Takip Etmeniz Gereken 8 E-posta Güvenliği En İyi Uygulaması

​

Kaynak

Ve bakın kaç kişi farklı yaş gruplarından iletişim için e-postalara güveniyor:

• Z Kuşağının 94%'si
• Y Kuşağının 98%'si
• X Kuşağının 98%'si
• 95% Boomers
• ve hatta Sessiz Nesil'in 90%'si!

Buna şunu da ekleyin e-posta pazarlama en etkili kanal olarak seçildi Hubspot'un 2022 Pazarlama Durumu Raporu'nda ankete katılan pazarlamacılara göre, pek çok kişinin yıllardır e-postanın ölümünü öngörmesine rağmen e-posta pazarlamasının neden geliştiğini görebilirsiniz.

E-posta güvenliği neden önemlidir?

Ne yazık ki e-postalar aynı zamanda suçluların bir şirkete saldırması veya sıradan kullanıcıların kişisel verilerini çalması için en değerli yöntemlerden biridir. CISCO'nun 2021 siber güvenlik tehdit eğilimleri raporu veri ihlallerinin yaklaşık 90%'sinin e-posta kimlik avı nedeniyle meydana geldiğini tespit etmiştir.

Endişe verici haberler bununla da bitmiyor:

• Her gün 3,4 milyar kimlik avı e-postası gönderiliyor
• 2022'de, kötü niyetli kimlik avı e-postalarında 569% ve kimlik avı ile ilgili yayınlanan tehdit raporlarında 478% artış olmuştur.
• İş e-postalarının ele geçirilmesi (BEC) saldırıları 2022'de 81% arttı
• Uygun güvenlik eğitimi olmadan, her üç çalişandan bi̇ri̇ phishing dolandiriciliğina kaniyor

• BT'nin sadece 15%'si yöneticiler iki faktörlü kimlik doğrulama kullanımını zorunlu kılar.

Siber suçlular, günümüzde insanların o kadar çok e-posta almasından da faydalanmaktadır ki, aldıkları her e-postayı dikkatlice okuyup spam mesajları kontrol etmek için yeterli zamanları yoktur. Bu durum özellikle günde ortalama 100-120 e-posta alan çalışanlar için geçerlidir. İster iş ister kişisel e-postalar olsun, her e-postayı güvenlik gereksinimleri açısından kontrol etmeye kimin vakti var?

Yani biraz sosyal mühendislik ve suçlular hızlı bir şekilde bir kimlik avı bağlantısına tıklamalarını veya kötü niyetli bir eki indirmelerini sağlayabilir. Bu, çalışanların kullandığı iş telefonlarını hedef alan bilgisayar korsanlarına ek olarak VOIP sistemleri.

Neyse ki, e-posta gelen kutularınızı ve bu yolla kişisel veya iş verilerinizi korumak için yapabileceğiniz birkaç kolay şey var. Şimdi siber suçluların "işini" çok daha zorlaştırabilecek en iyi 8 e-posta güvenliği uygulamasına bakalım.

Güçlü parolalar oluşturun

Güçlü parolalar kullanmak, e-posta hesaplarınızı ve içindeki özel bilgileri bilgisayar korsanlarından korumanın en iyi yollarından biridir. Şifreler konusunda güvenlik standartlarınızı yüksek tutmanın bazı yollarını burada bulabilirsiniz:

• Belirgin kişisel bilgiler veya yaygın kelimeler kullanmamak
• Harflerin, sayıların ve sembollerin bir karışımı olmak
• En az 10 karaktere sahip olmak (uzmanlar 14-16'yı önermektedir)

Kaynak 

Yine de, hepimizin kaç tane çevrimiçi hesap (hem özel hem de işle ilgili) kullandığına baktığımızda, 20 kadar karmaşık parola oluşturmak ve bunları hatırlamak oldukça zor olabilir.

İşte burası şifre yöneticileri araçları inanılmaz derecede yardımcı olabilir. Bu araçlar her bir uygulama için benzersiz, kaba kuvvetle uygulanması son derece zor parolalar oluşturabilir ve bunları veritabanlarında saklayabilir - kullanıcıların veritabanının kilidini açmak için yalnızca bir "ana parola" hatırlamaları gerekir.

