Tüm yazılarMicrosoft Security

Safe Links ve Safe Attachments Nasıl Yapılandırılır? (2026)

·~9 dk okuma
Microsoft Defender for Office 365 koruma katmanları diyagramı — yerleşik güvenlik, Plan 1 ve Plan 2; Koru, Algıla, Araştır, Yanıtla aşamaları (Microsoft Learn resmi belgelerinden)

Özet (TL;DR): Microsoft Defender for Office 365'te Safe Attachments (Güvenli Ekler) e-posta eklerini sanal bir ortamda patlatarak (detonation) zararlı yazılım ve fidye yazılımını teslimattan önce yakalar; Safe Links (Güvenli Bağlantılar) ise e-posta, Teams ve Office uygulamalarındaki bağlantıları tıklama anında tarar. En hızlı ve Microsoft'un önerdiği yol, sıfırdan özel politika yazmak yerine Standard ya da Strict ön ayarlı (preset) güvenlik politikalarını açıp tüm kullanıcıları eklemektir. Daha ince denetim gerekiyorsa Defender portalında (security.microsoft.com) Safe Attachments için varsayılan Block, Safe Links için tüm kanalların açık olduğu özel politikalar oluşturursunuz. Bu rehber ön gereksinimlerden adım adım yapılandırmaya, PowerShell alternatifine, doğrulamaya ve yaygın hatalara kadar tüm süreci kapsar.

Safe Attachments ve Safe Links neyi çözer?

Kurumsal e-posta, saldırganların bir numaralı giriş kapısıdır. Kimlik avı (phishing) ve fidye yazılımı kampanyalarının çoğu ya zararlı bir ek dosya ya da tıklandığında kötü amaçlı bir siteye yönlendiren bir bağlantı ile başlar. Exchange Online'ın yerleşik kötü amaçlı yazılım koruması bilinen imzaları yakalar; ancak henüz kataloglara girmemiş, sıfırıncı gün (zero-day) tehditleri imza tabanlı taramayı atlatabilir.

Microsoft Defender for Office 365 tam olarak bu boşluğu kapatır:

  • Safe Attachments (Güvenli Ekler): Kötü amaçlı yazılım taramasından geçmiş ekleri, ayrı bir sanal ortamda gerçekten açarak davranışını gözlemler (buna detonation / patlatma denir). Tehdit tespit edilirse ileti karantinaya alınır.
  • Safe Links (Güvenli Bağlantılar): İletideki URL'leri yeniden yazarak (URL rewriting), kullanıcı tıkladığı anda hedefi bilinen zararlı bağlantı listesine karşı tekrar tarar. Böylece teslimat anında temiz görünen ama sonradan silahlandırılan bağlantılar da yakalanır.

İki özellik birbirini tamamlar ve Microsoft'un daha geniş Microsoft güvenlik yığınının parçasıdır. Bu rehberde ikisini de üretim ortamına güvenle almanın en sağlam yolunu göstereceğiz.

Ön gereksinimler: lisans, rol ve izinler

Yapılandırmaya başlamadan önce üç şeyi netleştirin:

1. Lisans

Safe Attachments ve Safe Links, Microsoft Defender for Office 365 Plan 1 veya Plan 2 gerektirir. Bu koruma; Microsoft 365 E5, Office 365 E5 ve Microsoft 365 Business Premium gibi planların içinde gelir ya da uygun temel planlara eklenti (add-on) olarak alınır. Ortamınızda lisans yoksa, Defender portalındaki deneme merkezinden 90 günlük Defender for Office 365 Plan 2 denemesini başlatarak özellikleri ücretsiz test edebilirsiniz.

2. Rol ve izinler

Politika oluşturmak, değiştirmek ve silmek için aşağıdaki rollerden birine ihtiyacınız var:

  • E-posta ve işbirliği (Email & collaboration) RBAC'te Organization Management veya Security Administrator rol grubu üyeliği,
  • veya Microsoft Defender XDR Birleşik RBAC'te Security settings / Core Security settings (manage) yetkisi,
  • veya Microsoft Entra'da Güvenlik Yöneticisi (Security Administrator) rolü.

Microsoft, en az ayrıcalık (least privilege) ilkesini önemle vurgular: Global Yönetici (Global Administrator) rolünü yalnızca acil durumlar için ayırın, günlük politika işleri için Güvenlik Yöneticisi yeterlidir. Sadece görüntüleme gerekiyorsa Global Reader ya da Security Reader rolleri kullanılır. Bu yaklaşım, sıfır güven (Zero Trust) mimarisiyle de uyumludur.

