E-posta güvenliğinin öncelikli konularından biri olan DMARC (Domain-based Message Authentication, Reporting & Conformance), domainler üzerinden yapılan dolandırıcılık ve kimlik taklitlerine karşı önemli bir savunma mekanizmasıdır. Bu makalede, DMARC’ın temel prensiplerine, nasıl çalıştığına ve bir DMARC kaydının nasıl oluşturulup uygulanacağına dair bilgiler sunacağız.
İçerik Tablosu
DMARC Nedir?
DMARC, başka bir deyişle Alan Tabanlı Mesaj Doğrulama, Raporlama ve Uygunluk, sahte e-posta gönderimlerine karşı koruma sağlamayı amaçlayan bir e-posta kimlik doğrulama protokolüdür. İki temel protokol olan SPF (Sender Policy Framework) ve DKIM (DomainKeys Identified Mail) kullanarak, yetkisiz kişiler tarafından yapılan ve meşru kuruluşları taklit eden e-postaların tespit edilmesine yardımcı olur.
DMARC Nasıl Çalışır?
DMARC, e-posta göndericilerin, SPF ve DKIM kullanarak doğrulanmış e-postaların nasıl ele alınması gerektiğini belirlemesine olanak tanır. Göndericiler, bu e-postaları istenmeyen veya engellenmiş olarak işaretlemeyi tercih edebilirler.
Böylece İnternet Servis Sağlayıcıları (ISP), spam ve zararlı e-postaları daha etkin bir şekilde tespit edebilir ve kullanıcıların gelen kutularına ulaşmalarını engelleyebilir. DMARC ayrıca yanlış pozitiflerin azaltılmasına ve daha iyi kimlik doğrulama raporlamasına olanak tanıyarak piyasadaki şeffaflığı artırır.
DMARC’ın Faydaları Nelerdir?
- Gönderim itibarınızı korur: DMARC, yetkisiz kişilerin sizin domaininizden mail göndermesini önleyerek markanızı korur.
- E-posta programınızın görünürlüğünü artırır: DMARC raporları, domaininizden kimlerin e-posta gönderdiği hakkında bilgi sunar.
- Gelecekteki e-posta teslim edilebilirliğini güvence altına alır: DMARC, kimlik doğrulama yapamayan mesajlarla ilgili olarak tutarlı bir politika belirleme konusunda e-posta topluluğuna yardımcı olur.
- BIMI ile logonuzu gösterebilir: DMARC, desteklenen e-posta istemcileri ile markanızın logolu e-posta mesajları göndermenize olanak verir.
DMARC Kaydı Nasıl Yazılır?
Bir DMARC kaydı DNS (Domain Name System) kayıtları arasında yer alır ve aşağıdaki örnekte gösterildiği gibi bir yapıya sahiptir:
v=DMARC1; p=none; rua=mailto:rapor@ornek.com; ruf=mailto:yonetici@ornek.com; pct=100
Her alanın kısa açıklaması şu şekildedir:
– `v=DMARC1`: DMARC sürümünü belirtir.
– `p=none`: Politikadır ve bu durumda hiçbir eylem alınmadığını belirtir. `none` yerine `quarantine` ya da `reject` de kullanılabilir.
– `rua=mailto:rapor@ornek.com`: Toplu raporların gönderileceği adresi belirtir.
– `ruf=mailto:yonetici@ornek.com`: Bireysel ayrıntılı raporların gönderileceği adresi belirtir.
– `pct=100`: Politikanın uygulanacağı e-posta trafiğinin yüzdesini belirtir.
DMARC kaydı, birkaç farklı parametre içerir ve bu parametrelerin her biri e-posta gönderildiğinde uygulanacak kuralları tanımlar. İşte DMARC kaydı oluştururken kullanılan temel parametreler ve bu parametrelerin detayları:
v=DMARC1
– Kaydın DMARC versiyonunu belirtir. Tüm DMARC kayıtları, `v=DMARC1` ile başlamalıdır.
p (Policy)
– `p` parametresi, DMARC politikanın hangi aksiyonun alınması gerektiğini tanımlar. Kullanılacak olan üç değerden birisidir:
– `none`: DMARC kontrollerinden geçemeyen e-postalar için herhangi bir işlem yapılmamasını belirtir. Bu genelde izleme ve raporlama amaçlı kullanılır.
– `quarantine`: DMARC kontrollerini geçemeyen e-postaların alıcının spam ya da karantina klasörüne taşınmasını istediğinizi ifade eder.
– `reject`: DMARC kontrollerinden geçemeyen e-postaların tamamen reddedilmesini ve alıcının gelen kutusuna hiç ulaşmamasını sağlar.
rua (Reporting URI of Aggregate reports)
– `rua` parametresi, toplu raporların gönderilmesi gereken e-posta adresini belirtir. Bu raporlar genellikle günlük olarak gönderilir ve domaininizden gönderilen e-postaların genel bir özetini sunar.
– Örnek: `rua=mailto:rapor@ornek.com`
ruf (Reporting URI for Forensic reports)
– `ruf` parametresi, bireysel olay raporlarının gönderilmesi gereken e-posta adresini tanımlar. Bu raporlar, belirli DMARC başarısızlıkları hakkında detaylı bilgiler içerir.