Şu anda popüler olan bir diğer seçenek de parolalardır - rastgele karakterler yerine bir dizi kelimeden oluşan parolalar. Genellikle normal şifrelerden daha uzun olduklarından, kaba kuvvetle zorlanmaları daha zordur. Ayrıca, parolalar ile hesaplar için akılda kalıcı ancak güvenli parolalar oluşturmak da daha kolaydır.

Kendi parolalarınızın ne kadar güvenli olduğunu görmek için Security.org'un Şifrem Ne Kadar Güvenli aracı. İşte hesaplarımızdan biri için nasıl göründüğü:

Parolaları hesaplar arasında tekrar kullanmayın

Parolanın yeniden kullanımı da bir başka yaygın güvenlik sorunudur. Örneğin, First Contact çalışmasına göre İnsanların 51%'si iş ve kişisel hesapları için aynı şifreyi kullanıyor. 

Kaynak

Daha da kötüsü, kullanıcılarının 70%'sinin şifreler ihlal edildi hala onları kullanıyorlardı!

Bunun bu kadar kötü bir fikir olmasının nedeni basittir. Siber suçlular kaç kişinin şifrelerini tekrar kullandığını çok iyi bilirler, bu nedenle her zaman tek bir şifreyle kaç hesabın kilidini açabileceklerini kontrol ederler. Örneğin, 5 kişisel hesap için tek bir parola kullanıyorsanız, parola sızarsa 5 hesabın tamamı tehlikeye girer.

İş ve özel hesaplar için aynı parolayı kullanmak özellikle tehlikelidir, çünkü bu şekilde bilgisayar korsanları iş e-posta gelen kutunuza ve içindeki verilere hızla erişebilir. Kurumsal e-posta güvenliği, kişisel ihtiyaçlarınız için kullandığınız e-postalardan büyük ölçüde farklıdır ve işle ilgili e-postalardaki kötü amaçlı içerik, kişisel e-postanıza gelen bir Nijerya dolandırıcılığından çok daha kötüdür.

Çok faktörlü kimlik doğrulama kullanın

Hazır hesapların güvenliğinden bahsetmişken, ekstra bir doğrulama önlemi eklemek de hesabınızın güvenliğini gözle görülür şekilde artırabilir. 2FA ve MFA ile, bilgisayar korsanları kullanıcı adı ve şifreyi çalsa bile, ek güvenlik kontrolleriyle kimliklerini doğrulayana kadar e-posta gelen kutusuna erişemezler ve bu da vazgeçmeleri için yeterli olabilir.

2FA'yı uygulamaya koyduktan ve kullanıcılarının her oturum açma sırasında bunu kullanmasını zorunlu kıldıktan sonra, Google, 50%'ye kadar hesap ihlallerinde bir düşüş gördüklerini söyledi.

Bunu hesabınıza, örneğin Gmail hesabınıza nasıl ekleyebilirsiniz? Aslında bu oldukça basit. Kişisel hesabınızı 2FA ile güvence altına almak için yapmanız gerekenler:

1. Google Hesabınızı açın.
2. Gezinti panelinde Güvenlik öğesini seçin.
3. "Google'da Oturum Açma" altında, 2 Adımlı Doğrulama'yı seçin ve ardından Başlayın.
4. Ekrandaki adımları izleyin.

Bu arada ticari hesaplar için, 2FA seçeneğini yönetici konsolunuzda Menü → altında bulabilirsiniz. Güvenlik→ Kimlik Doğrulama→ 2 adımlı doğrulama. Buradan, MFA'nın tüm kullanıcılar için mi yoksa yalnızca belirli gruplar için mi zorunlu olması gerektiğini ve doğrulama için hangi yöntemleri seçebileceklerini de ayarlayabilirsiniz.

Gmail gibi e-posta sistemleri şüpheli etkinlikleri işaretler ve herhangi bir e-posta içeriğini görüntülemenize izin vermeden önce iki faktörlü kimlik doğrulaması yapmanızı ister. Oturum açmaya çalışan gerçek kişi sizseniz, bunu birkaç saniye içinde yapabilirsiniz. Bu, birçok e-posta tehdidini önleyebilir.

Çalışanları en iyi e-posta güvenliği uygulamaları konusunda eğitin

Çalışanlar hesaplarını güvence altına almanın neden bu kadar önemli olduğunu bilmiyor veya anlamıyorsa, en karmaşık parolalar ve birkaç ek güvenlik kontrolü bile pek yardımcı olmayacaktır. Verizon 2023 Veri İhlali Raporu (DBIR) veri ihlallerinin 98%'sinin nedeninin kullanıcıların dikkatsizliği olduğunu ortaya koymuştur - ve siber suçlular bunu kendi avantajlarına nasıl kullanacaklarını çok iyi bilmektedir.

