Exchange Online SPF, DMARC, DKIM/DKIM2 Kayıtlarını Etkinleştirme

Merhaba, Exchange Server ve Exchange Online yöneticileri olarak hızlı ve güvenilir bir mail akışını sağlamak adına sürekli olarak sistemlerimizi güncellemekteyiz. Bu süreçte, sadece sunucu ayarlarının ötesinde, DNS düzeyinde yapılan ayarlar da büyük bir önem taşımaktadır. Özellikle MX, SPF, DMARC ve DKIM gibi DNS kayıtlarının doğru ve eksiksiz bir şekilde yapılandırılması gerekmektedir.

MX (Mail Exchanger) Nedir?

MX kaydı, yani Mail Exchanger kaydı, e-posta sistemlerinde temel taşıdır. Bu DNS kaydı türü, e-posta iletilerinin nereye yönlendirileceğini belirten, yerel ve genel DNS yapılandırmalarında kullanılır. MX kaydı, Mail Transfer Agents (MTA)‘lara e-postaların hangi sunuculara iletilmesi gerektiğini gösterir ve böylece e-posta trafiğinin düzgün bir şekilde yönetilmesini sağlar.

• Relay Nedir? Exchange Server Relay Yapısı – Cengiz YILMAZ

1. MX Kaydının Bulunması:
   • Bir e-posta göndermek istediğinizde, gönderen sunucu öncelikle alıcının e-posta adresine ait alan adının DNS kayıtlarını sorgular. Burada amaç, ilgili domain için tanımlı MX kayıtlarını bulmaktır.
2. IP Adreslerinin Elde Edilmesi:
   • DNS sorgulaması sonucunda elde edilen MX kayıtları, bu kayıtlara atanmış IP adreslerini içerir. Bu IP adresleri, e-postanın iletilmesi gereken sunucuların adresleridir.
3. E-postanın Yönlendirilmesi:
   • E-posta, MX kayıtlarında belirtilen sunuculara göre öncelik sırasına göre yönlendirilir. Her MX kaydı bir öncelik değeri taşır ve düşük değerli öncelik daha yüksek tercih anlamına gelir. E-posta sunucusu, en düşük öncelikli (yani en yüksek tercih edilen) IP adresine e-postayı göndermeye çalışır. Eğer bu sunucu mevcut değilse veya yanıt vermiyorsa, bir sonraki en düşük öncelikli sunucuya geçer.

MX Kaydı Nasıl Sorgulanır

MX kayıtlarını sorgulamak, e-posta sunucularının doğru şekilde yapılandırıldığından emin olmanın ve e-posta teslim problemlerinin potansiyel nedenlerini analiz etmek önemlidir. Windows işletim sistemlerinde nslookup komutu, DNS kayıtlarını sorgulamak için kullanılabilir bir araçtır. Aşağıda, bir MX kaydının nasıl sorgulanacağına dair adımlar ve beklenen çıktılar verilmektedir.

Başlat menüsünde “cmd” yazarak Komut İstemcisini açın veya PowerShell’i kullanabilirsiniz.

MX kaydını sorgulamak için aşağıdaki komutu kullanabilirsiniz:

nslookup -q=MX contoso.com

Nslookup ile yapmış olduğunuz bu sorgunun sonucu aşağıdaki gibidir;

C:UsersCengiz>nslookup -q=MX contoso.com
Server:  [DNS sunucu adı]
Address:  [DNS sunucu adresi]

Non-authoritative answer:
contoso.com     MX preference = 10, mail exchanger = contoso-com.mail.protection.outlook.com

contoso-com.mail.protection.outlook.com internet address = 104.47.57.110
contoso-com.mail.protection.outlook.com internet address = 104.47.51.110

Bir domain birden fazla MX kaydına sahip olabilir. Bu durumda, e-postalar öncelik değeri en düşük olan sunucuya gönderilmeye çalışılır.

MX ve diğer DNS kayıtlarınızı sorgulamak için Online araçlar bulunmaktadır;

• mxtoolbox.com
• dnscheckers.org

SPF Nedir?

• SPF Nedir (Sender Policy Framework) – Cengiz YILMAZ

• Detaylı halini yukarıda bırakmış olduğum SPF Nedir? makalesinden okuyabilirsiniz.

SPF, yani Sender Policy Framework, e-posta güvenliği için tasarlanmış bir protokoldür ve genellikle sahteciliği önlemek için kullanılır. SPF, domain adına sahip olanların, hangi mail sunucularının domainleri adına e-posta gönderebileceğini belirtmelerine olanak tanıyan bir DNS TXT kaydıdır.

Bir e-posta gönderildiğinde, alıcı sunucu e-postanın geldiği domaini (örneğin, “contoso.com”) inceler.

Alıcı sunucu, gönderici domain için DNS kayıtlarını sorgular ve SPF kaydını arar. SPF kaydı, gönderici domainin hangi IP adreslerinden e-posta gönderebileceğini listeler.

