SPF, DKIM ve DMARC yapılandırması

Bu kılavuz, e-posta gönderme performansını iyileştirmek için üç önemli bileşen olan SPF, DKIM ve DMARC'ı yapılandırma sürecini gösterecektir.

SPF, DKIM ve DMARC'ın doğru yapılandırılması, e-posta sunucularına olan güveni artıracak ve e-postalarınızın spam klasörüne düşme olasılığını en aza indirecektir.

• SPF (Gönderen Politika Çerçevesi), başkalarının sizin adınıza e-posta göndermesini önlemek için tasarlanmış bir güvenlik önlemidir. Hangi IP adreslerinin e-posta göndermesine izin verildiğini ve hangilerinin verilmediğini belirler.
• DKIM (DomainKeys Identified Mail) bir mesaj kimlik doğrulama yöntemidir. Her e-posta gönderildiğinde, özel anahtarla imzalanır ve ardından alıcı posta sunucusunda (veya İnternet servis sağlayıcısında) DNS genel anahtarıyla doğrulanır.
• DMARC (Alan Adı Tabanlı Mesaj Kimlik Doğrulaması, Raporlama ve Uygunluk), e-posta kimlik doğrulaması için SPF ve DKIM'i kullanarak spam ve kimlik avı saldırılarını azaltır.

SPF yapılandırması (Gönderen İlke Çerçevesi)

1.1. SPF'yi yapılandırmak için alan adınızın DNS ayarlarına bir TXT kaydı eklenmelidir.

1.2. SPF kaydının sözdizimi aşağıdaki gibidir:

• v=spf1: sizin tarafınızdan kullanılan bir SPF sürümünü belirler. Bugün sadece SPF1 kullanılıyor.
• ip4:[Posta_Sunucunuzun_IP'si]: Posta sunucunuzun IP adresinin alan adınız adına e-posta göndermesine izin verildiğini belirtir.
• a: Bir alan adının DNS'inde bir A kaydı (IPv4 adresi) varsa, o kayıtta belirtilen sunucunun alan adı adına e-posta gönderebileceğini belirtir.
• mx: Bir alan adının DNS'inde MX (posta değişim) kaydı varsa, bu kayıtta belirtilen sunucunun alan adı adına e-posta gönderebileceğini belirtir.
• ~all: Yalnızca SPF kaydındaki sunucuların etki alanı adına e-posta gönderebileceğini belirtir. E-posta başka bir sunucudan gelirse, "yumuşak eşleşme" (~) olarak işaretlenir, bu da kabul edilebileceği ancak olası spam olarak işaretlenebileceği anlamına gelir.

Bu elementler bir araya geldiğinde aşağıdaki gibi görünen bir SPF oluşturur:

Ad: [Alan_Adınız]

v=spf1 ip4:[Your_Mail_Server_IP] a mx ~all

[Posta_Sunucunuzun_IP'sini] e-posta sunucunuzun IP adresiyle değiştirin.

DKIM (Alan Anahtarları Tanımlı Posta) yapılandırması

2.1. Önce opendkim ve opendkim-tools'u kurun. Kurulum süreci işletim sistemine bağlıdır:

CentOS için:

yum install opendkim -y

Debian/Ubuntu için:

apt install opendkim opendkim-tools -y

2.2. Sonra, opendkim servisini başlatın ve önyükleme sırasında başlatılmasını etkinleştirin:

systemctl start opendkim
systemctl enable opendkim

2.3. Anahtarların saklanacağı bir dizin oluşturun:

mkdir -p /etc/opendkim/keys/yourdomain.com

2.4. opendkim-genkey aracını kullanarak anahtarlar oluşturun:

opendkim-genkey --directory /etc/opendkim/keys/yourdomain.com/ --domain yourdomain.com --selector dkim

'yourdomain.com' kısmını gerçek alan adınızla değiştirmeyi unutmayın.

