SPF, DKIM, DMARC E-posta Teslimini, Güvenliği Nasıl Sağlar?

Yayınlanan: 2022-11-28

Üç e-posta kimlik doğrulama standardı, gönderen için e-posta teslim edilebilirliğini ve alıcı için e-posta güvenliğini iyileştirmek için birlikte çalışır.

Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) ve Domain-based Message Authentication, Reporting, and Conformance (DMARC), şirketinizden gönderilen e-postaların gerçek olduğundan ve kötü niyetli aktörlerin adres sahteciliği yapmadığından veya başka bir şekilde kurcalamadığından emin olmanıza yardımcı olur. onlara.

SPF, DKIM, DMARC

SPF, DKIM ve DMARC, alıcı e-posta sunucusuna belirli bir iletinin yetkili bir IP adresinden gönderildiğini, gönderenin kimliğinin doğru olduğunu ve gönderenin kimliği konusunda şeffaf olduğunu gösterir.

Her birini sırayla ele alalım.

Alanınız için SPF kayıtlarının ayarlanması, Alan Adı Sistemine (DNS) giden posta sunucularının yetkili listesini içeren bir tür TXT kaydı eklemeyi içerir. SPF, işletmenizin etki alanından gelen e-postaların sahte bir kaynaktan değil, kimliği doğrulanmış bir kaynaktan geldiğini doğrular.

DKIM anahtarları iki bölümden oluşur: DNS'de saklanan bir genel anahtar ve gönderen posta sunucusunda saklanan bir özel anahtar. Giden her e-postaya eklenen DKIM imzası, alıcıların posta sunucuları tarafından orijinalliğini doğrulamak için kullanılır. DKIM, belirli bir e-posta mesajının değiştirilip değiştirilmediğini de belirtebilir.

DMARC, bir şirketin etki alanından gelen e-postaların SPF veya DKIM kimlik doğrulamasında başarısız olması durumunda nasıl ele alınması gerektiğini kontrol etmesine olanak tanıyan bir politika mekanizmasıdır. Seçenekler "reddet", "karantinaya al" veya "yok" şeklindedir. Yanlış yapan biri alanınızı kullanmaya çalışıyorsa, bu bir alarm zili gibi olabilir.

SPF Kayıtları

Bir SPF kaydı ayarlamak, GoDaddy veya benzeri bir kayıt kuruluşunda alan adınızın DNS kayıtlarına erişim gerektirir. Etki alanınızı doğrulamanız veya yeni bir sunucuya taşımanız gerektiyse, muhtemelen DNS kaydını güncellemişsinizdir.

Screenshot of an SPF record in a DNS settings interface

Bir SPF kaydı, alanınızın DNS'sindeki bir TXT kaydıdır.

SPF kaydı "TXT" türünde olacaktır. Ve kullandığınız SPF sürümü ile başlayacaktır.

 v=spf1

Sürümü, aşağıdaki gibi yetkili IP4 veya IP6 adreslerinin bir listesi takip eder:

 v=spf1 ip4:192.168.0.1

Bu SPF kaydı, 192.168.0.1 IP adresinden gelen e-postaları yetkilendirir. Bir dizi IP adresine izin vermek için, Sınıfsız Etki Alanları Arası Yönlendirme (CIDR) gösterimini (bazen "eğik çizgi" gösterimi olarak adlandırılır) kullanabilirsiniz.

 v=spf1 ip4:192.168.0.0 /16

Yukarıdaki SPF kaydı, 192.168.0.0 ile 192.168.255.255 arasındaki bir dizi IP adresini yetkilendirir — “/16” bunu gösterir.

"a" ön ekini kullanan bir SPF kaydı, bir etki alanını ada göre yetkilendirebilir. Aşağıdaki kayıt, example.com etki alanıyla ilişkili bir sunucuyu yetkilendirir.

 v=spf1 a:example.com

Benzer şekilde, "mx" ("posta alışverişi") ön eki, belirli posta sunucularına yetki verir.

 v=spf1 mx:mail.example.com

Bir üçüncü taraf göndericiyi yetkilendirmek için "include" önekini kullanın. Aşağıdaki örnek, hem bir IP aralığına hem de Google sunucularına izin verir.

 v=spf1 ip4:192.168.0.0/16 şunları içerir:_spf.google.com

Ayrıca iki SPF niteleyicisi vardır. İlki yaklaşık işareti (~) olan ~tümüdür. İkincisi, kısa çizgi (-) ile -tümüdür.

Yaklaşık sürüm (~all) bir soft-fail niteleyicisidir. Çoğu durumda, alıcı e-posta sunucusu, ilgili SPF kaydında olmayan ancak şüpheli olarak değerlendiren göndericilerden gelen iletileri kabul eder.

Tire versiyonu (-all), kalıcı bir niteleyicidir. Alıcı e-posta sunucusu, SPF kaydında yetkilendirilmemiş bir sunucudan gönderilen iletileri büyük olasılıkla spam olarak etiketleyecek ve reddedecektir.

