurumsal e-posta güvenliği için birçok sınır güvenliği bileşeni bulunmaktadır. Antispam, firewall, saldırı tespit ve engelleme sistemlerinin (IDS/IPS) yanı sıra veri sızıntısı engelleme (DLP) sistemleri de zaruri önlemler arasındadır. Peki bu sistemler bizleri ne kadar koruyor? Bu sorudan önce e-posta servislerini hedef alan risklere bakalım.
 
E-Posta servislerini hedef alan riskler 
Güvenlik Zafiyetleri: E-posta servislerinde keşfedilen güvenlik açıklıkları, saldırganların bu açıklıkları suistimal ettiklerinde hedef sisteme sızmak, bilgi açığa çıkarmak yada sistemleri erişilmez kılmak gibi sonuçlar doğurmaktadır. E-Posta servislerinin üretici hatalarından kaynaklı bu zafiyetlerini bildirim kaynaklarından keşfedip erken önlem almak gerekir.
İstemci Tabanlı Zafiyetler: İnternet kullanıcılarına yönelik saldırı vektörleri her geçen gün artmaktadır. E-Posta ile gelen bir link, dikkatsiz kullanıcıya büyük risk yaşatabilmektedir. Zararlı içerik barındıran bir link bilgisayarı ele geçirmek için tek başına yeterli olabilmektedir. E-Posta servisi bileşenlerinin bu gibi zararlı linklere karşı sıkılaştırılmış olması gerekir.
Zararlı Dosyalar: E-posta ekinde yer alan zararlı içerik kullanıcıya eriştiğinde bilgisayarı ya da tüm ağı ele geçirmeye sebebiyet verebilir. Bu dosyaların imza tabanlı çalışan antivirüsler ya da sezgisel analiz servisleri ile analiz edilmesi gerekmektedir.
Fidye Zararlıları: Fidye zararlılarını zararlı dosyalardan özellikle ayırmamın nedeni, bulaştığında tüm verilerinizi şifreleyerek çözülmesi için sizden fidye istiyor olması ve bu eylemin çok yaygın bir şekilde kullanıcıları mağdur etmesidir. Bu anlamda E-posta servisinin sıkılaştırılması ve analiz servislerinin fidye zararlılarına özel davranışları tespit edip engellemesini beklemek gerekir.
Eksik Hatalı Yapılandırmalar: Bu durum çok sık karşılaşılan bir güvenlik sorunudur. E-postasındaki eksik hatalı bir yapılandırma ciddi krizlere sebebiyet verebiliyor. Kimlik doğrulamaksızın e-posta gönderimine izin vermek, maksimum e-posta gönderim limitini sınırlamamak, ekli dosyaların boyutu gibi. Örneğin, sizin e-posta servisinize kimlik doğrulamadan bağlanan bir saldırgan kurum çalışanlarınıza gelişi güzel e-posta gönderebilir. CEO’yu taklit eden bir saldırgan hedeflediği saldırıyı daha mümkün kılabilir. 
İnternet Taracıyıcıları Suistimal Kitleri: İnternet tarayıcılarının bilinen açıklıklarını barındıran e-postalar kimlik hırsızlığına, veri sızıntısına ve erişim problemlerine sebebiyet vermektedir. Kimi zaman bir link, kimi zaman bir suistimal kod parçası içerir. Bu durumda e-posta servisi ve güvenlik bileşenlerinin defansif önlemler sağlıyor olması gerekiyor.
Son Kullanıcı Farkındalık Sorunu: Bir diğer kritik nokta ise tüm güvenlik önlemleri aşan saldırganların son kullanıcının bilinçsizliğinden faydalanarak hedefledikleri saldırıları gerçekleştiriyor olmasıdır. Bu konu kullanıcıların düzenli olarak bilinçlendirilmesi, oltalama testleri, sınav, anket ve oyunlar ile farkındalık seviyelerinin ölçülmesi gerekir. 
 
E-Posta servislerimizin güvenliğini nasıl test edebiliriz?
E-Posta servislerini hedef alan riskleri tanıdık hatta inanıyorum ki çoğunuz bu risklerin birkaçı ile yüzleşti. Bu risklere karşı aldığınız önlemler zaman içinde etkisini yitirebilir, yeni tehditleri algılamada eksik ya da geç kalabilirler ve bu durum bir risk başınıza gelmediği müddetçe size suni bir güvendeyim hissi yaratır. Güvenlik riskinin oluşmasını beklemeden yukarıda bahsi geçen risklere karşı denetim altında olmalısınız, bunun önerebileceğim iki yöntemi var.
Sızma Testleri: Penetrasyon testi olarak bilinen ve kurumsal firmaların çeşitli regülasyonlardan dolayısda sıklıkla yaptırdığı bu test başlığı altında uzmanlardan yardım alabilirsiniz.
E-Posta Tehdit Simülasyonları: Kendi içinde saldırı vektörlerini barındıran ve size düzenli olarak gerçek riskleri -zarar vermeden- yaşatan bu servisler daha proaktiftir.
Ücretsiz kullanabileceğiniz ve yerli bir çözüm olaran Sinara Labs. projesinin E-Posta Tehtit Simülasyon modülü sizlere sıraladığım birçok risk için destek sağlar. https://ets.sinaralabs.com adresinden üye olarak kullanmaya başlayabilirsiniz.