E-Posta Güvenliğinin Üç Temel Taşı
Kurumsal e-posta güvenliği için SPF, DKIM ve DMARC protokolleri vazgeçilmezdir. Bu üç protokol birlikte çalışarak alan adınızdan gönderilmiş gibi görünen sahte e-postaları (e-posta sahteciliği/spoofing) ve kimlik avı (phishing) girişimlerini engeller.
SPF (Sender Policy Framework) Nedir?
SPF, alan adınız adına e-posta göndermeye yetkili IP adreslerini ve sunucuları tanımlayan bir DNS kaydıdır. Alıcı posta sunucusu, gelen e-postanın SPF kaydında listelenen bir sunucudan gelip gelmediğini kontrol eder.
Exchange Online için SPF Kaydı
Exchange Online kullanıyorsanız SPF kaydınız şu şekilde olmalıdır:
v=spf1 include:spf.protection.outlook.com -all
Bu kaydı şu şekilde eklemelisiniz:
- Kayıt türü: TXT
- Ana bilgisayar adı: @ (veya alan adınız)
- Değer: v=spf1 include:spf.protection.outlook.com -all
- TTL: 3600
Mekanizma açıklamaları:
-all: SPF kaydında olmayan sunuculardan gelen e-postaları reddet (sıkı)
~all: Şüpheli olarak işaretle (yumuşak)
+all: Her sunucuya izin ver (tehlikeli, kullanmayın)
DKIM (DomainKeys Identified Mail) Nedir?
DKIM, e-postalara dijital imza ekleyerek içeriğin iletim sırasında değiştirilip değiştirilmediğini doğrular. Asimetrik şifreleme kullanır: özel anahtar sunucunuzda, genel anahtar ise DNS kaydınızda saklanır.
Exchange Online'da DKIM Etkinleştirme
- Microsoft 365 Defender portalına gidin: security.microsoft.com
- E-posta ve İşbirliği > İlkeler ve Kurallar > Tehdit İlkeleri > E-posta Kimlik Doğrulaması Ayarları bölümüne gidin
- Alan adınızı seçin ve "DKIM imzalarını etkinleştir" seçeneğini açın
- Size verilen iki CNAME kaydını DNS yönetim panelinize ekleyin:
selector1._domainkey.sirketiniz.com → selector1-sirketiniz-com._domainkey.onmicrosoft.com
selector2._domainkey.sirketiniz.com → selector2-sirketiniz-com._domainkey.onmicrosoft.com
DNS değişikliklerinin yayılması 24-48 saat alabilir.
DMARC (Domain-based Message Authentication, Reporting and Conformance) Nedir?
DMARC, SPF ve DKIM kontrollerinin sonuçlarına göre alıcı sunucunun ne yapacağını belirtir. Aynı zamanda size raporlama imkânı sunar.
DMARC Kaydı Oluşturma
Başlangıç için yumuşak bir politika önerilir:
v=DMARC1; p=none; rua=mailto:dmarc-raporlar@sirketiniz.com; ruf=mailto:dmarc-hatalar@sirketiniz.com; fo=1
- Kayıt türü: TXT
- Ana bilgisayar adı: _dmarc
- Değer: Yukarıdaki DMARC metni
DMARC Politika Seviyeleri
p=none: İzleme modu; e-postalar reddedilmez, sadece rapor gelir
p=quarantine: Başarısız e-postalar spam/karantinaya alınır
p=reject: Başarısız e-postalar tamamen reddedilir (en güvenli)
Öneri: Önce p=none ile başlayın, raporları analiz edin, ardından p=quarantine ve son olarak p=reject politikasına geçin.
Üç Protokolün Birlikte Çalışması
Bu üç protokolün birlikte çalışması şu şekilde özetlenebilir:
- E-posta alıcı sunucuya ulaşır
- SPF kontrolü: E-posta yetkili sunucudan mı geldi?
- DKIM kontrolü: E-postanın imzası geçerli mi ve içerik değişmemiş mi?
- DMARC kontrolü: SPF ve DKIM sonuçlarına göre nasıl davranılmalı?
Test Araçları
Yapılandırmanızı doğrulamak için şu araçları kullanabilirsiniz:
- MXToolbox: mxtoolbox.com — SPF, DKIM, DMARC kayıt analizi
- DMARC Analyzer: dmarcanalyzer.com — Kapsamlı DMARC raporlama
- Mail-tester.com: E-postanızın spam skoru ve kimlik doğrulama durumu
- Microsoft Remote Connectivity Analyzer: testconnectivity.microsoft.com — Exchange Online bağlantı testi
Exchange Online ve E-Posta Güvenliği
SPF, DKIM ve DMARC yapılandırmanızın yanı sıra Exchange Online'ın sunduğu güvenlik avantajlarını da değerlendirmenizi öneriyoruz. Kurumsal e-posta güvenliğinizi güçlendirmek için Exchange Online hizmetlerimize göz atabilir veya plan hesaplama aracımızı kullanabilirsiniz. Destek için 0216 344 15 59 numarasını arayın.