Neler yeni

Mail Trafiklerinde Güvenlik | DMARC, DKIM ve SPF Kayıtları (1 Viewer)

Arık Böke

Grafiker
majorrr
Mesajlar
356
Credits
0
Merhabalar, bu yazımda sizlere E-Posta iletişimleri için güvenlik sağlayan DMARC, DKIM ve SPF kavramlarından bahsedeceğim. Siber Güvenliğin en zayıf halkası olan “İnsan” için en başarılı saldırı biçimi de dolayısıyla Sosyal Mühendislik ve Phishing(Oltalama) saldırıları oluyor. Güvenlik ekibi olarak istediğimiz önemli şeylerden birisi de bu Phishing E-Postalarının son kullanıcımıza gelmesini önlemek oluyor. O hâlde başlayalım :)

DMARC (Domain-Based Message Authentication) : Kısacası E-Posta’nın kimlik bilgilerinin kontrol edilmesini sağlayan teknolojidir. DMARC, E-Posta güvenliğini sağlayan diğer teknolojiler için (SPF, DKIM) temel katmanı oluşturmaktadır.

DMARC, E-Posta göndericilerinin ve alıcılarının doğru kişi ve izni olup olmadığını kontrol eden, eğer doğru değil ise (örneğin A kişisi kendini X kişisi olarak tanıtıp onun adına mail atabiliyorsa) ne tür önlemler&işlemler yapılabileceği belirlenilebilen bir teknolojidir.

Mail Gateway sunucuları, gelen maillerin SPF ve DKIM kayıtlarının olup olmadığına, eğer var ise gönderilen Domain adı ile uyumlu olup olmadıklarını kontrol eder. Mail doğrulama başarılı olur ise DMARC Compliant(Uyumlu) eğer doğrulamalar başarız olursa DMARC Failed olarak kabul edilir.

DMARC 3 Farklı işlem ile çalışmaktadır ;

1 – İzleme Politikası (Policy = None) : DMARC denetimleri başarısız olsa da E-Posta’nın kabul edilip edilmeyeceği belirlenmez. Sadece Domain adına kimlerin E-Posta gönderebileceği hakkında bilgilendirmeler sağlar.

2 – Karantina Politikası (Policy = Quarantine) : Bu politikada eğer DMARC denetimleri başarısız olursa alınan E-Posta’nın alıcının Spam kutusuna düşmesi, başarılı olursa normal Gelen Kutusuna düşmesi sağlanır.

3 – Reddetme Politikası (Policy = Reject) : Bu politikada ise DMARC denetimleri başarısız olan E-Posta’ların alıcıya hiç iletilmemesi sağlanmaktadır.

unnamed.png



DKIM (Domain Keys Identified Mail) : Türkçeye “Alan Adı Anahtarlarıyla Tanımlanmış E-Posta” olarak çevrilmiştir. “Kısaca amacı “E-Posta” sahteciliğini(Phishing) ve Spam’ı önlemek için E-Posta Kimlik Doğrulaması (Mail Authentication) yapmaktır. “Mail gerçekten bağlı olduğu Domain tarafından mı gönderildi?” sorusuna cevap için doğrulama yapar.

DKIM şu adımlar ile çalışmaktadır ;
• Domain sahibi, DNS kayıtlarına Public olarak bir şifreleme anahtarı ekler.
• MTA’mız gönderilecek maillerin Başlık(Header) içeriğine “DKIM Sigature” denilen, gönderilecek mail’in Body ve Header içeriklerini kapsayan “Private” bir “Dijital İmza” ekler.
• Maili alacak olan kişinin Gateway sunucusu, bizim DNS sunucumuza gelip TXT kaydı olarak eklenmiş “Public DKIM” değerine bakıp içeriğinde ki Key’i alır ve almış olduğu mailde ki “Private DKIM” ile karşılaştırır. Eğer iki değer eşleşirse mail’i doğrular ve maili alıcısına iletecek şekilde kabul eder.

MTA (Mail Transfer Agent) : Temel olarak “Mail Sunucusu” denilebilir. SMTP protokolü ile diğer mail sunucuları ile mail transferlerini(gönderme-alma) yapan ve aldığı mailleri IMAP, POP protokolü ile istemcilerin almasını sağlayan yazılımlara denmektedir.

dkim.jpg



SPF (Sender Policy Framework) : SPF kayıtları, hangi Mail Sunucularının(IP’lerin) bizim Alan adımızı(Domain Adı) kullanarak mail gönderebileceğini belirtebildiğimiz özelliktir. SPF Kayıtlarını DNS Sunucumuzda “Kayıt Tipi” TXT olacak şekilde ekliyoruz. SPF kayıtları ile “Mail Spoofing”i yani Phishing(Oltalama) saldırılarını önlemeyi hedefliyoruz.

Mail Gateway sunucusu, gelen mail’in Alan Adını kontrol eder. İlgili Alan Adının yani Domain’in DNS Sunucusuna giderek SPF kayıtlarına bakar. Eğer maili gönderen IP, bakmış olduğu SPF kayıtlarında yer alıyorsa maili kabul eder ve son kullanıcısına iletir. Eğer maili gönderen IP, Gatewayin baktığı SPF kayıdında yok ise mail’i son kullanıcıya iletmez.

spf-protection-infographic.png
 

Bu konuyu görüntüleyen kullanıcılar