SPF, DKIM ve MTA-STS — E-Posta Otantikasyonun Üç Direği
Modern e-posta güvenliği üç bileşene dayanır: SPF (gönderici IP yetkisi), DKIM (içerik bütünlüğü için dijital imza) ve MTA-STS (sunucular arası TLS şifreleme zorunluluğu). Bu üçü DMARC politikasıyla birleşince modern bir e-posta altyapısı tamamlanır.
SPF Kaydı Nasıl Çalışır?
SPF (Sender Policy Framework, RFC 7208), alan adınızdan e-posta göndermeye yetkili IP ve servisleri tek bir DNS TXT kaydında listeler. Alıcı sunucu, gelen mesajın IP'sini sizin SPF listenizde arar:
- Listede ise →
spf=pass
- Listede değilse + qualifier
-all → spf=fail (mesaj reddedilir)
- Listede değilse + qualifier
~all → spf=softfail (spam'e düşer)
SPF Mekanizmaları
| Mekanizma | Anlamı | Lookup sayar mı? |
include:_spf.example.com | Başka bir SPF kaydını dahil et | Evet (1) |
a | Alanın A kayıtlarını dahil et | Evet (1) |
mx | Alanın MX kayıtlarını dahil et | Evet (1) |
ip4:192.0.2.1 | Tek IP4 adresi | Hayır |
ip4:192.0.2.0/24 | IP4 CIDR bloğu | Hayır |
ip6:2001:db8::/32 | IP6 CIDR bloğu | Hayır |
-all / ~all / ?all | Listede olmayan IP'lere ne yapılacak | Hayır |
10 DNS Lookup Limiti — En Yaygın SPF Hatası
SPF protokolü, bir TXT kaydını çözmek için en fazla 10 DNS lookup'a izin verir. Çok sayıda include eklerseniz limit aşılır ve alıcı sunucular spf=permerror sonucu döndürür — bu da SPF=fail gibi davranır. Yaygın hatalı senaryo:
v=spf1 include:spf.protection.outlook.com include:_spf.google.com
include:mailgun.org include:sendgrid.net include:servers.mcsv.net
include:_spf.hubspot.com include:_spf.salesforce.com
include:_spf.zoho.com include:_spf.zendesk.com include:_spf.intercom.io
-all
Bu kayıt 10 lookup'a ulaşır ve "include" zincirleri (örn: _spf.google.com içinde 4 alt include var) ile aslında 15+ lookup üretir. Çözüm: flattening — include'ları açıp içerideki IP'leri doğrudan ip4/ip6 olarak yazmak. Ancak bu manuel zor; EasyDMARC, dmarcian gibi servisler otomatik flattening sunar.
DKIM (DomainKeys Identified Mail) Nedir?
DKIM (RFC 6376), her giden e-postaya alanınızın özel anahtarıyla bir kriptografik imza ekler. Bu imza header'a (DKIM-Signature) yerleştirilir. Alıcı sunucu, alanınızın DNS'inde tanımlı public key ile imzayı doğrular:
- İmza geçerli + içerik değişmemiş →
dkim=pass
- İmza geçersiz / içerik manipüle edilmiş →
dkim=fail
SPF mi DKIM mi Daha Önemli?
Her ikisi de gerekli ama farklı sorunları çözerler. DKIM forward'a dayanıklıdır; SPF değildir. Bir mesaj A'dan B'ye geliyor, B kullanıcısı "Forward" tıklayıp C'ye gönderiyorsa: SPF doğrulamada B'nin IP'si A'nın SPF kaydında olmadığı için spf=fail döner. Ancak DKIM imzası B'de değişmediği için dkim=pass döner. DMARC, ikisinden birinin alignment ile geçmesini ister; bu sayede legitimate forward'lar engellenmez.
MTA-STS Nedir?
MTA-STS (Mail Transfer Agent Strict Transport Security, RFC 8461), e-posta sunucuları arası iletim sırasında TLS şifrelemesini zorunlu kılar. Geleneksel SMTP TLS opportunistic'tir — yani başarısızlığa düşerse plain text'e fallback eder; saldırgan TLS handshake'i bozarak (downgrade attack) düz metin yakalayabilir.
MTA-STS Bileşenleri
- DNS TXT kaydı (
_mta-sts.alaniniz.com): Politikanın varlığını ve versiyonunu duyurur.
- HTTPS politika dosyası (
https://mta-sts.alaniniz.com/.well-known/mta-sts.txt): Asıl politika — mode, MX listesi, max_age.
- TLS-RPT (opsiyonel ama önerilen): TLS bağlantı raporları için ayrı TXT kaydı (
_smtp._tls.alaniniz.com).
MTA-STS Mode Seçimi
- none: Politika devre dışı; geri çekme/test için.
- testing: Politika açık ama uygulanmaz; sadece TLS-RPT raporu üretir. İlk kurulumda mutlaka bu.
- enforce: Politika tam uygulanır. MX'iniz dahil değilse veya TLS sertifikanız hatalıysa mesajlar reddedilir. Production'da, ancak testing süresinde sorun çıkmadıysa.
Önerilen Kurulum Sırası
- SPF — Tüm gönderici servislerinizi listeleyin.
-all ile başlayın.
- DKIM — Sağlayıcı admin panelinden etkinleştirin, CNAME değerlerini DNS'inize ekleyin.
- DMARC —
p=none ile başlayın, DMARC sihirbazımızı kullanın.
- MTA-STS —
testing mode + TLS-RPT.
- 1-2 hafta sonra: DMARC raporlarını + TLS-RPT raporlarını inceleyin, sorun yoksa DMARC'ı
quarantine'e, MTA-STS'i enforce'a alın.
- 3-4 hafta sonra: DMARC
p=reject. Domain analiz aracımızla tüm 8 kontrolün yeşil olduğunu doğrulayın.
Profesyonel E-Posta Güvenlik Kurulumu
Microsoft Kurumsal (Micro Bilgi Teknolojileri), Microsoft Yetkili Çözüm Ortağı (CSP) olarak Türkiye genelinde KOBİ ve büyük kurumlara SPF, DKIM, DMARC, MTA-STS, BIMI tam paket kurulumu yapar; raporlama otomasyonu, Defender for Office 365 entegrasyonu ve KVKK uyumlu incident response danışmanlığı sunar. Ücretsiz keşif görüşmesi planlayın →