SP Tehditleri

SP nedir, nasıl tespit edilir?

Spam altyapısı kategorisi; istenmeyen e-posta veya mesaj kampanyalarının kaynak/aracı sunucusu olarak kullanılan kayıtları temsil eder. Saldırgan, ele geçirilmiş veya kötü konfigüre edilmiş SMTP relay'leri üzerinden hacimli e-posta atar; içerik genellikle reklam, phishing veya zararlı ek dağıtımıdır.

Tespit; SMTP gateway log'larında bu IP/domain'lerden gelen mail hacmi, SPF/DKIM/DMARC doğrulama hataları, e-posta gateway içerik analizinde tetiklenen spam imzaları üzerinden sağlanır. RBL (Realtime Blackhole List) ve DNSBL servisleriyle entegrasyon, bu kategorideki IoC'lerin operasyonel olarak engellenmesi için temel araçtır.

Savunma; SMTP gateway'de RBL/DNSBL entegrasyonu, SPF/DKIM/DMARC zorlaması, e-posta hız limiti (rate limit) ve sender reputation skorlama ile sağlanır. Kurumsal e-posta hijyeni açısından engelleme listesine alınması önerilir.

Kritiklik dağılımı

Toplam 0 SP göstergesinin operasyonel risk bandlarına dağılımı.

Önerilen Aksiyonlar

SP kategorisinde bir tehdit göstergesi tespit edildiğinde, aşağıdaki kurumsal müdahale adımları takip edilmelidir.

• 1 Bu göstergeyi mevcut güvenlik duvarı ve web proxy engelleme listelerine günlük senkronizasyonla ekleyin.
• 2 SIEM platformunda eşleştirme kuralı oluşturun; son 30 günlük log verisinde geriye dönük arama yapın.
• 3 Sınır yönlendiricilerinde bu IP/aralık için inbound ve outbound ACL kuralı tanımlayın; NetFlow telemetrisini etkinleştirin.
• 4 NDR/NTA çözümünüzde bu IP'ye yönelik bağlantı denemelerini yüksek-öncelikli alarm olarak işaretleyin.
• 5 Bu göstergeyi kurumsal tehdit istihbarat platformuna (TIP) kaynak atfı ile birlikte kaydedin; resmi kaynak: siberguvenlik.gov.tr · USOM. Orijinal kayıt: —

Filtre Matrisi