Kurumsal E-posta Güvenliği: SPF, DKIM ve DMARC ile Sahteciliği ve BEC'i Durdurmak

Hızlı cevap: Siber saldırıların büyük çoğunluğu e-posta ile başlar ve en tehlikelilerinden biri, sizin adınıza gönderilen sahte e-postalardır. Birisi "[email protected]" gibi görünen bir adresle müşterinize ya da çalışanınıza yazdığında, doğru teknik önlemler yoksa bu sahte mesaj gerçek gibi teslim edilir; markanız taklit edilir, müşteriniz dolandırılır. SPF, DKIM ve DMARC adlı üç DNS kaydı, alan adınızın izinsiz kullanılmasını engelleyerek hem markanızı hem alıcıları korur. Bunlar opsiyonel değil, modern e-posta güvenliğinin asgari gereğidir. DSET olarak e-posta kimlik doğrulama kayıtlarınızı kurar, raporları analiz eder ve sizi güvenli "reject" politikasına taşırız: +90 536 662 38 09.

Neden e-posta bu kadar kritik ve kırılgan bir kapı?

E-posta protokolü (SMTP), tasarımı gereği "güvenen" bir protokoldür; varsayılan haliyle gönderenin gerçekten o kişi olduğunu doğrulamaz. Bir mektubun zarfına istediğiniz gönderen adını yazabilmeniz gibi, e-postada da gönderen adresi kolayca taklit edilebilir. Saldırganlar bu yapısal boşluğu iki ana yöntemle kullanır:

  1. Spoofing (kimlik sahteciliği): Gönderen adresini sizin alan adınıza birebir benzeterek ya da taklit ederek kurbanlarınıza (müşteri, tedarikçi, çalışan) mesaj gönderir. Alıcı, gerçekten sizden geldiğini sanır.
  2. BEC (Business Email Compromise / İş E-postası Ele Geçirme): Bu, en pahalı siber suç türlerinden biridir. Saldırgan üst düzey bir yöneticiyi (örneğin genel müdürü) taklit eder ve muhasebeden "acil ve gizli bir havale" ister; ya da gerçek bir tedarikçinin hesabını ele geçirip "IBAN'ımız değişti, yeni hesaba ödeyin" der. Hiç zararlı yazılım gerektirmez, sadece güveni ve aciliyet hissini istismar eder. ABD FBI'ın IC3 birimi, BEC'i yıllardır en yüksek finansal kayba yol açan siber suçlar arasında raporlar.

SPF, DKIM, DMARC: üç koruma katmanı

Kayıt Ne yapar Basit benzetme
SPF (Sender Policy Framework) Hangi sunucuların sizin alan adınız adına mail gönderebileceğini DNS'te listeler "Benim adıma posta atmaya yetkili kuryeler şunlardır"
DKIM (DomainKeys Identified Mail) Giden maile kriptografik bir imza ekler, yolda değiştirilmediğini ve gerçekten sizden çıktığını kanıtlar "Mektubun üzerindeki kırılmamış mühür"
DMARC (Domain-based Message Authentication) SPF ve DKIM başarısız olursa ne yapılacağını söyler ve size geri bildirim raporları üretir "Sahte çıkarsa şunu yap ve bana rapor gönder"

Üçü bir ekip gibi çalışır: SPF ve DKIM gönderenin kimliğini doğrular, DMARC ise doğrulamayı geçemeyen maile uygulanacak politikayı belirler ve alan adınızın kötüye kullanımı hakkında size düzenli raporlar yollar.

DMARC'ın üç politika seviyesi (en kritik kısım)

DMARC'ın gücü, "ne yapılacağını" söyleyen politikasındadır ve üç kademesi vardır:

  1. p=none (sadece izle): Hiçbir mail engellenmez, yalnızca rapor toplanır. Başlangıç için doğrudur (kimin sizin adınıza mail gönderdiğini görürsünüz), ama burada kalmak koruma sağlamaz.
  2. p=quarantine (karantina): Doğrulanamayan mailler alıcının spam/önemsiz klasörüne düşürülür. İlk gerçek koruma katmanı budur.
  3. p=reject (reddet): Sahte mailler alıcıya hiç teslim edilmez, en baştan reddedilir. Hedeflenmesi gereken seviye budur.

