Merhaba, bu blog yazısınzda sizlere 2024 yılı ile birlikte daha da zorunlu hale gelecek olan e-posta doğrulama yöntemleri üzerine bilgi vereceğiz.

Bildiğiniz gibi e-posta sistemleri organizasyonlarımızda iletişim için kullandığımız en basit ve hızlı yöntem. Durum böyle olunca siber saldırganların en gözde hedefli haline geliyor. Siber saldırganlar başta phishing olmak üzere farklı yöntemler ile e-posta üzerinden sistemleri ele geçirmeye çalışmakta. Tabi siber çeteler bu saldırı tekniklerini geliştiriken, bunlara karşı önlem olarak da bir çok yöntem gelmiştirilmektedir. Özellikle 2024 yılı ile birlikte Microsoft ve Google gibi hizmet sağlayıcılar e-posta manipülasyonuna karşı korunma yöntemlerini zorunlu hale getireceğini duyurdu. Ve bu yeni korunma yöntemlerine uyum sağlamayan organizasyonların mail gönderme ve almada sorunlar yaşayacağını belirtti.

Şimdi gelin beraber ileride e-posta trafiğinde sorun yaşamamk için neler yapabileceğimize bakalım.

SPF, DKIM,DMARC ve ARC Nedir?

SPF

SPF (Sender Policy Framework): SPF, e-posta gönderen sunucunun yetkilendirildiği sunucuları belirlemek için kullanılır. Bir alan adının DNS (Domain Name System) kayıtlarında SPF tanımlanabilir. E-posta alıcı sunucular, gelen e-postanın gönderen sunucunun SPF kayıtlarına uygun olup olmadığını kontrol ederek sahtecilik (spoofing) ve gönderen doğrulaması sorunlarını azaltmaya yardımcı olur.

SPF (Sender Policy Framework) Örneği:

SPF, bir alan adının hangi IP adreslerinin e-posta gönderme yetkisine sahip olduğunu tanımlar. SPF tanımlaması, alan adının DNS kayıtlarında yapılır.

“TXT v=spf1 ip4:192.168.1.1 include:_spf.example.com -all”

Bu örnekte, “example.com” alan adının SPF kaydı, 192.168.1.1 IP adresinin e-posta gönderme yetkisine sahip olduğunu ve “_spf.example.com” alan adındaki başka bir SPF kaydını içermediğini belirtir.

DKIM

DKIM (DomainKeys Identified Mail): DKIM, e-postanın orijinal ve değiştirilmeden gönderildiğini doğrulamak için kullanılır. E-posta gönderen sunucu, e-postanın başlıklarını ve içeriğini şifreleyerek bir dijital imza oluşturur. Alıcı sunucu, e-postayı alırken bu dijital imzayı kontrol eder ve e-postanın değiştirilmediğini doğrular.

DKIM (DomainKeys Identified Mail) Örneği:

DKIM, e-posta başlıkları ve içeriğini şifreleyerek bir dijital imza oluşturur. DKIM için DNS kaydı şu şekilde tanımlanır:

“TXT k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC3rL8ILXpT7EIfTTZfw+D5TIJEZiJvjyyu2MSxYFWi1u+5nJZ5TpsBwEZwqkoWjnlFmUzYHKEmz0HEwRzKY0LoDowdD1yD4eG9Co7bB9zzSbJ2rI/A6Xqtz1ki6KXztVrPz/91myEMNlIEn6c/uGyGNOeGGxWEi2pRIIXdLwIDAQAB”

Burada, “k=rsa” şifreleme algoritmasını belirtir ve “p=” kısmında genel anahtarı içerir.

DMARC

DMARC (Domain-based Message Authentication, Reporting, and Conformance): DMARC, SPF ve DKIM’in birleştirilmiş bir güvenlik protokolüdür. DMARC, SPF ve DKIM doğrulamasının başarılı olup olmadığını kontrol eder ve eğer başarısızsa, e-postanın ne yapılacağını belirler. Ayrıca, DMARC raporlama özelliği sayesinde sahte e-posta gönderimleri hakkında bilgi sağlar, böylece alan sahibi bu duruma müdahale edebilir.

