Bilgisayar Genel Güvenlik İnternet Teknoloji

Daha Güvenli E-posta İletişimi İçin DMARC, DKIM, SPF Kavramları ve Kontrolleri

E-Posta Güvenliği Neden Önemlidir?
E-posta, zararlı yazılımların, istenmeyen e-postaların, kimlik avı ve kimlik hırsızlığı saldırılarının yaygınlaşması için alıcıların hassas bilgileri açığa çıkarmalarını, ekleri açmalarını veya mağdurun cihazına zararlı yazılım yükleyen köprülere tıklamaları için aldatıcı mesajlar kullanan popüler bir araçtır. Günümüzde E-posta aynı zamanda bir kurumsal ağda bir yer elde etmek ve değerli şirket verilerini ihlal etmek isteyen saldırganlar için ortak bir giriş(sızma) vektörü olmaktadır. Sohbet ve anlık mesajlaşma uygulamalarının artan kullanımına rağmen, e-posta, herhangi bir kuruluş için en yaygın kullanılan iletişim yöntemlerinden biri olmaya devam etmektedir ve kimlik avı saldırıları, kuruluş içerisindeki kişilerin kötü niyetli saldırganlara kapı açmalarını sağlayan en başarılı araçlardan biri olmaya devam etmektedir. Kimlik avı saldırganlar tarafından etkin bir şekilde çok çeşitli şekillerde kullanılabilmektedir: Kimlik avı e-postasındaki bir bağlantı veya ek, çalışanları şirket tarafından verilmiş bir kaynakta olduğunu düşünürken, kimlik bilgilerinin toplanacağı bir web sayfasına yönlendirebilir. Kurumsal ağlar için kimlik bilgisi kümelerinden ödün vererek, saldırganlar ağ kaynaklarına erişebilir ve kuruluştaki diğer kullanıcıları etkilemek için ek şemalar kullanabilirler.

Zararlı Yazılım Kullanmak
E-posta kullanan saldırganlar, alıcının ekleri açacağı veya zararlı bağlantıları ziyaret edeceği ümidiyle bir kullanıcıya zararlı yazılım içeren ekler gönderebilir. Ne yazık ki, çoğu zaman, e- posta alıcıları istenmeyen postaları kontrol etmek için cazip görünüyorlar ya da zararlı olarak teşhis edilmesi zor olan oldukça özelleştirilmiş biçimlerle işlenmektedirler.

Hesapları Devralmak
Zararlı yazılım, başarılı bir kimlik avı kampanyasının birçok tehlikesinden yalnızca bir tanesidir. Saldırganlar, sahte giriş sayfaları oluşturarak bir şirketin kullandığı herhangi bir web kaynağına erişmek için kimlik avı saldırılarını kullanabilir. Toplanan bilgiler, saldırganın kullanıcı hesaplarını ele geçirmesine ve kullanıcının erişebileceği her şeye erişmesini sağlar. Örneğin: Popüler bir video barındırma ve medya ortak girişimi, 3,12 TB dahili dosya değerinin bozulmasına neden olan bir phishing saldırısında hedef alınmıştır. [3] E-posta tabanlı siber saldırılar hız kazanmaktadır ve bu saldırıların maliyeti artmaktadır, birkaç gizli maliyetle birlikte, Avrupa, Orta Doğu ve Afrika’daki BT profesyonellerinin bir anketi aşağıdaki gibi ortaya çıkmıştır. PhishMe şirketi yaklaşık 1000 kuruluşa 40 milyon simüle edilmiş phishing (oltalama) e- postası gönderdikten sonra saldırıların %91’nin bir phishing (oltalama) e-postasıyla başladığını belirtmektedir. PhishMe’nin araştırması ayrıca sağlık hizmetleri sektörünün güvenlik farkındalığı eğitimi almasına rağmen sağlık çalışanı arasında %31’lik bir kimlik avı e- posta yanıt oranıyla, özellikle kimlik avı saldırıları yoluyla kuruma sızılma riski bulunduğunu tespit etmiştir. Phishing e-postaları ile insanların aldatılmasının en önemli nedenleri Merak (%13,7), Korku (%13,4) ve Aciliyet (%13,2) olarak belirtilmiştir ve ödül, sosyal, eğlence ve fırsat şeklinde devam etmektedir. [1] Aynı zamanda IBM’in X-Force araştırmacılarının yaptığı bir çalışmaya göre, yalnızca spam e- postalarının sayısı hızla artmakla kalmıyor, şu anda tüm e-postaların yarısından fazlasının spam olduğu tahmin ediliyor. Zararlı yazılım ekleri içeren spam e-postalarının sayısı da dramatik bir artış gösteriyor. Birçok şirket için bu artış, spam’in sadece bir sıkıntı değil, saldırıların ana dağıtım mekanizmalarından biri olduğu ve dolayısıyla kuruluşlarına doğrudan bir tehdit oluşturduğu gerçeğini belirtmektedir.

