Alan adınızın kimliğini doğrulamak için alanınızın DNS ayarlarına bir SPF (Gönderen Politikası Çerçevesi) ve bir DKIM (Alan Anahtarı Tanımlı Posta) kaydı eklemeniz gerekir.Kimlik doğrulama işleminde gerekli olmamasına rağmen, bazı kullanıcılar alanlarını kimlik sahtekarlığı ve kimlik avı e-posta saldırılarından daha fazla korumak için DNS ayarlarına bir DMARC politikası eklemeye karar verir.Yanlış uygulama, e-postaların hedeflenen alıcılara teslim edilmemesine neden olabileceğinden, bir DMARC kaydı uygulamanın hem faydalarını hem de olası olumsuz taraflarını anlamak önemlidir.Bu makalede şunları öğreneceksiniz:
- DMARC kaydı nedir?
- DMARC kaydı nasıl kurulur
- tanımlayıcı hizalama
- DMARC etiketleri
- DMARC raporları
- DMARC kaydı nedir?
DMARC, Etki Alanı Tabanlı İleti Kimlik Doğrulaması, Raporlama ve Uygunluk (RFC 7489) anlamına gelir. Bir etki alanının DNS ayarlarında TXT kaydı olarak kurulan bir e-posta doğrulama, politika ve raporlama protokolüdür. Gönderenin IP adresini inceleyerek e-postaların kaynağının doğrulanmasını sağlar.Bir DMARC politikası, bir alanın DKIM ve SPF tanımlayıcı hizalaması yoluyla doğrudan alan sahtekarlığından korunmasına yardımcı olabilir. Başka bir deyişle, alanınızdan geldiğini iddia eden bir e-posta iletisinin DKIM ve/veya SPF kaydı geçemezse, DMARC politikası alıcıların e-posta sunucularına bununla ne yapacaklarını söyler. Bu, yasal e-postalardan gelen sahte e-postaların belirlenmesine yardımcı olur ve dolandırıcılıkların oluşmasını önler.DMARC kaydı nasıl kurulurGönderen alan adınızın sahtecilik riski yüksekse veya sağladığı raporlama işlevi aracılığıyla alan adınız adına gönderilen giden e-postaları izlemek istiyorsanız bir DMARC politikası oluşturmanız önerilir.DMARC’yi kullanmak istiyorsanız, e-posta teslimatınız üzerindeki olası olumsuz etkileri azaltmak için bu tür DNS kayıtlarını sizin için uygun şekilde ayarlamak için DMARC danışmanlık şirketlerinin hizmetlerinden yararlanmanızı öneririz.Tanımlayıcı hizalamaBir DMARC kaydı, DKIM veya SPF kaydında bulunan bir veya her iki alanla karşılaştırarak, Başlık ve Kimden alanlarındaki alanın (gönderen e-postası) iletinin gerçek göndericisi olduğunu doğrular.Bu etki alanlarının hizalandığından emin olmak için, DKIM imzasını oluşturmak için kullanılan etki alanı Başlık ve Kimden etki alanıyla eşleşmelidir ve SPF, gönderen sunucunun IP adresinin SMTP MailFrom komutunda belirtilen etki alanının sahibi tarafından onaylandığını doğrular.Hizalamayı aşağıdakilerden biri olacak şekilde ayarlayabilirsiniz:Katı – alan adları tam olarak eşleşmelidirRahat – etki alanları aynı kök etki alanının farklı alt etki alanlarına sahip olabilir.DMARC etiketleriBir DMARC kaydı birkaç etiketten oluşur. Bazıları zorunludur ve bazıları isteğe bağlıdır.Temel bir DMARC kaydı örneği:”v=DMARC1; p=yok; rua=mailto:[email protected]”Gerekli etiketlerAşağıdaki etiketlerin geçerli olması için bir DMARC kaydına dahil edilmesi gerekir:v – Kaydı DMARC olarak tanımlar ve başlangıçta listelenmesi gerekir. Her zaman DMARC1’dir.p – Kaydınız için seçmiş olduğunuz poliçeyi belirtir. Bu politika, e-postanız DMARC kimlik doğrulama ve hizalama kontrollerinde başarısız olduğunda e-posta posta kutusu sağlayıcıları tarafından uygulanacaktır. İhtiyaçlarınıza göre kullanabileceğiniz üç DMARC politikası vardır:p=none – İzleme ilkesi olarak bilinir, alıcıların e-posta sunucularına herhangi bir şey yapmasını söylemez, ancak alan adınıza gönderilen e-postaları izlemenize olanak tanır.p=quarantine – DMARC kontrolünde başarısız olursa, alıcıların e-posta sunucularına mesajı önemsiz veya spam klasörüne göndermelerini söyler. Ayrıca sizin adınıza gönderilen tüm e-postaları da takip eder.p=reject – Alıcıların e-posta sunucularına, DMARC kontrolünden geçemeyen tüm e-postaları reddetmelerini söyler. Bu, bu e-postaların geri dönmesine ve alıcının herhangi bir klasörüne teslim edilmemesine neden olur. Ayrıca sizin adınıza gönderilen tüm e-postaları da takip eder.Not: Teslim edilebilirlik sorunlarıyla karşılaşmamak için daha fazla uzmanlık gerektirdiğinden, mevcut alanlar için katı politikalar (karantinaya alma, reddetme) kullanırken dikkatli olmanızı öneririz.