Microsoft 365 Kullanıcıları Neden DMARC'a İhtiyaç Duyar

Microsoft 365 (eski adıyla Office 365), dünyanın en yaygın kullanılan e-posta platformlarından biridir. M365'e özel bir alan adı eklediğinizde Microsoft, otomatik bulma ve posta yönlendirme için belirli DNS girişlerini otomatik olarak oluşturur; ancak SPF ve DKIM, özel alan adları için otomatik olarak yapılandırılmaz. Bunları kendiniz etkinleştirmeniz gerekir.

Daha da kritik olanı, mükemmel biçimde çalışan bir SPF ve DKIM kurulumunun bile DMARC olmadan sahtekarlığa karşı herhangi bir koruma sağlamamasıdır. SPF ve DKIM birer kimlik doğrulama mekanizmasıdır; DMARC ise alıcı posta sunucularına bu denetimler başarısız olduğunda ne yapacaklarını söyleyen politikadır. DMARC olmadan kötü niyetli bir aktör alan adınızdan geliyormuş gibi görünen e-posta gönderebilir ve çoğu posta sunucusu bunu kabul eder.

Riskler son yıllarda önemli ölçüde artmıştır. Google ve Yahoo artık toplu göndericilerden DMARC talep ediyor; Gmail veya Yahoo adreslerine günde 5.000 veya daha fazla ileti gönderen kuruluşların bir DMARC kaydına sahip olması gerekiyor, aksi takdirde e-postaları reddedilebilir veya spam olarak işaretlenebilir. Bu eşiğin altında bile DMARC'ın yokluğu, alan adınızı marka itibarınıza zarar veren ve alıcıların güvenini aşındıran kimlik avı kampanyalarına açık bırakır.

Önemli not: Microsoft 365 size e-postayı doğrulamak için gerekli altyapıyı sunar; ancak SPF kaydını yayımlamak, DKIM'i etkinleştirmek ve bir DMARC kaydı eklemek sizin atmanız gereken adımlardır. Bu kılavuz üçünü de sırasıyla ele alıyor.

1. Adım: Microsoft 365 için SPF Kaydınızı Doğrulayın

SPF (Sender Policy Framework), alıcı posta sunucularına alan adınız adına e-posta göndermeye hangi IP adreslerinin ve hizmetlerin yetkili olduğunu bildirir. Microsoft 365 için yayımlamanız gereken SPF kaydı şudur:

v=spf1 include:spf.protection.outlook.com -all

Bu kayıt, Exchange Online Protection'ın adınıza göndermek için kullandığı tüm IP aralıklarını yetkilendirir. Sondaki -all niteleyicisi, SPF kaydınızda listelenmeyen kaynaklardan gelen postaları reddetmesi için alıcı sunuculara talimat veren sert bir başarısızlıktır.

Önemli: Yinelenen SPF Kayıtları Oluşturmayın

Bir DNS bölgesi, alan adı başına yalnızca bir SPF TXT kaydına sahip olabilir. Zaten bir SPF kaydınız varsa (örneğin önceki bir e-posta sağlayıcısından veya bir pazarlama platformundan), ikinci bir kayıt yayımlamak yerine include:spf.protection.outlook.com mekanizmasını mevcut kayıtla birleştirmeniz gerekir. Aynı ada sahip iki SPF kaydı kalıcı bir SPF başarısızlığına yol açar.

Örneğin Mailchimp de kullanıyorsanız, birleşik kayıt şu şekilde görünür:

v=spf1 include:spf.protection.outlook.com include:servers.mcsv.net -all
SPF arama sınırı: SPF'nin değerlendirme başına 10 DNS araması sınırı vardır. Her include: mekanizması bir arama sayılır ve bu mekanizmaların içindeki iç içe aramalar da sayılır. Çok sayıda gönderim hizmetiniz varsa SPF kaydınızı düzleştirmeniz veya sınıra yaklaşıp yaklaşmadığınızı kontrol etmek için bir araç kullanmanız gerekebilir.

