Defaults.Exposed › Düzeltmeler › DMARC (E-posta Sahteciliği Koruması)

DMARC (E-posta Sahteciliği Koruması) nasıl düzeltilir

DMARC, dünyanın posta sağlayıcılarına işletmenizin adını taklit eden e-postaları BLOKE etmelerini söyleyen tek ayardır. SPF ve DKIM kilitleri kontrol eder; DMARC, bir sahtecilik kontrolü başarısız olduğunda ne olacağına karar verir — çöpe atılsın mı, işaretlensin mi, yoksa geçirilsin mi. Yanlış ayarlanırsa alan adınız tamamen taklit edilebilir; doğru ayarlanırsa kimliğe bürünme gelen kutusunda durur.

İşletmeniz için sonuç: DMARC uygulaması olmadan, suçlu tam olarak sizin işletmenizden geliyormuş gibi görünen e-posta gönderebilir — müşterilerinize, personele ve tedarikçilere — ve gelen kutusuna düşer, spam'lerine değil. İnsanlar adınıza dolandırılır ve sizi suçlar.

Bu size ne mal olabilir

Dolandırıcı müşterinize 'hesap ekibinizden' gerçek görünen fatura e-postası gönderir, kendi banka bilgileriyle. Müşteri öder. Ödedikleri malı takip ettiklerinde haftalar sonra öğrenirsiniz — ve sizi sorumlu tutarlar.
Sahte 'acil ödeme' e-postası kendi muhasebe personelinize gider, sizden, sahibinden geliyormuş gibi görünür. Kim kontrol etmeyi düşünmeden parayı havale eder — ve suçlunun hesabına bir kez düştüğünde, neredeyse hiç geri alınamaz.
Büyük bir potansiyel müşterinin BT ekibi imzalamadan önce alan adınızda güvenlik kontrolü yapar. 'E-posta korunmamış — taklit edilebilir' olarak geri gelir. Geçen rakibe anlaşmayı kaybedersiniz.
Alan adınız kimlik avı dalgasında kullanılır. Tuzağa düşen müşteriler kızgın yorumlar bırakır ve diğerlerini uyarır. İtibar hasarı saldırıyı aylarca aşar.
Hatta kendi gerçek e-postanız spam'e düşmeye başlar, çünkü Google ve Yahoo uygulanan DMARC politikası olmayan alan adlarına artan ölçüde güvensizlik duyuyor — ve artık bazen reddediyor.

Neden önemlidir. E-posta, gerçekte kimin gönderdiğini kanıtlamak için hiçbir zaman inşa edilmedi, dolayısıyla 'kimden' adresini taklidi önemsizdir. DMARC, 'sahtecilikleri tespit edebiliriz'i 'sahtecilikleri bloke edilir'e dönüştüren tek kontroldür — ve markanız olarak posta gönderenin kim olduğunu ortaya koyan günlük raporları da size sağlar. Büyük posta kutusu sağlayıcıları artık eksik veya uygulanmamış DMARC politikasını size karşı bir güven sinyali olarak değerlendiriyor, dolayısıyla bu kendi e-postanızın teslim edilip edilmediğini de etkiliyor.

Sade dilde DMARC nedir

E-postanın kirli bir sırrı var: “kimden” satırı yalnızca yazılan metindir. Herhangi biri, herhangi bir yerden, bir e-postanın “kimden” alanına sizin işletmenizin adını ve adresini yazıp gönderebilir. İnternet bunu durdurmak için hiçbir zaman tasarlanmadı.

Bunu birlikte düzelten üç ayar var. Bir binanın güvenliği gibi düşünün:

SPF, ön kapıdan kimin içeri girebileceğinin listesidir (hangi posta servisleri sizin adınıza gönderebilir).
DKIM, mesajın aktarım sırasında değiştirilmediğini kanıtlayan kurcalanmaya karşı dayanıklı mühürdür.
DMARC, listeyi ve mühürü kontrol eden güvenlik görevlisidir — ve kritik olarak, eşleşmediklerinde ne yapılacağına karar verir: geçirin, spam’a gönderin veya kapıdan geri çevirin.