2.5. Anahtarlar için uygun izinleri ayarlayın:

chown -R opendkim:opendkim /etc/opendkim/keys/yourdomain.com

2.6. Şimdi opendkim'i yapılandırmamız gerekiyor. /etc/opendkim.conf dosyasını açın ve aşağıdaki ayarları ekleyin:

AutoRestart Yes
AutoRestartRate 10/1h
Umask 002
Syslog Yes
SyslogSuccess Yes
LogWhy Yes
Canonicalization relaxed/simple
ExternalIgnoreList refile:/etc/opendkim/TrustedHosts
InternalHosts refile:/etc/opendkim/TrustedHosts
KeyTable refile:/etc/opendkim/KeyTable
SigningTable refile:/etc/opendkim/SigningTable
Mode sv
PidFile /var/run/opendkim/opendkim.pid
SignatureAlgorithm rsa-sha256
UserID opendkim:opendkim
Socket inet:8891@localhost

2.7. Alan adınızı /etc/opendkim/TrustedHosts dosyasına ekleyin

127.0.0.1
localhost
*.yourdomain.com

2.8. /etc/opendkim/KeyTable dosyasını şu şekilde düzenleyin:

dkim._domainkey.yourdomain.com yourdomain.com:dkim:/etc/opendkim/keys/yourdomain.com/dkim.private

2.9. /etc/opendkim/SigningTable dosyasını değiştirin. Şu şekilde görünmesi için

*@yourdomain.com dkim._domainkey.yourdomain.com

2.10. Debian/Ubuntu kullanıyorsanız, opendkim portunu belirtin:

echo 'SOCKET="inet:8891@localhost"' >> /etc/default/opendkim

2.11. Değişikliklerin uygulanabilmesi için opendkim servisini yeniden başlatın:

systemctl restart opendkim

2.12. Son olarak, genel anahtarı etki alanınızın DNS yapılandırmalarına ekleyin. Anahtarlar /etc/opendkim/keys/yourdomain.com/dkim.txt'dedir.

DMARC (Alan Adı Tabanlı Mesaj Kimlik Doğrulama, Raporlama ve Uygunluk) yapılandırması

3.1. DMARC'ı yapılandırmak için alan adı ayarlarınıza bir TXT kaydı ekleyin:

Name: _dmarc.[Your_Domain].
Значение: v=DMARC1; p=none; aspf=r; sp=none

[Alan_Alanınız] kısmını alan adınızın adıyla değiştirin.

PTR (İşaretçi Kaydı) yapılandırması

4.1. Ters DNS kaydı olarak da bilinen bir PTR kaydı, bir IP adresini bir etki alanı adına dönüştürmek için kullanılır. Bu, posta sunucuları için önemlidir çünkü bazı sunucular PTR kaydı olmayan iletileri reddedebilir.

4.2. PTR kaydı genellikle internet servis sağlayıcısının veya barındırma sağlayıcısının ayarlarında yapılandırılır. Bu ayarlara erişiminiz varsa, sunucunuzun IP adresini ve buna karşılık gelen alan adını belirterek bir PTR kaydı ayarlayabilirsiniz.

4.3. PTR kayıt ayarlarına erişiminiz yoksa, PTR kayıt yapılandırma talebinizle internet servis sağlayıcınıza veya barındırma sağlayıcınıza başvurun.

4.4. PTR'yi yükledikten sonra Linux'ta dig komutunu kullanarak kontrol edebilirsiniz:

dig -x your_server_IP

'your_server_IP'yi sunucunuzun IP adresiyle değiştirin. Yanıt, etki alanı adınızı içermelidir.

SPF, DKIM ve DMARC yapılandırmasının tüm adımlarını tamamladıktan sonra, posta sunucusunun gönderdiğiniz postaları spam olarak işaretleme olasılığı çok daha düşük olacak; mektuplarınızın alıcılara ulaşması garanti altına alınacaktır.