3. Portal erişimi

Tüm işlemler Microsoft Defender portalında (https://security.microsoft.com) yapılır. Doğrudan gitmek için: Safe Attachments → security.microsoft.com/safeattachmentv2, Safe Links → security.microsoft.com/safelinksv2, Ön ayarlı politikalar → security.microsoft.com/presetSecurityPolicies.

Önerilen yol: Ön ayarlı politika mı, özel politika mı?

Burada verdiğiniz karar, ilerideki bakım yükünüzü belirler. İki seçenek var:

Ön ayarlı (preset) güvenlik politikaları — çoğu kurum için önerilen

Microsoft, ayarları tek tek yönetmek yerine Standard veya Strict ön ayarlı güvenlik politikalarını açıp tüm kullanıcıları eklemenizi tavsiye eder. Bunlar Microsoft'un sürekli güncellediği, önerilen güvenlik ayarlarının hazır demetleridir:

  • Standard: Çoğu kurum için uygun dengeli koruma.
  • Strict: Yönetici, finans ve BT gibi yüksek riskli kullanıcılar için daha sıkı koruma.
  • Built-in protection (Yerleşik koruma): Varsayılan Safe Links ve Safe Attachments korumasını, hiçbir özel politika kapsamında olmayan tüm alıcılara otomatik sağlar. Yani hiçbir şey yapılandırmasanız bile taban seviye koruma zaten devrededir.

Önemli kural: Standard ve Strict ön ayarlı politikalar, her zaman özel (custom) politikalardan önce uygulanır. Bir alıcı Standard veya Strict kapsamındaysa, ona ait özel Safe Links/Safe Attachments ayarları yok sayılır.

Özel (custom) politikalar — ince denetim için

Departman bazında farklı davranış, farklı karantina bildirimi veya belirli URL istisnaları gibi ihtiyaçlarınız varsa özel politika yazarsınız. Bu rehberin sonraki bölümleri özel politika kurulumunu adım adım anlatır; ancak yeni başlıyorsanız önce Standard preset'i açın, ardından yalnızca gereken yerlerde özel politikalarla ince ayar yapın.

Safe Attachments politikası nasıl yapılandırılır?

Aşağıdaki adımlar özel bir Safe Attachments politikası oluşturur. (Preset kullanıyorsanız bunun yerine "Ön ayarlı güvenlik politikaları" sayfasında Standard/Strict'i açmanız yeterlidir.)

  1. Defender portalında E-posta ve işbirliği → İlkeler ve kurallar → Tehdit ilkeleri → Safe Attachments yolunu izleyin (ya da doğrudan security.microsoft.com/safeattachmentv2).
  2. Oluştur (Create)'a tıklayıp sihirbazı başlatın.
  3. İlkenizi adlandırın sayfasında açıklayıcı bir ad ve isteğe bağlı açıklama girin, İleri (Next).
  4. Kullanıcılar ve etki alanları sayfasında politikanın kapsayacağı iç alıcıları belirtin: Kullanıcılar, Gruplar (dağıtım/e-posta özellikli güvenlik grupları veya Microsoft 365 grupları — dinamik gruplar desteklenmez) ya da Etki alanları. Tüm kuruma uygulamak için üçünü de boş bırakın. Gerekirse "Bu kullanıcıları hariç tut" ile istisna ekleyin.
  5. Ayarlar sayfasında Safe Attachments bilinmeyen kötü amaçlı yazılım yanıtını seçin:
    • Off (Kapalı): Ekler Safe Attachments tarafından taranmaz — önerilmez.
    • Monitor (İzle): İleti teslim edilir, tespit edilen tehditler izlenir.
    • Block (Engelle): Varsayılan ve önerilen değer. Zararlı ek içeren iletiler teslim edilmez, karantinaya alınır ve gelecekteki aynı örnekler otomatik engellenir. Standard ve Strict preset'lerin kullandığı değerdir.
    • Dynamic Delivery (Dinamik Teslim): İletiyi hemen teslim eder ama ekleri tarama bitene kadar yer tutucuyla değiştirir. Yalnızca Exchange Online posta kutuları için çalışır.
  6. Karantina ilkesini seçin. Varsayılan olarak AdminOnlyAccessPolicy kullanılır; bu ilkede kullanıcı bildirimleri kapalıdır. Kullanıcıların karantina bildirimi almasını istiyorsanız, bildirimlerin açık olduğu bir karantina ilkesi oluşturup seçin. Not: Kötü amaçlı yazılım/kimlik avı olarak karantinaya alınan iletileri kullanıcılar kendi başlarına serbest bırakamaz; en fazla serbest bırakma talebi oluşturabilir.
  7. İsterseniz Yönlendirmeyi (Enable redirect) açıp tespit edilen ekli iletileri analiz için bir e-posta adresine gönderin. Yönlendirme yalnızca Monitor eylemiyle kullanılabilir.
  8. Gözden geçir sayfasında ayarları kontrol edip Gönder (Submit)'e tıklayın, ardından Bitti (Done).

