Five Tips for Email Security Every Business Should Implement

E-posta, kimlik avı, sahtekârlık ve iş e-postası ele geçirme saldırılarının birincil vektörü olmayı sürdürmektedir. Oysa bu saldırıların büyük çoğunluğunu durduran teknik kontroller iyi bilinmekte, standartlaştırılmış bulunmakta ve ücretsiz uygulanabilmektedir. Sorun bilgi eksikliği değil, uygulamadır. Birçok organizasyonun kurulumu yarım kalmaktadır: DMARC politikası olmayan bir SPF kaydı ya da yıllarca none olarak kalan bir DMARC politikası. Bu yazı, birlikte ele alındığında gerçek anlamda sağlam bir e-posta güvenlik duruşu oluşturan beş somut adımı aktarmaktadır.

1. SPF Kaydını Yayımlayın ve Güncel Tutun

Sender Policy Framework (SPF) temel taşıdır. Domaininiz adına e-posta göndermeye yetkili tüm IP adresleri ve posta sunucularını DNS'de bir liste olarak yayımlamanıza olanak tanır. Alıcı posta sunucusu gelen bir mesajı incelediğinde bu listeye başvurur ve gönderen sunucunun listede yer alıp almadığını doğrular.

SPF kaydı yayımlamak basittir: domaininizin DNS'ine bir TXT kaydı ekleyin. Minimal bir örnek şu şekilde görünür:

v=spf1 include:_spf.google.com include:sendgrid.net ~all

Bakım ise daha zorlu kısımdır. Yeni bir e-posta servis sağlayıcısı — CRM, pazarlama platformu veya işlemsel e-posta servisi — eklediğinizde SPF kaydınızı güncellemeniz gerekir. Unutulan gönderenler, e-posta teslim sorunlarının en yaygın nedenlerinden biridir. Dikkat edilmesi gereken birkaç nokta:

• 10 arama limiti. SPF, değerlendirme sırasında en fazla 10 DNS aramasına izin verir. Bu limit aşıldığında sonuç, hata olarak sayılan bir permerror olur. Çok sayıda gönderiniz varsa kaydınızı düzleştirin ya da yönetilen bir SPF hizmeti kullanın.
• Domain başına yalnızca bir SPF kaydı. v=spf1 ile başlayan iki TXT kaydı varsa alıcı sunucular permerror döndürür. Bunları tek bir kayıtta birleştirin.
• Hazır olduğunuzda -all ile bitirin. İlk dağıtım sırasında softfail (~all) kullanılabilir; ancak tüm meşru gönderenler kapsama alındığından emin olduğunuzda hard fail'e geçin.

Mevcut kaydınızı incelemek, eksik gönderenleri belirlemek ve arama sayınızı doğrulamak için SPF Checker'ı kullanın.

2. DKIM İmzalamayı Uygulayın

DomainKeys Identified Mail (DKIM), SPF'den farklı bir yaklaşım benimser. Yetkili IP adreslerini listelemek yerine DKIM, her giden mesaja kriptografik bir imza ekler. Alıcı sunucu, DNS'inizdeki genel anahtarı arar ve imzayı doğrulamak için kullanır. İmza geçerliyse mesaj aktarım sırasında değiştirilmemiş demektir ve ilgili özel anahtara sahip bir sunucudan gerçekten gelmiştir.

DKIM'in SPF'e göre önemli bir avantajı vardır: e-posta yönlendirmesinde geçerliliğini korur. Bir mesaj yönlendirildiğinde gönderen IP değişir ve bu SPF'i bozar. Ancak DKIM imzası mesaj başlıklarıyla birlikte yolculuk eder ve son alıcıda hâlâ doğrulanabilir. Bu, DKIM'i DMARC'ı karşılamak açısından iki mekanizmanın daha dayanıklısı yapar.

Anahtar rotasyonu, birçok organizasyonun ihmal ettiği önemli bir operasyonel uygulamadır. DKIM özel anahtarınız en az yıllık olarak rotate edilmelidir; hassas veri işliyorsanız veya düzenlenmiş bir sektörde faaliyet gösteriyorsanız daha sık yapılmalıdır. Rotasyon süreci şu adımları içerir:

1. Yeni bir anahtar çifti oluşturma.
2. Yeni genel anahtarı DNS'de yeni bir seçici altında yayımlama.
3. Posta sunucunuzu veya ESP'nizi yeni anahtarla imzalayacak şekilde yapılandırma.
4. DNS yayılımını bekleme ve yeni anahtarın doğru biçimde doğrulandığını onaylama.
5. Uygun bir çakışma süresi sonrasında eski anahtarı DNS'den kaldırma.

Mevcut DKIM yapılandırmanızı DKIM Checker ile kontrol edin. Doğru genel anahtarın yayımlandığını ve posta sunucunuzun imzalarının buna karşı doğrulandığını doğrulayabilirsiniz.

3. Bir DMARC Politikası Dağıtın

DMARC — Domain-based Message Authentication, Reporting and Conformance — SPF ve DKIM'in üzerinde konumlanan kontrol katmanıdır. Bir mesajın hem SPF hem de DKIM hizalamasını geçemediğinde alıcı posta sunucularına ne yapmaları gerektiğini söyler ve onlara gördükleri hakkında rapor göndermelerini talimat verir.

