E-posta Spoofing: Alan Adınızdan Sahte Mail Gönderme Açığı ve DMARC ile Kapatma
Alan adınız için DMARC kaydı yoksa, bir saldırgan sizin adınıza, sizin alan adınızdan sahte e-posta gönderebilir. Bu açık müşterilerinizi oltalamak, fatura dolandırıcılığı ve marka itibarınızı yıkmak için kullanılır. Bu açığın nasıl çalıştığını, etkilerini, alan adınızın savunmasız olup olmadığını nasıl test edeceğinizi ve SPF, DKIM ve DMARC ile nasıl kapatacağınızı kaynaklı anlattık.
E-posta Spoofing: Alan Adınızdan Sahte Mail Gönderme Açığı ve DMARC ile Kapatma
Hızlı Cevap: E-posta spoofing, bir saldırganın sizin alan adınızı gönderen adresi olarak kullanıp, sizin adınıza sahte e-posta göndermesidir. Bunun mümkün olmasının nedeni, e-posta protokolünün gönderen kimliğini kendiliğinden doğrulamamasıdır. Alan adınız SPF, DKIM ve özellikle DMARC kayıtlarıyla korunmuyorsa, herkes [email protected] adresinden mail atıyormuş gibi görünebilir. Etkileri ağırdır, müşterilerinize sizin adınıza oltalama, sahte fatura ve IBAN değişikliği dolandırıcılığı, ve markanıza güven kaybı. Açığı kapatmanın yolu üç kayıttır. SPF, hangi sunucuların sizin adınıza mail atabileceğini tanımlar. DKIM, giden maili kriptografik olarak imzalar. DMARC ise bu ikisini birleştirir ve alıcı sunuculara, doğrulanmayan mailleri ne yapacağını (karantina ya da reddet) söyler. DMARC politikanız p=reject olduğunda, sahte mailler alıcıya hiç ulaşmaz.
Saha tecrübemizde en çok gözden kaçan güvenlik açığı budur. Şirketler web sitelerini korur ama alan adlarından herkesin sahte mail atabildiğini fark etmez. Kurumsal e-posta güvenliğinin genel kurulumunu kurumsal e-posta güvenliği, SPF, DKIM, DMARC yazımızda anlattık. Bu yazı ise olayın saldırı tarafına bakar, bu kayıtlar eksikse tam olarak neyin açık olduğunu ve bunun nasıl sömürüldüğünü ele alır.
Sorun, e-posta gönderen kimliğini doğrulamaz
E-postanın temel protokolü, gönderen adresini kendiliğinden doğrulamaz. Yani bir e-posta gönderirken, gönderen alanına ne yazarsanız yazın, teknik olarak gider. Bir saldırgan, kendi sunucusundan, gönderen adresi olarak sizin alan adınızı yazıp mail gönderebilir. Alıcının gelen kutusunda bu mail, sizin şirketinizden geliyormuş gibi görünür.
Bunu engellemek için üç doğrulama katmanı geliştirildi, ama bunlar varsayılan olarak açık değildir, alan adı sahibinin DNS kayıtlarına eklemesi gerekir. Bu kayıtlar eksikse, alan adınız spoofing için açık demektir.
Bu açık nasıl sömürülür ve etkileri
Alan adınız korumasızsa, saldırgan birkaç senaryoda bunu kullanır.
- Müşteri oltalaması. Müşterilerinize sizin adınıza mail atıp, sahte bir ödeme sayfasına ya da zararlı bir dosyaya yönlendirir. Mail gerçekten sizden geliyormuş gibi göründüğü için kurban güvenir.
- Fatura ve IBAN dolandırıcılığı. Tedarikçi ya da muhasebe gibi görünen bir mail, ödeme yapılacak IBAN'ın değiştiğini söyler. Bu, iş e-postası ele geçirme (BEC) saldırısının klasik biçimidir, ayrıntısını e-posta dolandırıcılığı, BEC ve CEO sahtekarlığı yazımızda anlattık.
- Yönetici taklidi. Çalışanınıza CEO'dan geliyormuş gibi acil bir para transferi ya da bilgi talebi gönderir.
- Marka ve teslimat itibarı. Alan adınız kötüye kullanıldıkça, gerçek maillerinizin de spam kutusuna düşme olasılığı artar.
Bu maillerin nasıl ayırt edileceğini oltalama e-postası nasıl anlaşılır yazımızda ele aldık, ama asıl çözüm, sahte mailin alıcıya hiç ulaşmamasını sağlamaktır.
Üç kayıt, SPF, DKIM, DMARC
Alan adınızı korumak, birbirini tamamlayan üç DNS kaydı gerektirir.
SPF (Sender Policy Framework), hangi sunucuların sizin alan adınız adına mail göndermeye yetkili olduğunu listeler. Alıcı sunucu, gelen mailin gerçekten bu yetkili sunuculardan gelip gelmediğini kontrol eder.
