Kurumsal e-posta güvenliğinde en büyük açık genelde teknoloji eksikliğinden değil, yanlış yapılandırmadan kaynaklanır. Microsoft 365 kullanıyorsanız, SPF, DKIM ve DMARC ayarları ile Microsoft Defender for Office 365 birlikte çalıştığında phishing ve sahte e-posta saldırılarına karşı çok daha güçlü bir koruma hattı oluşur.
SPF, DKIM, DMARC’ı bu kadar önemli yapan şey nedir?
Üçü de e-posta sahteciliğini engellemeye yarar, ancak görevleri farklıdır:
- SPF: Bu domain’den e-posta göndermeye hangi sunucuların yetkili olduğunu belirler.
- DKIM: Gönderilen iletilerin dijital olarak imzalanmasını sağlar, böylece içeriğin sonradan değiştirilmediği doğrulanır.
- DMARC: SPF ve DKIM kontrol sonuçlarını bir politika ile birleştirerek “başarısız olursa ne yapılacak?” kararını verir.
Önce şu mantığı oturtalım: Sahte e-postalar nasıl çalışır?
Çoğu phishing saldırısı, “görünürde güvenilir” görünen bir gönderiyle başlar. Saldırgan, alan adınızın adı, logo, imza veya ödeme bağlantılarını taklit eder ve alıcıyı kandırır. İleri seviyede saldırılarda, göndericinin gerçekten yetkili bir sunucudan geliyormuş gibi görünmesi sağlanır. Bu noktada SPF-DKIM-DMARC zinciri kritik rol oynar.
1) SPF: Kim gönderiyor, onu kontrol edin
SPF kaydınızın amacını basit tutun: Domain’iniz adına e-posta göndermeye kim yetkili?
Kontrol listesi:
- Microsoft 365 için Microsoft’in resmi SPF kayıtları kullanılıyor mu?
- Başka sağlayıcılar varsa hepsi tek SPF satırında doğru şekilde ekli mi?
- SPF kaydı 10 DNS DNS lookup limitini aşıyor mu?
Yanlış SPF kaydı, iletinizi tamamen reddedilmesin diye geçici çözümlerle geçersiz kılmak yerine düzeltin. Yanlış yapılandırma, özellikle “kimden” satırında markanızın itibarıyla doğrudan bağlantılıdır.
2) DKIM: İçerik bükülmeye karşı mı doğrulama var?
DKIM, e-postaya dijital imza ekleyerek “bütünlük” sağlar. Mesaj alıcıya kadar gelirken değiştirilmiş mi kontrol eder.
- DKIM anahtar uzunluğu ve imzalama ayarları eksiksiz mi?
- Exchange Online’da imzalama anahtarı etkindir mi?
- İletilerde “dkim=pass” durumu düzenli olarak görüyor musunuz?
DKIM yoksa, sahte içerik değiştirme veya ara sunucu manipülasyonuna açık bir kapı bırakmış olursunuz.
3) DMARC: SPF ve DKIM için kurumsal “ihlal kararı” kurun
DMARC, sadece doğrulamakla kalmaz, “başarısız olursa ne olacak?” kuralını da işletir.
- p=none: İzleme modunda başlamak için başlangıç için uygun.
- p=quarantine: Şüpheli iletileri spam/junk’e alır.
- p=reject: Şüpheli iletileri reddeder, güçlü koruma sağlar.
İdeal yol: önce raporları toplayıp etkiyi görün, sonra adım adım reject seviyesine geçin.
Defender Katmanı: Sadece DNS ile yetinmeyin
Microsoft 365 güvenliğinizin üçüncü ayağı Defender for Office 365 olmalı. Bu sayede:
- Gelişmiş phishing tespiti
- URL ve ek güvenlik filtreleri
- Saldırı simülasyonu ve kullanıcı farkındalığı akışları
- Şüpheli gönderim kalıplarını davranış tabanlı analiz
Defender’ı politikalarla birleştirerek “e-posta geldi, görüldü” seviyesinden “tespit edildi, durduruldu, uyarı verildi” seviyesine çıkarsınız.
Kurulum sonrası 7 günlük kontrol planı
- SPF kaydını doğrulayın, gereksiz veya hatalı kayıtları temizleyin.
- DKIM seçici anahtarlarını Exchange yönetiminde aktifleştirin.
- DMARC’ı ilk 7 gün p=none ile izlemeye alın.
- Raporları toplayıp sahte alan adlarını/başarısız domainleri tespit edin.
- DMARC seviyesini quarantinee alın.
- Defender politikalarında kimlik sahtekârlığı için anti-phishing kuralları ekleyin.
- 3 hafta içinde son adım olarak p=reject değerlendirmesi yapın.
Yaygın 5 hata
En çok şu yanlışlar görüyoruz:
- SPF’e tüm servisleri eksik eklemek
- DKIM’i açıp “pass” durumunu izlememek
- DMARC’ı doğrudan reject’e alıp önemli partner iletilerini kesmek
- Teknik ekibin değil, sadece bir kişinin e-posta güvenliğine odaklanması
- Kullanıcı eğitimini ihmal etmek
Sonuç
SPF, DKIM ve DMARC tek başına değil; defans + süreç + kullanıcı farkındalığı ile korunur.
Eğer bu üç temel ayar düzenli takip edilip Defender politikalarıyla desteklenirse, phishing girişimlerinin önemli bir kısmı kullanıcı kutusuna ulaşmadan engellenir.
Kurumsal e-posta güvenliği “tek bir ayar” işi değil; zincirleme bir güvenlik mimarisidir.
Hızlı bir kontrol için: Kurulumun doğru mu olduğunu bizimle paylaşın, kalan adımları birlikte netleştirelim.
İletişim sayfasından talep oluşturabilir veya doğrudan fiyat hesaplama ekranından bütçenizi netleştirebilirsiniz.