Son olarak, bunların tümü nispeten karmaşık yetkilendirmeler için birlikte kullanılabilir.

 v=spf1 ip4:192.168.0.0/16 a:example.com şunları içerir:_spf.google.com

SPF kayıtlarının, alıcı e-posta sunucularının şirketinizin alanından gelen gerçek e-posta iletilerini tanımlamasına yardımcı olduğunu unutmayın.

DKIM Anahtarları

DKIM, alan adınızı korur ve herhangi birinin şirketinizin kimliğine bürünmesini engellemeye yardımcı olur. İki DKiM anahtarı, alıcının e-posta sunucusunun, mesajı şirketinizin gönderdiğini ve siz gönderdikten sonra değiştirilmediğini doğrulamasını sağlar.

DKIM kurulumunun ilk adımı, biri genel diğeri özel olmak üzere anahtarları oluşturmaktır. Özel anahtar, alanınızdan e-posta göndermek için kullanılan sunucuda güvenlidir. Ortak anahtar, DNS'ye bir TXT kaydı olarak eklenir.

Zor kısım, anahtarları oluşturmaktır, çünkü anahtarları oluşturmaya yönelik kesin prosedür bir e-posta servis sağlayıcısından diğerine değişir. Ve şirketinizin kendi posta sunucusunu barındırması tamamen farklıdır.

E-posta servis sağlayıcıları talimatlar sunar. Belirli bir sıra olmadan birkaç örnek.

  • Mailchimp: E-posta Etki Alanı Kimlik Doğrulamasını Ayarlayın,
  • Klaviyo: Dedicated Sending Domain Nasıl Kurulur,
  • Zoho Kampanyaları: Alan Adımın Kimliğini Doğrulama,
  • MailerLite: E-posta etki alanı kimlik doğrulaması,
  • Kampanyacı: DKIM, SPF ve DMARC,
  • ConvertKit: E-posta Gönderimi İçin Doğrulanmış Bir Etki Alanı Kullanma,
  • MailUp: E-postalarınız için Teslim Edilebilirliği En Üst Düzeye Çıkarma,
  • ActiveCampaign: SPF, DKIM ve DMARC Kimlik Doğrulaması,
  • Keap: DKİM.

Her durumda, e-posta sağlayıcısının CNAME kaydını alanınızın DNS'sine kopyalayıp yapıştırdığınızda DKIM tamamlanır. Bu kayıt(lar), şirketinizin giden e-posta pazarlama mesajlarının kimliğini doğrulamak için genel anahtarı temsil eder.

DMARC

DMARC, başka bir koruma katmanı sağlar ve ayrıca e-posta sunucularına, SPF veya DKIM kimlik doğrulamasında başarısız olan iletilerle ne yapmaları gerektiğini bildirir.

DMARC'nin temeli, alanınızın DNS'sine yerleştirilen bir TXT kaydıdır. Bu, en az iki öğe içeren DMARC politikasını içerecektir:

  • E-posta kimlik doğrulamasının toplu raporlarını almak için bir e-posta adresi ve
  • Kimlik doğrulamasında başarısız olan e-postalar için yapılacak eylem (ör. reddetme veya karantinaya alma).

İşte bir DNS'deki örnek bir DMARC TXT kaydı:

 v=DMARC1; p=karantina; rua=mailto:[email protected]; ruf=mailto:[email protected].

Kayıt, DMARC versiyonu ile başlar.

 v=DMARC1;

"p" öğesi, kimlik doğrulamasında başarısız olan e-postalar için eylemi atar. Bu durumda, alıcı sunucuya bu tür iletileri bir bekletme alanına taşıması talimatını veren "karantinaya" ayarlanmıştır. Diğer seçenekler arasında e-postayı durdurmayan ancak SPF veya DKIM hatalarını izleyen "yok" veya "reddet" yer alır.

 p=karantina;

"rua" ve "ruf" ön ekleri, alıcı sunucuya toplu raporların (rua - Toplu veriler için Raporlama URI'si) ve adli raporların (ruf - Hata verileri için Raporlama URI'si) nereye gönderileceğini söyler. Bu raporlar, işletmenizi taklit etmeye çalışan bir suçluyu ifşa edebilir.

Ek değiştiriciler şunları içerir:

  • pct — DMARC politikasına tabi olan e-posta mesajlarının yüzdesi.
  • sp — alt alanlar için DMARC politikası.
  • adkim — DKIM için katı (adkim:s) veya rahat (adkim:r) mod atar.
  • aspf — SPF için katı (adkim:s) veya rahat (adkim:r) mod atar.

Üçüncü taraf hizmetleri, resmi standarda dayalı bir DMARC kaydı oluşturmaya yardımcı olabilir. Bu hizmetler şunları içerir:

  • MXToolBox,
  • güçDMARC,
  • Dmarcian,
  • EasyDMARC.

Göndericiyi ve Alıcıları Koruyun

Alanınız için SPF, DKIM ve DMARC kayıtlarının ayarlanması, e-posta sunucularının şirketinizden gelen iletileri gerçek olarak tanımasını ve sahte iletileri reddetmesini sağlar. Sonuç, şirketinizin itibarını korur ve müşterileri kimlik avı saldırılarına ve diğer e-posta dolandırıcılık türlerine karşı korur.