MERAK ETTİKLERİNİZ
DMARCHakkında Bilmek İstedikleriniz
1
DMARC kaydı tam olarak ne işe yarar?DMARC (Domain-based Message Authentication, Reporting, and Conformance), alan adınızın (domain) bir pasaport kontrol sistemi gibi çalışmasını sağlar. Hackerların sizin adınıza sahte e-posta göndermesini (spoofing) engeller. Alıcı sunuculara (Gmail, Outlook vb.), sizden gelen e-postanın gerçek olup olmadığını nasıl kontrol edeceklerini ve sahte bir e-posta gelirse ne yapmaları gerektiğini (Karantinaya al veya Reddet) söyler.
2
Zaten SPF ve DKIM kayıtlarım var, yine de DMARC'a ihtiyacım var mı?Evet, kesinlikle. SPF ve DKIM tek başına yeterli değildir; bunlar sadece kimlik doğrulama mekanizmalarıdır. DMARC ise bu mekanizmaların başarısız olduğu durumlarda ne yapılacağına karar veren "karar mercii"dir. Ayrıca, SPF ve DKIM kayıtlarınızın doğru çalışıp çalışmadığını raporlayan tek mekanizma DMARC'tır. Google ve Yahoo, toplu gönderim yapanlar için DMARC kaydını zorunlu kılmıştır.
3
Danışmanlık süreci ne kadar sürüyor? Hemen "Reject" moduna geçebilir miyiz?DMARC kurulumu teknik olarak hızlıdır ancak "koruma" (Reject) moduna geçmek dikkatli bir izleme süreci gerektirir. Hemen en katı kurala geçmek, meşru e-postalarınızın (muhasebe yazılımınızdan, CRM'den giden maillerin) engellenmesine yol açabilir. Genellikle 2 ila 4 haftalık bir izleme ve analiz sürecinden sonra, hiçbir meşru mailin kaybına uğramadan güvenli bir şekilde tam korumaya geçiş yapıyoruz.
4
Bu ayarları kendi IT ekibimizle yapamaz mıyız?Elbette yapabilirsiniz. Ancak DMARC raporlarını (karmaşık XML dosyaları) analiz etmek, hangi IP adresinin meşru hangisinin saldırı olduğunu ayırt etmek uzmanlık ve özel analiz araçları gerektirir. Yanlış bir yapılandırma, tüm şirket içi ve dışı mail trafiğinizi durdurabilir. Biz, bu riski sıfıra indirerek süreci sizin adınıza yönetiyoruz.
5
Google'ın "Günde 5.000 E-posta" kuralı beni etkiler mi?Eğer günde 5.000 adetten fazla e-posta gönderiyorsanız (buna toplu pazarlama mailleri ve sistemsel bildirimler dahildir), Google'ın yeni kurallarına uymak zorundasınız. Uymadığınız takdirde e-postalarınız Gmail kullanıcılarına teslim edilmeyebilir veya doğrudan spam klasörüne düşebilir. DMARC Türkiye olarak altyapınızı bu kurallara %100 uyumlu hale getiriyoruz.
SİZDEN GELEN SORULAR
DahaTeknikBilgiler
1
DMARC kaydındaki "Hizalama (Alignment)" tipleri (Strict vs. Relaxed) ne anlama gelir?Hizalama, e-posta başlığındaki gönderen adresi ile SPF ve DKIM kimlik doğrulamasındaki alan adlarının eşleşme zorunluluğunu belirtir.
Relaxed (Gevşek) Hizalama: Gönderen alan adı ile kimlik doğrulama alan adının sadece ana domaininin eşleşmesi yeterlidir.
(Örn: mail.domain.com -> domain.com kabul edilir.)
Strict (Katı) Hizalama: İki alan adının tam olarak eşleşmesi gerekir. Şirketlerin büyük çoğunluğu esnekliği korumak için Relaxed (gevşek) hizalamayı tercih eder.
Relaxed (Gevşek) Hizalama: Gönderen alan adı ile kimlik doğrulama alan adının sadece ana domaininin eşleşmesi yeterlidir.
(Örn: mail.domain.com -> domain.com kabul edilir.)
Strict (Katı) Hizalama: İki alan adının tam olarak eşleşmesi gerekir. Şirketlerin büyük çoğunluğu esnekliği korumak için Relaxed (gevşek) hizalamayı tercih eder.
2
SPF protokolündeki 10 sorgu (lookup) limitini aşmanın güvenli yolları nelerdir?SPF kaydınızda 10'dan fazla DNS sorgusu yapılması, kaydınızın hatalı çalışmasına neden olur. Bu limiti aşmanın en güvenli yolu, birden fazla servisin IP adreslerini tek bir kayıtta birleştiren "SPF Flattening" araçları kullanmak veya gereksiz a, ptr ve fazla include kayıtlarını temizleyip optimize etmektir. Biz danışmanlık sürecimizde bu optimizasyonu sağlıyoruz.
3
DMARC politikası "p=reject" (Reddet) moduna ne zaman geçilmelidir?"p=reject" moduna, alan adınıza ait tüm meşru (yasal) gönderim kaynaklarının (CRM, faturalama, pazarlama yazılımları vb.) DMARC raporlarında en az 4-6 hafta boyunca düzenli olarak izlenip onaylanmasından sonra geçilmelidir. Erken geçiş, doğru maillerinizin alıcılar tarafından spam olarak algılanmasına veya tamamen bloklanmasına neden olur.
4
Alt alan adları (Subdomains) için farklı DMARC politikası belirleyebilir miyiz?Evet. DMARC kaydındaki sp (subdomain policy) etiketi bu amaçla kullanılır. Eğer bir alt alan adınız (örn: kampanya.domain.com) için farklı bir politika uygulamak isterseniz bu etiketi kullanırız. Örneğin ana domaini p=reject yaparken, alt domainleri henüz analiz edilmediği için sp=quarantine olarak belirleyebiliriz.
5
DKIM imza anahtarlarının uzunluğu ve rotasyonu nasıl olmalıdır?DKIM anahtarları genellikle 2048-bit uzunluğunda olmalıdır (1024-bit artık güvenli kabul edilmemektedir). Güvenlik standardı gereği, anahtarların 6 ila 12 ayda bir rotasyon (döndürülme/yenilenme) yoluyla değiştirilmesi önerilir. Bu, olası bir siber saldırıda anahtarın kullanılma süresini kısıtlar.
6
E-posta iletme (Forwarding) durumunda DMARC uyumu bozulur mu?Evet, bozulabilir. Bir e-posta başka bir sunucuya iletildiğinde, SPF kaydı genellikle bozulur. DKIM imzası ise değişmez, bu nedenle DKIM geçerli kaldığı sürece DMARC yine de başarılı olabilir. Bu durum, "gevşek hizalama" (Relaxed Alignment) kullanılmasının sebeplerinden biridir.