DMARC (Domain-based Message Authentication, Reporting, and Conformance) Örneği:

DMARC, SPF ve DKIM doğrulamasının başarılı olup olmadığını kontrol eder ve eğer başarısızsa, e-postanın ne yapılacağını belirler. DMARC tanımlaması DNS kayıtlarında şu şekilde yapılır:

“TXT v=DMARC1; p=quarantine; rua=mailto:dmarc@example.com; ruf=mailto:dmarc-forensics@example.com; fo=1”

Bu örnekte, “v=DMARC1” DMARC sürümünü belirtir, “p=quarantine” başarısız doğrulama durumunda e-postanın spam klasörüne yönlendirilmesini belirtir. “rua” ve “ruf” kısımları raporlama adreslerini belirtir.

Bu üç teknik, e-posta sahteciliği, spam ve phishing saldırıları gibi güvenlik tehditlerine karşı koruma sağlar ve e-posta iletişimini daha güvenilir hale getirir.

ARC

ARC (Authenticated Received Chain), e-posta güvenliği ve kimlik doğrulama süreçlerini geliştirmek amacıyla geliştirilen bir standarttır. ARC, e-posta gönderenin kimliğini daha güvenilir bir şekilde doğrulamak ve e-posta iletim zincirinde güvenliği artırmak için kullanılır.

ARC, e-posta iletimi sırasında e-posta sunucuları arasında yapılan değişiklikleri takip eder ve bu değişiklikleri doğrular. Bu sayede, e-posta gönderenin kimliği daha güvenilir bir şekilde doğrulanabilir ve e-postanın orijinalliği korunabilir.

Bu standart, SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) ve DMARC (Domain-based Message Authentication, Reporting, and Conformance) gibi diğer e-posta kimlik doğrulama yöntemleri ile birlikte kullanılabilir. ARC, özellikle e-posta iletim zincirinde güvenilirlik sağlamak ve SPF/DKIM geçişinin korunmasını desteklemek için tasarlanmıştır.

Gönderen Sunucu (Mail Server A):

Bir kullanıcı, “user@example.com” adresinden bir e-posta gönderir.
SPF ve DKIM ile bu e-postanın orijinalliği ve gönderenin kimliği doğrulanır.
ARC, e-postanın ilk gönderim noktasına (Mail Server A) bir “header field” ekler.

Aracı Sunucu (Mail Server B):

E-posta, bir aracı sunucu üzerinden yönlendirilir (örneğin, bir spam filtresi veya e-posta geçiş hizmeti).
Aracı sunucu, e-postaya kendi ARC header field’ını ekler ve değişiklikleri kaydeder.
Alıcı Sunucu (Mail Server C):

E-posta, son alıcı sunucuya ulaşır

SPF, DKIM ve ARC, e-postanın geçtiği sunucular arasında bir güven zinciri oluşturur.
ARC, gönderenin orijinalliğini doğrulamak ve e-postanın değişmeden iletilip iletilmediğini kontrol etmek için kullanılır.

Bu kayıtlara sahip olmazsanız ne gibi sorunlar yaşarsınız?

Güvenlik

E-posta gönderim veya alım denetimleri çift taraflıdır.  E-posta göndermede ve gönderin e-postanın yerine ulaşmasında sorun yaşamamak için kayıtların eksizsiz olması gereklidir. Aynı zamanda bu denetimleri kendi tarafınızda yaparak e-posta sahteciliğinin önüne geçmeniz organizasyonunuzun güvenliği için büyük önem taşır.

Gönderdiğniz E-Postalar alıcısına ulaşmayabilir

Kurumsal organizasyonlar e-posta güvenliği için bir çok koruma mekanizması kullanılır. Bunlardan ilk üçünü sıralarsak Mail Gateway,Waf ve Sandbox çözümleri olarak karşımıza çıkar. Özellikle Mail gateway kullanan kuruluşlar epostaları mail sunucularına göndermeden önce mail gateway üzerinden SPF,DKIM,DMARC kayıtlarını kontrol ederler ve bu kontrollerden geçemeyen epostaları geri çevirirler.

