Etki Alanı Tabanlı Mesaj Kimlik Doğrulaması, Raporlama ve Uyumluluk (DMARC) Nedir?

   Kasım 20, 2024  Posted in CyberSecurityNews


Etki Alanı Tabanlı Mesaj Kimlik Doğrulaması, Raporlama ve Uyumluluk (DMARC) Nedir?

E-posta, dünya çapında işletmeler, bireyler ve kuruluşlar için en kritik iletişim biçimlerinden biri olmayı sürdürüyor.

Bununla birlikte, güvenlik açıklarından yararlanmak için kimlik avı, kimlik sahtekarlığı ve diğer e-posta tabanlı saldırılar gibi çeşitli teknikleri kullanan siber suçlular için de büyük bir saldırı vektörü sunuyor.

Hizmet Olarak SIEM

Bu tehditlerle mücadele etmek için Etki Alanı Tabanlı Mesaj Kimlik Doğrulaması, Raporlama ve Uyumluluk (DMARC) dahil olmak üzere çeşitli e-posta kimlik doğrulama protokolleri kullanıma sunuldu.

DMARC, e-posta gönderenlerin sahte veya şüpheli e-postaların işlenmesine ilişkin politikaları belirlemesine olanak tanıyarak e-posta güvenliğini artırmak için tasarlanmış üç protokolden biridir.

Bu makalede, DMARC’yi ayrıntılı olarak inceleyerek nasıl çalıştığını, neden gerekli olduğunu ve SPF (Sender Policy Framework) ve DKIM (DomainKeys Identified Mail) gibi diğer e-posta kimlik doğrulama protokolleriyle nasıl etkileşime girdiğini inceleyeceğiz.

Bu makalenin sonunda DMARC ve onun e-posta alanlarınızı kötüye kullanımdan korumadaki rolü hakkında kapsamlı bir anlayışa sahip olacaksınız.

DMARC: Genel Bakış

DMARC, alan sahiplerine, alan adlarını kimlik avı saldırıları, e-posta sahtekarlığı ve diğer sahtekarlık faaliyetleri gibi yetkisiz kullanıma karşı koruma olanağı veren bir e-posta kimlik doğrulama protokolüdür.

DMARC, diğer iki e-posta kimlik doğrulama protokolü tarafından oluşturulan temel üzerine kuruludur: SPF ve DKIM.

SPF, alan sahiplerinin, hangi posta sunucularının kendi alanları adına e-posta göndermeye yetkili olduğunu belirlemelerine olanak sağlarken ve DKIM, bir e-postanın içeriğinin aktarım sırasında değiştirilmediğini doğrulamak için kriptografik imzalar kullanırken, DMARC, alan adını etkinleştirerek bir koruma katmanı ekler. sahipleri, e-posta alıcılarının SPF veya DKIM kontrollerinde başarısız olan iletileri nasıl ele alması gerektiğini belirtebilirler.

DMARC, alan sahiplerinin e-posta kimlik doğrulama politikalarını Alan Adı Sisteminde (DNS) DNS TXT kayıtları olarak yayınlamalarına izin vererek çalışır.

DMARC'ye Genel Bakış
DMARC’ye Genel Bakış

Bu politikalar, e-posta alıcılarına, SPF veya DKIM kimlik doğrulama kontrollerini geçemeyen e-postalarla ne yapmaları gerektiği konusunda talimat verir. Alan sahipleri DMARC aracılığıyla şunları yapabilir:

  • Bir e-postanın kimlik doğrulaması başarısız olduğunda e-posta alıcılarının gerçekleştireceği eylemleri belirtin (örn. karantinaya alma, reddetme veya hiçbir işlem yapmama).
  • E-posta alıcılarından, kimlik doğrulamasını geçen veya başarısız olan e-postaların ayrıntılarını içeren ve olası kötüye kullanım konusunda değerli bilgiler sağlayan raporlar alın.

DMARC, protokolün teknik özelliklerini ve diğer e-posta kimlik doğrulama mekanizmalarıyla nasıl entegre olacağını özetleyen RFC 7489’da tanımlanmıştır.

SPF, DKIM ve DMARC’nin Rolü

DMARC’yi daha derinlemesine incelemeden önce, bunun SPF ve DKIM’nin yanı sıra e-posta kimlik doğrulamasının daha geniş çerçevesine nasıl uyduğunu anlamak önemlidir.