SPF kaydınızı yayımladıktan sonra, kaydın doğru çözümlendiğini ve alan adınız için bir sözdizimi denetimini geçtiğini onaylamak için ücretsiz SPF Checker'ı kullanın.

2. Adım: Microsoft 365'te DKIM'i Etkinleştirin ve Yapılandırın

DKIM (DomainKeys Identified Mail), giden iletilere şifreli bir imza ekler. Alıcı sunucu, imzayı DNS'inizde yayımlanan ortak anahtara göre doğruladığında, iletinin aktarım sırasında değiştirilmediğini ve gerçekten yetkili bir kaynaktan geldiğini teyit eder.

Microsoft 365, giden e-postayı varsayılan olarak Microsoft'a ait bir alan adı (onmicrosoft.com) kullanarak DKIM ile imzalar. Ancak DMARC hizalaması için DKIM imzanızın Microsoft alt alan adıyla değil, özel alan adınızla eşleşmesi gerekir. Özel alan adı DKIM imzalamasını açıkça etkinleştirmeniz gerekir.

M365'te Özel Alan Adınız için DKIM Nasıl Etkinleştirilir

  1. security.microsoft.com adresindeki Microsoft Defender portalına gidin.
  2. E-posta ve İşbirliği → İlkeler ve Kurallar → Tehdit İlkeleri → DKIM bölümüne gidin.
  3. Listeden özel alan adınızı seçin.
  4. Microsoft, DNS'inizde yayımlamanız gereken iki CNAME kaydını gösterecektir. Bu biçimi izlerler: 
    selector1._domainkey.alanadin.com  CNAME  selector1-alanadin-com._domainkey.alanadin.onmicrosoft.com
selector2._domainkey.alanadin.com  CNAME  selector2-alanadin-com._domainkey.alanadin.onmicrosoft.com
  5. Her iki CNAME kaydını da DNS sağlayıcınızda yayımlayın. DNS yayılımı 48 saate kadar sürebilir, ancak genellikle çok daha hızlıdır.
  6. Defender portalına geri dönün ve alan adınız için DKIM imzalamayı Etkin olarak değiştirin.

Microsoft, sorunsuz anahtar rotasyonunu desteklemek için iki seçici (selector1._domainkey ve selector2._domainkey) kullanır. Microsoft DKIM anahtarlarınızı döndürdüğünde sizden herhangi bir işlem gerektirmeksizin seçiciler arasında otomatik olarak geçiş yapar.

DKIM'i etkinleştirip DNS yayılımı için bekledikten sonra, her iki seçicinin de çözümlendiğini ve geçerli ortak anahtarlar döndürdüğünü doğrulamak için DKIM Checker'ı kullanın.

3. Adım: DMARC Kaydınızı Yayımlayın

SPF ve DKIM yerleştirildikten sonra bir DMARC kaydı yayımlamaya hazırsınız. DMARC her şeyi bir araya getirir: kimlik doğrulama başarısız olduğunda ne olacağını tanımlayan politikayı belirler ve alıcı sunuculara alan adınızın e-posta trafiğine ilişkin toplu ve adli raporların nereye gönderileceğini bildirir.

İzleme politikasıyla başlayın. Bu, meşru gönderim kaynaklarınızın tamamını belirlerken gerçek dünya kimlik doğrulama sonuçlarını posta iletimini etkilemeden gözlemlemenizi sağlar:

v=DMARC1; p=none; rua=mailto:dmarc@alanadin.com; ruf=mailto:dmarc@alanadin.com

Bunu aşağıdaki ayarlarla bir DNS TXT kaydı olarak yayımlayın:

  • Ad / Konak: _dmarc (DNS sağlayıcınız tam adı gerektirebilir: _dmarc.alanadin.com)
  • Tür: TXT
  • Değer: yukarıdaki DMARC kayıt dizesi
  • TTL: 3600 (1 saat) makul bir başlangıç noktasıdır

dmarc@alanadin.com'u DMARC raporlarını almak istediğiniz gerçek adresle değiştirin. Bu, denetlediğiniz herhangi bir posta kutusu olabilir ya da daha iyi bir seçenek olarak bir DMARC raporlama aracına beslenen bir adres.