E-Posta Temel Güvenlik Kavramları
Bir e-posta gönderildiğinde veya alındığında, e-postanın gerçek olduğuna veya doğrulanmış gönderen adresinden veya alan adından gönderildiklerine dair açık veya net bir işaret bulunmamaktadır E-posta güvenliğini iyileştirmenin bir yolu DMARC (domain-based message authentication) standardıdır.

DMARC Nedir?
DMARC (domain-based message authentication), e-posta gönderenlerin ve alıcıların bir iletinin göndericiden meşru olup olmadığını anlamasını sağlayan ve eğer gönderici meşru değilse ne yapılacağını belirlemesini kolaylaştıran bir teknolojidir. En temel terimlerle, DMARC, e-postanızın kimlik bilgilerini kontrol etmekten başka bir şey değildir. DMARC protokolü, aslında birlikte kullanıldığında, e-posta güvenliğini artırmaya yardımcı olan bir dizi protokolün ve teknolojinin yalnızca en üst katmanıdır. DMARC, SPF (Sender Policy Framework) ve DKIM (Domain Keys Identified Mail) olarak bilinen e-posta kimlik doğrulama teknolojileri için politika katmanı olarak düşünülebilir. DMARC, modern e-postada yanlış olan her şey için bir çözüm değildir. Spam ve hileli e- postaları azaltmaya yardımcı olabilecek bir kimlik doğrulama katmanı sağlamaktadır. DMARC politikası olmadan, alıcıların belirli bir e-postanın gerçekten gelip gelmediğini iddia ettiği alandan yetkilendirilmiş olup olmadığını bilmenin kolay bir yolu yoktur.

DMARC Neden Önemlidir?
Sosyal internetin yükselişi ve e-ticaretin yaygınlığıyla birlikte, phishing (oltalama saldırıları) ve korsanlar parola, banka hesabı, kredi kartı ve daha fazlasını çalmak için muazzam bir mali güce sahipler. E-postanın taklit edilmesi kolaydır ve suçluların tanınmış markaların kullanıcı güvenini kullanmaları için kanıtlanmış bir yöntem olduğunu belirlenmiştir. İyi bilinen bir markanın logosunu bir e-postaya eklemek, birçok kullanıcıyla anında güven sağlamaktadır. DMARC, bu sorunları ele alarak, e-posta gönderenlerin ve alıcıların, e-postaları daha güvenli hale getirmek için birlikte çalışmasına, kullanıcıları ve markaları kötüye kullanmaya karşı korumaktadır.

DMARC, bütün phishing (oltalama) saldırılarını engelliyor mu?
Hayır. DMARC sadece doğrudan domain sahteciliğine karşı koruma sağlamak için tasarlanmıştır. example.com’un sahipleri / işletmecileri bu alanı korumak için DMARC kullanıyorsa, otherdomain.com veya example.net üzerinde herhangi bir etkisi olmaz (“.net” ve “.com” gibi). Belirli bir alan adını takliti kimlik avı için yaygın bir yöntem kullanılırken, DMARC’nin ele almadığı başka saldırı vektörleri de bulunmaktadır. Örneğin istismar edilen hedefe benzeyen bir etki alanından gönderme (örneğin exampl3.com vs. example.com) veya “Gönderen” alanını istismar edilen hedeften gelme durumu gibi.

DMARC, SPF ve DKIM ile nasıl etkileşir?
SPF (Sender Policy Framework) ve DKIM (DomainKeys Identified Mail), DMARC sürecini oluşturmaktadır. DMARC’yi geçmek için bir mesaj SPF authentication(kimlik doğrulaması) ve SPF hizalama ve / veya DKIM kimlik doğrulaması ve DKIM hizalamasını geçirmelidir. Bir mesaj, SPF ve DKIM veya DKIM’den başarısız olursa, bu mesaj DMARC’den başarısız olur.

SPF (Sender Policy Framework) Nedir?
SPF, sahteciliği algılamak ve spam saldırılarını önlemek için yetkili bir posta sunucusundan gönderilen bir e-posta iletisini doğrulamak için bir işlem tanımlayan bir e-posta kimlik doğrulaması biçimidir. Bir alanın(domain) sahibi, SPF protokolleriyle hangi posta sunucularını gönderebileceğini tam olarak belirleyebilmektedir.

