İstenmeyen e-posta ve e-posta dolandırıcılığı, dijital iletişimin güvenliğini tehdit eden sürekli bir problemdir. Bu yüzden konuyla alakalı birkaç standart geliştirilmiştir. Bu standartlardan biri de SPF kaydı veya “E-Posta Gönderen Politikası”dır. SPF kaydı, bir alan adının, hangi sunucuların kendi adına e-posta gönderebileceğini herkese açık olarak belirtmesini sağlar. Kullanmak için SPF kayıtlarının her ayrıntısını anlamak zorunda değilsiniz, ancak daha fazla bilgi büyük resmi görmenize yardımcı olur. Alan adınızın itibarını nasıl koruyabileceğinizi ve e-posta teslim edilebilirliğinizi nasıl iyileştirebileceğinizi daha detaylı anlamak istiyorsanız, bugünkü yazımızda SPF kaydı ile ilgili tüm detaylara değineceğiz.
E-posta Güvenliği Neden Önemlidir?
E-posta hemen hemen tüm kurumlarda ana iletişim şeklidir ve genellikle müşteri veya finansal bilgiler gibi hassas bilgileri içerir. Bu yüzden gönderilen e-postaların hacmi ve içerebilecekleri bilgilerin çeşitliliği, e-posta güvenliğini en önemli öncelik haline getirmektedir.
Bilgisayar korsanları, kullanıcıları hassas kurumsal bilgileri ve hatta oturum açma kimlik bilgilerini paylaşmaları konusunda kandırmak için kimlik avı kampanyalarına girişir veya sosyal mühendislik taktikleri gibi karmaşık saldırılar kullanır. Veri ihlalleri, ele geçirilmiş e-posta hesapları ve ciddi kötü amaçlı yazılım bulaşmaları, sağlam güvenlik önlemleri ve kapsamlı personel eğitim programları olmayan kuruluşları etkileyebilir.
Birçok sektörün veri güvenliği için HIPAA veya PCI DSS gibi yasal ve düzenleyici gereksinimleri vardır. Bu düzenlemelere uyulmaması önemli para cezaları ve yasal yaptırımlarla sonuçlanabilir. E-posta güvenlik önlemleri, kurumların uyumluluk gereksinimlerini karşılamasına ve maliyetli ihlallerden kaçınmasına yardımcı olabilir.
SPF Kaydı Nedir?
Sender Policy Framework’ün kısaltması olan SPF, belirli bir e-postanın göndericisini doğrulamaya ve yetkilendirmeye yardımcı olan bir teknolojidir. SPF’nin çalışma şekli, e-postanın gönderildiği alan adının aktif bir SPF kaydına sahip olup olmadığını kontrol ederken aynı zamanda gönderenin IP adresini içerdiğinden emin olmaktır. Kısaca söylemek gerekirse, e-postanın alan adı sahibi tarafından doğrulanıp doğrulanmadığını kontrol eder. Bu kontrol başarısız olursa, e-posta SPAM olarak işaretlenebilir ve e-postanın kendisi asla alıcının gelen kutusuna ulaşmaz.
Özetle SPF kaydı, alan adının DNS bölgesinde saklanan ve bulunan, bölgenin geçerli olduğu alan adından e-posta gönderdiği doğrulanan tüm IP adreslerinin bir listesini içeren düz bir TXT kaydıdır.
SPF Kaydı Nasıl Yapılır?
Alan adınıza SPF kaydı ekleyerek, yalnızca yetkili kaynaklardan e-posta gönderilmesini sağlayabilir ve alıcıların e-postalarınıza güven duymasını sağlayabilirsiniz. Aşağıdaki adımları takip ederek SPF kaydınızı oluşturabilirsiniz:
1. Gönderici kaynakları belirleyin
SPF kaydını oluşturmadan önce, alan adınız adına e-posta göndermeye yetkili olan tüm IP adreslerini ve alan adlarını listelemeniz gerekir. Bu listeye kendi sunucularınızın yanı sıra e-posta pazarlama platformları gibi üçüncü taraf servisler de dahildir.