Ne kadar sürede etkinleşir? Yeni ya da güncellenmiş bir Safe Attachments politikasının uygulanması için 30 dakikaya kadar süre tanıyın. Ek taraması tipik olarak 15 dakika içinde tamamlanır; sanal ortamdaki analiz nedeniyle bazen daha uzun sürebilir. Ayrıntılar için Microsoft'un Safe Attachments ilkelerini ayarlama belgesine bakın.

Safe Links politikası, bağlantı taramasını e-posta, Teams ve Office uygulamalarında açar.

  1. Defender portalında E-posta ve işbirliği → İlkeler ve kurallar → Tehdit ilkeleri → Safe Links yolunu izleyin (ya da security.microsoft.com/safelinksv2).
  2. Oluştur (Create)'a tıklayın, ad ve açıklama girin, İleri.
  3. Kullanıcılar ve etki alanları sayfasında kapsamı seçin (tüm kurum için boş bırakın), gerekiyorsa istisnalar ekleyin.
  4. URL ve tıklama koruması ayarları sayfasında şu bölümleri yapılandırın:
    • E-posta: "Safe Links e-postadaki bağlantıları denetler, URL'ler varsayılan olarak yeniden yazılır" seçeneğini açın. Alt seçenekler: Kurum içi iletilere de uygula, Şüpheli bağlantılar için gerçek zamanlı URL taraması ve önerilen ayar olan Teslimattan önce URL taramasının tamamlanmasını bekle.
    • Teams: Teams içindeki bağlantılar için Safe Links korumasını açın (etkinleşmesi 24 saati bulabilir).
    • Office 365 uygulamaları: Masaüstü, mobil ve web Office uygulamalarındaki dosyalar için korumayı açın.
    • Tıklama koruması ayarları: "Kullanıcı tıklamalarını izle" açık kalsın. Kullanıcıların uyarı sayfasından orijinal URL'ye geçmesini engellemek için "Kullanıcıların orijinal URL'ye tıklamasına izin ver" seçeneğini kapatın.
  5. Bildirim sayfasında varsayılan ya da özel bildirim metnini seçin (özel metin 200 karakteri aşamaz), İleri.
  6. Gözden geçir → Gönder → Bitti.

Ne kadar sürede etkinleşir? Yeni/güncellenen bir Safe Links politikası için 6 saate kadar süre tanıyın; Teams koruması ayrıca 24 saate kadar sürebilir. Tam adımlar için Safe Links ilkelerini ayarlama belgesi referans alınmalıdır.

SharePoint, OneDrive ve Teams için Safe Attachments (global ayar)

Buraya kadar anlatılan Safe Attachments politikası yalnızca e-posta eklerini kapsar. Dosya paylaşım katmanını da korumak için ayrı bir global ayar vardır ve bu ayar politikaya bağlı değildir:

  • Defender portalında Safe Attachments sayfasındaki Global ayarlar (Global settings)'a girin.
  • SharePoint, OneDrive ve Microsoft Teams için Safe Attachments'ı aç seçeneğini etkinleştirin.
  • Microsoft 365 E5 varsa Safe Documents özelliğini de değerlendirin; bu özellik, Office masaüstü uygulamalarında açılan belgeleri Microsoft Defender for Endpoint bulutu ile doğrular.

Böylece kullanıcı Microsoft 365 ortamındaki bir dosyayı SharePoint veya OneDrive üzerinden paylaştığında da patlatma koruması devreye girer.

İleri seviye: PowerShell ile toplu yapılandırma

Çok sayıda kiracıyı yöneten hizmet sağlayıcıları ya da yapılandırmayı kod olarak saklamak isteyen ekipler için Exchange Online PowerShell pratik bir alternatiftir. PowerShell'de her koruma iki parçadan oluşur: ayarları tutan policy ve kime uygulanacağını belirleyen rule. Önce policy, sonra rule oluşturulur.

