Merhaba, bu blog yazısında sizlere 2024 yılı ile birlikte daha da zorunlu hale gelecek olan e-posta doğrulama yöntemleri üzerine bilgi vereceğiz.
Bildiğiniz gibi e-posta sistemleri organizasyonlarımızda iletişim için kullandığımız en basit ve hızlı yöntem. Durum böyle olunca siber saldırganların en gözde hedefli haline geliyor. Siber saldırganlar başta phishing olmak üzere farklı yöntemler ile e-posta üzerinden sistemleri ele geçirmeye çalışmakta. Tabi siber çeteler bu saldırı tekniklerini geliştiriken, bunlara karşı önlem olarak da bir çok yöntem gelmiştirilmektedir. Özellikle 2024 yılı ile birlikte Microsoft ve Google gibi hizmet sağlayıcılar e-posta manipülasyonuna karşı korunma yöntemlerini zorunlu hale getireceğini duyurdu. Ve bu yeni korunma yöntemlerine uyum sağlamayan organizasyonların mail gönderme ve almada sorunlar yaşayacağını belirtti.
Şimdi gelin beraber ileride e-posta trafiğinde sorun yaşamamk için neler yapabileceğimize bakalım.
SPF (Sender Policy Framework): SPF, e-posta gönderen sunucunun yetkilendirildiği sunucuları belirlemek için kullanılır. Bir alan adının DNS (Domain Name System) kayıtlarında SPF tanımlanabilir. E-posta alıcı sunucular, gelen e-postanın gönderen sunucunun SPF kayıtlarına uygun olup olmadığını kontrol ederek sahtecilik (spoofing) ve gönderen doğrulaması sorunlarını azaltmaya yardımcı olur.
SPF (Sender Policy Framework) Örneği:
SPF, bir alan adının hangi IP adreslerinin e-posta gönderme yetkisine sahip olduğunu tanımlar. SPF tanımlaması, alan adının DNS kayıtlarında yapılır.
“TXT v=spf1 ip4:192.168.1.1 include:_spf.example.com -all”
Bu örnekte, “example.com” alan adının SPF kaydı, 192.168.1.1 IP adresinin e-posta gönderme yetkisine sahip olduğunu ve “_spf.example.com” alan adındaki başka bir SPF kaydını içermediğini belirtir.
DKIM (DomainKeys Identified Mail): DKIM, e-postanın orijinal ve değiştirilmeden gönderildiğini doğrulamak için kullanılır. E-posta gönderen sunucu, e-postanın başlıklarını ve içeriğini şifreleyerek bir dijital imza oluşturur. Alıcı sunucu, e-postayı alırken bu dijital imzayı kontrol eder ve e-postanın değiştirilmediğini doğrular.
DKIM (DomainKeys Identified Mail) Örneği:
DKIM, e-posta başlıkları ve içeriğini şifreleyerek bir dijital imza oluşturur. DKIM için DNS kaydı şu şekilde tanımlanır:
“TXT k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC3rL8ILXpT7EIfTTZfw+D5TIJEZiJvjyyu2MSxYFWi1u+5nJZ5TpsBwEZwqkoWjnlFmUzYHKEmz0HEwRzKY0LoDowdD1yD4eG9Co7bB9zzSbJ2rI/A6Xqtz1ki6KXztVrPz/91myEMNlIEn6c/uGyGNOeGGxWEi2pRIIXdLwIDAQAB”
Burada, “k=rsa” şifreleme algoritmasını belirtir ve “p=” kısmında genel anahtarı içerir.
DMARC (Domain-based Message Authentication, Reporting, and Conformance): DMARC, SPF ve DKIM’in birleştirilmiş bir güvenlik protokolüdür. DMARC, SPF ve DKIM doğrulamasının başarılı olup olmadığını kontrol eder ve eğer başarısızsa, e-postanın ne yapılacağını belirler. Ayrıca, DMARC raporlama özelliği sayesinde sahte e-posta gönderimleri hakkında bilgi sağlar, böylece alan sahibi bu duruma müdahale edebilir.
