E-posta Kimlik Doğrulaması Nasıl Çalışır?

E-posta kimlik doğrulaması göz korkutucu bir konudur. Genellikle bir alfabe çorbası kısaltmalar ve başlangıçlar vardır. Ancak temel kavramlar karmaşık değildir ve çoğu herkes bunları çabucak anlayabilir.

İstenmeyen posta gönderenler ve kimlik avcıları, istenmeyen veya zararlı iletileri dağıtmak için e-posta kullanmaya devam ettikçe, e-posta kimlik doğrulaması giderek daha gerekli hale geldi. Çoğu e-posta sunucusu, e-posta mesajlarını hedeflenen alıcıya ulaşmadan önce doğrulamak için artık bir dizi protokol kullanıyor. Doğru şekilde doğrulanmayan e-postaların e-posta tesliminde sorunlar yaşaması ve teslim edilmemesi veya spam klasörüne düşmesi olasıdır.

Öyleyse, gerçek dünyadaki analojileri kullanarak sade bir dille en önemli 3 e-posta kimlik doğrulama protokolünden bahsedelim.

SPF – Gönderen Politikası Çerçevesi

İlki ve en eskisi Gönderen Politikası Çerçevesi (SPF) olarak adlandırılır. SPF, gönderenin orijinalliğini doğrulamasını sağlar. Şöyle düşünelim: Posta kutunuza resmi antetli kağıda basılmış bir mektup alırsanız, bunun gerçek olduğundan emin olabilirsiniz. SPF'yi geçen bir e-postayı düşünmenin başka bir yolu da postaneden gelen onaylı bir mektuptur. Sağlanan bir takip numarası var ve postaneyi arayarak gönderenin kim olduğunu doğrulayabilirsiniz.

SPF, bir iade adresinin onaylanmasına da benzer. İşletme adının, mektubun iade adresinde listelenen işletmelerle eşleşmediği bir mektup aldıysanız, o mektuptan haklı olarak şüphe duyacaksınız. Bu tür bir kontrol genellikle fiziksel posta için gereksizdir, ancak e-posta mesajları için de gereklidir, çünkü başka birinden olduğunu iddia eden bir mesaj göndermek kolaydır.

SPF sırasında, bir alıcı e-posta sunucusu, e-postanın ait olduğunu iddia ettiği alan adından, o alan adına e-posta göndermesine izin verilen IP adreslerinin bir listesini isteyebilir. Alan, kaynak sunucuyu geçerli bir gönderen olarak listelemiyorsa, e-posta büyük olasılıkla orijinal değildir ve SPF denetimi başarısız olur.

DKIM – DomainKeys Tanımlı Posta

Etki Alanı Anahtarları Tanımlanmış Posta (DKIM), iletilerin kimliğini doğrulamanın daha yeni ve daha sağlam bir yoludur. DKIM, bir mektuptaki mum gibidir. Güvenilir posta altyapısından önce mektuplar, gönderene ait bir mühür yüzüğü ile kabartmalı bir mühür mumu ile doğrulandı. Sertleştirilmiş balmumu parşömene yapıştı ve kanıt bırakmadan mektubu kurcalamayı neredeyse imkansız hale getirdi.

Balmumuna bastırılan sembol, bir tür imza işlevi gördü, çünkü sadece bir kişinin mühür yüzüğüne erişimi olabilirdi. Alıcı, zarfı inceleyerek hem gönderenin gerçekliğini hem de içeriğin değiştirilmediğini doğrulayabilirdi.

Gönderenin gerçekliğini ve aktarım sırasında mesaj içeriğinin bütünlüğünü sağlamanın başka bir yolunu düşünelim. Kilitli çekmeceli ve kilitli kapaklı bir kutu düşünün. Çekmece sadece gönderenin anahtarı ile kilitlenebilir. Bu anahtarı gönderenin özel anahtarı olarak adlandıracağız.

Kapak, serbestçe temin edilebilen bir anahtarla kilitlenebilir ve kilidi açılabilir. Herkes anahtarın bir kopyasını isteyebilir. Aslında, gönderen, teslimat yolu üzerindeki tüm postanelere bu anahtarın bir kopyasını vermiştir. Buna ortak anahtar diyeceğiz.

Kapağın altında bir cam bölme var. Kapağın kilidini açarak herkes paketi camdan inceleyebilir, ancak camı kırmadan ve kanıt bırakmadan kurcalayamaz. İncelemenin ardından ilgili taraf resmi antetli kağıdı onaylayabilir, camın sağlam olduğunu görebilir ve çekmecenin yalnızca göndericide bulunan anahtarla kilitlendiğini doğrulayabilir. Yol boyunca her postane, paketin hala sağlam olduğundan emin olmak için kapağı açar.

DKIM bu kutuya benzer şekilde çalışır. Gönderici, mesaj başlıklarını kodlamak için kullanılan bir şifreleme özel anahtarına sahiptir. Genel anahtar, DNS veya Etki Alanı Adı Sistemi adı verilen merkezi olmayan bir genel internet kayıt defterinde sunulur. Mesajın son hedefe iletilmesine dahil olan sunuculardan herhangi biri, mesajın geçerli olduğunu doğrulamak için genel anahtarı alabilir ve başlıkların şifresini çözebilir. Ve kilitli kutu gibi, açık anahtar da başlıkları şifrelemek (ve çekmecenin içeriğini kilitlemek) için kullanılamaz; bunu yalnızca özel anahtar yapabilir.

