CyberFlow Logo CyberFlow BLOG
Smtp Pentest

Siber Güvenlikte SPF, DKIM ve DMARC Kontrollerinin Önemi

✍️ Ahmet BİRKAN 📂 Smtp Pentest

Siber güvenlik atağına karşı SPF, DKIM ve DMARC kontrollerini öğrenin. E-posta güvenliğinizi artırmak için gerekli adımları keşfedin.

Siber Güvenlikte SPF, DKIM ve DMARC Kontrollerinin Önemi

SPF, DKIM ve DMARC kontrolleri, e-posta güvenliğinin temel taşlarıdır. Bu blog yazısında, bu mekanizmaların nasıl çalıştığını ve neden önemli olduklarını anlatıyoruz.

Giriş ve Konumlandırma

Siber güvenlik alanında, e-posta iletişiminin güvenliğini sağlamak ve sahtecilik girişimlerini önlemek için önemli mekanizmalar bulunmaktadır. Bu mekanizmalar arasında SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) ve DMARC (Domain-based Message Authentication, Reporting, and Conformance) öne çıkmaktadır. Bu üç teknoloji, e-posta sahtekarlığına karşı verilen savaşta kritik bir rol üstlenmektedir.

SPF: Gönderici Politika Çerçevesi

SPF, bir alan adı için hangi sunucuların e-posta göndermeye yetkili olduğunu belirten bir DNS kaydıdır. Bu kayıt, potansiyel olarak kötü niyetli aktörlerin, başkalarının alan adını kullanarak sahte e-postalar göndermesini engellemeye yardımcı olur. SPF kaydının varlığı, e-posta sunucularının gelen e-postaların kaynağını doğrulamasını sağlar. Örneğin, bir şirketin alan adı üzerinde sertifikalı bir SPF kaydı varsa, sadece belirtilen sunucuların e-posta göndermesine izin verilir. Aşağıdaki komutla bir alan adının SPF kaydı sorgulanabilir:

dig TXT hedef.com

E-posta sunucusu e-postayı aldığında, SPF kaydını kontrol ederek, gelen iletinin yetkisiz bir kaynaktan gelip gelmediğini belirleyebilir.

DKIM: Domain Anahtarları ile Tanımlama

DKIM, e-postaların gönderildiği sırada değiştirilmediğinin kanıtı olarak işlev gören bir dijital imzadır. Bu, bir e-postanın içeriğinin ve başlığının, gönderici domaini tarafından değiştirilmediğini doğrulamak için kullanılır. DKIM, bir genel anahtar (public key) ve özel anahtar (private key) çiftini kullanarak e-posta mesajlarını dijital olarak imzalar. DKIM kaydı sorgulaması için genellikle "selector" bilgisine ihtiyaç vardır. Öncelikle, DKIM kayıtları doğrulama süreçleri için aşağıdaki yöntemle sorgulanabilir:

dig TXT google._domainkey.gmail.com

Burada, e-posta sunucusu gelen e-postaların başlıklarını kontrol ederek, güvenilir bir kaynaktan gelip gelmediğini ve içeriğin bütünlüğünün sağlanıp sağlanmadığını kontrol eder.

DMARC: İzleme ve Politika Belirleme

DMARC, SPF ve DKIM kontrollerinin sonuçlarına dayalı olarak e-posta sunucularının hangi eylemleri gerçekleştireceğini tanımlayan bir politika çerçevesidir. DMARC sayesinde, e-posta iletiminde yaşanan sorunları giderebilir ve sahte e-postaların nasıl ele alınacağını belirleyebilirsiniz. DMARC politikası, sahte e-postaların nasıl işleneceğini belirterek iletişimde güvenliği artırır. Örnek bir DMARC kaydını sorgulamak için şu komut kullanılabilir:

dig TXT _dmarc.hedef.com

DMARC politikası belirli seçeneklerle yapılandırılabilir. Bu tür politikalar, örneğin, "p=none", "p=quarantine" veya "p=reject" gibi değerler içerir.

  • p=none: Sadece raporlama yapar, sahte e-postaları engellemez.
  • p=quarantine: Şüpheli e-postaları spam klasörüne yönlendirir.
  • p=reject: Sahte e-postaları tamamen reddeder.

Sonuç

Siber güvenlik, sürekli değişen tehditlerle karşı karşıya kalmaktadır. Özellikle e-posta iletişimi, birçok saldırganın hedefi olabilmektedir. SPF, DKIM ve DMARC protokolleri, bu saldırıları önlemek adına kritik öneme sahiptir. Hem şirketler hem de bireysel kullanıcılar, bu mekanizmaları uygulayarak e-posta güvenliğini artırabilir ve veri kaybı riskini minimize edebilir. Bu yazıda sunulan üç temel güvenlik aracının derinlemesine incelenmesi, okuyuculara e-posta güvenliğini artırma konusunda faydalı bilgileri sağlamayı amaçlamaktadır.