2. SPF kaydını oluşturun
DNS yönetim panelinize giriş yaparak yeni bir TXT kaydı oluşturmanız gerekir. SPF kaydı genellikle aşağıdaki formatta yazılır:
v=spf1 ip4:xxx.xxx.xxx.xxx include:servisadi.com ~all
3. Kaydı yayınlayın
Oluşturduğunuz SPF kaydını, TXT kaydının ”değer (value)” alanına yapıştırın ve değişiklikleri kaydedin. (DNS değişikliklerinin tamamen aktif olması birkaç saat ile 48 saat arasında sürebilir)
4. SPF kaydını test edin
Kayıt yayınlandıktan sonra doğru şekilde çalıştığından emin olun. Bunun için aşağıdaki adımları uygulayabilirsiniz:
- SPF Kaydı Sorgulama aracımız gibi çevrimiçi doğrulama araçlarını kullanabilirsiniz
- Ya da kendinize dışarıdan bir test e-postası gönderip, e-posta başlıklarında Received-SPF: satırını kontrol edebilirsiniz. Bu satır, SPF doğrulamasının başarılı olup olmadığını gösterir.
Bir SPF Kaydı Nasıl Görünür? SPF Kaydı Yapılmadığına Dair Örnek (Tablo)
SPF kaydının temel yapısı aşağıdaki şekildedir:
v=spf1 include:spf.mailprovider.com ~all
Bu örnekte:
- v=spf1: SPF kaydının sürümünü belirtir. (Her zaman böyle başlar.)
- include:spf.mailprovider.com: Yetkili posta sunucusunu tanımlar.
- ~all: Geri kalan tüm kaynaklara “yumuşak red” uygular (güvenilir değil, ama tamamen engelleme).
SPF Kaydı Örnek Tablo
| Alan Adı | SPF Kaydı Durumu | Sonuç / Risk Durumu | Öneri |
| sirketadi.com | SPF kaydı yok | Yüksek risk taşır – Sahte e-posta gönderilebilir. | SPF kaydı eklenmelidir. |
| sirketadi.net | v=spf1 include:_spf.google.com ~all | Geçerli kayıt – Soft fail uygulanır. | Güvenlik için -allönerilir. |
| markamail.org | v=spf1 include:spf.mailhost.com -all | Güvenlidir – Sadece belirlenen sunucular e-posta gönderebilir. | SPF yapılandırması doğrudur. |
E-posta Kimlik Doğrulama Standartları Nelerdir?
SMTP sizi e-posta sahtekarlığı, kimlik avı ve spam gibi sahtekarlıklardan koruyamaz. Bir e-posta iletisinin kaynağını belirleyecek ve alan adını doğrulayacak bir özelliğe sahip değildir. Bu işi e-posta kimlik doğrulaması yapabilir.
E-posta’ların kimliğini doğrulamak için yaygın olarak benimsenen üç standart vardır: SPF, DKIM ve DMARC. Kısaca, her biri aşağıdakileri yapar:
- SPF, e-posta’nın geldiği IP adresinin yetkili olup olmadığını kontrol eder.
- DKIM, imza doğrulama için anahtarları kullanarak mesajı kontrol eder.
- DMARC, her iki yaklaşımı tek seferde kapsar.
SPF, DKIM ve DMARC, teknik uygulama açısından farklılık gösterir, ancak bunların tümü DNS kayıtlarından yararlanır.
SPF Kaydı Nasıl Doğrulanır?
Uzman Posta aracılığıyla gönderilen e-postaları SPF’ye geçirmek için hiçbir şey yapmanız gerekmez, ancak çoğu hizmet için SPF’yi uygulamak, DNS’de yalnızca bir TXT girişi gerektirir. Bu girdi, kısa bir metin satırında birden çok değeri birleştirir. Bir sağlayıcı bunları SPF girişinize eklemenize ihtiyaç duyarsa, SPF girişinize kopyalamanız gereken tam metni sağlar.