Bunu, postanede bulunan başka bir posta sınıfı gibi de düşünebiliriz. SPF kimlik doğrulamalı e-posta onaylı postaysa, DKIM kimlik doğrulamalı iletiler taahhütlü postadır ve kurcalamayı önlemek için teslimat yolu boyunca her zaman kilit altında tutulur.

DMARC – Etki Alanı Mesajı Kimlik Doğrulama Raporlaması ve Uygunluğu

Birinin size bu süslü çift kilitli kutulardan birini gönderdiğini hayal edin. Paketi getiren kurye, teslim etmeden önce son bir kontrol yapar. Paketi gönderen için teslimat uygunluk politikasını arar. Politikaları, paketin güvenilir bir adresten (SPF) kaynaklanması gerektiğini söylüyor.

Paket ayrıca özel bir anahtara sahip güvenilir bir kaynaktan gelen kilitli bir kutuda olmalı ve aktarım sırasında doğrulanabilir şekilde değiştirilmemelidir (DKIM). Politika ayrıca, SPF ve DKIM koşullarının karşılanmaması durumunda kuryenin paketi karantinaya alması ve göndericiye ihlali bildirmesi gerektiğini şart koşar.

Bu politika, Etki Alanı İleti Kimlik Doğrulama Raporlama ve Uygunluk (DMARC) politikasına benzer. DMARC, hem SPF hem de DKIM üzerine kurulu en yeni kimlik doğrulama aracıdır. Göndericilerin, alıcılara hangi kimlik doğrulama yöntemlerini kontrol edeceklerini ve onlardan geldiğini iddia eden bir mesaj gerekli kontrolleri geçemezse ne yapacaklarını bildirmelerinin bir yoludur. Talimatlar, mesajı karantinaya alındı ​​olarak işaretlemeyi ve bu nedenle şüpheli olma veya mesajı tamamen reddetmeyi içerebilir.

Gönderenlerin neden DMARC'yi geçmeyen iletilerin teslim edilmesine izin vermek istediklerini merak edebilirsiniz. DMARC ayrıca, gönderenlerin, kendi alanlarından geliyormuş gibi görünen e-postaların politikaya uygun olup olmadığını izleyebilmeleri için bir geri bildirim döngüsü sağlar.

Gözden geçirmek

İncelemek için, yaygın olarak kullanılan üç kimlik doğrulama protokolü vardır:

1. Gönderen Politikası Çerçevesi (SPF) , gönderenin kimliğini doğrulamak için bir iade adresinin doğrulanmasına benzer bir kontrol gerçekleştirir.
2. DomainKeys Identified Mail (DKIM) , gönderenin kimliğini de doğrular, ancak kilitli bir kutu veya mum mühür kullanarak mesajın içeriğinin değiştirilmemesini sağlayarak daha da ileri gider.
3. Etki Alanı İleti Kimlik Doğrulama Raporlaması ve Uygunluğu (DMARC) , iletilerin teslim edilmeden önce SPF ve DKIM gereksinimlerini karşıladığından emin olan kuryedir.

Gönderenler için E-posta Kimlik Doğrulaması Ne Anlama Geliyor?

DMARC ile, alan sahipleri nihayet bir alıcının e-posta istemcisinde görünen "gönderen" adresi üzerinde tam kontrole sahip olur. Yahoo! gibi büyük posta kutusu sağlayıcıları ve AOL zaten katı politikalar uygulamıştır. Bu etki alanlarından geliyormuş gibi görünen ancak kimlik doğrulama denetimlerinde başarısız olan e-postalar kaldırılacaktır. Gmail'deki güncellemeleri buradan ve Microsoft'taki güncellemeleri buradan görüntüleyebilirsiniz.

Bunun anlamı, sunucunuza DKIM ve SPF üzerinden izin verecek şekilde yapılandırılmamış alanlardan asla gönderme yapmamanız gerektiğidir. Müşteriler adına e-posta gönderiyorsanız, bunu etkinleştirmek için müşterilerinizin doğru DNS girişlerine sahip olduğundan emin olmak istersiniz.

Alıcılar için, bu teknolojilerin artan popülaritesi, teslim edilen kimlik avı ve spam e-postalarında bir azalma anlamına gelir. Ve bu her zaman iyi bir şeydir.

Ve e-posta doğrulamanızla ilgili yardım istiyorsanız veya e-posta teslim edilebilirliğinizle ilgili sorun yaşıyorsanız, SendGrid'in her konuda yardımcı olacak e-posta planları ve uzman hizmetleri vardır.

Ek kaynaklar

• https://sendgrid.com/blog/a-dkim-faq/
• https://sendgrid.com/blog/sender-policy-framework-spf-a-layer-of-protection-in-email-infrastructure/
• https://sendgrid.com/blog/what-is-dmarc/