Gönderilen maillerin sadece sizin tarafınızdan gönderilebileceğini ve bunun doğruluğunu kontrol eden 3 farklı teknoloji vardır; Genellikle göndericinin kimliğini doğrulamaya, sahte göndericiyi belirmeye ve raporlamaya yönelik. Bu teknolojilerin her birini kullanarak mail trafiğini iyileştirmiş olursunuz.
DKIM: Sunucu tarafından şifreleme sistemi kullanılarak gönderilen her mailin barkodlanması,
SPF: Hangi sunucu IP adreslerinden sizin adınıza mail gönderebileceğinin belirlenmesi,
DMARC: Üstteki iki güvenlik önlemini aldıktan sonra sizin adınıza mail gönderilmediği durumlarda raporlanmasını sağlar.
DKIM Nedir?
DKIM, standartları belirlenmiş bir e-mail kimlik denetleme yöntemidir. Bu yöntem, gönderilen postaların gerçekten ilgili adresten gönderilip gönderilmediğinin tespit edilebilmesi için kullanılmaktadır.
MailEnable 9.16 itibaren Standart bir özellik haline getirildi. MailEnable’dan son sürümü indirerek kullanılabilir.
MailEnable üzerinde DKIM aktif edildikten sonra tarafımıza verilen DKIM kaydını DNS’a TXT kaydı olarak eklememiz gerekiyor.
MailEnable DKIM Ayarları
MailEnable konsolu üzerinden DKIM ekleyeceğim domain üzerinden işlemlere başlayacağız.
MailEnable > Postoffices > domain.com > Domains > domain.com | Properties
- Properties > DKIM > Configure..
- DKIM > Sign Outgoing Messages | İşaretlenir
- Encryption Algorithm > rsa-sha256 | İşaretlenir
- Selectors > New > Seçici adı > Sel1 (Keysize 2048) | Update
- DKIM kaydını kopyalayın.
DKIM DNS Kaydı
2 Txt kaydı eklememiz gerekiyor.
MaestroPanel > Domainler > domain.com > DNS > Ekle > TXT
MaestroPanel > Domainler > domain.com > DNS > Ekle > TXT
SPF Nedir?
SPF Kayıtları ile Domain adresiniz adına kimin mail gönderebileceğini veya gönderemeyeceğini tanımlarsınız. SPF kaydı tanımlı olmadığında veya mail sunucunuz SPF kaydında tanımlı değilse gönderdiğiniz mailler istenmeyen posta(spam) olarak algılanabilir.
test.com üzerinden ornek.com’a bir mail gönderidiğinizde, ornek.com tarafında maili karşılayan mail sunucusu test.com’un SPF kaydını sorgular ve SPF testini uygular. Test’ten geçebilmemiz için SPF kaydımızda test.com tarafından maili gönderen sunucumuzun IP’si veya karşılık gelen bir DNS bilgisi “test.com’un SPF kaydında” bulunması gerekir.
Yani;
test.com’un SPF kaydını sorgularsanız(nslookup -q=TXT test.com);
v=spf1 ip4:5.2.80.80 mx -all
Bu SPF kaydını yorumlayacak mail sunucusu şöyle düşünür;
- +ip4:5.2.80.80: 5.2.80.80 ipv4 adresli sunucu bu domain adına mail gönderebilir.
- +mx: test.com domaininde MX olarak kayıtlı sunucu IP adresleri bu domain adına mail gönderebilir.
- -all: test.com için diğer tüm sunucular ve ip’lerden gelen mailler reddedilir.
Not: başlangıcında herhangi bir eşleşme işareti bulunmayan bilgiler default olarak +(Pass) olarak yorumlanır. Yani kayıtta bulunan “mx” aslında “+mx” şeklindedir.
Nasıl SPF kaydı oluştururum?
SPF kayıtları DNS sunucunuzda TXT kaydı olarak tutulur. SPF kayıtlarında 4 adet eşleşme mekanizması vardır. Oldukça basitler.
| Değer | Açıklama |
| + | Geçiş izni veren değer. Eğer değerlerin yanında herhangi bir değer yoksa bu tanımlıdır. Örn. mx = +mx |
| – | Başarısız. Bu değer ile eşleşen sunuculardan kesinlikle mail kabul edilmez. |
| ~ | Şüpheli mail. Eğer sunucu bu değer ile eşleşirse SPF kaydı yok gibi karşılık görür. |
| ? | Nötr değer. Eşleşen sunucunun gönderdiği mail kabul edilir. |
Örnekler ile ilerleyelim. Örnekleri test.com için yazıyorum.
v=spf1 mx include:ornek.com -all
+mx: test.com domaini için tanımlı MX sunucuları bu test.com adına mail gönderebilir.
