E-Posta Koruma Rehberi: Zimbra’da SPF, DKIM ve DMARC Yapılandırması

E-Posta Güvenliğinde SPF, DKIM ve DMARC Nedir?

E-posta sahteciliği (spoofing) ve kimlik avı (phishing) saldırıları, işletmelerin karşılaştığı en yaygın siber tehditler arasında yer alıyor. Zimbra Collaboration sunucunuz üzerinden gönderilen e-postaların güvenliğini sağlamak için SPF, DKIM, DMARC ve rDNS yapılandırmalarını doğru şekilde uygulamanız büyük önem taşıyor.

Bu rehberde, Zimbra sunucunuzda e-posta kimlik doğrulama mekanizmalarını adım adım nasıl yapılandıracağınızı öğreneceksiniz.

SPF (Sender Policy Framework) Nedir ve Nasıl Yapılandırılır?

SPF, e-posta sahteciliğini önlemek için tasarlanmış bir doğrulama sistemidir. Gönderen sunucunun IP adresini, alan adınızın DNS kayıtlarında tanımlı yetkili IP’lerle karşılaştırarak çalışır.

SPF Kaydı Nerede Yapılandırılır?

SPF kaydı, alan adınızın genel DNS ayarlarında TXT kaydı olarak eklenir. MXToolbox gibi araçlar kullanarak SPF kaydınızı kolayca oluşturabilirsiniz.

SPF Kaydı Oluştururken Dikkat Edilecekler

SPF kaydınızda şunları eklemelisiniz:

• A kayıtları: Sunucunuzun IP adresi
• MX kayıtları: E-posta sunucunuzun adresi
• IPv4 adresleri: Yetkili gönderim IP’leri
• Harici servisler: Mailchimp, Salesforce, Google Apps gibi üçüncü parti servisler için include ifadeleri

SPF “all” Parametresi Seçenekleri

• +all: Tüm e-postalara izin verir (önerilmez)
• -all: Katı mod — yalnızca tam eşleşen kaynakları kabul eder (önerilen)
• ~all: Yumuşak hata — eşleşmeyen kaynakları soft fail olarak işaretler
• ?all: Nötr politika — herhangi bir kısıtlama uygulamaz

Önemli Not: Nisan 2014’teki RFC güncellemesiyle birlikte, yalnızca TXT DNS kaydı kullanılmalıdır. Eski SPF kayıt türü artık kullanımdan kaldırılmıştır.

SPF Test Araçları

• wordtothewise.com/spf
• kitterman.com/spf/validate.html
• mxtoolbox.com

DKIM (DomainKeys Identified Mail) Nedir ve Nasıl Yapılandırılır?

DKIM, e-posta mesajını alan adınızla ilişkilendirerek gönderenin kimliğini doğrulayan bir sistemdir. E-postanın iletim sırasında değiştirilmediğini garanti eder.

DKIM Anahtarı Oluşturma

Zimbra sunucunuzda DKIM anahtarı oluşturmak için aşağıdaki komutu çalıştırın:

/opt/zimbra/libexec/zmdkimkeyutil -a -d alanadi.com

Not: ZCS 8.7.x ve sonraki sürümlerde 2048-bit anahtar kullanılması önerilir.

DNS Kaydına Ekleme

Oluşturulan DKIM anahtarını alan adınızın DNS ayarlarına TXT kaydı olarak eklemeniz gerekir. 255 karakterden uzun anahtarlar için, DNS sunucu türünüze göre tırnak işaretli birleştirme veya çok satırlı format kullanın.

DKIM Doğrulama

DKIM anahtarınızın doğru yapılandırıldığını kontrol etmek için aşağıdaki aracı kullanabilirsiniz:

• dkimcore.org/tools/keycheck.html

DMARC (Domain-based Message Authentication, Reporting & Conformance) Nedir?

DMARC, SPF ve DKIM mekanizmalarını kullanarak e-posta alıcı tarafında tutarlı kimlik doğrulama sağlayan bir standarttır. Gmail, Outlook ve Yahoo gibi büyük sağlayıcılar DMARC politikalarını aktif olarak kontrol eder.

DMARC Kaydı Oluşturma

DMARC kaydı, DNS’te _dmarc.alanadi.com adresinde TXT kaydı olarak yayınlanır.

Örnek DMARC kaydı:

v=DMARC1; p=quarantine; rua=mailto:[email protected]; ruf=mailto:[email protected]; sp=quarantine

DMARC Politika Seçenekleri

• p=none: Yalnızca izleme yapar, e-postaları engellemez (başlangıç için önerilen)
• p=quarantine: Başarısız e-postaları spam klasörüne yönlendirir
• p=reject: Başarısız e-postaları tamamen reddeder (en güvenli)

DMARC Test Aracı

• dmarcian.com/dmarc-inspector

rDNS (Reverse DNS) Yapılandırması

Reverse DNS, IP adresini alan adına eşler. AOL gibi bazı e-posta sağlayıcıları, geçerli bir rDNS kaydı olmayan sunuculardan gelen e-postaları reddedebilir.

rDNS Yapılandırma Adımları

1. DNS kaydı: ISP’niz veya sunucu sağlayıcınız aracılığıyla PTR kaydı oluşturun.

2. Zimbra HELO banner ayarı:

ZCS 8.0.x için:

zmlocalconfig -e postfix_smtpd_banner="mail.alanadi.com"

ZCS 8.5 ve sonrası için:

zmprov ms sunucuadi.alanadi.com zimbraMtaSmtpdBanner mail.alanadi.com

rDNS Test Aracı

• mxtoolbox.com/ReverseLookup

DMARC Uyum (Alignment) Ayarları

Otomatik Yanıtlayıcı Yapılandırması

Ofis dışında (out-of-office) yanıtlarında SPF uyum hatalarını önlemek için aşağıdaki ayarı kontrol edin:

zimbraAutoSubmittedNullReturnPath = FALSE

Takma Ad (Persona) Yapılandırması

E-posta takma adları kullanıyorsanız, DMARC karantina veya reddetme politikalarında SPF uyum hatalarını önlemek için:

zimbraSmtpRestrictEnvelopeFrom = FALSE

Sonuç

SPF, DKIM, DMARC ve rDNS yapılandırmalarını doğru şekilde uygulamak, Zimbra sunucunuzdan gönderilen e-postaların güvenilirliğini artırır ve spam klasörüne düşme riskini önemli ölçüde azaltır. Bu ayarları yapılandırdıktan sonra, yukarıda belirtilen test araçlarıyla doğrulama yapmanızı öneririz.

Zimbra e-posta sunucunuz hakkında destek almak veya yapılandırma konusunda yardım için bizimle iletişime geçin.

Bu rehber ZCS 10.0, 9.0, 8.8 ve 8.7 sürümleri için geçerlidir.