Merhaba arkadaşlar, ben Umut Ramazan Eği. Kurumsal e-posta sistemlerinin dünyasında yolculuğumda, özellikle Zimbra’yı VDS sunucuma kurup laboratuvar ortamında incelerken karşıma çıkan en önemli konulardan biri e-posta güvenliği oldu. Alan adımın kimliğini doğrulamak, göndereceğim e-postaların güvenilirliğini kanıtlamak ve bu süreçte başıma gelebilecek potansiyel sorunları (örneğin e-postalarımın spam’e düşmesi gibi) önlemek, benim için bu aşamada büyük bir öğrenme deneyimi oldu.
Bu yazımda, Zimbra platformunda SPF, DKIM ve DMARC gibi kritik DNS kayıtlarını nasıl yapılandırdığımı edindiğim bilgileri sizinle paylaşmak istiyorum.
1. SPF Kaydı: Alan Adım Adına Kimin E-posta Gönderebileceğini Nasıl Belirledim?
SPF kaydı, benim belirlediğim alan adına, hangi IP adreslerinden veya sunuculardan e-posta gönderilebileceğini tanımlamamı sağlayan bir DNS TXT kaydı. Bunu yaparak, alıcı sunuculara “Bu e-posta, bu alan adına kayıtlı ve benim yetkilendirdiğim IP’lerden geliyorsa doğrudur” deme şansı verdim. Bu sayede, benim adıma e-posta göndermeye çalışan sahte trafiği tespit etmelerini kolaylaştırdım.
Zimbra’da Kendi SPF Kaydımı Kurarken İzlediğim Adımlar (Lab Ortamında):
SPF kaydını eklemek için alan adımın DNS yönetim paneline giriş yaptım. Genellikle aşağıdaki gibi bir TXT kaydı oluşturdum:
v=spf1 mx ip4:mail.alanadiniz.com -allv=spf1: Kullandığım SPF sürümünü belirtiyor.
mx: Alan adımın MX kayıtlarında listelenen sunucuların e-posta göndermeye yetkili olduğunu ifade ediyor.
ip4:mail.alanadiniz.com: Burada kendi VDS sunucumun IP adresini veya ana bilgisayar adını kullandım. Eğer sizin de benzer bir kurulumunuz varsa, burayı kendi IP adresinizle değiştirmeniz gerekecek. Birden fazla IP adresiniz varsa, bunları ip4: ile ayırarak ekleyebilirsiniz.
-all: Bu, yukarıdaki kurallara uymayan tüm gönderenlerin reddedilmesi gerektiğini belirten “hard fail” bir ifade. Ben de başlangıçta bu kuralı test ettim, ancak sizler denemelerinizde ~all (soft fail) ile başlayıp uyumsuzlukları raporlayıp e-postayı yine de ileterek süreci izleyebilirsiniz.
2. DKIM İmzalama: E-postalarımın Kimliğini Doğrulamak İçin Ne Yaptım?
DKIM (DomainKeys Identified Mail), bir organizasyonun, iletim halindeki bir mesajın sorumluluğunu üstlenmesini sağlar. Organizasyon, mesajın bir işleyicisi olarak, ya kökeni ya da bir aracıdır. Bu organizasyonun itibarı, mesajın teslim gibi sonraki işlemleri için ne kadar güvenilir olduğunun değerlendirilmesinin temelini oluşturur. Teknik olarak DKIM, kriptografik kimlik doğrulama yoluyla bir mesajla ilişkilendirilmiş bir alan adının kimliğini doğrulama yöntemi sunar. Bu da benim için çok önemli bir güven unsurudur.
Zimbra’da Kendi DKIM İmzalama Ayarlarımı Yaparken İzlediğim Adımlar ():
Zimbra’da DKIM’yi etkinleştirmek için genellikle aşağıdaki adımları izledim:
Sunucuya Root Olarak Bağlandım: VDS sunucuma SSH üzerinden root yetkileriyle bağlandım.
DKIM Anahtarlarımı Oluşturdum: Kendi alan adım (umutramazanegi.com) için DKIM anahtarlarını oluşturmak ve yapılandırmayı başlatmak üzere aşağıdaki komutu çalıştırdım.Siz kendi alan adınınızı giriniz: su – zimbra /opt/zimbra/libexec/zmdkimkeyutil -a -d umutramazanegi.com
Bu komut bana, domainim için DKIM verilerini güncelleyerek bir özel ve genel anahtar çifti üretti.
Komutun Çıktısı: Updating DKIM data for a domain şeklinde bir ibare gördüm.
DNS TXT Kaydını Ekledim: Komutun çıktısı bana bir selector bilgisi ve bir TXT kaydı değeri verdi. Örneğin, selector default idi. Ardından DNS yönetim paneline giderek default._domainkey adında bir TXT kaydı oluşturdum ve Zimbra’dan aldığım değeri bu kaydın içeriğine yapıştırdım.
TXT Kaydı Adı: selector._domainkey (Benim durumumda default._domainkey gibi)
TXT Kaydı Değeri: Zimbra’dan aldığım uzun karakter dizisi.
Bu adımları tamamladıktan sonra, Zimbra sunucum gönderdiğim tüm e-postaları otomatik olarak DKIM ile imzalamaya başladı.
DKIM Kontrol Sitesi – DKIM İmzasının Doğrulandığını Gösteren Ekran Görüntüsü
DKIM Verilerini Yönetmek İçin Komutlar):
Zimbra, DKIM verilerini yönetmek için şu ek komutlara da sahip: alan adına kendi alan adınızı yazınız…
DKIM Verilerini Kaldırmak İçin:
su - zimbra /opt/zimbra/libexec/zmdkimkeyutil -u -d umutramazanegi.comKomutun Çıktısı: Removing DKIM data for a domain şeklinde bir ibare görebilirsiniz.
DKIM Verilerini Yeniden Oluşturmak İçin:
su - zimbra /opt/zimbra/libexec/zmdkimkeyutil -r -d umutramazanegi.comBu komut, DKIM verilerini yeniden oluşturmak için kullanılır.
Bu detaylar, DKIM kurulumunu daha kapsamlı hale getiriyor.
3. DMARC Politikası
DMARC , SPF ve DKIM kimlik doğrulama sonuçlarını birleştirerek, benim alan adım adına gönderilen e-postaların nasıl işlenmesi gerektiğine dair bir politika belirlememi sağlıyor. DMARC sayesinde, e-posta sahteciliğini önlemeye yönelik daha gelişmiş bir katman eklemiş oluyorum ve alan adımın e-posta gönderim durumu hakkında raporlar alarak süreci daha iyi anlayabiliyorum.
Kendi DMARC Politikamı Oluştururken Yaptığım Şey :
DMARC politikamı da bir DNS TXT kaydı olarak ekledim. Alan adımın DNS yönetim paneline giderek aşağıdaki gibi bir kayıt oluşturdum:
_dmarc.alanadiniz.com IN TXT “v=DMARC1; p=quarantine; rua=mailto:rapor@alanadiniz.com
Neden Bu Yapılandırmalar Zimbra Deneyimimi Geliştirdi?
SPF, DKIM ve DMARC kayıtlarını kurarak, Zimbra ile yaptığım e-posta denemelerinde aşağıdaki faydaları gözlemledim:
Güvenilirlik Artışı: Gönderdiğim test e-postalarının alıcılar tarafından daha güvenilir olarak algılanmasını sağladım.
Spam Oranının Azalması: Kendi denemelerimde e-postalarımın spam’e düşme olasılığını azalttım.