Manuel düzenleme olmadan doğru söz dizimiyle kaydınızı oluşturmak için ücretsiz DMARC Oluşturucu'yu kullanın. Yayımlandıktan sonra, kaydın beklendiği gibi çözümlendiğini onaylamak için DMARC Checker ile doğrulayın.

4. Adım: DMARC Raporlarınızı İzleyin

DMARC kaydınız bir rua adresiyle yayına girince alıcı posta sunucuları o adrese toplu raporlar (XML dosyaları) göndermeye başlar. Bu raporlar, alan adınızın nasıl kullanıldığına ve kötüye kullanıldığına açılan pencerenizdir.

Toplu Raporlar (rua) Size Ne Gösterir

Toplu raporlar, kimlik doğrulama sonuçlarının IP başına ve gönderim kaynağı başına dökümünü içerir. Her kaynak için kaç ileti gönderildiğini, SPF'nin geçip geçmediğini, DKIM'in geçip geçmediğini ve DMARC hizalamasının sağlanıp sağlanmadığını göreceksiniz. Raporlar genellikle alıcı alan adı başına her 24 saatte bir gönderilir.

Adli Raporlar (ruf) Size Ne Gösterir

Adli raporlar (başarısızlık raporları olarak da bilinir), kimlik doğrulama başarısız olduğunda her ileti için oluşturulur. Başarısız iletilerin başlıklar dahil düzenlenmiş kopyalarını içerirler. Tüm sağlayıcılar adli raporlar göndermez; bazıları bunları yalnızca belirli koşullar altında gönderir.

Raporlarda Göreceğiniz Yaygın Microsoft 365 Kaynakları

M365 barındırmalı bir alan adı için DMARC raporları almaya başladığınızda şu kaynaklardan gelen trafiği görmeyi bekleyin:

  • Exchange Online Protection (EOP): Microsoft'un kendi gönderim altyapısı. Doğru yapılandırıldığında bunların SPF ve DKIM'i geçmesi gerekir.
  • Üçüncü taraf bağlayıcılar: akıllı konak veya bağlayıcı yapılandırması aracılığıyla M365 ortamınıza entegre edilmiş tüm harici hizmetler.
  • Pazarlama platformları: alan adınız adına gönderim yapan ve kendi SPF include'larına veya eklenmiş DKIM anahtarlarına ihtiyaç duyabilecek HubSpot, Mailchimp veya Salesforce gibi araçlar.
  • Otomatik yönlendirme: yönlendirilen iletiler çoğunlukla SPF hizalamasını bozar ve meşru kaynaklardan gelseler bile başarısızlık olarak görünebilir.

DMARC Raporlarınızı Otomatik Olarak Ayrıştırın

DMARC toplu raporları ham XML ekleri olarak gelir; okunması hiç de kolay değildir. DMARCFlow, raporlarınızı otomatik olarak toplayıp ayrıştırır ve görselleştirir. Tek bir XML dosyası açmadan, hangi kaynakların kimlik doğrulamayı geçip geçmediğini tam olarak görebilirsiniz.

DMARC raporlarınızı ücretsiz okumaya başlayın

Kredi kartı gerekmez. İlk günden itibaren tam raporlama gösterge paneli.

5. Adım: Uygulamaya Geçin

p=none ile başlamak doğru yaklaşımdır; risk almadan veri toplamanıza olanak tanır. Ancak hedef her zaman uygulamadır: alan adınızı sahtekarlıktan aktif olarak koruyan p=quarantine veya p=reject politikası.

p=none'dan p=quarantine'a Ne Zaman Geçilmeli

DMARC raporlarınız meşru postaların büyük çoğunluğunun kimlik doğrulamayı tutarlı biçimde geçtiğini gösterdiğinde p=quarantine'a geçmeye hazırsınız. Şunları arayın:

  • Bilinen tüm gönderim kaynaklarında yüksek geçiş oranı (tercihen % 95+)
  • Exchange Online, pazarlama araçları ve işlemsel e-posta dahil tüm önemli gönderim hizmetlerinin raporlarda geçen sonuçlarla görünmesi
  • Kimlik doğrulamayı hâlâ geçemeyen meşru gönderim kaynağının bulunmaması

p=quarantine ile başarısız iletiler gelen kutusu yerine spam/gereksiz posta klasörüne iletilir. Bu, meşru bir gönderici hâlâ yanlış yapılandırılmış olsa bile size güvenlik ağı sunarken alıcıları koruyan anlamlı bir uygulama adımıdır.

p=quarantine'dan p=reject'e Ne Zaman Geçilmeli

Birkaç hafta boyunca p=quarantine'da kaldıktan ve raporlarınız başarısız olan meşru gönderici olmadığını gösterdikten sonra p=reject'e geçebilirsiniz. Bu seviyede DMARC'ı geçemeyen postalar, gelen kutusuna veya spam klasörüne hiç ulaşmadan alıcı sunucu tarafından doğrudan reddedilir.

Yönlendirme sorunlarına dikkat edin: E-posta yönlendirme, uygulamada yanlış DMARC başarısızlıklarının en yaygın kaynağıdır. Bir ileti yönlendirildiğinde, orijinal SPF kaydı artık yönlendirme sunucusunun IP'siyle eşleşmez; yönlendirici iletiyi değiştirirse DKIM de bozulabilir. p=reject'e geçmeden önce raporlarınızı yönlendirme trafiği için dikkatlice inceleyin.

DMARC kaydınızı kademeli olarak güncelleyin. Politikayı başarısız iletilerin belirli bir yüzdesine uygulamak için pct etiketini de kullanabilirsiniz; örneğin pct=25, karantina veya reddi yalnızca başarısız iletilerin % 25'ine uygular ve kademeli artışa olanak tanır:

v=DMARC1; p=quarantine; pct=25; rua=mailto:dmarc@alanadin.com

Microsoft 365 DMARC Kontrol Listesi

M365 DMARC kurulumunuzun tamamlandığını onaylamak için bu kontrol listesini kullanın:

  1. SPF kaydı yayımlandı: aynı ada yinelenen TXT kaydı olmaksızın include:spf.protection.outlook.com içeriyor
  2. SPF doğrulandı: SPF Checker ile geçtiği onaylandı
  3. Microsoft Defender portalında DKIM etkinleştirildi: özel alan adınız için geçiş etkin olarak ayarlandı
  4. Her iki DKIM CNAME kaydı yayımlandı: selector1._domainkey ve selector2._domainkey doğru çözümleniyor
  5. DKIM doğrulandı: her iki seçici de DKIM Checker ile onaylandı
  6. DMARC kaydı yayımlandı: _dmarc.alanadin.com'da p=none ve geçerli bir rua adresiyle TXT kaydı
  7. DMARC doğrulandı: DMARC Checker ile onaylandı
  8. Raporlar akıyor: toplu raporlar belirlenen raporlama adresinize veya DMARC aracınıza geliyor
  9. Tüm gönderim kaynakları belirlendi: Exchange Online, pazarlama araçları ve bağlayıcıların tümü raporlarda geçen sonuçlarla görünüyor
  10. Politika uygulamaya taşındı: raporlar temiz geçiş oranlarını onayladıktan sonra p=quarantine veya p=reject

Microsoft 365'te DMARC'ı doğru biçimde yapılandırmak sistematik bir süreçtir; ancak her adım bir önceki üzerine inşa edilir. Uygulamaya ulaştığınızda alan adınız sahtekarlığa karşı korunur, toplu gönderim için Google ve Yahoo tarafından belirlenen gereksinimleri karşılarsınız ve Gmail ve Yahoo Mail'de BIMI logosu gösterimi de dahil olmak üzere e-posta güvenliğindeki daha ileri iyileştirmeler için zemin hazırlamış olursunuz.