E-posta güvenliğinde ilk bakışta görünenden çok daha fazlası vardır. Hepimiz e-postanın, kişisel veriler ve hassas bilgiler için kimlik avı için en çok etkilenen alanlardan biri olduğunun farkındayız.
Bilgisayar korsanları, pek çok kişiyi kandırarak harekete geçirici mesajlara tıklamalarını sağlayan ve sahtekarlara aradıkları bilgileri (genellikle oturum açma bilgileri ve finansal erişim) veren gerçek görünümlü mesajlar oluşturma konusunda çok daha iyi hale geliyorlar.
E-posta Kimlik Doğrulaması – Nedir?
E-posta kimlik doğrulaması bir e-posta kampanyası gönderdiğinizde söylediğiniz kişi olup olmadığınızı kontrol ederek itibarınızı korumak için tasarlanmış bir sistemdir. Dört kavram yeterince basittir, ancak yöntemlerin her birini ayarlamak zor olabilir. Bununla birlikte, bir araya getirildiğinde sunulan koruma, mevcut sistemlerimiz altında uygulayabileceğiniz kadar iyidir.
Olası yöntemler nelerdir?
Günümüzde dört tipik e-posta kimlik doğrulama yöntemi aşağıdaki gibidir:
- SPF – Gönderen Politikası Çerçevesi
Bu standart, her e-postanın güvenilir bir IP adresinden geldiğinden emin olmak için orijinal kontrolü gerçekleştirir. - DKIM – DomainKeys Identified Mail
Başka bir kimlik kontrolü, ancak bu sefer dijital imza olarak bir şifreleme anahtarı kullanılıyor. - DMARC – Etki Alanı İleti Kimlik Doğrulama Raporlama ve Uygunluk
DMARC, e-postaların teslim edilmeden önce hem SPF hem de DKIM ile uyumlu olmasını sağlar. - BIMI – Mesaj Tanımlama için Marka Göstergeleri
BIMI, göndericinin güvenilirliğine odaklanarak ve göndericinin marka imajını alıcı gelen kutusunda görüntüleyerek (şu anda destekleniyorsa) son bir kontrol sağlar.
Bunların her birine biraz daha derinlemesine bakacağız, ancak önce neden bu kadar önemli olduklarını ve nasıl çalıştıklarını biraz açıklayacağız.
E-posta kimlik doğrulaması nasıl çalışır?
Kimlik doğrulama yöntemlerinin her biri (SPF DKIM DMARC BIMI), iddia ettiğiniz kişi olduğunuzu doğrulamak için e-posta etki alanınızı kullanarak e-postalarınıza bir güvenlik katmanı uygular.
- Gönderici, etki alanının nasıl doğrulanacağına ilişkin politikayı/kuralları tanımlar.
- Daha sonra bu kuralları uygulamak için etki alanı DNS ve e-posta sunucularını yapılandırırlar.
- Alıcı sunucuları, gelen e-postayı alan adının DNS’sine sabitlenmiş kurallara göre kontrol ederek doğrular.
- Kimlik doğrulaması yapıldığında, alıcı sunucu e-postayı güvenli bir şekilde işler; kimlik doğrulaması başarısız olduğunda, mesaj engellenir veya karantinaya alınır ya da kimlik doğrulama kararına uygun olarak yönetilir.
Faydaları nelerdir?
Gördüğünüz gibi, e-posta kimlik doğrulamanızı ayarlamazsanız, reddedilen e-postalar, daha yüksek spam oranları ve daha düşük teslimat oranları riskiyle karşı karşıya kalırsınız.
Özenle düşünülmüş, güzelce tasarlanmış ve oluşturulmuş mesajlarınızın, amaçlandıkları gelen kutularına ulaşma şansı çok daha azdır.
Daha da kötüsü, e-posta kimlik doğrulama yöntemleriniz olmadan markanızın taklit edilmesi çok daha kolaydır, bu da sizi ve müşterilerinizi e-posta saldırılarına, hack’lere ve kimlik avına açık hale getirir.
E-posta kimlik doğrulamasını ayarlama
Etki alanınızı her bir kimlik doğrulama yöntemini yönetecek şekilde ayarlamak için DNS ayarlarına ( Alan Adı Sistemi) alan adı kayıt hizmetiniz aracılığıyla.
DNS ayarlarına eriştiğinizde, alan adınıza çeşitli TXT ve CNAME kayıtları ekleyeceksiniz.
Alan adı ayarlarınızın değerlerini öğrenmek için e-posta barındırıcılarınıza danışmanız gerekir. Size SPF kayıtlarınızın ayarlarını sağlayacak, barındırma alanlarından DKIM seçicinizi oluşturacak ve DMARC politikanızı nasıl uygulayacağınızı göstereceklerdir, çünkü barındırıcılar genellikle nasıl yapılandırıldıklarına göre farklılık gösterir.