İsteğe bağlı etiketlerBu etiketler, DMARC kaydını ve rapor işlevselliğini özelleştirmeye yardımcı olan ek seçenekler sağlar:rua=mailto:[email protected] – Katılımcı e-posta posta kutusu sağlayıcıları tarafından eksiksiz raporların gönderileceği e-posta adresini belirtir. Bu günlük raporlar, alanınızdaki kötü amaçlı etkinliği ve olası kimlik doğrulama sorunlarını belirlemenize yardımcı olur.fo – E-posta posta kutusu sağlayıcılarının, SPF ve/veya DKIM’de başarısız olan e-postalarda gönderilen metin örneklerini istediğinizi bilmesini sağlar. Dört değer seçeneği vardır:0 – Hem SPF hem de DKIM hizalanmış bir GEÇTİ sonucu oluşturamazsa bir DMARC hata raporu oluşturun. Bu varsayılandır.1 – SPF veya DKIM kaydı, BAŞARILI olmayan herhangi bir başka türde hizalama sonucu oluşturuyorsa, bir DMARC arıza raporu oluşturun. Bu tavsiye edilir.d – Hizalama sonucuna rağmen e-postanın imzası değerlendirmede başarısız olursa bir DKIM hata raporu oluşturun.s – E-postanın SPF’si, hizalama sonucuna rağmen değerlendirmesinde başarısız olursa, bir SPF başarısızlık raporu oluşturun.ruf=mailto:[email protected] – Katılımcı e-posta posta kutusu sağlayıcıları tarafından adli (mesaj düzeyinde) raporların gönderileceği e-posta adresini belirtir. Bu raporlar daha ayrıntılıdır ve bir DMARC kimlik doğrulama hatası tespit edildikten sonra teslim edilir.rf – Bu, mesaj hatası raporlarının formatıdır. Varsayılan değer, şimdilik desteklenen tek değer olan affr’dır (Authenticate Failure Reporting Format).ri – Katılımcı e-posta posta kutusu sağlayıcıları tarafından bir sonraki raporun gönderilmesinden önce geçmesi gereken saniye sayısı. Saniyenin varsayılan değeri, bir tam gün olan 86400’dür.sp – E-postanın DMARC kimlik doğrulama ve hizalama denetimlerinde başarısız olduğu tüm alt alanlar için istenen üç ilkeden birini belirtir. Alan sahibi, birincil alan ve tüm alt alan adları için farklı politikalar istediğinde önerilir. Bu etiket alt alanlar için kullanılmazsa, p etiketinde ayarlanan birincil politika, birincil alana ve tüm alt alan adlarına uygulanır.pct – DMARC kimlik doğrulamasını içerecek e-postaların yüzdesi. Bu etiket, kademeli olarak uygulandığı için politikanın etkisini ve etkisini test etmek için kullanışlıdır.adkim – DKIM tanımlayıcı hizalamasının katı mı yoksa gevşek mi olduğunu belirtir. Varsayılan, rahattır.aspf – SPF tanımlayıcı hizalamasının katı mı yoksa gevşek mi olduğunu belirtir. Varsayılan, rahattır.DMARC raporlarıSaygın e-posta güvenliğini sağlamak için DMARC toplu raporları, bir alan adına gönderilen iletilerin kimlik doğrulama durumu hakkında ayrıntılar sağlar. Alan sahibinin, alanlarından gönderilen hangi e-postaların SPF ve DKIM kimlik doğrulamasını geçtiğini veya başarısız olduğunu görmesine izin verir.Bu raporlar gönderen e-posta hakkında herhangi bir bilgi içermese de şunları içerebilir:
- Gönderen kaynakla ilgili ayrıntılar
- Kullanılan alan adı
- gönderen IP adresi
- Belirli bir tarihte gönderilen mesaj sayısı
- DKIM ve SPF gönderme alanı
- DKIM ve SPF kimlik doğrulamasının sonucu
- E-posta alıcısı tarafından uygulanan politika
Bu toplu raporları almaya başlamak için DMARC kaydınızın RUA etiketini (rua=mailto:[email protected]) içerdiğinden emin olun. DMARC raporlama kuruluşları raporları bu e-posta adresine gönderebilir.DMARC’nin nasıl çalıştığı hakkında daha fazla bilgi edinmek için dmarc.org’u inceleyebilirsiniz.