DMARC (Domain-based Message Authentication, Reporting, and Conformance) Örneği:
DMARC, SPF ve DKIM doğrulamasının başarılı olup olmadığını kontrol eder ve eğer başarısızsa, e-postanın ne yapılacağını belirler. DMARC tanımlaması DNS kayıtlarında şu şekilde yapılır:
“TXT v=DMARC1; p=quarantine; rua=mailto:dmarc@example.com; ruf=mailto:dmarc-forensics@example.com; fo=1”
Bu örnekte, “v=DMARC1” DMARC sürümünü belirtir, “p=quarantine” başarısız doğrulama durumunda e-postanın spam klasörüne yönlendirilmesini belirtir. “rua” ve “ruf” kısımları raporlama adreslerini belirtir.
Bu üç teknik, e-posta sahteciliği, spam ve phishing saldırıları gibi güvenlik tehditlerine karşı koruma sağlar ve e-posta iletişimini daha güvenilir hale getirir.
ARC (Authenticated Received Chain), e-posta güvenliği ve kimlik doğrulama süreçlerini geliştirmek amacıyla geliştirilen bir standarttır. ARC, e-posta gönderenin kimliğini daha güvenilir bir şekilde doğrulamak ve e-posta iletim zincirinde güvenliği artırmak için kullanılır.
ARC, e-posta iletimi sırasında e-posta sunucuları arasında yapılan değişiklikleri takip eder ve bu değişiklikleri doğrular. Bu sayede, e-posta gönderenin kimliği daha güvenilir bir şekilde doğrulanabilir ve e-postanın orijinalliği korunabilir.
Bu standart, SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) ve DMARC (Domain-based Message Authentication, Reporting, and Conformance) gibi diğer e-posta kimlik doğrulama yöntemleri ile birlikte kullanılabilir. ARC, özellikle e-posta iletim zincirinde güvenilirlik sağlamak ve SPF/DKIM geçişinin korunmasını desteklemek için tasarlanmıştır.
Gönderen Sunucu (Mail Server A):
Bir kullanıcı, “user@example.com” adresinden bir e-posta gönderir.
SPF ve DKIM ile bu e-postanın orijinalliği ve gönderenin kimliği doğrulanır.
ARC, e-postanın ilk gönderim noktasına (Mail Server A) bir “header field” ekler.
Aracı Sunucu (Mail Server B):
E-posta, bir aracı sunucu üzerinden yönlendirilir (örneğin, bir spam filtresi veya e-posta geçiş hizmeti).
Aracı sunucu, e-postaya kendi ARC header field’ını ekler ve değişiklikleri kaydeder.
Alıcı Sunucu (Mail Server C):
E-posta, son alıcı sunucuya ulaşır
SPF, DKIM ve ARC, e-postanın geçtiği sunucular arasında bir güven zinciri oluşturur.
ARC, gönderenin orijinalliğini doğrulamak ve e-postanın değişmeden iletilip iletilmediğini kontrol etmek için kullanılır.
E-posta gönderim veya alım denetimleri çift taraflıdır. E-posta göndermede ve gönderin e-postanın yerine ulaşmasında sorun yaşamamak için kayıtların eksizsiz olması gereklidir. Aynı zamanda bu denetimleri kendi tarafınızda yaparak e-posta sahteciliğinin önüne geçmeniz organizasyonunuzun güvenliği için büyük önem taşır.
Kurumsal organizasyonlar e-posta güvenliği için bir çok koruma mekanizması kullanılır. Bunlardan ilk üçünü sıralarsak Mail Gateway,Waf ve Sandbox çözümleri olarak karşımıza çıkar. Özellikle Mail gateway kullanan kuruluşlar epostaları mail sunucularına göndermeden önce mail gateway üzerinden SPF,DKIM,DMARC kayıtlarını kontrol ederler ve bu kontrollerden geçemeyen epostaları geri çevirirler.
E-posta artık organizasyonların kimliği adeta kartviziti durumundadır. Bu nedenle e-posta hizmetinin sağlığı ve güvenliği kurulum kimliğinizide ortaya çıkarır. İş ortaklarınıza, devlet kuruluşlarına ve müşterilerinize gönderdiğiniz e-postalar sağlıksız ve güvensiz olarak işaretlenmesi kurumsal kimliğinize zarar verecektir.
Microsoft konu ile ilgili aşağıdaki teknik bilgi ve uyarıları yayınladı.
