Exchange Online Protection (EOP), Microsoft 365'in bulut tabanlı e-posta güvenlik servisidir. Tüm Microsoft 365 / Exchange Online lisanslarında varsayılan olarak dahildir. Anti-spam, anti-malware, anti-phishing politikalarını yöneticinin doğru yapılandırması gerekir. Bu rehberde admin için EOP politika optimizasyonunu adım adım anlatıyoruz.
EOP Neyi Korur?
- Spam: İstenmeyen toplu mailler
- Bulk mail: Pazarlama mailleri (newsletter, kampanya)
- Malware: Virüslü ekler
- Phishing: Kimlik avı denemeleri
- Spoofing: Sahte gönderici adresleri
- Connection filtering: Bilinen kötü IP'ler
EOP vs Defender for Office 365 Farkı
EOP temel korumadır, Defender ek güvenlik sağlar:
- EOP: Spam filter, malware tarama, basic anti-phishing
- Defender Plan 1: EOP + Safe Links, Safe Attachments, gelişmiş anti-phishing
- Defender Plan 2: Plan 1 + Threat Explorer, Attack Simulation, AIR
Detay: Defender Plan 1 vs Plan 2.
Anti-Spam Politikası Yapılandırma
- Microsoft Defender Portal → Email & collaboration → Policies & rules
- Threat policies → "Anti-spam"
- "Default" inbound policy'yi düzenle (veya yeni oluştur)
Önemli Ayarlar
Bulk Email Threshold (BCL)
0-9 arası, ne kadar yüksek o kadar tolere edici:
- 0-3: Çok katı, çoğu newsletter spam'e düşer
- 4 (default): Dengeli
- 5-7: Hoşgörülü (Microsoft önerisi yeni tenant'lar için)
- 8-9: Çok hoşgörülü, az spam yakalama
Spam Aksiyonları
- Spam: Move to Junk Email folder (önerilen)
- High confidence spam: Quarantine (kullanıcı görmez)
- Phishing: Quarantine
- High confidence phishing: Quarantine + Notify admin
Allowed/Blocked Senders
- Allowed senders: güvendiğin domain'ler (kendi müşterileriniz)
- Blocked senders: spam kaynak domain'ler
- Sadece 5-10 entry olmalı (büyük listler performance düşürür)
Anti-Phishing Politikası
- Defender Portal → Anti-phishing policies → Default → Edit
- Mailbox intelligence: ON (kullanıcı davranışlarını öğrensin)
- Impersonation protection: 60 senior çalışanı koruma altına al (CEO, CFO vb.)
- Anti-spoofing: ON (sahte gönderici tespiti)
- If message is detected as user impersonation: "Move message to Junk Email folder" veya Quarantine
Connection Filter (IP Allow/Block List)
Bilinen güvenli/kötü IP'ler için:
- Defender Portal → Anti-spam policies → Connection filter policy → Edit
- "Always allow messages from the following IPs": Güvenli IP'ler (örn. müşteri SMTP relay)
- "Always block messages from the following IPs": Bloke edilecek IP'ler
Outbound Spam Filter
Şirketinizden çıkan mailler de izlenir (kullanıcı hesabı kompromize olmuş olabilir):
- Anti-spam policies → "Outbound spam filter policy"
- Limit messages per hour: 500 (default)
- Limit messages per day: 1000
- Aşılırsa: "Restrict the user from sending mail" — hesap geçici durdurulur
- Admin'e bildirim → kullanıcı şifre değiştirir
Quarantine Yönetimi
Şüpheli mailler quarantine'e düşer:
- Defender Portal → Email & collaboration → Review → Quarantine
- Filter: Tarih, alıcı, gönderici
- Action: Release (gönder), Delete (sil), Block sender
- Kullanıcılar kendi quarantine'lerini görebilir (User reported messages settings → Allow)
SCL ve BCL Skorları
| Skor |
Anlamı |
Default Aksiyon |
| SCL -1 | Bypass (allowed) | Inbox |
| SCL 0-1 | Spam değil | Inbox |
| SCL 5-6 | Spam | Junk folder |
| SCL 9 | Yüksek güvenli spam | Quarantine / Delete |
Anti-Malware Politikası
- Defender Portal → Anti-malware policies → Default → Edit
- Common attachments filter: Otomatik bilinen risk uzantıları engellenir (.exe, .scr, .bat, .vbs)
- "Custom attachment types" → şirkete özel ek (örn. .iso, .cab)
- Detected actions: "Replace attachment with default text" (zararlı eki kaldır + uyarı koy)
- Notify recipient: ON
Yaygın Sorunlar
"Önemli mailler junk'a düşüyor"
- Allowed senders'a ekle (sadece 5-10 entry)
- Bulk threshold'u artır (5-6'ya)
- SPF/DKIM/DMARC kontrol et — gönderici doğrulaması yetersiz olabilir
"Spam hâlâ inbox'a geliyor"
- Bulk threshold'u düşür (4)
- Defender Plan 1 ekle ($2/ay) — Safe Links/Attachments ile katmanlı koruma
- Anti-phishing impersonation protection aktif et
"Newsletter göndericisi şikayet ediyor — mailim spam'e düşüyor diye"
- Onun SPF/DKIM/DMARC ayarları yanlış olabilir
- mxtoolbox.com ile kontrol önerin
İzleme ve Raporlama
- Defender Portal → Email & collaboration → Reports → "Mail flow status report"
- Günlük/haftalık spam yakalama oranı
- Threat protection report — phishing ve malware engellemeleri
- Quarantine reports — release/delete istatistikleri
Sıkça Sorulan Sorular
EOP ek lisans gerektirir mi?
Hayır. Tüm Exchange Online ve Microsoft 365 planlarında dahildir.
Bulk threshold için Microsoft önerisi nedir?
5-6 (yeni tenant'lar için). Kullanıcı şikayetleri başlarsa 4'e düşür.
Quarantine ne kadar saklanır?
30 gün (default). 30 gün sonra otomatik silinir. Litigation Hold ile uzatılabilir.
Defender'sız EOP yeterli mi?
KOBİ için EOP yeterli olabilir. Yüksek riskli sektör (finans, hukuk) için Defender Plan 1 minimum şart.
Outbound spam limiti aşılırsa kullanıcı kilitlenir mi?
"Restrict user" aktifse 24 saat kilitli. Admin sıfırlar.
Sonuç
EOP doğru yapılandırılmış bir tenant'ta günlük binlerce spam ve phishing mailini engeller. Bulk threshold dengeli, anti-phishing aktif, quarantine düzenli izlenmeli. Yüksek riskli kurum için Defender for Office 365 Plan 1 üzerine yatırım yapılmalı.
EOP politika tasarımı, Defender entegrasyonu ve Attack Simulation kampanyası için Defender çözüm sayfasını inceleyin veya danışmanlık alın.