Exchange Online Protection (EOP), Microsoft 365'in bulut tabanlı e-posta güvenlik servisidir. Tüm Microsoft 365 / Exchange Online lisanslarında varsayılan olarak dahildir. Anti-spam, anti-malware, anti-phishing politikalarını yöneticinin doğru yapılandırması gerekir. Bu rehberde admin için EOP politika optimizasyonunu adım adım anlatıyoruz.

EOP Neyi Korur?

  • Spam: İstenmeyen toplu mailler
  • Bulk mail: Pazarlama mailleri (newsletter, kampanya)
  • Malware: Virüslü ekler
  • Phishing: Kimlik avı denemeleri
  • Spoofing: Sahte gönderici adresleri
  • Connection filtering: Bilinen kötü IP'ler

EOP vs Defender for Office 365 Farkı

EOP temel korumadır, Defender ek güvenlik sağlar:

  • EOP: Spam filter, malware tarama, basic anti-phishing
  • Defender Plan 1: EOP + Safe Links, Safe Attachments, gelişmiş anti-phishing
  • Defender Plan 2: Plan 1 + Threat Explorer, Attack Simulation, AIR

Detay: Defender Plan 1 vs Plan 2.

Anti-Spam Politikası Yapılandırma

  1. Microsoft Defender Portal → Email & collaboration → Policies & rules
  2. Threat policies → "Anti-spam"
  3. "Default" inbound policy'yi düzenle (veya yeni oluştur)

Önemli Ayarlar

Bulk Email Threshold (BCL)

0-9 arası, ne kadar yüksek o kadar tolere edici:

  • 0-3: Çok katı, çoğu newsletter spam'e düşer
  • 4 (default): Dengeli
  • 5-7: Hoşgörülü (Microsoft önerisi yeni tenant'lar için)
  • 8-9: Çok hoşgörülü, az spam yakalama

Spam Aksiyonları

  • Spam: Move to Junk Email folder (önerilen)
  • High confidence spam: Quarantine (kullanıcı görmez)
  • Phishing: Quarantine
  • High confidence phishing: Quarantine + Notify admin

Allowed/Blocked Senders

  • Allowed senders: güvendiğin domain'ler (kendi müşterileriniz)
  • Blocked senders: spam kaynak domain'ler
  • Sadece 5-10 entry olmalı (büyük listler performance düşürür)

Anti-Phishing Politikası

  1. Defender Portal → Anti-phishing policies → Default → Edit
  2. Mailbox intelligence: ON (kullanıcı davranışlarını öğrensin)
  3. Impersonation protection: 60 senior çalışanı koruma altına al (CEO, CFO vb.)
  4. Anti-spoofing: ON (sahte gönderici tespiti)
  5. If message is detected as user impersonation: "Move message to Junk Email folder" veya Quarantine

Connection Filter (IP Allow/Block List)

Bilinen güvenli/kötü IP'ler için:

  1. Defender Portal → Anti-spam policies → Connection filter policy → Edit
  2. "Always allow messages from the following IPs": Güvenli IP'ler (örn. müşteri SMTP relay)
  3. "Always block messages from the following IPs": Bloke edilecek IP'ler

Outbound Spam Filter

Şirketinizden çıkan mailler de izlenir (kullanıcı hesabı kompromize olmuş olabilir):

  1. Anti-spam policies → "Outbound spam filter policy"
  2. Limit messages per hour: 500 (default)
  3. Limit messages per day: 1000
  4. Aşılırsa: "Restrict the user from sending mail" — hesap geçici durdurulur
  5. Admin'e bildirim → kullanıcı şifre değiştirir

Quarantine Yönetimi

Şüpheli mailler quarantine'e düşer:

  1. Defender Portal → Email & collaboration → Review → Quarantine
  2. Filter: Tarih, alıcı, gönderici
  3. Action: Release (gönder), Delete (sil), Block sender
  4. Kullanıcılar kendi quarantine'lerini görebilir (User reported messages settings → Allow)

SCL ve BCL Skorları

Skor Anlamı Default Aksiyon
SCL -1Bypass (allowed)Inbox
SCL 0-1Spam değilInbox
SCL 5-6SpamJunk folder
SCL 9Yüksek güvenli spamQuarantine / Delete

Anti-Malware Politikası

  1. Defender Portal → Anti-malware policies → Default → Edit
  2. Common attachments filter: Otomatik bilinen risk uzantıları engellenir (.exe, .scr, .bat, .vbs)
  3. "Custom attachment types" → şirkete özel ek (örn. .iso, .cab)
  4. Detected actions: "Replace attachment with default text" (zararlı eki kaldır + uyarı koy)
  5. Notify recipient: ON

Yaygın Sorunlar

"Önemli mailler junk'a düşüyor"

  • Allowed senders'a ekle (sadece 5-10 entry)
  • Bulk threshold'u artır (5-6'ya)
  • SPF/DKIM/DMARC kontrol et — gönderici doğrulaması yetersiz olabilir

"Spam hâlâ inbox'a geliyor"

  • Bulk threshold'u düşür (4)
  • Defender Plan 1 ekle ($2/ay) — Safe Links/Attachments ile katmanlı koruma
  • Anti-phishing impersonation protection aktif et

"Newsletter göndericisi şikayet ediyor — mailim spam'e düşüyor diye"

  • Onun SPF/DKIM/DMARC ayarları yanlış olabilir
  • mxtoolbox.com ile kontrol önerin

İzleme ve Raporlama

  • Defender Portal → Email & collaboration → Reports → "Mail flow status report"
  • Günlük/haftalık spam yakalama oranı
  • Threat protection report — phishing ve malware engellemeleri
  • Quarantine reports — release/delete istatistikleri

Sıkça Sorulan Sorular

EOP ek lisans gerektirir mi?

Hayır. Tüm Exchange Online ve Microsoft 365 planlarında dahildir.

Bulk threshold için Microsoft önerisi nedir?

5-6 (yeni tenant'lar için). Kullanıcı şikayetleri başlarsa 4'e düşür.

Quarantine ne kadar saklanır?

30 gün (default). 30 gün sonra otomatik silinir. Litigation Hold ile uzatılabilir.

Defender'sız EOP yeterli mi?

KOBİ için EOP yeterli olabilir. Yüksek riskli sektör (finans, hukuk) için Defender Plan 1 minimum şart.

Outbound spam limiti aşılırsa kullanıcı kilitlenir mi?

"Restrict user" aktifse 24 saat kilitli. Admin sıfırlar.

Sonuç

EOP doğru yapılandırılmış bir tenant'ta günlük binlerce spam ve phishing mailini engeller. Bulk threshold dengeli, anti-phishing aktif, quarantine düzenli izlenmeli. Yüksek riskli kurum için Defender for Office 365 Plan 1 üzerine yatırım yapılmalı.

EOP politika tasarımı, Defender entegrasyonu ve Attack Simulation kampanyası için Defender çözüm sayfasını inceleyin veya danışmanlık alın.