Kritik uyarı ve en yaygın hata: Birçok kurum DMARC'ı kurar, "p=none"da bırakır ve "biz DMARC kullanıyoruz, korunuyoruz" sanır. Oysa "none" hiçbir şeyi engellemez. Gerçek koruma quarantine veya reject ile başlar. Diğer yandan doğrudan "reject"e geçmek, eğer tüm meşru gönderen sistemlerinizi (CRM, fatura sistemi, pazarlama aracı, üçüncü taraf servisler) doğru tanımlamadıysanız, kendi gerçek maillerinizin de düşmesine yol açabilir. Bu yüzden geçiş, raporları analiz ederek kademeli yapılır; asıl uzmanlık tam da buradadır.

E-posta güvenliği sadece DNS kayıtları değildir

Kimlik doğrulama kayıtları, sizin adınıza yapılan giden sahteciliği durdurur; ama size gelen tehditleri de filtrelemek gerekir:

  • Gelişmiş e-posta filtreleme: Kötü amaçlı ekleri, zararlı bağlantıları ve kimlik avı (phishing) girişimlerini yakalar.
  • Çalışan farkındalığı: En iyi filtre bile her şeyi tutamaz; çalışan, şüpheli bir maili tanıyabilmeli ve "acil havale" taleplerini ikinci bir kanaldan (telefonla arayarak) teyit etme refleksine sahip olmalı. Bu tek kural, BEC dolandırıcılığının büyük kısmını durdurur.
  • MFA: E-posta hesabının kendisi ele geçirilse bile, MFA saldırganın içeri girmesini engelleyen ikinci kapıdır.

Şirket maillerinin uçtan uca güvenliği için e-posta güvenliği çözümümüze bakabilirsiniz.

Sıkça Sorulan Sorular

SPF, DKIM, DMARC kurmak zor mu?

DNS kayıtlarının eklenmesi teknik ama görece kısa bir iştir. Asıl uzmanlık ve zaman alan kısım; mevcut tüm meşru gönderen sistemleri eksiksiz tespit etmek, raporları okuyarak yanlış yapılandırmaları bulmak ve DMARC'ı meşru mailinizi düşürmeden güvenle "reject" seviyesine taşımaktır.

Bu kayıtlar bana gelen spam'i de azaltır mı?

Doğrudan amaçları, sizin alan adınız adına gönderilen sahteciliği önlemektir. Yan fayda olarak, gönderdiğiniz maillerin teslim edilebilirliğini (deliverability) artırır; çünkü alıcı sunucular kimliği doğrulanmış maile daha çok güvenir. Gelen spam için ayrıca filtreleme gerekir; ikisi birbirini tamamlar.

Küçük bir işletmenin DMARC'a ihtiyacı var mı?

Kesinlikle evet. Marka taklidi ve BEC her ölçekte yapılır; hatta küçük işletmeler genelde daha az korunduğu için daha kolay taklit edilir. Üstelik bu kayıtlar, gönderdiğiniz faturaların ve tekliflerin müşterinin gelen kutusuna düşmesini de kolaylaştırır.

"IBAN değişti" mailine karşı en güçlü savunma nedir?

Teknik kayıtların yanında, basit ama hayati bir kural: ödeme ya da IBAN değişikliği içeren her talebi, mailde yazan numaradan değil, önceden bildiğiniz güvenilir bir kanaldan arayarak teyit edin. Bu tek alışkanlık, en pahalı dolandırıcılık türünü büyük ölçüde etkisiz kılar.

E-posta kimlik doğrulama kurulumu ve DMARC reject geçişi için bize ulaşın: +90 536 662 38 09.

Kaynaklar