Kurumsal itibar

E-posta artık organizasyonların kimliği adeta kartviziti durumundadır. Bu nedenle e-posta hizmetinin sağlığı ve güvenliği kurulum kimliğinizide ortaya çıkarır. İş ortaklarınıza, devlet kuruluşlarına ve müşterilerinize gönderdiğiniz e-postalar sağlıksız ve güvensiz olarak işaretlenmesi kurumsal kimliğinize zarar verecektir.

Microsoft’un 2024 için uyarıları

Microsoft konu ile ilgili aşağıdaki teknik bilgi ve uyarıları yayınladı.

Microsoft 365 üzerinden e-posta gönderenler, mesajlarını popüler e-posta servis sağlayıcılarına (Gmail, Yahoo, AOL, Outlook.com) ilettiklerinde problemler ile karşılaşabilirler. Özellikle büyük miktarda gönderilen e-posta iletilerinin kimliğini doğrulamak için Google gibi sağlayıcılar daha katı güvenlik gereksinimleri uygulayacak. E-posta kimlik doğrulama standartlarını karşılamayan iletiler reddedilecek. Bu sorunlar genellikle Teslim Edilemedi Raporları (NDR) şeklinde ortaya çıkacak ve aşağıdaki mesajlar ile karşılaşılacak.

Kimlik Doğrulama:
550-5.7.26 Bu postanın kimliği doğrulanmadı, bu da gönderen ve Gmail kullanıcıları için güvenlik riski oluşturur ve engellendi. Gönderenin kimliğini SPF veya DKIM’den en az biriyle doğrulaması gerekir. Bu mesaj için, ip: [IPAddress] ile DKIM kontrolleri başarılı olmadı ve [contoso.com] için SPF kontrolü başarısız oldu.

Spam:
421-4.7.28 Sistemimiz, IP adresinizden gelen alışılmadık oranda istenmeyen posta tespit etti. Kullanıcılarımızı spam’den korumak için IP adresinizden gönderilen postaların hızı geçici olarak sınırlandırılmıştır.

IPv6 Spam:
550 5.7.350 Uzak sunucu, spam olarak algılanan iletiyi döndürdü -> 550 5.7.1 [IPv6Adresi]

E-posta kimlik doğrulaması, e-posta gönderme işleminde aşağıdaki nedenlerden dolayı önemlidir:

  • Alıcıları kötü amaçlı mesajlardan korur.
  • E-postalarınızın reddedilme veya spam olarak işaretlenme olasılığını azaltır.
  • E-posta sağlayıcıları ve alıcıları arasında güven inşa eder.
  • E-posta kampanyalarınızın teslim edilebilirliğini ve itibarını artırır.
  • E-postaların harici alıcılar tarafından kabul edilme şansını artırmak için bu mekanizmaların kullanılması önemlidir.

Bu nedenle, SPF, DKIM ve DMARC hakkında bilgi edinmeli ve bu doğrulama yöntemlerini Microsoft 365 üzerinden gönderdiğiniz e-postalarda nasıl yapılandıracağınızı öğrenmelisiniz. Ayrıca, kuruluşunuzun gönderdiği e-postaların alıcı e-posta servis sağlayıcılarının gereksinimlerini karşılaması önemlidir. Bu sayede e-postalarınızın reddedilme veya spam olarak işaretlenme riski azalır. Unutmayın ki Microsoft 365, toplu e-posta gönderimi için önerilen bir hizmet değildir, bu nedenle yüksek riskli dağıtım havuzuna düşmemek için alternatif kaynakları kullanmalısınız.

E-postaların alıcılar tarafından kabul edilme şansını artırmak için tüm müşterilerimizin bu mekanizmaları kullanmasını önemle tavsiye ederiz.

