E-Posta Güvenliğinde SPF, DKIM ve DMARC Protokolleri
Kurumsal domainlerin oltalama (phishing) saldırılarında kullanılmasını engellemek için gerekli olan e-posta kimlik doğrulama standartları.
Genel Bakış
E-posta sahtekarlığı (Spoofing), siber saldırganların kendilerini güvenilir bir kurummuş gibi göstererek (örneğin admin@sirketiniz.com adresinden geliyormuş gibi) kullanıcıları kandırmasıdır. SPF, DKIM ve DMARC, bu sahtekarlığı önleyen DNS tabanlı güvenlik protokolleridir.
Sorun
Temel SMTP (Simple Mail Transfer Protocol) tasarımında kimlik doğrulama mekanizması yoktur. Herhangi biri, herhangi bir e-posta sunucusunu kullanarak gönderici adresini (From header) dilediği gibi manipüle edebilir. Bu durum, şirketinizin itibarını zedeleyen oltalama kampanyalarının sizin domaininiz üzerinden yapılmasına olanak tanır.
Çözüm: DNS Kayıtları ile Doğrulama
Bu üç protokol bir arada çalışarak e-postanın gerçekten iddia edilen domain'den geldiğini ve yolda değiştirilmediğini garanti eder.
SPF (Sender Policy Framework):
v=spf1 ip4:192.168.0.1 include:_spf.google.com ~all
Bu TXT kaydı, "Benim adıma sadece bu IP adresi ve Google sunucuları mail atabilir" der.
Teknik Detaylar
DKIM (DomainKeys Identified Mail): Gönderilen her e-postanın başlığına kriptografik bir imza ekler. Alıcı sunucu, gönderenin DNS kayıtlarındaki açık anahtarı (Public Key) kullanarak bu imzayı doğrular; böylece mailin yolda değiştirilmediği (Bütünlük) kanıtlanır.
DMARC (Domain-based Message Authentication, Reporting, and Conformance): SPF ve DKIM sonuçlarını birleştirerek bir kural belirler. "Eğer SPF veya DKIM başarısız olursa, bu maili reddet (p=reject) veya spam kutusuna at (p=quarantine)" şeklinde alıcı sunuculara talimat verir. Ayrıca DMARC, sahte mail girişimlerini domain sahibine raporlar.
Sonuç
Bir kurumun domain altyapısında SPF, DKIM ve özellikle DMARC'ın p=reject politikasıyla yapılandırılmış olması, oltalama saldırılarına karşı en kritik savunma hattıdır ve günümüzde e-posta sağlayıcıları (Gmail, Outlook) tarafından bir zorunluluk haline getirilmektedir.