SPF (Gönderen Politikası Çerçevesi)

SPF, alan adı sahiplerinin, hangi posta sunucularının kendi alanları adına e-posta göndermeye yetkili olduğunu belirlemelerine olanak tanıyan bir e-posta kimlik doğrulama yöntemidir.

SPF, yetkili posta sunucularının IP adreslerini listeleyen etki alanına bir DNS TXT kaydı ekleyerek çalışır. Bir e-posta alındığında, alıcının posta sunucusu, gönderen sunucunun o alana e-posta gönderme yetkisinin olup olmadığını doğrulamak için SPF kaydını kontrol eder.

E-posta yetkisiz bir sunucudan gönderilirse SPF kontrolü başarısız olur ve e-posta şüpheli veya sahte olarak işaretlenebilir.

DKIM (Etki Alanı Anahtarlarıyla Tanımlanmış Posta)

DKIM, bir e-postanın içeriğinin bütünlüğünü doğrulamaya odaklanan başka bir e-posta kimlik doğrulama protokolüdür. DKIM ile gönderen sunucu, e-posta başlığına kriptografik bir imza ekler.

Bu imza, alan adının DNS’sinde yayınlanan genel anahtara karşılık gelen özel bir anahtar kullanılarak oluşturulur.

E-posta alındığında, alıcının posta sunucusu imzayı doğrulamak ve e-postanın aktarım sırasında kurcalanmadığından emin olmak için genel anahtarı kullanır.

DKIM, bir e-postanın içeriğinin değiştirilmediğinden ve e-postanın meşru bir kaynaktan geldiğinden emin olunmasına yardımcı olur.

DMARC (Alan Adı Tabanlı Mesaj Kimlik Doğrulaması, Raporlama ve Uyumluluk)

DMARC, alan sahiplerine, bir e-postanın SPF ve/veya DKIM kimlik doğrulama kontrollerinde başarısız olması durumunda hangi eylemlerin gerçekleştirilmesi gerektiğini belirlemeleri için bir çerçeve sağlayarak SPF ve DKIM’yi temel alır.

DMARC ayrıca, alan sahiplerinin, kendi alanlarından gönderilen e-postaların kimlik doğrulama sonuçları hakkında e-posta alıcılarından geri bildirim almasına olanak tanıyan bir raporlama mekanizması da ekler. DMARC’nin temel bileşenleri şunları içerir:

  • DMARC Politikaları: Etki alanı sahipleri, e-posta alıcılarının kimliği doğrulanmamış e-postaları nasıl işlemesi gerektiğini belirleyebilir. Üç ana politika seçeneği şunlardır:
    • Hiçbiri: Başarısız e-postalar için özel bir işlem yapılması gerekmez ancak raporlar yine de alan sahibine gönderilir. Bu politika genellikle test etmek ve izlemek için kullanılır.
    • Karantina: Kimlik doğrulaması başarısız olan e-postalar dikkatli bir şekilde ele alınmalı ve alıcının spam veya önemsiz klasörüne teslim edilmelidir.
    • Reddetmek: Kimlik doğrulaması başarısız olan e-postalar doğrudan reddedilmeli ve teslim edilmemelidir.
  • DMARC Raporları: DMARC, alan adı sahiplerinin iki tür rapor almasına olanak tanır:
    • Raporları Birleştir: Bu raporlar, kaç tane başarılı veya başarısız SPF ve DKIM kontrolüne ilişkin ayrıntılar da dahil olmak üzere, alan adından gönderilen tüm e-postaların bir özetini sağlar.
    • Adli Raporlar: Bu raporlar, gönderenin IP adresi ve başarısızlığın nedenleri de dahil olmak üzere, kimlik doğrulaması başarısız olan bireysel e-postalar hakkında ayrıntılı bilgi sağlar.

DMARC, düzgün çalışması için hem SPF’ye hem de DKIM’ye güvenir. SPF veya DKIM’den biri başarılı olursa e-postanın kimliği doğrulanmış sayılır.

Ancak her ikisi de başarısız olursa e-postanın nasıl ele alınması gerektiğini belirlemek için DMARC politikaları uygulanır.

DMARC Nasıl Çalışır?