Markanıza giden yolu da içeren bir BIMI kaydı eklemek için başka bir TXT kaydı ekleyeceksiniz görüntü dosyası .
SPF – Gönderen Politikası Çerçevesi
SPF, e-posta geliştirmenin ilk günlerinde oluşturulan standart kimlik doğrulamadır. Bir zamanlar ilk e-posta sistemleri için uygun olsa da, modern posta yöntemleri için çeşitli sorunlar barındırmaktadır. Bu nedenle, eksiksiz bir koruma sağlamak için dört yöntemin tümünü kullanmak gerekir.
SPF kayıtları, etki alanı DNS’si içinde düz metin olarak saklanır ve Etki alanından gönderme izni olan IP adresleri .
Alıcının e-posta sunucusu SPF kaydını almak için bir DNS araması gerçekleştirdiğinde, iletinin dönüş yolundaki değeri kullanır.
SPF kimlik doğrulaması ile ilgili sorunlar
Sözdizimi – Metin kayıtları olmalarına rağmen DNS kayıtlarını girerken sözdizimi zorlaşabilir . Kesin değillerse, mesaj ve gönderen gerçek olsa bile kimlik doğrulama başarısız olacaktır.
Onaylı IP adreslerini belirleme – Bulut platformları gibi paylaşılan sistemler, dinamik olarak atanan IP adresleriyle birden fazla hizmeti barındırabilir. IP belirlenip yetkilendirilebilmesine rağmen, SPF kaydınızı kullanarak aynı paylaşılan IP’yi başkasının kullanmasına da izin verebilir.
SPF yanıltılabilir – SPF kimlik doğrulama için alıcıların açıkça görebildiği ‘kimden’ alanını değil, gizli dönüş yolu alanını kullanır. Bilgi için kimlik avı yapan bir bilgisayar korsanı, ‘kimden’ alanında geçerli görünen bir alan adı ve e-posta adresi sunabilir, ancak sunucu kontrollerini aşmak için kendi kimlik doğrulama sistemini kullanarak dönüş yolu olarak kendi e-postasını kullanabilir.
SPF e-posta iletmeyi desteklemez – Alıcı sunucu, tanımlayıcı etki alanı orijinal etki alanı değil de ileten sunucununki gibi göründüğü için iletilen bir iletiyi doğrulayamayacaktır.
Gördüğünüz gibi, bir zamanlar kabul edilebilir bir yöntem olan bu yöntem artık önemli ölçüde kusurludur. Daha kapsamlı bir güvenlik için üzerine inşa edilecek temelleri sağlar. Ancak tek başına bir yöntem olarak günümüz teknolojisinde yetersiz kalmaktadır.
DKIM – DomainKeys Identified Mail
DKIM, e-posta mesajlarını imzalamak için genel/özel anahtar şifrelemesi kullanır. E-postaların etki alanından gönderildiğini ve e-postanın aktarım sırasında değiştirilmediğini doğrular.
İletinin teslimat sırasında değiştirilmediğini garanti ettiği için daha güvenli bir kimlik doğrulama yöntemidir. Bir başka avantajı da DKIM kimlik doğrulamasının e-posta iletme işleminden sonra da geçerli olmasıdır.
Alan adı sahibi çiftler halinde kriptografik anahtarlar oluşturur: genel ve özel. Genel anahtar, alan adının DNS’sine bir TXT kaydı olarak yerleştirilir. Bir e-posta gönderildiğinde, bu anahtara dayalı olarak bir ‘hash’ oluşturulur. mesajın içeriği . Bu karma, etki alanının özel anahtarıyla şifrelenir ve e-postanın başlığına eklenir.
Alıcının e-posta sunucusu, DNS’de barındırılan genel anahtarı kullanarak şifrelenmiş bilgileri okur ve her şey eşleşirse kimlik doğrulama verilir.
DKIM seçicileri
Her etki alanı birkaç seçici kullanabilir. Bu değerler alt alan adları, kullanıcılar, konumlar ve hizmetler gibi benzersiz özellikleri tanımlamak için kullanılır. Her seçici kendi genel anahtarını kullanarak çalışır ve tüm olasılıklar için tek bir paylaşılan anahtardan vazgeçer.
DKIM kimlik doğrulaması ile ilgili sorunlar
Uyumsuz imzalar – Geçerli bir DKIM imzası, ‘kimden’ alanında gösterilenden tamamen farklı bir etki alanı kullanabilir. Bu, başka bir e-posta alanından kimlik avı yapmayı basit bir hale getirir süreç .