– Örnek: `ruf=mailto:forensic@ornek.com`
Forensic rapor (forensic report), DMARC protokolü kapsamında, e-posta kimlik doğrulama kontrollerinden (SPF ve/veya DKIM) başarısız geçen her bir e-posta olayı için detaylı teknik bilgi içeren rapor türüdür. Forensic raporlar, belirli bir e-postanın neden doğrulama başarısızlığı yaşadığını anlamak için kullanılır ve genellikle olayın zaman damgası, hedef e-posta adresi, sorunlu e-postanın kaynağı ve başarısızlığa yol açan teknik sebepler gibi kritik verileri barındırır.
“Forensic” terimi, suçların çözülmesine ve kanıtların incelenmesine yardımcı olan bilimsel teknikler ve yöntemlerle ilişkilendirilen bir alandır. Genel anlamda, adli veya forensic ifadesi, yasal süreçler için geçerli, mahkemede delil olarak kullanılabilir bilgileri ifade eder.
DMARC’ın `ruf` parametresi aracılığıyla belirlenen bir e-posta adresine gerçek zamanlı olarak gönderilen bu raporlar, şu bilgileri içerebilir:
– E-postanın başlıkları (Header),
– Alıcı adresi,
– Gönderici adresi,
– Mesajın orijinal kaynağı (IP adresi),
– E-postanın hangi kontrol noktalarından geçemediği (SPF veya DKIM),
– DMARC politikanıza göre neden başarısızlıkla sonuçlandığına dair ayrıntılar,
– E-postanın içeriğinin bazı kısımları (bazı durumlarda).
Forensic raporlar e-posta güvenliği açısından çok önemli olabilir çünkü bu raporlar, olası güvenlik açıklarını, yapılandırma hatalarını ya da potansiyel kötüye kullanım olaylarını ortaya çıkarmada detaylı bilgi sunar. Ancak, bu raporların içerdikleri hassas bilgiler nedeniyle dikkatli bir şekilde yönetilmeleri ve güvenlik önlemleri altında saklanmaları gerekir. Ayrıca tüm e-posta servis sağlayıcıları forensic raporları göndermeyebilir ve bu raporlar büyük veri hacmine sahip olabileceğinden gönderildikleri adreslerin yönetimi ve analizi de önemlidir.
pct (Percentage)
– `pct` parametresi politikanın ne kadar e-posta trafiğine uygulanacağını yüzde olarak belirtir. Değeri 0 ile 100 arasında değiştirilebilir.
– Örnek: Eğer değer `pct=100` olarak ayarlanmışsa, tüm e-postalar DMARC politikanıza göre işlem görür. Eğer `pct=50` ise, yalnızca gönderilen e-postaların yarısı üzerinde DMARC politikanız uygulanır.
sp (Subdomain Policy)
– `sp` parametresi, alt domainler (subdomain) için uygulanacak olan politikayı belirtir. Ana domain için belirlediğiniz politikadan farklı bir politika uygulamak isterseniz kullanılır.
adkim (Alignment mode for DKIM)
– `adkim` parametresi, DKIM doğrulamasının nasıl bir uyum içinde olacağını ifade eder. İki değer alabilir:
– `s` (strict): Sadece “d=” alanı “from” adresiyle tam olarak eşleştiğinde DKIM geçerlidir.
– `r` (relaxed): “d=” alanı “from” adresinin üst domaini ile eşleşiyorsa yeterlidir.
aspf (Alignment mode for SPF)
– `aspf` parametresi, SPF doğrulamasının uyum modunu belirtir ve `adkim` ile benzer şekilde `s` (strict) veya `r` (relaxed) değerlerinden birini alır.
ri (Reporting Interval)
– `ri` parametresi, toplu raporların ne kadar sıklıkla gönderileceğini belirler. Bu değer genellikle saniye cinsinden ifade edilir.
– Örnek: `ri=86400` 24 saatte bir rapor almak için kullanılır (86400 saniye bir günü temsil eder).
DMARC kaydınızı yazarken bu parametreleri ve verdiğiniz bilgilerin doğruluğunu kontrol etmek önemlidir. Yanlış bir yapılandırma, e-posta teslim edilebilirliği üzerinde olumsuz etkiler yaratabilir ve hatta meşru e-postalarınızın spam olarak işaretlenmesine yol açabilir.
DMARC Kaydınızı Nasıl Uygularsınız?
- DMARC politikanızı oluşturun ve yukarıda verilen örneği dikkate alarak bir kayıt metni hazırlayın.
- DNS yönetim panelinizde bir TXT kaydı oluşturun ve `_dmarc.domainadınız.com` gibi bir isme sahip olacak şekilde ayarlayın.
- Oluşturduğunuz DMARC metnini TXT kaydı olarak yapıştırın.
- Değişikliklerin DNS’de yayılması biraz zaman alabilir.
- DMARC kaydınızın doğru şekilde yayıldığını ve çalıştığını, çeşitli çevrimiçi DMARC doğrulama araçları kullanarak kontrol edin.
DMARC, e-posta güvenliği için kritik bir bileşendir ve özellikle e-posta tabanlı tehditlerin giderek arttığı günümüzde, kuruluşların itibarını korumak ve müşterilerini güvende tutmak için şarttır.