DMARC kaydı, _dmarc.domaininiz.com adresinde bir TXT kaydı olarak yayımlanır. Politikayı belirleyen temel etiket p='dir:

Önerilen yol none → quarantine → reject'tir. Teslimatı etkilemeden rapor toplamak için none ile başlayın. Verileri inceleyip tüm meşru gönderme kaynaklarının SPF veya DKIM hizalamasını geçtiğini onayladıktan sonra quarantine'e geçin. Bundan memnun olduğunuzda reject'e ilerleyin. Adımları atlamak ya da bu ilerlemeyi hızlandırmak, meşru e-postaların yanlışlıkla engellenmesinin en yaygın nedenidir.

Minimal bir başlangıç kaydı şu şekilde görünür:

v=DMARC1; p=none; rua=mailto:dmarc-reports@domaininiz.com

Mevcut DMARC kurulumunuzu DMARC Checker ile doğrulayın. Mevcut politikanızı, hizalama ayarlarınızı ve yapılandırma sorunlarını gösterecektir.

4. DMARC Raporlarınızı İzleyin

rua etiketiyle bir DMARC kaydı yayımlamak, toplu raporların akışını başlatır. Google, Microsoft, Yahoo, Apple gibi tüm büyük posta sağlayıcıları bu raporları belirttiğiniz adrese genellikle günde bir kez gönderir. Her rapor, o dönemde domaininizi kullanarak e-posta gönderen her IP adresi için kimlik doğrulama sonuçlarını içeren bir XML dosyasıdır.

Sorun, ham DMARC XML'inin insan tüketimi için tasarlanmamış olmasıdır. Yoğun trafiği olan tek bir domain günde onlarca rapor alabilir; her biri yüzlerce kayıt içerebilir. Hangi gönderenlerin neden başarısız olduğunu anlamak için bunları manuel olarak okumak pratik değildir.

Burada özel bir izleme aracı vazgeçilmez hale gelir. DMARCFlow, toplu raporlarınızı otomatik olarak işler — DMARC kaydınıza DMARCFlow'un sağladığı bir raporlama adresi eklemeniz yeterlidir — ve verileri okunabilir bir panoda sunar. Özellikle DMARCFlow şunları yapmanıza yardımcı olur:

• Yetkisiz gönderenleri tespit etme. Birisi domaininizi taklit ediyorsa gönderme IP'leri raporlarda meşru kaynaklarınızın yanında görünecektir. DMARCFlow bilinmeyen gönderenleri işaretler ve ne kadar hacim temsil ettiklerini gösterir.
• Hizalama geçiş oranlarını takip etme. E-postanızın ne kadarının SPF hizalamasını, DKIM hizalamasını ya da her ikisini geçtiğini — gönderme kaynağına göre kırılmış olarak — tam olarak görebilirsiniz.
• Eyleme geçirilebilir öneriler alma. XML'e bakmak yerine DMARCFlow, hangi gönderenlerin yapılandırma değişikliğine ihtiyaç duyduğunu ve bu değişikliklerin neler olduğunu sade bir dilde anlatır.
• Politika ilerlemesini izleme. DMARCFlow, 0'dan 5'e kadar bir DMARC olgunluk seviyesi ve 100 üzerinden bir güvenlik puanı atar; böylece nerede durduğunuzu ve sırada ne yapmanız gerektiğini net biçimde görürsünüz.

İzleme olmadan, none politikasındaki bir DMARC kaydı ne koruma ne de içgörü sağlar. Raporlar, tüm sistemi eyleme geçirilebilir kılan mekanizmadır. Bu adımı atlamayın.

5. Marka Güveni Oluşturmak için BIMI Ekleyin

Brand Indicators for Message Identification (BIMI), burada ele alınan beş standardın en yenisidir. Domaininizde quarantine veya reject politikasında bir DMARC kaydı olduğunda, destekleyen posta istemcilerine gelen kutusundaki mesajlarınızın yanında marka logonuzu göstermelerini talimat veren bir BIMI kaydı yayımlayabilirsiniz.

BIMI, herkese açık bir URL'de saklanan logonuzun SVG sürümüne işaret ederek çalışır. BIMI'yi destekleyen posta istemcileri — Gmail, Apple Mail ve Yahoo Mail dahil — logoyu çeker ve gönderen adının yanında görüntüler. Görsel etki önemlidir: alıcılar genel bir avatar yerine doğrulanmış logonuzu görür; bu da tanınırlığı, güveni ve açılma oranlarını artırır.

Doğrulanmış Marka Sertifikası (VMC) ile BIMI'ye hak kazanmak için logonuzun ilgili yargı bölgesinde tescilli bir marka olması gerekir. Temel BIMI seviyesi için (VMC gerektirmeyen bazı sağlayıcılar tarafından desteklenen) gereksinimler daha basittir: düzgün biçimlendirilmiş bir SVG Tiny P/S logo dosyası ve uygulama düzeyinde geçerli bir DMARC politikası.

BIMI kaydı, default._bimi.domaininiz.com adresinde bir TXT kaydı olarak yayımlanır ve şu şekilde görünür:

v=BIMI1; l=https://domaininiz.com/logo.svg; a=https://domaininiz.com/vmc.pem

l= etiketi SVG logonuza, a= ise VMC sertifikanıza işaret eder (isteğe bağlı ancak Gmail için zorunludur). BIMI kurulumunuzu ve uygunluğunuzu BIMI Checker ile kontrol edin.