Anahtar güvenliği – Başka bir kullanıcının alan adını kullanarak mesajları imzalayan bir bilgisayar korsanı, bu alan adının özel anahtarını kullanarak e-postalarının mükemmel bir şekilde doğrulanmasını sağlayabilir.
Anahtarların uygulanması ve yönetilmesi – Uzun, daha güvenli anahtarlar etki alanı DNS’sine uygulanırken sorunlu olabilir. Bu uzun veri dizileri, kopyalayıp yapıştırırken bile kolayca yanlış uygulanabilir.
DKIM’den en iyi şekilde yararlanmak için DMARC ile ortak çalışması ve ‘kimden’ alanında kullanılan etki alanını devreye sokması gerekir. Şimdi her sistemin eksiksiz ve etkili bir kimlik doğrulama sistemi oluşturmak için bir önceki yönteme nasıl bağlı olduğunu görebilirsiniz.
DMARC – Etki Alanı İleti Kimlik Doğrulama Raporlama ve Uygunluk
Daha önce de belirtildiği gibi, DMARC from alanında ayarlanan etki alanının şu amaçlarla kullanılmasını zorunlu kılar önlemek Bilgisayar korsanlarının ve saldırganların güvenlik kontrollerini atlamak için alternatif etki alanları kullanması.
Ayrıca, göndericinin kimlik doğrulama sonuçlarıyla ne yapacağına karar vermesini sağlayan bir raporlama mekanizması da içerir. DMARC kaydı, alıcı sunucuların raporları nereye ve nasıl göndereceğini kontrol eder.
Aslında DMARC, SPF ve DKIM arasındaki boşlukları doldurur ve e-posta teslim edilebilirliğini artırır. Spam gönderenler artık bu korumalı alan adlarını kötüye kullanamaz; bu nedenle, alan adı itibarı artar ve her zaman teslim edilebilirlik oranlarını iyileştirir.
DMARC Uygulaması
DMARC kaydı, yetkilendirilemeyen e-postalara ne yapılacağını belirler. Politikanın üç sonucu vardır: hiçbir şey yapma, karantinaya alma veya reddetme. Bir DMARC raporu, alan adı sahibini bu tür başarısız mesajların nereden geldiği konusunda uyarır, ihlal hakkında kritik bilgiler ve daha fazla koruyucu adım atmak için neler yapabileceklerini sağlar.
BIMI – Mesaj Tanımlama için Marka Göstergeleri
BIMI e-posta kimlik doğrulamasının dahil edilmesinin, teslim edilebilirlik yoluyla katılımda yaklaşık 10%’lik bir artış sağlayacağı umuluyor – bu hafife alınacak bir rakam değil.
Bu kimlik doğrulama yönteminin henüz emekleme aşamasında olduğu ve birçok e-posta sağlayıcısı tarafından kullanılmayı beklediği göz önüne alındığında, kullanıcıların nihayet sunucularımıza ulaştığında büyük bir kullanıma hazır olduklarından emin olmak için atabilecekleri birkaç adım vardır.
Kesin olan bir şey var ki, Google’ın BIMI entegrasyonunu G Suite’e dahil ettiği düşünülürse, dünyanın geri kalanının da bunu yakalaması sadece bir zaman meselesi olacaktır.
BIMI’ye nasıl hazırlanılır?
BIMI e-posta kimlik doğrulamasını etkinleştirmek için öncelikle e-postalarınızın SPF, DKIM ve DMARC ile kimlik doğrulamasını yapmalı ve hizalamayı sağlamalısınız (etki alanı baştan sona aynıdır). DMARC ilkesi karantina veya reddetme olarak uygulanmalı ve etki alanı DNS’sinde doğru BIMI kaydı bulunmalıdır.
Ayrıca, ortaya çıkan kimlik doğrulamasının alıcılarınızın gelen kutularında gösterilmesi için uygun bir logo dosyasını bağlantı olarak barındırmanız gerekir. Logonuzun doğru SVG formatında olması ve dosyayı doğrulamak için muhtemelen bir VMC (Doğrulanmış Marka Sertifikası) olması gerekecektir.
E-posta kampanyalarınız için eksiksiz kimlik doğrulama
Bu yöntemlerin her birinin tek başına hayatı kolaylaştıracak tek elden bir çözüm sağlamayacağını öğrendik. Bununla birlikte, sistemlerin her birini bir araya getirmek için küçük bir çalışmayla, teslimatınızı çok daha güvenli hale getireceksiniz. yapabileceğinizden daha fazla e-posta kampanyası ve mesajı asla onlarsız olamam.
Hizmetinizin ve müşterilerinizin korunmasını sağlamak için harcadığınız zaman ve çabaya değer. Aboneler ve pazarlamanızın bağlanabilirliğini ve geri dönüşünü artırır.