Mail Server’da DMARC Reject’e Geçiş Planı

DMARC (Domain-based Message Authentication, Reporting, and Conformance), e-posta güvenliğini artırmak için SPF ve DKIM protokollerini entegre eden kritik bir standarttır. Mail sunucularında DMARC politikasını “reject” moduna geçmek, sahte e-postaları tamamen engelleyerek markanızı phishing ve spoofing saldırılarına karşı korur. Bu geçiş, ani kesintilere yol açmamak için dikkatli bir planlama gerektirir. Bu makalede, kurumsal mail sunucularında DMARC reject’e sorunsuz geçiş için adım adım bir plan sunacağız. Plan, mevcut altyapıyı değerlendirme, kademeli politika güncellemeleri ve sürekli izlemeyi kapsar. Bu yaklaşım, e-posta teslimat oranlarını korurken güvenliği maksimize eder.

Hazırlık Aşaması: Mevcut Altyapıyı Değerlendirme

DMARC reject’e geçişten önce, mail sunucunuzun SPF ve DKIM uyumluluğunu tam olarak doğrulamalısınız. SPF kaydı, DNS’te TXT olarak tanımlanmış olmalı ve yetkili IP aralıklarını içermelidir. Örneğin, sunucunuzun IP’si “v=spf1 ip4:192.0.2.1 include:_spf.google.com ~all” şeklinde yapılandırılmalıdır. DKIM ise her outgoing mail için dijital imza üretmelidir; bu, Postfix veya Exim gibi sunucularda OpenDKIM entegrasyonuyla sağlanır. Mevcut DMARC politikanızı “p=none” veya “p=quarantine” olarak ayarlayıp en az 30 gün rapor toplamış olmalısınız.

Rapor analizi için dmarcly.com veya Postmark gibi araçlar kullanın; bu raporlar XML formatında gelir ve align oranlarını gösterir. Eğer SPF/DKIM pass oranı %90’ın altındaysa, reject’e geçmeyin. Pratik takeaway: Bir test domaini oluşturun ve trafiği buraya yönlendirerek simülasyon yapın. Bu aşama, geçiş öncesi sorunları tespit eder ve kesinti riskini minimize eder. Toplam hazırlık süresi 4-6 hafta olmalıdır.

Kademeli Politika Geçişi: Adım Adım Uygulama

Adım 1: Quarantine Moduna Geçiş

İlk aşamada DMARC TXT kaydınızı “v=DMARC1; p=quarantine; rua=mailto:[email protected]; ruf=mailto:[email protected]” olarak güncelleyin. Bu, şüpheli mailleri spam klasörüne yönlendirir. Değişikliği DNS’e yansıtmak 48 saat alır; ardından 2 hafta günlük raporları inceleyin. Pass oranı %95’in üzerindeyse ilerleyin. Bu adım, gerçek reject öncesi tampon sağlar ve forward edilmiş maillerin etkisini test eder.

Adım 2: Reject Modu Aktivasyonu

DNS kaydını “v=DMARC1; p=reject; pct=100; rua=mailto:[email protected]” yapın. pct=100 ile tam reject uygularsınız. Mail sunucunuzda (örneğin Microsoft Exchange’de) DMARC enforcement’ı etkinleştirin. Geçiş öncesi, büyük müşterilere bildirim gönderin ki whitelist’lere eklesinler. Örnek: Bir kurumsal firma, bu adımla phishing girişimlerini %99 azalttı. Uygulama sonrası ilk 7 gün kritik; anormalliklerde pct=50’ye düşürün.

Adım 3: Subdomain ve Legacy Sistemler

Subdomain’ler için “sp=reject” ekleyin; legacy sistemleri (eski CRM’ler) SPF’ye dahil edin. Mail gateway’lerde (Proofpoint gibi) DMARC override kurallarını kaldırın. Bu, kapsamlı koruma sağlar ve %100 uyum hedefler.

İzleme ve Sürekli Optimizasyon

Reject sonrası, haftalık aggregate raporları (rua) analiz edin; failure nedenlerini (spf=fail, dkim=fail) giderin. Forensic raporlar (ruf) ile bireysel şikayetleri inceleyin. Araçlar olarak dmarcian veya internal script’ler kullanın. E-posta teslimat metriklerini (bounce rate, open rate) Google Postmaster Tools ile takip edin. Eğer pass oranı düşerse, DKIM selector’larını çoğaltın veya SPF include’ları optimize edin.

Pratik liste: 1) Haftalık dashboard kurun (pass/fail grafikleri). 2) Ekip eğitimi verin (sysadmin’ler rapor okumayı öğrensin). 3) Yıllık review yapın, politika pct’sini ayarlayın. Bu süreç, DMARC’i dinamik tutar ve yeni tehditlere adapte eder. Uzun vadede, reject modu marka itibarını güçlendirir.

DMARC reject’e geçiş, mail sunucunuzu endüstri standardına taşır ve siber tehditlere karşı proaktif koruma sağlar. Bu planı uygulayarak, kesintisiz bir süreç yönetebilir, e-posta ekosisteminizi güçlendirebilirsiniz. Hemen hazırlık aşamasına başlayın ve raporlarınızı düzenli inceleyin; başarı, disiplinli izlemede gizlidir.