Listeye (SPF) ve mühüre (DKIM) sahip olup hâlâ bekçi olmayabilirsiniz. Bu en yaygın ve en tehlikeli durumdur: kilitler var, ama uygulamak için hiçbir şey yok. DMARC uygulamadır. “Bu e-postanın sahte olduğunu söyleyebiliriz” ile “bu sahte e-posta müşterinize asla ulaşmaz” arasındaki farktır.

Size maliyeti ne olabilir

Bu teorik değil. Korumasız alan adının gerçek para ve gerçek hasara dönüştüğünün somut yolları:

Sahte fatura dolandırıcılığı. Suçlu müşterinize tam olarak muhasebe ekibinizden gerçek fatura gibi görünen e-posta gönderir — aynı isim, aynı alan adı, profesyonel düzende — ama kendi banka bilgileriyle. Alan adınız uygulanmadığından, spam’lerine değil gelen kutusuna düşer. Müşteri öder. Siparişlerinin nerede olduğunu sorduklarında haftalar sonra keşfedersiniz. Para genellikle gider ve müşteri çoğunlukla ihlal için sizi sorumlu tutar.
Yönetici dolandırıcılığı havale transferi. Sizden, sahibinden, muhasebe personelinize bir e-posta görünür: “Bu ödemeyi acilen yapabilir misin, toplantıdayım.” Tam gerçek görünür çünkü sizin adresinizdir — yalnızca taklit. Ödeme çıkar. Bu örüntü — İş E-posta Uzlaşması — tam olarak e-posta gerçekten kendi alan adınızdan geldiği için şüpheyi doğrudan geçtiğinden küçük işletmeleri vuran en maliyetli dolandırıcılıklardan biridir.
Kaybedilen sözleşme. Ciddi potansiyel müşteri imzalamadan önce güvenlik veya tedarik kontrolü yapar. Araçları alan adınızı “taklit edilebilir — e-posta kimlik doğrulama uygulaması yok” olarak raporlar. Bu tek kırmızı bayrak, sözleşmeyi politikası geçen rakibe vermek için yeterli olabilir. Gerçek nedeni asla duymadınız.
Geri alamadığınız itibar kaybı. Alan adınız kimlik avı kampanyasına çekilir. Adınıza tuzağa düşürülen onlarca kişi uyarılar ve yorumlar yayınlar. Saldırı bir hafta sürer; “bu şirket güvenli mi?” sorusu aylarca devam eder.
Spam’e düşen kendi e-postanız. Google ve Yahoo artık uygulanan DMARC politikası olmayan alan adlarına aktif olarak güvensizlik duyuyor. Gerçekten gönderdiğiniz teklifler, faturalar ve yanıtlar sessizce spam klasörlerine düşmeye başlıyor. Anlaşmalar beklemede kalıyor ve neden olduğunu asla bulamıyorsunuz.

Teknik olarak nedir (ve “iyi” neye benziyor)

DMARC, alan adınızın ayarlarında tek metin satırı olarak yaşar — özel _dmarc.alanadi adında yayınlanmış DNS “TXT” kaydı. İçinde birkaç kısa talimat var. İkisi en çok önemlidir ve bu değerlendirmenin kontrol ettiği tam olarak bu ikidir.

1. Politika (p=) — görevlinin emirleri. Kontrolün ağır ağırlıklı bölümü budur. Üç şeyden biri olabilir:

p=none — yalnızca izle. Görevli kimin geçtiğini not eder ama kimseyi durdurmaz. Bu sizi hiçbir şeye karşı korumaz; izleme aşamasıdır, bitmiş kurulum değil. (Motorumuz bunu başarısız olarak puanlar — DMARC hiç olmamasından iyidir, ama koruma değil.)
p=quarantine — sahtecilikleri spam’e gönder. Gerçek koruma, ama kararlı saldırgan insanların spam klasörünü kontrol etmesine güvenir. Sağlam basamaktır — yaklaşık yarım puan alır.
p=reject — sahtecilikleri kapıda reddet. Taklit e-posta asla teslim edilmez. Bu hedeftir ve tam puan kazandıran tek ayardır.