Düzenli siber güvenlik eğitimi bir parçası olarak sürekli̇ performans yöneti̇mi̇ çalışanlara bir veri ihlalinin sonuçlarını ve bunları önlemek için neler yapabileceklerini öğretmenin mükemmel bir yoludur. Bunları, şirketin e-posta güvenliği politikası, karşılaşabilecekleri e-posta güvenliği tehditleri ve hesaplarının güvenliğini sağlamak için önerilen en iyi uygulamalar hakkında onlarla konuşmak için kullanabilirsiniz.

Örneğin, onlara e-posta şifrelemenin değerini, şüpheli e-postaları açmamayı veya herkese açık bir wi-fi ağı üzerinden e-postaya erişmemeyi öğretebilirsiniz. Ayrıca, istenmeyen e-postaları açmamaları, antivirüs yazılımı kullanmayı denemeleri ve genel olarak bilinmeyen göndericilere dikkat etmeleri.

Siber güvenlik eğitimi aynı zamanda çalışanlarınızı bir ihlalin gerçekleştiğini fark ettiklerinde nasıl tepki vermeleri gerektiği ve ihlal konusunda kimi alarma geçirmeleri gerektiği konusunda eğitmek için de harika bir uygulamadır. Sonuç olarak, ihlal daha hızlı kontrol altına alınabilir ve böylece neden olduğu hasar da azaltılabilir.

E-posta eklerine ve şüpheli bağlantılara karşı dikkatli olun

Kötü amaçlı yazılımların 94%'si e-posta yoluyla gönderiliyor - Ya gerçek görünümlü ekler ya da görünüşte saygın web sitelerine bağlantılar yoluyla. Gmail algoritmaları ve kötü amaçlı yazılımdan koruma yazılımları çoğu şüpheli eki veya web sitesini tespit edip engelleyebilse de, daha sofistike saldırıların bazıları yine de radarlardan geçebilir.

Bu nedenle normal kullanıcılar ve çalışanlar, ekli e-postalar aldıklarında veya ekli bir bağlantıya tıklamaya teşvik edildiklerinde dikkatli olmalıdır. İşte ekin veya bağlantının bilgisayar korsanlarından geliyor olabileceğini gösteren birkaç işaret:

• Dosya uzantısı dosya türüyle eşleşmiyorsa (örneğin, doc.exe gibi çift uzantıyla bitiyorsa veya yalnızca çalıştırılabilir bir uzantıya sahipse). Özellikle exe, jar veya rar/zip uzantılarıyla biten ekler alırsanız şüphelenmelisiniz).
• Gönderenin adresi, web sitelerinde/e-posta listenizde bulabileceğiniz adresten biraz farklıdır - bu, spam e-postaların kesin bir işaretidir.
• Güvenilir bir kaynaktan (bankanız gibi) geliyor gibi görünen e-postada yazım, dilbilgisi, biçimlendirme veya bağlantı hataları var.
• Mesajda ekin bir an önce açılması veya bağlantıya tıklanması istenir, aksi takdirde bazı sonuçlarla karşılaşabilirsiniz (meşhur "Kredi kartınız yakında bloke edilecek" mesajı buna en iyi örnektir)

Güvenli tarafta kalmak için, herhangi bir şüpheniz varsa her zaman göndereni arayıp e-postalar hakkında bilgi almak ve aldığınız tüm ekleri virüs veya kötü amaçlı yazılımlara karşı taramak en iyisidir. Ya da gönderenin adını, bağlantısını veya mesajın bir kısmını kopyalayıp arama motoruna yazabilirsiniz - diğer kullanıcılar bunu zaten tehlikeli olarak işaretleyebilir.

Antivirüs veya Antimalware Programınızı düzenli olarak güncelleyin

Modern antimalware çözümleri cihazlarınızı virüsler, truva atları, kötü amaçlı yazılımlar, fidye yazılımları ve şüpheli web siteleri gibi çok sayıda tehdide karşı koruyabilir. Tabii ki düzenli olarak güncellendikleri sürece. Siber suçlular neredeyse her gün cihazlara saldırmak ve veri çalmak için yeni yöntemler icat ediyor, 560.000 yeni kötü amaçlı yazılım tespit edildi.