DMARC’nin pratikte nasıl çalıştığını anlamak için bir alan adından diğerine e-posta gönderildiğinde uygulanan adımlara daha yakından bakalım:

  1. E-posta Gönderildi: Etki alanı sahibi, alıcıya bir e-posta gönderir. E-posta, gönderen posta sunucusundan alıcı posta sunucusuna iletilir.
  2. SPF ve DKIM Kontrolleri: Alıcının posta sunucusu, e-postanın gerçekliğini doğrulamak için SPF ve DKIM kontrolleri gerçekleştirir. SPF kontrolü, gönderen sunucunun alan adı için e-posta göndermeye yetkili olup olmadığını doğrularken, DKIM kontrolü e-posta başlığındaki kriptografik imzayı doğrular.
  3. DMARC Kontrolü: SPF ve DKIM kontrolleri gerçekleştirildikten sonra alıcının posta sunucusu, gönderenin DNS’sinden DMARC kaydını alır. Bu kayıt, alan sahibinin kimliği doğrulanmamış e-postaları işlemeye yönelik politikalarını belirtir.
  4. Politika Başvurusu: SPF ve DKIM kontrollerinin sonuçlarına göre DMARC politikası uygulanır. E-posta hem SPF’de hem de DKIM’de başarısız olursa, alıcının posta sunucusu DMARC politikasında belirtilen eylemi gerçekleştirir (yok, karantinaya alma veya reddetme).
  5. Rapor Oluşturma: Alıcının posta sunucusu bir DMARC raporu (toplu veya adli) oluşturur ve bunu alan sahibine göndererek e-postanın kimlik doğrulama sonuçlarına ilişkin değerli bilgiler sağlar.

DMARC, bu adımları izleyerek yetkisiz e-postaların teslim edilmesini önlemeye yardımcı olur ve kimlik avı, kimlik sahtekarlığı ve diğer e-posta tabanlı saldırı riskini azaltır.

DMARC Kayıt Yapısı

DMARC politikaları DNS’de DNS TXT kayıtları olarak yayınlanır. Tipik bir DMARC kaydı şuna benzer:

_dmarc.example.com TXT "v=DMARC1; p=quarantine; rua=mailto:[email protected]; ruf=mailto:[email protected]; sp=reject; aspf=r"

Bu DMARC kaydının bileşenlerini parçalayalım:

  • _dmarc.example.com: DMARC kaydı, example.com alanı için _dmarc alt alanı altında yayınlanır.
  • v=DMARC1: Bu, şu anda DMARC1 olan, kullanılmakta olan DMARC sürümünü belirtir.
  • p=karantina: p etiketi, alan adına ilişkin DMARC politikasını belirtir. Bu durumda politika “karantinaya” ayarlanmıştır, yani kimlik doğrulaması başarısız olan e-postalar alıcının spam veya istenmeyen klasörüne teslim edilmelidir.
  • rua=mailto:[email protected]: Rua etiketi, toplu DMARC raporlarının gönderilmesi gereken e-posta adresini belirtir.
  • çağrı=mailto:[email protected]: Ruf etiketi, adli DMARC raporlarının gönderilmesi gereken e-posta adresini belirtir.
  • sp=reddet: Sp etiketi alt alan adlarına ilişkin politikayı belirtir. Bu durumda politika “reddet” olarak ayarlanır, yani alt alanlardan gelen, kimlik doğrulaması başarısız olan e-postaların reddedilmesi gerekir.
  • aspf=r: Aspf etiketi SPF için hizalama modunu belirtir. “r” değeri “rahat” anlamına gelir; bu, e-postanın “Kimden” başlığındaki alan adının SPF kaydındaki alan adı ile eşleşmesi durumunda SPF kontrolünün başarılı olacağı anlamına gelir.

DMARC Politikaları

DMARC politikaları, e-posta alıcılarının SPF ve DKIM kontrollerinde başarısız olan e-postaları nasıl ele alması gerektiğini belirler. Üç ana DMARC politikası seçeneği vardır:

1. Yok (p=yok)

Bu, en hoşgörülü politikadır ve genellikle DMARC’yi ilk kez uygularken kullanılır. Politika “yok” olarak ayarlandığında, kimliği doğrulanmamış e-postalar için herhangi bir özel işlem yapılmaz.

Ancak DMARC raporları yine de oluşturulup alan sahibine gönderilir. Bu politika genellikle e-posta teslim edilebilirliğini etkilemeden kaç e-postanın kimlik doğrulamasında başarısız olduğunu izlemek için test amacıyla kullanılır.