“İyi” neye benziyor: p=reject. Daha azı boşluk bırakır.

İki teknik ayrıntı kontrolümüzün da baktığı, yakalanmamak için bilmeye değer:

Alt alan adı politikası (sp=). Ana alan adınız için güçlü politika ayarlayabilir ama alt alan adlarını (mail.alanadi veya haber.alanadi gibi) yanlışlıkla tamamen açık bırakabilirsiniz. Motorumuz bunu ağır cezalandırır — saldırganlar sadece alt alan adını taklit ederek p=reject ama sp=none olan alan adını devre dışı bırakır. İyi uygulama, sp’nin güçlü ana politikanızı devralmasına izin vermek veya açıkça reject olarak ayarlamaktır.
Yüzde (pct=). Dikkatli dağıtım sırasında uygulamayı yalnızca postanın bir bölümüne uygulayabilirsiniz (ör. pct=25). Bu meşru geçiş aracıdır, ama kısmi dağıtım yalnızca kısmi koruma sağlar ve puanımız bunu yansıtır — 25%‘ten 100%‘e doğru ilerledikçe yükselir, ama tam puan tam kapsam gerektirir.

2. Raporlama adresi (rua=) — görünürlüğünüz. Bu sayfadaki ikinci kontrol budur. rua= etiketi, dünyadaki her posta sağlayıcısından alan adınız olarak e-posta göndermeye kimin çalıştığının — kendi sistemleriniz ve taklit ediciler — günlük özetini gönderme isteğidir. Bunu olmadan kör uçuyorsunuz: adınızın kim tarafından kötüye kullanıldığını bilmiyorsunuz. Bununla, işletmeler rutin olarak ilk günde 5 ila 50 yetkisiz göndereni keşfeder.

Raporlama için “iyi” neye benziyor: raporları gerçekten alan geçerli rua=mailto: adresi (veya raporlama hizmeti https: URL’si). Kontrolümüz formatı doğrular — yanlış yazılmış veya hatalı biçimlendirilmiş adres, raporların sessizce hiçbir yere gitmediği anlamına gelir; bu, etiket teknik olarak “mevcut” olsa bile kısmi veya başarısız sonuç olarak puanlanır.

Nasıl düzeltilir (ücretsiz, ~iki hafta boyunca 30 dakika)

Bu bölümü alan adınızı, web sitenizi veya BT’nizi yöneten kişiye iletin — düzeltme tamamen ücretsizdir. Yalnızca zamanla doğru kaldığını izlemek için, bir portföy alan adı yönetmek için veya denetim için ücret alıyoruz. Değişikliğin kendisi hiçbir şeye mal olmaz.

Altın kural: asla doğrudan reject’e atlamayın. Önce izlemeyi açın, raporları izleyin, gerçek postanın tanındığını doğrulayın, ardından sıkılaştırın. Bu sırayla yapılırsa güvenlidir; aceleyle yapılırsa kendi e-postanızı çöpe atabilir.

1. Adım — Önce SPF ve DKIM’in yerinde olduğundan emin olun. DMARC bunlara dayanır. İkisi eksikse, DMARC uygulamadan önce bunları düzeltin (SPF ve DKIM sayfalarına bakın).

2. Adım — Raporlama açıkken izleme kaydı yayınlayın. DNS TXT kaydı ekleyin:

Barındırıcı / ad: _dmarc.alanadi (DNS sağlayıcınız bunu yalnızca _dmarc olarak gösterebilir)
Tür: TXT
Değer: v=DMARC1; p=none; rua=mailto:dmarc@alanadi; adkim=s; aspf=s

Bu henüz hiçbir şeyi engellemeden izler ve raporlar. adkim=s; aspf=s bölümleri sıkı hizalamayı ister — emin değilseniz başlangıçta dışarıda bırakın ve postanızın temiz olduğu onaylandıktan sonra ekleyin.