DKIM (DomainKeys Identified Mail), giden her maile kriptografik bir imza ekler. Alıcı, bu imzayı sizin DNS kaydınızdaki açık anahtarla doğrular, böylece mailin yolda değiştirilmediğini ve gerçekten sizden geldiğini anlar.
DMARC (Domain based Message Authentication), bu ikisinin üstüne kurulur ve iki şey yapar. Birincisi, alıcı sunuculara, SPF ve DKIM doğrulamasını geçemeyen mailleri ne yapacaklarını söyler. İkincisi, alan adınız adına gönderilen mailler hakkında size rapor gönderilmesini sağlar, böylece kimin adınıza mail atmaya çalıştığını görürsünüz.
| Kayıt | Ne yapar | Eksikse risk |
|---|---|---|
| SPF | Yetkili gönderen sunucuları tanımlar | Herkes sizin adınıza mail atabilir |
| DKIM | Maili imzalar, bütünlüğü doğrular | Mail yolda değiştirilebilir, taklit kolaylaşır |
| DMARC | SPF/DKIM'i birleştirir, politika uygular | Sahte mail alıcıya ulaşır |
DMARC politikası, none, quarantine, reject
DMARC kaydının kalbi, politika değeridir ve üç seviyesi vardır.
- p=none. Yalnızca izler ve rapor toplar, hiçbir maili engellemez. İlk kurulumda, meşru gönderenleri kırmadan durumu görmek için başlangıç noktasıdır.
- p=quarantine. Doğrulamayı geçemeyen mailleri spam ya da karantina kutusuna yönlendirir.
- p=reject. Doğrulamayı geçemeyen mailleri tamamen reddeder, alıcıya hiç ulaşmaz. Gerçek koruma budur.
Doğru yaklaşım, önce p=none ile başlayıp raporları izlemek, tüm meşru gönderenlerinizi (kendi sunucunuz, pazarlama aracınız, faturalama sisteminiz) SPF ve DKIM ile doğru tanımlamak, sonra kademeli olarak p=quarantine ve nihayet p=reject seviyesine geçmektir. p=reject olmadan alan adınız hâlâ tam korunmuş sayılmaz.
Alan adınız savunmasız mı, nasıl test edilir
Alan adınızın durumu, DNS kayıtlarınıza bakılarak anlaşılır. Bir uzman, alan adınızın SPF, DKIM ve DMARC kayıtlarının olup olmadığını, DMARC politikanızın hangi seviyede olduğunu ve meşru gönderenlerinizin doğru tanımlanıp tanımlanmadığını inceler. Çoğu Türk şirketinde bulduğumuz tablo şudur, SPF var ama DMARC ya hiç yok ya da p=none seviyesinde, yani alan adı hâlâ spoofing için açık. Bir dış pentest ya da e-posta güvenlik denetiminin ilk adımı, tam da bu kayıtları kontrol etmektir, konuyu Ankara siber güvenlik, pentest ve KVKK yazımızda da ele aldık.
Sıkça Sorulan Sorular
SPF kaydım var, yeterli mi? Hayır. SPF tek başına yeterli değildir, çünkü gönderen adresinin göründüğü kısmı doğrudan korumaz ve iletilen maillerde kırılabilir. Tam koruma için DKIM ve p=reject seviyesinde DMARC de gerekir.
DMARC eklersem kendi maillerim engellenir mi? Doğru kurulmazsa, meşru mailleriniz de reddedilebilir. Bu yüzden önce p=none ile başlayıp raporları izleyerek tüm gönderenlerinizi tanımlamak, sonra kademeli olarak p=reject seviyesine geçmek gerekir.
Birisi alan adımdan sahte mail atıyor, ne yapmalıyım? DMARC politikanızı p=reject seviyesine taşıyın, DMARC raporlarını inceleyerek kaynağı tespit edin ve müşterilerinizi bilgilendirin. Kişisel veri sızdıysa bu bir ihlaldir, KVKK veri ihlali bildirimi yazımıza bakın.
Bu sadece büyük şirketlerin sorunu mu? Hayır. Aksine, korumasız küçük ve orta ölçekli işletmeler daha kolay hedeftir, çünkü çoğu DMARC kurmamıştır ve saldırganlar bunu otomatik araçlarla tespit eder.
Kaynaklar
- DMARC.org, DMARC genel bakış: https://dmarc.org/overview/
- RFC 7489, Domain based Message Authentication (DMARC): https://datatracker.ietf.org/doc/html/rfc7489
- CISA, e-posta kimlik doğrulama ve spoofing önleme: https://www.cisa.gov/
- M3AAWG, e-posta kimlik doğrulama en iyi uygulamaları: https://www.m3aawg.org/
Alan adınızın e-posta spoofing açığını test etmek ve SPF, DKIM ve DMARC ile kapatmak için DSET ile iletişime geçin.
Kimliğinizi doğrulayın
Yetkilendirilmiş erişim alanı. Tüm giriş denemeleri kayıt altına alınır.