Teknik Analiz ve Uygulama

SPF Kaydı Sorgulama

Siber güvenlikte temel bir koruma katmanı oluşturan SPF (Sender Policy Framework), domain adına hangi sunucuların e-posta gönderebileceğini belirten bir DNS kaydıdır. SPF kaydı olmadan bir domain, saldırganlar tarafından kötü niyetli bir şekilde kullanılabilir. SPF kaydının varlığını kontrol etmek için terminal ortamında şu komutu kullanabilirsiniz:

dig TXT hedef.com

Bu komut, belirtilen domain için TXT (Text) kayıtlarını sorgulayarak SPF kaydının mevcut olup olmadığını gösterir.

SPF Belirteçleri (Qualifiers)

SPF kaydında kullanılan belirteçler, yetkisiz e-postaların işlenme şeklini belirler. Bu belirteçlerden bazıları şunlardır:

  • -all: Belirtilenler dışında tüm sunucuları reddet (En güvenli).
  • ~all: Belirtilenler dışındakileri kabul et, ancak 'şüpheli' olarak işaretle.
  • +all: Herkes e-posta gönderebilir; bu en tehlikeli durumdur, güvenliği tamamen devre dışı bırakır.

SPF Mekanizması

SPF mekanizması, e-posta göndericisinin IP adresinin listeye eklenip eklenmediğini denetler. Doğrulama süreci sırasında, alıcı sunucu SPF kaydını kontrol eder ve gönderici IP'sinin kayıda uygun olup olmadığını belirler. Eğer uygun değilse, e-posta reddedilebilir veya 'şüpheli' olarak işaretlenebilir.

DKIM Kaydı Tespiti

DKIM (DomainKeys Identified Mail), e-postaların gönderim sırasında değiştirilmediğini kanıtlamak için kullanılan bir dijital imzadır. DKIM kaydını sorgulamak için, selector bilgisinin gerekliliği önemlidir. Örnek bir DKIM kaydını sorgulamak için şu komut kullanılabilir:

dig TXT google._domainkey.gmail.com

Bu komut, Gmail'in DKIM kaydını göstererek, imzanın geçerli olup olmadığını kontrol etmeye olanak tanır.

DKIM Bileşenleri

Bir DKIM kaydı, aşağıdaki bileşenleri içerir:

  • v: Kullanılan DKIM sürümünü belirtir.
  • a: İmzalama için kullanılan algoritmayı gösterir (örneğin, a=rsa-sha256).
  • b: E-postanın gövdesine ve başlıklarına ait dijital imzanın kendisidir.

Örneğin, bir DKIM kaydında şu bilgiler yer alabilir:

v=DKIM1; a=rsa-sha256; d=hedef.com; s=selector; b=...

Bu yapı, DKIM'in çalışabilmesi için gerekli olan temel bileşenleri tanımlar.

DMARC Politikası Sorgulama

DMARC (Domain-based Message Authentication, Reporting, and Conformance), SPF veya DKIM doğrulaması başarısız olduğunda sunucunun ne yapması gerektiğini belirler. DMARC politikasını kontrol etmek için şu komutu kullanabilirsiniz:

dig TXT _dmarc.hedef.com

Bu komut, belirtilen domain için DMARC kaydını sorgular ve DMARC politikasının ne olduğunu gösterir.

DMARC Politika Türleri (p=)

DMARC, sahte maillerle nasıl başa çıkılacağını belirten bir dizi politika içerir:

  • p=none: Sadece raporla; sahte mailleri engelleme (İzleme modu).
  • p=quarantine: Şüpheli mailleri kurbanın spam klasörüne gönder.
  • p=reject: Sahte maili kapıdan geri çevir, hiç teslim etme (En yüksek güvenlik).

Bu politikalar, organizasyonların e-posta güvenliğini sağlamada önemli bir rol oynar.

Hizalama (Alignment)

DMARC’ın en önemli kontrollerinden biri, ‘MAIL FROM’ adresi ile ‘From:’ başlığındaki adresin aynı domaine ait olup olmadığını denetlemektir. Bu denetleme, güvenilir e-posta gönderenleri belirleme açısından kritik öneme sahiptir.

Online Analiz: MXToolbox

E-posta güvenliği analizinde en popüler araçlardan biri MXToolbox'tur. Bu araç, SPF, DKIM ve DMARC kayıtlarını tek bir arayüzden analiz etmek için kullanılır. Böylece, tüm gerekli DNS kayıtlarını görebilir ve zafiyetleri tespit edebilirsiniz.

Zafiyet Analizi ve Raporlama: rua

E-posta güvenliği konusunda dikkate alınması gereken diğer bir bileşen, DMARC raporlama adresi etiketi olan ruadır. Bu etiket, günlük raporların hangi e-posta adresine gönderileceğini belirtir ve DMARC'ı etkili bir şekilde uygulamak için önemli bir bileşendir. DMARC yapılandırmanızda rua etiketini kullanarak, olası zafiyetleri ve yanlış anlamaları daha hızlı tespit edebilirsiniz.

v=DMARC1; p=reject; rua=mailto:rapor@hedef.com

Bu yapı, DMARC politikası ve raporlama mekanizmasının nasıl çalıştığını gösterir.