+include:ornek.com: “ornek.com” için tanımlı SPF testini çalıştırır.
-all: Diğer sunucular bu domain adına mail gönderemez.
v=spf1 a -all
- a: Domain’in A kaydında bulunan sunucular mail gönderebilir. Örneğin: nslookup -q=A test.com.
- -all: Diğer sunucular bu domain adına mail gönderemez.
v=spf1 a:ornek.com -all
Yukarıdaki örnekten farkı Testi geçebilecek A kaydı test.com’un A kayıdı değil “ornek.com” un A kaydıdır.
v=spf1 a/27 -all
veya
v=spf1 mx/27 -all
veya
v=spf1 5.8.80.80/27 -all
veya
v=spf1 a:ornek.com/27 -all
SPF testine yukarıda gördüğünüz gibi CDR tipi kayıt tanımlayabilirsiniz. inceleyelim;
a/27: test.com’un A kayıdında sadece 5.2.80.80 var. Bu kayıtta sadece bir IP değil CIDR şeklinde IP aralığı veriliyor. 5.2.80.80/27 olarak yorumlanınca 5.2.80.64 ve 5.2.80.95 arası tüm IP’lerin domain adına mail gönderebileceğini belirtir.
-all: Diğer sunucular bu domain adına mail gönderemez.
v=spf1 mx:ornek.com +all
mx:ornek.com: ornek.com domaininin mx sunucularının test.com adına mail gönderebileceğini tanımlar.
v=spf1 ip4:78.65.87.45 -all
veya
v=spf1 ip4:78.65.87.45/27 -all
ip4:78.65.87.45: ipv4 adresli 78.65.87.45 test.com adına mail gönderebilir.
v=spf1 -all
-all: test.com adıyla mail gönderilemez.
v=spf1 +all
+all: tum sunucular test.com adına mail gönderebilir. Güvenli değildir.
Bu örnekler arasında benim tavsiye ettiğim SPF kaydı şöyle.
v=spf1 mx -all
Bu kayıt ile sadece domain adına kayıtlı MX sunucuları mail gönderebilir. Diğer tüm sunucular reddedilir.
DMARC Nedir?
Phishing ve spam gönderilerini önlemek için DMARC (Domain-based Message Authentication, Reporting & Conformance), alan adının doğrulama, raporlama ve uygunluk” sistemi, yeni yöntemler ile ortak politika ve standartları belirleyerek mail iletişimini sağlamlaştırır.
Domaininize _dmarc.domain.com şeklinde bir TXT kaydı eklenmeli ve bu TXT kaydında zorunlu sadece 2 parametre yer alıyor. V ve P parametleri; v özelliği kullanılan DMARC protokolünü p ise politikanız.
P özelliği: none, quarantine, reject değerlerinden birini alabilir.
Kısaca özetlemek gerekirse, _dmarc.maestropanel.com kaydına “v=DMARC1; p=quarantine;” değerini ekleyerek Dmarc politikaları maestropanel.com domaini üzerinden gönderilmeyen mailleri spam olarak işaretle diyebilirsiniz veya değeri “v=DMARC1; p=none; rua=mailto:abuse@maestropanel.com;” olarak değiştirerek mail sağlayıcının hiç bir işlem yapmadan size bunu abuse@maestropanel.com adresine raporlamasını sağlayabilirsiniz.
Kayıtları kendinize göre düzenlemeyi unutmayın.
Örn: v=DMARC1; p=none; rua=mailto:abuse@maestropanel.com; ruf=mailto:abuse@maestropanel.com
DMARC oluşturma sihirbazı: https://www.unlocktheinbox.com/dmarcwizard/
Daha fazla DMARC, https://dmarc.org//draft-dmarc-base-00-01.html#iana_dmarc_tags
DMARC TXT kayıtlarında sıklıkla kullanılan etiketler şunlardır:
| Etiket Adı | Zorunlu | Amaç | Örnek |
|---|---|---|---|
|
v |
zorunlu | Protokol sürümü | v=DMARC1 |
|
p |
zorunlu | Alan adıyla ilişkili politika | p=quarantine |
|
pct |
isteğe bağlı | Filtre uygulanan iletilerin yüzdesi | pct=100 |
|
rua |
isteğe bağlı | Toplam raporlarının raporlama URI’sı | rua=mailto:aggrep@example.com |
|
sp |
isteğe bağlı | Alanın alt alanları için politika | sp=reject |
|
aspf |
isteğe bağlı | SPF için uyumlu hale getirme modu | aspf=r |
DMARC DNS Kaydı
MaestroPanel > Domainler > domain.com > DNS > Ekle > TXT