Safe Attachments (tüm kuruma, Block eylemiyle):

  • New-SafeAttachmentPolicy -Name "Kurum Geneli" -Enable $true (Action parametresi verilmezse varsayılan Block)
  • New-SafeAttachmentRule -Name "Kurum Geneli" -SafeAttachmentPolicy "Kurum Geneli" -RecipientDomainIs (Get-AcceptedDomain).Name

Safe Links (tüm kuruma, tüm kanallar açık):

  • New-SafeLinksPolicy -Name "Kurum Geneli" -EnableSafeLinksForEmail $true -EnableSafeLinksForOffice $true -EnableSafeLinksForTeams $true -ScanUrls $true -DeliverMessageAfterScan $true -EnableForInternalSenders $true -AllowClickThrough $false
  • New-SafeLinksRule -Name "Kurum Geneli" -SafeLinksPolicy "Kurum Geneli" -RecipientDomainIs (Get-AcceptedDomain).Name

Not: PowerShell'de policy silseniz bile ilgili rule otomatik silinmez (tersi de geçerli); ikisini ayrı ayrı temizleyin. Ayrıca preset'lere bağlı Standard/Strict/Built-in politikaları PowerShell'den de düzenlenemez.

Yapılandırmayı doğrulama ve test etme

Politikaları kurduktan sonra çalıştığını mutlaka doğrulayın:

  1. Portal kontrolü: Safe Attachments ve Safe Links sayfalarında politikaların Status (On/Off) ve Priority değerlerini gözden geçirin. Ön ayarlı politikaları görmek için Ön ayarlı güvenlik politikaları sayfasına gidin.
  2. Safe Links testi: Zararsız ama Safe Links yanıtını tetikleyen test URL'si http://spamlink.contoso.com ile korumayı deneyin. (Anti-spam testindeki GTUBE dizisine benzer mantıkta çalışır.)
  3. PowerShell doğrulaması: Get-SafeAttachmentPolicy -Identity "<Ad>" | Format-List ve Get-SafeLinksPolicy -Identity "<Ad>" komutlarıyla ayarları teyit edin.
  4. Raporlar: Defender portalındaki Tehdit koruması durumu raporu ve Gezgin (Explorer) ile taranan iletileri ve tespitleri izleyin.

Yaygın hatalar ve çözümleri

Politika kaydedilirken 403 / CmdletAccessDeniedException hatası

Gerekli izinlere sahip olduğunuzdan eminseniz, bu genellikle bir Exchange Online RBAC yapılandırma sorunudur. Bazı kuruluşlarda değişikliklerin kaydedilmesi için arka planda bir RBAC yapılandırma yenilemesi gerekir. Sorun devam ederse Microsoft Desteği'ne başvurup "RBAC configuration refresh" ifadesini belirtin.

"Özel politikayı kaydettim ama bazı kullanıcılarda uygulanmıyor"

Büyük olasılıkla o kullanıcılar Standard veya Strict preset kapsamındadır. Preset'ler her zaman özel politikalardan önce geldiği için, aynı alıcıya ait özel ayarlar yok sayılır. Bu beklenen davranıştır; ince ayar gerekiyorsa kullanıcıyı preset'ten çıkarın ya da öncelik (priority) mantığını gözden geçirin.

Dynamic Delivery çalışmıyor / yer tutucu görünmüyor

Dynamic Delivery yalnızca Exchange Online posta kutularında çalışır. Ek yerel (on-premises) bir kutuya gidiyorsa, genel klasörlerdeyse, özel kurallarla başka klasöre taşınıyorsa veya ileti S/MIME ile şifreliyse yer tutucu değiştirilemez. Bu senaryolarda Block eylemi daha öngörülebilir sonuç verir.

Kullanıcılar karantina bildirimi almıyor

Varsayılan AdminOnlyAccessPolicy karantina ilkesinde bildirimler kapalıdır. Kullanıcıların bilgilendirilmesini istiyorsanız bildirimlerin açık olduğu ayrı bir karantina ilkesi oluşturup Safe Attachments politikasına atayın.