Alıcı e-posta servis sağlayıcılarının gereksinimleri

Kuruluşunuzun gönderdiği bir e-posta, alıcı e-posta servis sağlayıcınızın e-posta kimlik doğrulama standartlarını karşılamıyorsa veya istenmeyen toplu e-posta olarak görülüyorsa reddedilebilir veya spam olarak işaretlenebilir. Her sağlayıcının teslim edilemedi raporları (NDR’ler), e-postaların onlara nasıl teslim edileceğine ilişkin ayrıntıları içerir. Microsoft 365 toplu e-posta aktarımı için kullanılmamalıdır ancak alıcı e-posta sağlayıcılarının e-postanızı alması için aşağıdaki e-posta sağlayıcılarının belgelerini okuyabilir siniz.

E-posta göndermeyle ilgili Microsoft 365’te dikkate alınması gereken noktalar

EOP ve Toplu E-posta Gönderimi:

EOP (Exchange Online Protection), güçlü giden spam kontrollerine sahiptir. Ancak, Microsoft 365’in toplu e-posta gönderimi için uygun değildir.

Toplu E-posta Gönderimi İçin Alternatif Kaynaklar:

  • Şirket İçi E-posta Sunucuları: Müşterilere, toplu postalar için kendi e-posta altyapılarını kullanmaları önerilir.
  • Üçüncü Taraf Toplu E-posta Sağlayıcıları: İyi e-posta gönderme uygulamaları sağlamak için çeşitli üçüncü taraf çözüm sağlayıcılarına başvurulması önerilir.
  • Toplu E-posta Gönderimi İçin Giden Spam Koruması Önerileri:
  • Yüksek hızda veya hacimde e-posta göndermekten kaçınılmalıdır.
  • Çok sayıda Bcc alıcısına e-posta gönderilmemelidir.
  • Toplu e-posta gönderenleri, birincil e-posta alanlarını kullanmak yerine özel alt alan adları kullanmalıdır.
  • SPF, DKIM ve DMARC gibi e-posta kimlik doğrulama kayıtları özenle yapılandırılmalıdır.

Google’un 2024 için uyarıları

Toplu gönderenler için yeni gereksinimler, Şubat 2024’e kadar Gmail toplu gönderenlerden aşağıdaki gereksinimleri karşılamalarını isteyecek:

E-postalarını kimlik doğrulamaları: Google, SFP,DKIM,DMARC gibi kayıtlarınızın tam olmasını istiyor.

Kolayca abonelikten çıkarmayı etkinleştirin: Gmail alıcılarına tek tıklamayla ticari e-posta aboneliğinden çıkma olanağı verilmesini ve abonelikten çıkma isteklerini iki gün içinde işleme koyulmasını zorunlu tutuyor.

İstenen e-posta gönderdikleri kontrol altında tutun: E-posta sunucularınızdan çıkan mailleri kontrol etmeniz isteniyor. E-posta sunucularınızdan dış dünyaya çıkan maillerini spam ve zararlı içerik denetimlerin geçirip öyle göndermeniz büyük önem taşıyor.

Çözüm önerileri ve tavsiyeler

  • SPF,DKIM,DMARC kayıtlarını eksiksiz olarak tanımlamalısınız.
  • E-Posta sunucumuz önüne Mail Gateway ve Sandbox çözümler konumlandırmalısınız.
  • Toplu mail gönderimlerinde mevcut e-posta sunucularımız ve çıkış iplerimizi kullanmamalısınız. Bunun yerine toplu e-posta gönderen şirketler üzerinden toplu e-postalarımızı göndermeli veya organizasyon içerisine kuracağımız postfix gibi bir mta ve ayrı bir ip adresi üzerinden toplu maillermizi göndermelisiniz.
  • Monitoring ve denetim yaparak e-posta trafiğimizi analiz etmeli ve e-posta süreçlerimizi düzenli olarka güncel tutmalısınız.

Kaynak:

https://techcommunity.microsoft.com/t5/exchange-team-blog/authenticate-outbound-email-to-improve-deliverability/ba-p/3947623

https://blog.google/products/gmail/gmail-security-authentication-spam-protection