SPF’yi kurarken en yaygın hata, DNS’nizde birden çok SPF TXT girişinin olmasıdır. Bunu yaparsanız, alıcı sunucu hangi SPF TXT girişinin kesin girdi olduğunu bilmez. Bu, geçerli sunucuların SPF’de başarısız olmasına neden olabilir. Bu nedenle, yeni bir hizmet için bir SPF kaydı eklemeniz gerektiğinde, her zaman önce mevcut bir SPF TXT girişiniz olmadığından emin olun. Zaten bir girişiniz varsa, servisi o girişe eklemeniz yeterlidir.
SPF kaydınızı kontrol etmek için linke tıklayabilir ya da yukarıda saydığımız tüm bu özellikleri size sunan bir e-posta hizmetine ihtiyaç duyuyorsanız, Uzman Posta web sitesine gelebilir, Uzman Posta’nın kesintisiz e-posta servisini deneyimleyebilirsiniz.
DMARC ve DKIM ile SPF’nin Uyumu
DMARC, DKIM ve SPF arasında seçim yapmak kafa karıştırıcı olabilir, ancak bu protokoller birlikte kullanıldığında genellikle daha etkilidir.
- SPF (Sender Policy Framework): Basit e-posta kurulumları için ve e-posta sahteciliğine karşı temel korumaya ihtiyaç duyduğunuzda en iyisidir. Ancak, yanlış pozitif olasılığı gibi sınırlamaları vardır.
- DKIM (DomainKeys Identified Mail): Kriptografik imzaları içeren daha sağlam bir e-posta kimlik doğrulama yöntemine ihtiyaç duyan işletmeler için idealdir. Daha güvenlidir ancak kurulumu daha fazla teknik uzmanlık gerektirir. SPF e-postanın kaynağını doğrularken, DKIM içeriğini doğrular. Birlikte, sahtecilik ve kimlik avı gibi yaygın e-posta tehditlerine karşı daha katmanlı ve sağlam bir savunma sağlarlar.
- DMARC (Domain-based Message Authentication, Reporting & Conformance): Temel olarak SPF ve DKIM ile birlikte uygulanmalıdır. Raporlama yoluyla içgörü kazanmak ve e-posta teslim edilebilirliği üzerinde tam kontrol sahibi olmak isteyen kurumlar için mükemmeldir.
SPF Kaydı Olmadan E-Posta Göndermek Riskli midir?
SPF kimlik doğrulaması olmadan, alıcı sunucular bir e-postanın yasal olup olmadığını ve gerçekten sizin alan adınızdan gelip gelmediğini doğrulayamaz. SPF ayrıca e-posta teslim edilebilirliğinizi artırmaya da yardımcı olur. SPF kaydı mevcut olduğunda, spam gönderenler alan adınızı e-posta dolandırıcılığı için kullanamaz, bu da e-postalarınızın spam veya önemsiz olarak işaretlenme olasılığının daha düşük olduğu anlamına gelir. E-posta sunucuları, SPF yoksa alan adınıza ait e-postaları reddedebilir çünkü e-postanın gerçekten alan adınızdan geldiğini doğrulayamazlar.
SPF Kayıtları Nasıl Çalışır?
Bir e-posta alındığında, alıcı sunucu aşağıdaki adımları izler:
- E-posta zarfındaki FROM (Gönderen) adresinden alan adı çıkarılır.
- (örnek: @sirketadi.com)
- Bu alan adına ait DNS kayıtları içinde, “v=spf1” ile başlayan TXT kayıtları aranır.
- Eğer SPF kaydı bulunamazsa, sistem ”Neutral (Tarafsız)” sonucu döner.