Kullandığınız antivirüs programları düzenli olarak güncellenmiyorsa, yeni tehdidi gözden kaçırabilir - e-posta hesabınızı ve tüm cihazınızı riske atabilir.

Popüler siber güvenlik platformlarının çoğu gibi Crowdstrike veya alternatifleri Yine de bu güncellemeleri otomatik olarak yükleme seçeneğine sahipsiniz - bu nedenle platformunuzun her zaman güncel olduğundan emin olmak istiyorsanız, bu seçeneği işaretlemeye değer.

E-posta kimlik doğrulama protokollerini kullanın

Çalışma alanlarınız için kimlik doğrulama protokolleri uygulamak da hesaplarınızı çok daha güvenli hale getirebilir ve çeşitli tanımlama biçimleri aracılığıyla kötü niyetli niyetleri belirleyebilir.

E-posta kimlik doğrulama protokolleri, e-postanın meşru bir göndericiden gelip gelmediğini doğrulayarak kimlik avı saldırılarını, e-posta sahteciliğini ve BEC saldırılarını önlemek için tasarlanmıştır. Daha basit bir ifadeyle, bu protokoller en yeni pazarlama kampanyası e-postalarının sizin tarafınızdan mı gönderildiğini yoksa birisinin markanızı taklit edip etmediğini kontrol eder.

Şu anda üç kimlik doğrulama protokolümüz var:

• SPF (Gönderen Politikası Çerçevesi) - Her e-postanın güvenilir bir IP adresinden geldiğinden emin olmak için gönderenin IP adresini inceler.
• DKIM (Etki Alanı Anahtarları Tanımlı Posta) - e-posta mesajlarını imzalamak ve mesajların değiştirilmediğini kanıtlamak için genel/özel anahtar şifrelemesini kullanır.
• DMARC (Etki Alanı Tabanlı Mesaj Kimlik Doğrulama Raporlama ve Uygunluk) - e-postanın teslim edilmeden önce SPF ve DKIM ile uyumlu olmasını sağlar.

Bu protokolleri kullanarak, müşterilerinize ve abonelerinize alan adlarınızın e-posta sahteciliğine kurban gitmeyeceği ve bu nedenle aldıkları e-postaların kesinlikle sizden geldiği konusunda güvence verebilirsiniz. Bu protokollerin diğer birkaç faydasından şu makalemizde bahsetmiştik kimlik doğrulama yöntemleriBu yüzden onu da okumak isteyebilirsiniz.

Kampanyaları postalarken listelerinizin temiz olduğundan emin olun

Son ipucumuz - düzenli olarak e-posta listelerinizi temizleyin.

Tamam, e-posta listesi temizlemenin teslim edilebilirlik oranlarınızı artırabileceğini, alan adı itibarınızı geliştirebileceğini ve size daha iyi yatırım getirisi sağlayabileceğini duydunuz, ancak bunun güvenlikle ne ilgisi var? Aslında çok ilgisi var! E-posta listenizdeki adresleri inceleyerek, etkin olmayan ve güncelliğini yitirmiş e-posta adreslerinin yanı sıra spam gönderenlere veya İSS'lere ait olabilecek şüpheli adresleri de tespit edebilirsiniz, spam gönderenleri bulup cezalandırmayı amaçlıyor.

E-postalarınızı bu alan adlarına gönderdiğiniz tespit edilirse, alan adı itibarınızın darbe alma ihtimali yüksektir - ve en kötü durumda kara listeye bile alınabilirsiniz.

Listenizdeki tüm bu zehirli e-postaları manuel olarak doğrulamak için günler (veya daha fazla) harcamadan nasıl tespit edebilirsiniz? Bouncer'ın e-posta doğrulaması size yardım edebilir.

E-posta listenizi (250 bin adrese kadar) uygulamaya ekleyin ve Bouncer hangi e-postaların gerçek kullanıcılara ait olduğunu, e-postaların geri dönme olasılığının ne kadar olduğunu ve aynı zamanda size gösterecektir:

• ihlal edilmiş veya saldırıya uğramış e-posta adresleri
• geçersiz adresler veya alan adları
• spam tuzaklarıvb.

Bouncer ayrıca e-postaların toksisitesini de puanlar (1'den 5'e kadar), böylece hangi adresleri hemen kaldırmanız gerektiğini bilirsiniz.

