E-Posta Güvenliğinde SPF, DKIM ve DMARC Nedir?
E-posta sahteciliği (spoofing) ve kimlik avı (phishing) saldırıları, işletmelerin karşılaştığı en yaygın siber tehditler arasında yer alıyor. Zimbra Collaboration sunucunuz üzerinden gönderilen e-postaların güvenliğini sağlamak için SPF, DKIM, DMARC ve rDNS yapılandırmalarını doğru şekilde uygulamanız büyük önem taşıyor.
Bu rehberde, Zimbra sunucunuzda e-posta kimlik doğrulama mekanizmalarını adım adım nasıl yapılandıracağınızı öğreneceksiniz.
SPF (Sender Policy Framework) Nedir ve Nasıl Yapılandırılır?
SPF, e-posta sahteciliğini önlemek için tasarlanmış bir doğrulama sistemidir. Gönderen sunucunun IP adresini, alan adınızın DNS kayıtlarında tanımlı yetkili IP’lerle karşılaştırarak çalışır.
SPF Kaydı Nerede Yapılandırılır?
SPF kaydı, alan adınızın genel DNS ayarlarında TXT kaydı olarak eklenir. MXToolbox gibi araçlar kullanarak SPF kaydınızı kolayca oluşturabilirsiniz.
SPF Kaydı Oluştururken Dikkat Edilecekler
SPF kaydınızda şunları eklemelisiniz:
- A kayıtları: Sunucunuzun IP adresi
- MX kayıtları: E-posta sunucunuzun adresi
- IPv4 adresleri: Yetkili gönderim IP’leri
- Harici servisler: Mailchimp, Salesforce, Google Apps gibi üçüncü parti servisler için
include ifadeleri
SPF “all” Parametresi Seçenekleri
+all: Tüm e-postalara izin verir (önerilmez)-all: Katı mod — yalnızca tam eşleşen kaynakları kabul eder (önerilen)~all: Yumuşak hata — eşleşmeyen kaynakları soft fail olarak işaretler?all: Nötr politika — herhangi bir kısıtlama uygulamaz
Önemli Not: Nisan 2014’teki RFC güncellemesiyle birlikte, yalnızca TXT DNS kaydı kullanılmalıdır. Eski SPF kayıt türü artık kullanımdan kaldırılmıştır.
SPF Test Araçları
DKIM (DomainKeys Identified Mail) Nedir ve Nasıl Yapılandırılır?
DKIM, e-posta mesajını alan adınızla ilişkilendirerek gönderenin kimliğini doğrulayan bir sistemdir. E-postanın iletim sırasında değiştirilmediğini garanti eder.
DKIM Anahtarı Oluşturma
Zimbra sunucunuzda DKIM anahtarı oluşturmak için aşağıdaki komutu çalıştırın:
/opt/zimbra/libexec/zmdkimkeyutil -a -d alanadi.com
Not: ZCS 8.7.x ve sonraki sürümlerde 2048-bit anahtar kullanılması önerilir.
DNS Kaydına Ekleme
Oluşturulan DKIM anahtarını alan adınızın DNS ayarlarına TXT kaydı olarak eklemeniz gerekir. 255 karakterden uzun anahtarlar için, DNS sunucu türünüze göre tırnak işaretli birleştirme veya çok satırlı format kullanın.
DKIM Doğrulama
DKIM anahtarınızın doğru yapılandırıldığını kontrol etmek için aşağıdaki aracı kullanabilirsiniz:
DMARC (Domain-based Message Authentication, Reporting & Conformance) Nedir?
DMARC, SPF ve DKIM mekanizmalarını kullanarak e-posta alıcı tarafında tutarlı kimlik doğrulama sağlayan bir standarttır. Gmail, Outlook ve Yahoo gibi büyük sağlayıcılar DMARC politikalarını aktif olarak kontrol eder.
DMARC Kaydı Oluşturma
DMARC kaydı, DNS’te _dmarc.alanadi.com adresinde TXT kaydı olarak yayınlanır.
Örnek DMARC kaydı:
v=DMARC1; p=quarantine; rua=mailto:dmarc@alanadi.com; ruf=mailto:dmarc@alanadi.com; sp=quarantine
DMARC Politika Seçenekleri
p=none: Yalnızca izleme yapar, e-postaları engellemez (başlangıç için önerilen)p=quarantine: Başarısız e-postaları spam klasörüne yönlendirirp=reject: Başarısız e-postaları tamamen reddeder (en güvenli)
DMARC Test Aracı
rDNS (Reverse DNS) Yapılandırması
Reverse DNS, IP adresini alan adına eşler. AOL gibi bazı e-posta sağlayıcıları, geçerli bir rDNS kaydı olmayan sunuculardan gelen e-postaları reddedebilir.
rDNS Yapılandırma Adımları
1. DNS kaydı: ISP’niz veya sunucu sağlayıcınız aracılığıyla PTR kaydı oluşturun.
2. Zimbra HELO banner ayarı:
ZCS 8.0.x için:
zmlocalconfig -e postfix_smtpd_banner="mail.alanadi.com"
ZCS 8.5 ve sonrası için:
zmprov ms sunucuadi.alanadi.com zimbraMtaSmtpdBanner mail.alanadi.com
rDNS Test Aracı
DMARC Uyum (Alignment) Ayarları
Otomatik Yanıtlayıcı Yapılandırması
Ofis dışında (out-of-office) yanıtlarında SPF uyum hatalarını önlemek için aşağıdaki ayarı kontrol edin:
zimbraAutoSubmittedNullReturnPath = FALSE
Takma Ad (Persona) Yapılandırması
E-posta takma adları kullanıyorsanız, DMARC karantina veya reddetme politikalarında SPF uyum hatalarını önlemek için:
zimbraSmtpRestrictEnvelopeFrom = FALSE
Sonuç
SPF, DKIM, DMARC ve rDNS yapılandırmalarını doğru şekilde uygulamak, Zimbra sunucunuzdan gönderilen e-postaların güvenilirliğini artırır ve spam klasörüne düşme riskini önemli ölçüde azaltır. Bu ayarları yapılandırdıktan sonra, yukarıda belirtilen test araçlarıyla doğrulama yapmanızı öneririz.
Zimbra e-posta sunucunuz hakkında destek almak veya yapılandırma konusunda yardım için bizimle iletişime geçin.
Bu rehber ZCS 10.0, 9.0, 8.8 ve 8.7 sürümleri için geçerlidir.
