E-posta altyapısı kurumsal iletişimin omurgasıdır. Ancak sadece spam veya kötü niyetli yazılımlardan korunmak değil e-postanın hangi yöntemle gönderildiği, kimlik doğrulamanın nasıl yapıldığı ve dış sistemlerle entegrasyonun nasıl tasarlandığı da en az içerik güvenliği kadar önemlidir.
Microsoft 365 Exchange Online ortamında sıkça gündeme gelen iki kritik kavram vardır;
- Direct Send (Doğrudan Gönderim)
- Partner Connector
Bu yöntemler işlevsellik sunsa da yanlış kullanıldığında ciddi güvenlik açıklarına yol açabilir.
Direct Send Nedir?
Direct Send kurumun kendi tanımlı alan adlarını kullanarak yazıcı, güvenlik kamerası, uygulama sunucusu veya üçüncü taraf servislerden doğrudan Exchange Online posta kutularına e-posta göndermesini sağlar.
- SMTP AUTH (kimlik doğrulama) gerekmez.
- Kullanımı basittir, özellikle eski cihazlar için tercih edilir.
Kullanım Senaryosu
- Bir yazıcı cihazının taranan belgeleri
scan@firma.comadresinden göndermesi. - ERP yazılımının otomatik fatura e-postası göndermesi.
Bu cihazların çoğu modern kimlik doğrulama yöntemlerini desteklemediği için Direct Send tercih edilir.
Güvenlik Riskleri
- Anonimlik: Gönderici kimliği doğrulanmaz, saldırganlar “spoofing” (alan adı taklidi) yapabilir.
- Varsayılan Açık: Tüm tenant’larda varsayılan olarak etkindir; kullanılmasa bile risk oluşturur.
- Takip Zorluğu: Kim hangi cihazdan e-posta gönderdi, loglarda ayrıştırmak zor olabilir.
Direct Send Yönetimi
Direct Send’in yönetimi Exchange Online PowerShell üzerinden yapılır.
Ön Hazırlık: PowerShell Bağlantısı
# Exchange Online Management modülünü yükle
Install-Module -Name ExchangeOnlineManagement -Force
# Modül yüklendikten sonra oturumu başlat
Connect-ExchangeOnline
Burada Install-Module komutu PowerShell Gallery’den ilgili yönetim modülünü indirir.Connect-ExchangeOnline komutu ise kimlik doğrulama yaparak oturum açar.
Direct Send’i Devre Dışı Bırakma
Set-OrganizationConfig -RejectDirectSend $true
- Set-OrganizationConfig → Tenant seviyesinde ayar yapar.
- RejectDirectSend $true → Direct Send yöntemini reddeder.
Tekrar Etkinleştirme
Set-OrganizationConfig -RejectDirectSend $false
$falseparametresi ile Direct Send yeniden kullanılabilir hâle gelir.
Mevcut Durumu Kontrol Etme
Get-OrganizationConfig | Select-Object Identity, RejectDirectSend
Çıktı örneği:
Identity RejectDirectSend
-------- ----------------
kadirkozan.onmicrosoft.com True
- True → Direct Send devre dışı.
- False → Direct Send aktif.
Test Senaryosu
$EmailMessage = @{
To = "ahmet@firma.com"
From = "yazici@firma.com"
Subject = "Direct Send Test"
Body = "Bu bir test e-postasıdır."
SmtpServer = "firma-com.mail.protection.outlook.com"
Port = 25
UseSSL = $true
}
Send-MailMessage @EmailMessage
Eğer Direct Send engelliyse hata döner:
550 5.7.68 TenantInboundAttribution; Direct Send not allowed for this organization from unauthorized sources
Partner Connector Nedir?
Partner Connector, Exchange Online veya entegrasyon platformlarında kurum dışı sistemlerle güvenli veri alışverişi sağlamak için tanımlanan özel bağlantıdır.
Kullanım Alanları
- Exchange Online:
- Belirli IP adresleri veya alan adlarından gelen e-postaları kabul etmek için.
- Örn: Barracuda veya Proofpoint gibi güvenlik çözümleri üzerinden geçen e-postaları yalnızca doğrulanmış IP’lerden kabul etmek.
- Windows 365:
- Citrix HDX Plus veya HP Anyware gibi partner protokoller için Cloud PC’lere otomatik bağlayıcı yüklenmesini sağlamak.
- Workato ve Benzeri Platformlar:
- Salesforce, NetSuite gibi uygulamalarla entegrasyon için.
Riskler
- Yanlış IP tanımı → Yetkisiz erişim.
- Sertifika doğrulamasının yapılmaması → Sahte trafik kabul edilmesi.
- Fazla izin verilmesi → Spam, veri sızıntısı riski.
Direct Send ve Partner Connector Arasındaki Fark
| Özellik | Direct Send | Partner Connector |
|---|---|---|
| Kimlik Doğrulama | Yok | IP, alan adı veya sertifika doğrulaması |
| Kullanım Amacı | Cihaz ve uygulamalardan kolay gönderim | Dış sistemlerle güvenli entegrasyon |
| Varsayılan Durum | Etkin | Manuel yapılandırılır |
| Risk | Yüksek (spoofing, anonim gönderim) | Orta (yanlış yapılandırma) |
En İyi Uygulamalar
- Direct Send devre dışı bırakılmalı (RejectDirectSend = True).
- SMTP AUTH veya Partner Connector üzerinden kimlik doğrulamalı gönderim tercih edilmeli.
- Partner Connector kullanılıyorsa:
- IP listesi dar tutulmalı.
- Sertifika doğrulaması etkin olmalı.
- Test e-postaları ile periyodik doğrulama yapılmalı.
- Olay bazlı loglama ve uyarı mekanizması kullanılmalı.
Örnek Senaryo
- Bir ERP uygulaması kimlik doğrulama yapmadan fatura e-postası gönderiyor.
- Direct Send kapatıldığı için gönderim reddediliyor.
- Çözüm: ERP sunucusu için bir SMTP AUTH hesabı tanımlanıyor veya ilgili IP adresi için Partner Connector oluşturuluyor.
Böylece:
- E-postalar kimlik doğrulamalı şekilde kabul ediliyor.
- Taklit girişimlerine karşı koruma sağlanıyor.
- Direct Send hızlı ve kolaydır; ancak kimlik doğrulamasız olduğu için ciddi risk barındırır.
- Partner Connector dış sistemlerle güvenli entegrasyon sağlar; yanlış yapılandırıldığında risk taşır.
- Microsoft, Eylül 2025 itibarıyla yeni tüm tenant’larda Direct Send’i varsayılan olarak kapatacaktır.
- Kurumların bugünden harekete geçerek:
- Direct Send’i kapatması,
- Partner Connector yapılandırmalarını gözden geçirmesi,
- Güvenlik politikalarını güçlendirmesi gerekir.
Direct Send gerekiyorsa bile çok dikkatle kullanılmalı, Partner Connector ise yalnızca minimum gerekli izinlerle yapılandırılmalıdır.