3. Adım — ~2 hafta boyunca raporları okuyun. Ham DMARC raporları yoğun XML’dir. Bunları okunabilir gösterge tablosuna dönüştürmek için ücretsiz raporlama hizmeti kullanın (örneğin dmarcian veya Postmark’ın ücretsiz DMARC aracı). Her meşru gönderenin — posta kutusu sağlayıcınız, haber bülteni aracı, CRM, yardım masası, faturalama uygulaması — geçtiğini doğrulayın. Geçemeyen gerçek göndereni düzeltin.

4. Adım — Karantinaya geçin. Gerçek postanız temizlendiğinde p=none’ı p=quarantine’e değiştirin. Birkaç gün daha izleyin.

5. Adım — Redde geçin. Son olarak p=quarantine’i p=reject’e değiştirin. Artık tam korudasınız. Son kayıt şöyle görünür:

v=DMARC1; p=reject; rua=mailto:dmarc@alanadi; adkim=s; aspf=s

6. Adım — Alt alan adlarını unutmayın. sp=none yerinde olmadığından emin olun. Hiç sp yayınlamazsanız, alt alan adları ana p= politikanızı devralır; istediğiniz budur.

Yaygın platform notları:

Google Workspace / Microsoft 365: Her ikisi de DMARC’ı tam destekler. DMARC kaydının kendisi DNS sağlayıcınıza gider, Google veya Microsoft’un yönetici konsoluna değil — önce yönetici konsolunda SPF ve DKIM’i etkinleştirin, ardından kayıt şirketinizde/DNS barındırıcınızda DMARC TXT kaydını yayınlayın.
Cloudflare: DNS > Kayıtlar > Kayıt ekle > TXT, ad _dmarc, değeri yapıştırın. Cloudflare ayrıca bunu sizin için kurabilen ve raporları toplayabilen yerleşik DMARC yönetimi de sunar.
Yaygın barındırıcılar / kayıt şirketleri: “DNS”, “DNS Bölgesi” veya “Gelişmiş DNS”i arayın, _dmarc adı ve yukarıdaki değerle TXT kaydı ekleyin. Yayılma genellikle birkaç dakika ila bir saat alır.

Yaygın hatalar

p=none’da kalmak. Açık ara en yaygın hata. İzleme başlangıçtır, bitiş değil — none’da takılı kalan alan adı hâlâ tam olarak taklit edilebilir. Motorumuz tam bu nedenle bunu başarısız olarak puanlar.
İzleme olmadan doğrudan reject’e atlamak. Ters hata. Raporlama aşaması olmadan meşru bir gönderenin (çoğunlukla haber bülteni veya faturalama aracı) hizalı olmadığını fark etmeyebilirsiniz — ve kendi postanızı engellemeye başlarsınız.
Alt alan adı politikasını unutmak. Güçlü p=reject ama sp=none yan kapıyı tamamen açık bırakır; saldırganlar sadece alt alan adını taklit eder.
Kırık raporlama adresi. Yanlış yazılmış rua= (veya mailto: ön ekini atlayan) raporların hiçbir yere gitmediği anlamına gelir ve fark etmeden kör kalırsınız. Format, geçerli mailto: veya https: URI olmalı yoksa raporlar asla teslim edilmez.
“E-posta göndermiyoruz, atlayalım.” Posta göndermeyen alan adı kimse izlemediği için tam da bu nedenle birinci derece hedeftir. Kapıyı tamamen kilitlemek için katı reject politikası yayınlayın.

Puanlama hakkında bir not

Politika kontrolü (p=) tüm değerlendirmedeki en ağır puanlanan öğelerden biridir — çünkü işletmenizin taklit edilip edilmeyeceğindeki tek en büyük faktördür. reject tam puanı alır; quarantine yaklaşık yarım; none ve eksik kayıt başarısız olarak puanlanır. Daha zayıf alt alan adı politikası veya kısmi pct= dağıtımı, puanı gerçekte sahip olduğunuz gerçek koruma düzeyine çeker.