Microsoft 365 üzerinden e-posta gönderenler, mesajlarını popüler e-posta servis sağlayıcılarına (Gmail, Yahoo, AOL, Outlook.com) ilettiklerinde problemler ile karşılaşabilirler. Özellikle büyük miktarda gönderilen e-posta iletilerinin kimliğini doğrulamak için Google gibi sağlayıcılar daha katı güvenlik gereksinimleri uygulayacak. E-posta kimlik doğrulama standartlarını karşılamayan iletiler reddedilecek. Bu sorunlar genellikle Teslim Edilemedi Raporları (NDR) şeklinde ortaya çıkacak ve aşağıdaki mesajlar ile karşılaşılacak.
Kimlik Doğrulama:
550-5.7.26 Bu postanın kimliği doğrulanmadı, bu da gönderen ve Gmail kullanıcıları için güvenlik riski oluşturur ve engellendi. Gönderenin kimliğini SPF veya DKIM’den en az biriyle doğrulaması gerekir. Bu mesaj için, ip: [IPAddress] ile DKIM kontrolleri başarılı olmadı ve [contoso.com] için SPF kontrolü başarısız oldu.
Spam:
421-4.7.28 Sistemimiz, IP adresinizden gelen alışılmadık oranda istenmeyen posta tespit etti. Kullanıcılarımızı spam’den korumak için IP adresinizden gönderilen postaların hızı geçici olarak sınırlandırılmıştır.
IPv6 Spam:
550 5.7.350 Uzak sunucu, spam olarak algılanan iletiyi döndürdü -> 550 5.7.1 [IPv6Adresi]
Bu nedenle, SPF, DKIM ve DMARC hakkında bilgi edinmeli ve bu doğrulama yöntemlerini Microsoft 365 üzerinden gönderdiğiniz e-postalarda nasıl yapılandıracağınızı öğrenmelisiniz. Ayrıca, kuruluşunuzun gönderdiği e-postaların alıcı e-posta servis sağlayıcılarının gereksinimlerini karşılaması önemlidir. Bu sayede e-postalarınızın reddedilme veya spam olarak işaretlenme riski azalır. Unutmayın ki Microsoft 365, toplu e-posta gönderimi için önerilen bir hizmet değildir, bu nedenle yüksek riskli dağıtım havuzuna düşmemek için alternatif kaynakları kullanmalısınız.
Kuruluşunuzun gönderdiği bir e-posta, alıcı e-posta servis sağlayıcınızın e-posta kimlik doğrulama standartlarını karşılamıyorsa veya istenmeyen toplu e-posta olarak görülüyorsa reddedilebilir veya spam olarak işaretlenebilir. Her sağlayıcının teslim edilemedi raporları (NDR’ler), e-postaların onlara nasıl teslim edileceğine ilişkin ayrıntıları içerir. Microsoft 365 toplu e-posta aktarımı için kullanılmamalıdır ancak alıcı e-posta sağlayıcılarının e-postanızı alması için aşağıdaki e-posta sağlayıcılarının belgelerini okuyabilir siniz.
EOP ve Toplu E-posta Gönderimi:
EOP (Exchange Online Protection), güçlü giden spam kontrollerine sahiptir. Ancak, Microsoft 365’in toplu e-posta gönderimi için uygun değildir.
Toplu E-posta Gönderimi İçin Alternatif Kaynaklar:
E-postalarını kimlik doğrulamaları: Google, SFP,DKIM,DMARC gibi kayıtlarınızın tam olmasını istiyor.
Kolayca abonelikten çıkarmayı etkinleştirin: Gmail alıcılarına tek tıklamayla ticari e-posta aboneliğinden çıkma olanağı verilmesini ve abonelikten çıkma isteklerini iki gün içinde işleme koyulmasını zorunlu tutuyor.
İstenen e-posta gönderdikleri kontrol altında tutun: E-posta sunucularınızdan çıkan mailleri kontrol etmeniz isteniyor. E-posta sunucularınızdan dış dünyaya çıkan maillerini spam ve zararlı içerik denetimlerin geçirip öyle göndermeniz büyük önem taşıyor.
Kaynak:
https://blog.google/products/gmail/gmail-security-authentication-spam-protection
Copyright © 2024 Tüm Hakları Saklıdır.