Kulağa faydalı geliyor, değil mi? O zaman, Bouncer kullanmaya ne dersiniz bir sonraki e-posta kampanyanız için? Tertemiz bir e-posta listesi ile bir sonraki kampanyanızı başarıya ulaştırmak ve aynı zamanda e-posta alanınızı korumak her zamankinden daha kolay olacaktır.

E-posta hesaplarınızı güçlendirme zamanı

Özel ve ticari e-posta hesabınızı (ve içindeki verileri) siber suçlulardan uzak tutmak için, alabileceğiniz tüm güvenlik önlemlerini almanız ve kötü niyetli faaliyetler, potansiyel tehditler ve şüpheli mesajlar hakkında endişelenmeye veda etmeniz gerekir.

Güçlü ve düzenli olarak değiştirilen şifreler, çok faktörlü kimlik doğrulama ekleme, antivirüs araçlarınızı düzenli olarak güncel tutma ve ayrıca herhangi bir kimlik avı veya bulaşma girişimine karşı dikkatli olma, hesaplarınızın güvenliği söz konusu olduğunda önemlidir.

Ve güçlendirilmiş hesap güvenliği sayesinde, herhangi bir kimlik avı saldırısını veya ihlal girişimini kolaylıkla savuşturabilirsiniz.

SSS: E-posta Güvenliği En İyi Uygulamaları

Profesyonel e-posta hesabımın güvenliğini nasıl sağlayabilirim?

Hesabınızı daha güvenli hale getirmenin en iyi yolu, kullandığınız her hesap için güçlü ve benzersiz parolalar kullanmaktır - bunun için parola yöneticilerini kullanabilirsiniz. Ekstra bir güvenlik katmanı için iki faktörlü (veya daha fazla) kimlik doğrulamayı etkinleştirmek de akıllıca bir fikirdir. Exchange Online e-posta kullanıyorsanız, güvenilir bir Microsoft 365 için veri yedekleme çözümü olası veri kaybına veya bozulmasına karşı korumak için.

Kimlik avı saldırılarını nasıl tespit edebilir ve önleyebilirim?

İlk bakışta gerçek e-postalar gibi görünseler de, aslında kimlik avı mesajlarının tanınmalarını kolaylaştıran birkaç özelliği vardır. Bunlardan en karakteristik olanı, acilen kişisel ya da finansal bilgi istemeleri ve bunu yerine getirmediğiniz takdirde ciddi sonuçlarla karşılaşabileceğiniz tehdidinde bulunmalarıdır.

Böyle bir e-posta aldığınızda (örneğin bankanızdan geldiğini iddia eden), öncelikle gönderenin e-postasının doğru olup olmadığını kontrol etmelisiniz - suçlular genellikle saygın alan adlarına benzeyen ancak bir veya daha fazla farklılığa sahip (örneğin, farklı alan adları) e-postalar kullanır.

E-postada yazım veya dilbilgisi hataları varsa veya logo yanlış görünüyorsa, bu da şüphelerinizi artırmalıdır.

Çok faktörlü kimlik doğrulama nedir ve e-posta için neden kullanmalıyım?

Çok faktörlü kimlik doğrulama (MFA), oturum açma sırasında iki veya daha fazla farklı türde kimlik doğrulama faktörü gerektirerek e-posta hesabınıza ekstra bir güvenlik katmanı ekler. Örneğin, bir parola ve bir kerelik doğrulama kodu, güvenilir bir cihazdan onay veya parmak izi taraması.

MFA kullanmak, parolanız ele geçirilse bile birisinin e-posta gelen kutunuza erişim sağlama riskini önemli ölçüde azaltır.

İşletmeler için özel e-posta güvenliği uygulamaları var mı?

İş e-posta hesapları için bir siber güvenlik politikası oluşturmak ve çalışanlar için düzenli güvenlik farkındalığı eğitimleri düzenlemek, tüm çalışanların hesaplarını ve cihazlarını siber tehditlerden nasıl koruyabileceklerini bilmelerini sağlamanın harika bir yoludur.

Politikanın içinde, nasıl güçlü parolalar oluşturabileceklerini, iş için özel cihazları ne zaman ve nasıl kullanabileceklerini veya gelen ekleri açmak için yönergelerin neler olduğunu özetleyebilirsiniz.