Raporlama kontrolü (rua=) gerçek ağırlık taşır, ama bunu işaretlenecek kutu olarak değil reject’e güvenli ulaşmanızı sağlayan araç olarak değerlendirin. İzleme kaydınızla aynı anda kurun ve ilk günde görünürlükte kendini öder.

Sunucunuzda kurun

Popüler sağlayıcılar için adım adım:

SSS

Hiç teknik bilgim yok — bunu gerçekten halledebilir miyim?

Evet, ama kişisel olarak yapmanıza gerek yok. Düzeltme alan adınızın ayarlarına eklenen birkaç satırdır ve ücretsizdir. En basit yol, aşağıdaki 'Nasıl düzeltilir?' bölümünü web sitenizi veya BT desteğinizi çalıştıran kişiye iletmektir. Genellikle birkaç haftalık güvenli izleme boyunca yayılmış birkaç saatten az sürer.

DMARC açmak yanlışlıkla kendi e-postalarımın geçmesini durdurabilir mi?

Yapabilir — ama yalnızca güvenli dağıtımı atlarsanız. 'Yalnızca izle' de başlamanın (p=none) raporlama açıkken tüm amacı, iki hafta izleyip her meşru göndereni (posta kutunuz, haber bülteni aracınız, faturalama uygulamanız) ENGELLEMEDEN önce doğru şekilde tanındığını doğrulamaktır. Bu sırayla yapıldığında gerçek postanız etkilenmez. İzleme olmadan doğrudan 'reddet'e koşmak teslimatı kıran tek yaygın hatadır.

Zaten SPF ve DKIM kurulu. Bu yeterli değil mi?

Hayır — ve bu anlaşılması en önemli nokta. SPF ve DKIM kilittir; DMARC 'kilitler eşleşmiyorsa e-postayı reddet' talimatıdır. DMARC olmadan 'reddet' politikasıyla, alıcı sunucu e-postanın taklit edildiğini fark edip hâlâ teslim edebilir. SPF ve DKIM, DMARC'ın çalışması için ön koşullardur, ama kendi başlarına taklit edilmiş e-postanın gelen kutusuna ulaşmasını durdurmaz.

'none', 'quarantine' ve 'reject' arasındaki fark nedir? Hangisine ihtiyacım var?

'none' yalnızca izler ve raporlar — hiçbir şeyi durdurmaz, dolayısıyla sizi korumaz. 'quarantine' sahtecilikleri spam klasörüne gönderir. 'reject' onları tamamen reddeder, böylece asla gelmezler. 'reject' hedeftir ve tam puan kazandıran tek ayardır. 'quarantine' makul bir basamaktır; 'none' ilk birkaç hafta için başlangıç noktasıdır, varış yeri değil.

'rua' raporlama şeyi nedir ve buna ihtiyacım var mı?

rua etiketi, posta sağlayıcılarından alan adınız olarak e-posta göndermeye çalışan her sisteme — suçlular dahil — günlük özet göndermesini ister. Birinci günde bir alan adını istismar eden 5 ila 50 yetkisiz göndereni işletmelerin bu şekilde keşfettiğidir. Kendi başına politikadan daha az ağırlık taşır, ama gerçek postanızı bozmadan güvenle 'reddet'e geçmenin yolu budur — dolayısıyla aynı anda kurun.

Neredeyse hiç e-posta göndermiyoruz veya bu alan adından hiç göndermiyoruz. Yine de DMARC'a ihtiyacımız var mı?

Özellikle o zaman. Az veya hiç gerçek e-posta göndermeyen alan adı, kimse izlemediği için suçluların taklit etmesi için mükemmel, düşük gürültülü hedeftir. Hiç posta göndermediğiniz alan adı katı reddetme politikası yayınlamalıdır — kapıyı tamamen kapatan, temiz, düşük riskli kazanımdır.