SPF kaydını meşru IP adreslerinin beyaz listesi olarak düşünün ve yalnızca gelen bir e-posta IP adreslerinden birinden geldiğinde, SPF yeşil ışık yakar.

DMARC Nedir?

DMARC, e-posta doğrulama, raporlama ve uygulama protokolü olarak bilinmektedir. DMARC, SPF (Sender Policy Framework) ve DKIM (DomainKeys Identified Mail) gibi mevcut e-posta doğrulama tekniklerini kullanarak, bir domainden gönderilen e-postaların kimliğinin doğrulanmasını, yönetilmesini ve raporlanmasını sağlar.

DMARC, bir e-posta alındığında SPF ve DKIM doğrulama sonuçlarını değerlendirir ve bu sonuçlara göre belirlenen politikalara göre hareket eder. Eğer e-posta, belirtilen doğrulama yöntemlerinden biri veya her ikisi ile eşleşmezse, DMARC politikası, alıcının ne yapması gerektiğini belirtir.

1. E-posta Gönderimi: Bir e-posta gönderildiğinde, gönderici sunucu e-postayı SPF ve DKIM ile imzalamaktadır
2. E-posta Alınması ve Kontrol Edilmesi: E-posta alıcı tarafından alındığında, alıcı sunucu SPF, DKIM ve ardından DMARC doğrulaması yapar.
3. Politika Kararı:
   • Geçerliysen: E-posta DMARC politikasına uygunsa, alıcı tarafından normal bir şekilde işlenir.
   • Geçersizse: E-posta DMARC politikasına uymuyorsa, DMARC kaydında belirtilen talimatlara göre işlem yapılır (örn. karantinaya alma, reddetme).
4. Raporlama: DMARC, gönderenlere kimlik avı saldırıları ve diğer kötü amaçlı faaliyetler hakkında bilgi vermek için ayrıntılı raporlar sağlar.

Bir DMARC politikası genellikle aşağıdaki formatı takip eder ve DNS kayıtlarında bir TXT kaydı olarak yer almaktadır

v=DMARC1; p=reject; rua=mailto:[email protected]

• v=DMARC1: Bu, kaydın DMARC versiyonunu belirtir.
• p=reject: Eğer e-posta DMARC doğrulamasından geçmezse, e-postanın reddedilmesi gerektiğini belirtir. Diğer seçenekler none (hiçbir işlem yapma) ve quarantine (karantinaya alma) olabilir.
• rua=mailto:[email protected]: Raporların gönderileceği e-posta adresini belirtir.

DKIM Nedir?

DKIM, e-posta iletilerinin bütünlüğünü ve göndericinin kimliğini doğrulamak için kullanılan bir e-posta doğrulama yöntemidir. DKIM, gönderilen her e-postanın başlığına bir dijital imza ekler. Bu imza, alıcı sunucular tarafından doğrulanarak, e-postanın değiştirilmeden geldiğini ve ilgili domainin sahibi tarafından gönderildiğini teyit etmeye yardımcı olur.

• E-posta gönderilmeden önce, gönderici sunucusu, e-postanın başlığını ve bazı belirli içeriklerini kullanarak bir hash (özet) oluşturur. Daha sonra bu hash, özel bir anahtarla şifrelenir ve e-postanın başlığına DKIM-Signature etiketi ile eklenir.
• DKIM kullanımı için, gönderici domainin DNS kayıtlarında bir DKIM kaydı bulunmalıdır. Bu kayıt, e-posta imzalarının doğrulanması için kullanılan genel anahtarı içerir. DKIM kaydı genellikle bir “selector” adı verilen bir etiketle birlikte kullanılır. Bu selector, hangi DKIM anahtarının kullanılacağını belirler.
• E-posta alıcı tarafına ulaştığında, alıcı sunucu, gönderici domainin DNS’sinden ilgili selector kullanılarak DKIM kaydını sorgular. Bu kayıt, e-posta başlığında bulunan şifreli imzanın çözümlenmesi için gerekli olan genel anahtarı içerir.
• Alıcı sunucu, e-postanın başlığından aldığı imza bilgisi ile kendi oluşturduğu hash’i karşılaştırır. Eğer bu iki değer birbiriyle uyuşuyorsa, bu e-postanın bütünlüğü bozulmamış ve doğrulanmış olarak kabul edilir.

Exchange Online MX, SPF ve AutoDiscover Kaydı Nasıl Etkinleştirilir

Kuruluşunuz Exchange Online‘a geçiş yaptıktan sonra, Microsoft sizden bazı önemli DNS kayıtlarını public DNS sunucunuza eklemenizi ister. Bu kayıtlar; MX, SPF, ve Autodiscover CNAME kayıtlarıdır.

Exchange Online'da ilk domain tanımlaması yaptığınız zaman hizmetin aktif olması için  MX, SPF ve CNAME olarak AutoDiscover kayıtlarının yayınlanması gerekmektedir. 

• Öncelikle https://portal.office.com/Adminportal adresinde oturum açıyoruz.
• Sol Menü de bulunan Settings – Domains adımını takip ediyoruz.
• Domains bölümünde Microsoft 365 Tenantı içerisinde bulunan Domainlerimizi listeleyebilir ve DNS Health Check durumlarını görebiliriz.