Meşru bir bağlantı Safe Links tarafından engelleniyor

Güvendiğiniz bir URL yanlışlıkla engelleniyorsa, önce URL'yi Microsoft'a "temiz" olarak bildirin ve ardından Kiracı İzin Ver/Engelle Listesine (Tenant Allow/Block List) izin girdisi ekleyin. "Yeniden yazılmayacak URL'ler" listesi bağlantıyı mail akışında sarmalamasa da, tıklama anında yine engelleyebilir; kalıcı çözüm izin girdisidir.

Sıkça Sorulan Sorular (SSS)

Safe Links ve Safe Attachments için ayrı lisans mı gerekiyor?

Hayır, ikisi de aynı Microsoft Defender for Office 365 (Plan 1 veya Plan 2) lisansının parçasıdır. Bu koruma Microsoft 365 E5, Office 365 E5 ve Business Premium içinde gelir; diğer planlara eklenti olarak alınabilir.

Hiçbir politika oluşturmazsam kullanıcılarım korumasız mı kalır?

Hayır. Built-in protection (Yerleşik koruma) ön ayarı, özel bir politika kapsamında olmayan tüm alıcılara varsayılan olarak taban seviyede Safe Links ve Safe Attachments koruması sağlar. Ancak Microsoft, daha güçlü koruma için Standard veya Strict preset'i açık şekilde etkinleştirmenizi önerir.

Ön ayarlı politika mı yoksa özel politika mı kullanmalıyım?

Çoğu kurum için Standard preset en pratik seçenektir; Microsoft'un önerdiği ayarları otomatik ve güncel tutar. Departman bazında farklı davranış, özel karantina bildirimi veya URL istisnaları gerekiyorsa özel politika ekleyin. Preset ve özel politikaları birlikte kullanabilirsiniz.

Safe Attachments e-postayı ne kadar geciktirir?

Ek taraması tipik olarak 15 dakika içinde tamamlanır. Gecikmeyi ortadan kaldırmak isterseniz Dynamic Delivery, iletiyi hemen teslim edip ekleri tarama bitene kadar yer tutucuyla değiştirir (yalnızca Exchange Online kutularında).

Safe Links koruması Microsoft Teams ve Office uygulamalarını da kapsar mı?

Evet. Safe Links politikasında ilgili seçenekleri açtığınızda e-postanın yanı sıra Teams ve desteklenen Office masaüstü/mobil/web uygulamalarındaki bağlantılar da tıklama anında taranır. Teams korumasının etkinleşmesi 24 saati bulabilir.

Politikayı yaptım ama etkisini hemen görmüyorum, normal mi?

Evet. Safe Attachments için 30 dakikaya, Safe Links için 6 saate (Teams'te 24 saate) kadar yayılma süresi tanıyın. Bu süre sonunda değişiklik tüm ortama uygulanır.

Sonuç: koruma yığınını doğru sırayla kurun

Safe Attachments ve Safe Links, kimlik avı ve fidye yazılımına karşı e-posta savunmanızın en kritik iki katmanıdır. En sağlam kurulum sırası şudur: önce Standard (veya yüksek riskli kullanıcılar için Strict) ön ayarlı güvenlik politikasını açıp tüm kullanıcıları ekleyin; ardından SharePoint/OneDrive/Teams için Safe Attachments global ayarını etkinleştirin; son olarak yalnızca gerçekten gereken yerlerde özel politikalarla ince ayar yapın.

Bu yaklaşım hem bakım yükünü düşük tutar hem de Microsoft'un sürekli güncellediği önerilen ayarlardan otomatik faydalanmanızı sağlar. Kurulumdan sonra test URL'si ve raporlarla doğrulamayı ihmal etmeyin; bir güvenlik kontrolünün "açık" görünmesi ile gerçekten çalışıyor olması farklı şeylerdir. E-posta kimlik doğrulamasını da güçlendirmek isterseniz SPF, DKIM ve DMARC yapılandırma rehberimiz bu korumayı tamamlar.

Microsoft İstanbul — Xen Bilişim ekibi olarak, kurumunuzun Microsoft Defender for Office 365 dağıtımında ön ayarlı politikaların planlanmasından Safe Links/Safe Attachments ince ayarına ve kimlik avı senaryolarının test edilmesine kadar uçtan uca destek sağlıyoruz. İletişim sayfamızdan bize ulaşın.

Microsoft yolculuğunuzu
birlikte planlayalım

Mevcut altyapınızı ücretsiz değerlendirelim, doğru lisansı önerelim ve geçiş planınızı çıkaralım — aramayı uzmanlarımız 24 saat içinde yapar.

WhatsApp