- Eğer birden fazla SPF kaydı varsa, bu PermError (Kalıcı Hata) olarak değerlendirilir ve yapılandırma geçersiz sayılır.
- Geçerli bir SPF kaydı varsa, listedeki mekanizmalar ve değiştiriciler kontrol edilerek gönderen sunucunun yetkili olup olmadığı belirlenir.
- Eğer e-posta gönderen IP veya sunucu yetkili listede varsa, SPF kontrolü geçer.
- Eğer yetkili değilse, SPF kontrolü başarısız olur ve e-posta reddedilebilir ya da spam olarak işaretlenebilir.
Sık Yapılan Hatalar ve Dikkat Edilmesi Gerekenler
Uygun e-posta güvenliğini sağlamak için alan adınız için bir SPF kaydı oluştururken aşağıdaki yaygın SPF hatalarını aklınızda bulundurun:
1. 10 DNS Sorgulama Sınırının Aşılması
SPF doğrulaması yapılırken, alıcı sunucu en fazla 10 DNS sorgusu gerçekleştirebilir. Bu sınır aşılırsa SPF kaydı çalışmaz ve e-postalar ya doğrulanamaz ya da hiç teslim edilmez. Bu durum alan adınızın kötüye kullanılmasına yol açabilir.
2. Birden Fazla SPF Kaydı Tanımlamak
Bir alan adında yalnızca tek bir SPF kaydı bulunmalıdır. Birden fazla SPF kaydı varsa alıcı sunucular hangisini dikkate alacaklarını bilemez ve bu durum e-posta teslimat başarısızlıklarına neden olur.
3. Yazım ve Biçim Hataları
Yanlış yazılmış mekanizmalar (örneğin ip4, include) ya da boşluk, tire ve büyük harf gibi biçim hataları SPF kaydının çalışmasını engeller. Örneğin, –all yerine -all kullanılmalı, mekanizmalar arasında yalnızca bir boşluk olmalı ve kayıt mutlaka v=spf1 ile başlamalıdır.
4. E-posta Göndermeyen Alan Adlarını Göz Ardı Etmek
Çoğu kişi aktif posta gönderen alan adlarını SPF ile korur ve posta göndermeyen alan adları için bir SPF kaydı oluşturmak için bu kadar çaba sarf etmez. Bilgisayar korsanları bir kurumun savunmasını aşmak için genellikle e-posta göndermeyen alan adlarını taklit eder. E-posta göndermeyen bir veya daha fazla alan adınız varsa, yapabileceğiniz en iyi şey bunlar için null SPF kayıtları yayınlamaktır.
Herhangi bir alan adı için null SPF kaydı (”v=spf1 -all”) yayınlamak, bu alan adının herhangi bir e-posta göndermediğini açıkça beyan eder. Örneğin, abc.com alan adınız herhangi bir e-posta göndermek için kullanılmıyorsa, bunun için aşağıdaki SPF kaydını yayınlayabilirsiniz:
”v=spf1 a:mail.abc.com -all”
Alan Adıma Neden Bir SPF Kaydı Eklemeliyim?
SPF mükemmel bir standart olmayabilir, ancak yine de bu standartı kullanmamaktansa kullanmanız, sizin için çok daha etkili olacaktır.
E-posta’lar SPF kurulmadan da teslim edilebilir, ancak SPF kullanmak şansınızı artırır. Bir SPF politikasına sahip olmak, ISS’lere ek bir güven sinyali sağlar, böylece e-posta’larınızın gelen kutusuna ulaşma olasılığını artırabilirsiniz. Sonuç olarak, SPF tüm teslimat sorunlarınızı çözmez, ancak teslimat oranlarınızı iyileştirebilir ve kötüye kullanımı önleyebilecek ek bir katmandır.
![Türkiye’de E-posta Kullanımı %40 Arttı [İnfografik]](https://uzmanposta.com/blog/wp-content/uploads/2021/02/turkiye-is-epostasi-verileri-2020-001-2-120x86.png)