2. Karantina (p=karantina)

Politika “karantinaya alma” olarak ayarlandığında, SPF ve DKIM kontrollerini geçemeyen e-postalar alıcının spam veya istenmeyen klasörüne teslim edilir. Bu politika, potansiyel olarak şüpheli e-postaların teslim edilmesine ancak şüpheli olarak işaretlenmesine olanak tanıyan bir orta yol yaklaşımı sağlar.

3. Reddet (p=reddet)

“Reddetme” politikası en katı olanıdır ve alan adı sahibi, kimliği doğrulanmamış e-postaların teslim edilmesini önlemek istediğinde kullanılır.

Bu politika uygulandığında SPF ve DKIM kontrollerini geçemeyen e-postalar doğrudan reddedilir ve alıcıya teslim edilmez. Bu politika, DMARC uygulaması kapsamlı bir şekilde test edilip izlendikten sonra önerilir.

DMARC Raporları

DMARC’nin en önemli faydalarından biri, alan adı sahiplerine, e-postalarının kimlik doğrulamasının nasıl yapıldığına ilişkin değerli bilgiler sağlayan raporlama özelliğidir. İki tür DMARC raporu vardır:

1. Toplu Raporlar (rua)

Toplu raporlar, belirli bir dönemde (genellikle günlük) alan adından gönderilen tüm e-postaların bir özetini sağlar.

Bu raporlar, kaç e-postanın SPF ve DKIM kontrollerinden geçtiğini veya başarısız olduğunu, kaynak IP adresini ve uygulanan DMARC politikasını içerir.

2. Adli Raporlar (ruf)

Adli raporlar, kimlik doğrulaması başarısız olan bireysel e-postalar hakkında daha ayrıntılı bilgi sağlar.

Bu raporlar gönderenin IP adresini, “Kime” ve “Kimden” başlıklarındaki e-posta adreslerini ve kimlik doğrulama başarısızlığının nedenini içerir.

DMARC’nin Faydaları

DMARC, özellikle SPF ve DKIM ile birleştirildiğinde birçok önemli avantaj sağlar:

  • Kimlik Avı ve Sahtekarlığa Karşı Koruma: DMARC, saldırganların meşru bir alandan geliyormuş gibi görünen sahte e-postalar göndermesini önlemeye yardımcı olarak kimlik avı ve e-posta sahteciliği riskini azaltır.
  • Geliştirilmiş E-posta Teslim Edilebilirliği: Alan sahipleri, DMARC’yi uygulayarak meşru e-postalarının teslim edilebilirliğini artırabilir. DMARC kimlik doğrulamasını geçen e-postaların, spam olarak işaretlenme olasılıkları daha düşük olduğundan, alıcının gelen kutusuna ulaşma olasılıkları daha yüksektir.
  • Görünürlük ve Raporlama: DMARC’nin raporlama özelliği, alan adı sahiplerine, e-postalarının kimlik doğrulamasının nasıl yapıldığına ilişkin değerli bilgiler sağlar. Bu görünürlük, alan adı sahiplerinin olası kötüye kullanımı belirlemesine ve düzeltici eylemler gerçekleştirmesine olanak tanır.
  • Marka Koruması: DMARC, e-posta iletişimlerinde alan adının yetkisiz kullanımını önleyerek bir markanın itibarının korunmasına yardımcı olur.

Kimlik avı ve kimlik sahtekarlığı gibi e-posta tabanlı saldırıların yaygın olduğu günümüzün dijital ortamında DMARC, e-posta güvenliğini artırmada kritik bir rol oynamaktadır.

DMARC, SPF ve DKIM’yi temel alarak alan adı sahiplerine, kimliği doğrulanmamış e-postaların nasıl ele alınacağını belirleme ve e-posta kimlik doğrulama sonuçları hakkında ayrıntılı raporlar alma olanağı sağlar.

DMARC’nin SPF ve DKIM ile birlikte uygulanması, alan adınızın yetkisiz kullanıma karşı korunmasına yardımcı olur, e-posta teslim edilebilirliğini artırır ve olası kötüye kullanım konusunda değerli bilgiler sağlar.

DMARC uygulaması dikkatli planlama ve test gerektirse de, gelişmiş e-posta güvenliği ve marka korumasının uzun vadeli faydaları, onu her kuruluş için değerli bir yatırım haline getirir.



Source link