SPF Nasıl Çalışır?
En temel düzeyde SPF, bir alandan gelen e-postanın o alanın yöneticileri tarafından yetkilendirilmiş bir ana bilgisayardan gönderildiğini doğrulamak için posta sunucularını almak için bir yöntem oluşturmaktadır. Aşağıdaki üç adım SPF’nin nasıl çalıştığını özetlemektedir:
● Bir alan(domain) yöneticisi, o alandan e-posta göndermeye yetkili posta sunucularını tanımlayan politikayı yayınlar. Bu politikaya SPF kaydı denir ve alanın genel DNS kayıtlarının bir parçası olarak listelenir.
● Gelen posta sunucusu gelen bir e-postayı aldığında, DNS’teki geri dönüş (return-path) etki alanı kurallarına bakar. Gelen sunucu, posta göndericinin IP adresini SPF kaydında tanımlanan yetkili IP adresleriyle karşılaştırır.
● Alıcı posta sunucusu daha sonra e-posta mesajının kabul edilip edilmeyeceğine, reddedileceğine veya başka bir şekilde işaretleneceğine karar vermek için gönderen alanın SPF kaydında belirtilen kuralları kullanır. Bir SPF kaydı oluşturmak, alan adınızdan gelen meşru e-postanın müşteri gelen kutularına başarılı bir şekilde iletilmesini sağlamak için size bir adım daha yaklaştıracaktır. Bir e-posta iletisinin yetkili bir posta sunucusundan gönderildiğini doğrulamak söz konusu olduğunda, DKIM devreye girer. SPF Kayıtlarını sorgulamak için https://tools.sparkpost.com/spf/inspector adresini kullanabilirsiniz.

DKIM (DomainKeys Identified Mail) Nedir?
DKIM, bir iletinin alıcı tarafından doğrulanabilecek şekilde bir iletinin sorumluluğunu almasını sağlayan bir e-posta kimlik doğrulaması biçimidir. DKIM, sahteciliği tespit etmek ve spam gibi zararlı e-postaların iletilmesini önlemek için bir e-posta iletisinin yetkili bir posta sunucusundan gönderildiğini doğrulamak için “public key cryptography” kullanmaktadır.

DKIM Nasıl Çalışır?
Basitçe söylemek gerekirse, DKIM bir e-posta mesajının başlığına dijital imza ekleyerek çalışır. Bu imza daha sonra kuruluşun DNS kaydında bulunan genel bir şifreleme anahtarına karşı doğrulanabilmektedir. Bir e-posta mesajının başlığına dijital imza ekleyerek çalışmaktadır. Bu imza, kuruluşun DNS kayıtlarındaki ortak bir şifreleme anahtarına karşı doğrulanabilir. Genel anlamda, süreç şu şekilde çalışır: ● Alan adı sahibi, alanın genel DNS kayıtlarında özel olarak biçimlendirilmiş bir TXT kaydı olarak bir şifreli ortak anahtarı (public key) yayınlar. ● Giden posta sunucusu tarafından bir posta iletisi gönderildiğinde, sunucu iletiye benzersiz bir DKIM imza başlığı oluşturur ve ekler. Bu başlık, iki kriptografik hash bulundurur, belirtilen başlıklardan birini ve ileti gövdesinden birini (veya bir kısmını) içerir. Başlık, imzanın nasıl oluşturulduğu hakkında bilgi içerir.

 ● Gelen posta sunucusu gelen bir e-posta aldığında, gönderenin genel DKIM anahtarını DNS’de arar. Gelen sunucu imzayı çözmek ve yeni hesaplanmış bir versiyonla karşılaştırmak için bu anahtarı kullanır. İki değer eşleşirse, iletinin değişmeden geçişi kanıtlanabilir.
E-postanızı DKIM Validator ile doğrulayabilirsiniz.

Adres: https://tools.sparkpost.com/dkim

Ticari e-postaları gönderen bir işletmeyseniz hem SPF’yi hem de DKIM’i kullanmanız çok önemlidir. Bu protokoller işinizi yalnızca kimlik avı ve sahtekarlık saldırılarına karşı korumakla kalmayacak, SPF ve DKIM de müşteri ilişkilerinizi ve marka itibarınızı korumanıza yardımcı olacaktır. İş açısından kritik e-postaların müşterilerinizin gelen kutularına zamanında ulaşmasını sağlamak ve spam klasörlerine için alabileceğiniz adımlardan yalnızca birkaçı oldukları unutulmamalıdır.

DMARC Kaydı Sorgulama
Dmarc kayıtlarını online hizmetler kullanarak sorgulayabilirsiniz. Örneğin, https://mxtoolbox.com/DMARC.aspx kullanabilmektedir.

Kaynak : https://www.slideshare.net/bgasecurity/daha-gvenli-eposta-letiimi-in-dmarc-dkim-spf-kavramlar-ve-kontrolleri

Yazar Hakkında

Mustafa SEVİNÇ