Sonuç olarak, SPF, DKIM ve DMARC kontrolleri, e-posta güvenliğini sağlamak için kritik öneme sahiptir. Bu kontrol mekanizmaları, sahte e-postaların engellenmesi ve güvenilir iletişimin sağlanmasında önemli bir rol oynamaktadır.

Risk, Yorumlama ve Savunma

Risk Değerlendirme Sürecinin Temelleri

Siber güvenlik alanında risk değerlendirmesi, kuruluşların güvenlik açıklarını tespit etmeleri ve bu tür açıkların potansiyel etkilerini anlamaları açısından kritik bir adımdır. Özellikle e-posta güvenliği bağlamında SPF, DKIM ve DMARC kontrollerinin eksiklikleri, geniş bir saldırı yüzeyine ve veri sızıntısı riskine sebep olabilir. Bu bağlamda, elde edilen bulguların güvenlik anlamında yorumlanması önemlidir.

SPF, DKIM ve DMARC'nin Rolü

SPF (Sender Policy Framework), bir domainin hangi IP adreslerinin e-posta gönderme yetkisine sahip olduğunu tanımlayan bir DNS kaydıdır. SPF kaydının yokluğu, saldırganların domaini kullanarak yetkisiz e-postalar göndermesine olanak tanır.

DKIM (DomainKeys Identified Mail), e-postaların yolda değiştirilmediğini doğrulamak için kullanılan bir dijital imzadır. DKIM kaydı, belirlenen bir e-posta başlığında bulunan verilerle birlikte çalışarak, iletişimin bütünlüğünü sağlar. Yanlış yapılandırılması durumunda, DKIM; e-postaların alıcıya ulaşmadan önce manipüle edilmesine zemin hazırlayabilir.

DMARC (Domain-based Message Authentication, Reporting, and Conformance) ise, SPF veya DKIM başarısız olduğunda sunucunun hangi adımları atması gerektiğini belirler. Bu, sahte e-postaların engellenmesinde önemli bir rol oynar.

Yanlış Yapılandırma ve Zafiyetler

Yanlış yapılandırmalar, siber saldırganların exploit etmesine olanak tanır. Örneğin:

dig TXT hedef.com

Bu komut ile hedef.com domaininin SPF kayıtları sorgulanabilir. Eğer SPF kaydı eksik ya da yanlış yapılandırılmışsa, -all (hard fail) veya ~all (soft fail) gibi uygun olmayan belirteçler kullanılmıyorsa, bu durum ciddi bir güvenlik açığı yaratır. Örneğin, +all kullanılması, herkesin bu domain üzerinden e-posta gönderebileceği anlamına gelir ve bu da sahteciliği teşvik eder.

Sızan Verilerin Analizi

Sızan veriler, çeşitli kaynaklardan gelebilir; bu durumda SPF’in yokluğu, domain kullanımını riske atabilir. Burada, sızan verilerin türünün belirlenmesi gerekir:

  • Email Spoofing: Yetkisiz e-postaların gönderilmesi.
  • Kimlik Avı: Kuruluşun adına sahte e-postalar gönderme.

Aynı zamanda, DMARC ile alınan raporlar, genel güvenlik durumunu analiz etme imkanı sunar. DMARC raporları sayesinde hangi domainlerin sahte mesajlar gönderdiği tespit edilebilir.

Profesyonel Önlemler ve Hardening Stratejileri

  1. SPF Kaydı Oluşturma: Domaininiz için uygun bir SPF kaydı oluşturulmalıdır. En güvenli seçenek olan -all tercih edilmelidir.

    v=spf1 ip4:192.0.2.0/24 -all

  2. DKIM Uygulaması: E-postalarınızın bütünlüğünü korumak için DKIM kaydı oluşturulmalıdır. Anahtar çiftleri uygun şekilde yönetilmeli ve genel anahtar DNS kaydı üzerinde yayınlanmalıdır.

  3. DMARC Politikasının Belirlenmesi: DMARC’nın etkili bir şekilde yapılandırılması, sahte e-postaların hangi yöntemle yönetileceğini belirlemek açısından kritik bir adımdır. Örneğin:

    v=DMARC1; p=reject; rua=mailto:dmarc-reports@hedef.com

    Bu kayıt ile sahte e-postalar direkt olarak reddedilir ve raporlar alınır.

Sonuç

Siber güvenlikte, SPF, DKIM ve DMARC kontrol mekanizmaları, e-posta güvenliğini sağlamak adına önem taşımaktadır. Yanlış yapılandırmalar bireysel veya kurumsal verilerin sızmasına neden olabilir. Bu nedenle, profesyonel güvenlik önlemleri alınması, düzenli kontroller yapılması ve güncel güvenlik politikaları uygulanması gereklidir. Her bir kayıt dikkatlice yapılandırılmalı ve sürekli bir şekilde izlenmelidir. Bu, sadece bireysel değil, toplu olarak siber saldırılara karşı bir tampon görevi görecektir.