• MX, SPF ve Autodiscover CNAME kayıtlarını görmek istediğimiz, domaini seçebilir veya Add Domains bölümünden yeni domain ekleyerek devam edebiliriz.
• Domain içerisinde hatalı bir kayıt veya yayınlanmamış bir kayıt olması durumunda Status bölümünde uyarı işareti görebilirsiniz.

Public DNS Sunucunuzda yayımlanması gereken önemli DNS kayıtlarını Settings – Domains bölümünde Domain seçimi yaptıktan sonra DNS Records sekmesinde görebilirsiniz.

Not: CloudFlare kullanıyorsanız Proxy hizmetini devre dışı bırakmanız gerekmektedir.

Exchange Online’da MX, SPF ve AutoDiscover kayıtlarınızı bu şekilde görüntüleyebilir ve girmeniz gereken değerleri Domains sekmesinden öğrenebilirsiniz.

Exchange Online DKIM Kaydı Etkinleştirme

DKIM (DomainKeys Identified Mail), e-posta alışverişinizin güvenliğini artırmanın önemli bir yolu olarak, gönderilen e-postalarınızın doğrulanmasını ve kimlik avı saldırılarının önlenmesine yardımcı olur.

Exchange Online‘da DKIM kayıtlarını etkinleştirmek aşağıdaki adımları takip edebilirsiniz.

https://security.microsoft.com/ adresine gidin ve Microsoft 365 hesabınızla oturum açın.

Alternatif olarak, Microsoft 365 portalında sol menüden “Security” seçeneğine tıklayarak da Security & Compliance Center‘a erişebilirsiniz

• Sol menüdeki Policies & Rules sekmesine gidin.

• Threat Policies seçeneğine tıklayın, ardından Email Authentication Settings altında yer alan DKIM ayarlarına gidin.
• Exchange Online DKIM oluşturma için direkt link aşağıdaki gibidir;
• DomainKeys Identified Mail (DKIM) – Microsoft Defender

• Hangi domain üzerinde DKIM‘i etkinleştirmek istiyorsanız, o domaine gidin.
• Create DKIM Keys butonuna tıklayarak DKIM anahtarlarınızı oluşturun.

DKIM kaydını etkinleştirmek istediğimiz Domaini açarak, Create DKIM keys butonu ile kayıtlarımızı oluşturuyoruz.

Host Name: selector1._domainkey
Points to address or value: selector1-cengizyilmaz-net._domainkey.yilmaz33.omicrosoft.com
Host Name: selector2._domainkey
Point to address or value: selector2-cengizyilmaz-net._domainkey.yilmaz33.omicrosoft.com
Host Name: selector2._domainkey

Create DKIM keys butonu bize Public DNS üzerinde oluşturmamız gereken CNAME kayıtlarını iletiyor.

Exchange Online’da oluşturmuş olduğum DKIM kayıtlarını yayınlamak için Public DNS sunucumda LOGIN işlemi gerçekleştiriyorum.

DNS kayıtlarını ekledikten sonra, Sign messages for this domain with DKIM signatures seçeneğini enabled olarak ayarlayın. DNS kayıtlarınız doğru şekilde yapılandırılmadıysa, bu işlemi gerçekleştiremezsiniz.

DNS değişikliklerinizin yayınlanması bazen zaman alabilir. Bu süre zarfında, DNS kayıtlarının düzgün şekilde yayınlandığını ve etkin olduğunu kontrol etmek için beklemeniz gerekebilir. Bu süreç genellikle birkaç saat ile 24 saat arasında değişebilir.

DKIM yapılandırmanızın doğru çalıştığını test etmek için, Microsoft tarafından sağlanan online DKIM test araçlarını kullanabilirsiniz.

• Microsoft 365 admin center linkini açıyoruz.

• What is the domain name you wish to check adımında test etmek istediğimiz Domain adını yazmamız yeterli olacaktır.

Eğer DNS hizmetinizi CloudFlare gibi bir sağlayıcı üzerinden alıyorsanız, bazı özel ayarlamalar yapmanız gerekebilir. Örneğin, CloudFlare'da proxy özelliğinin DKIM kayıtları için devre dışı bırakılması gerekebilir.

Exchange Online DMARC Kaydı Yayınlama

Microsoft 365 portalında doğrudan DMARC kaydı için bir bağlantı bulunmamaktadır. Bu yüzden, DMARC kaydınızı kendiniz oluşturup DNS sunucunuz üzerinden yayınlamanız gerekmektedir. DMARC kaydı, e-posta trafiğinizin güvenliğini artırmak için SPF ve DKIM doğrulama sonuçlarına dayanarak e-postaların nasıl işleneceğini tanımlar.

Eğer DMARC kaydınızı kendiniz oluşturmak istemiyorsanız, çeşitli online araçlar kullanabilirsiniz. Örneğin, “Free DMARC Record Generator” gibi servisler, ihtiyaçlarınıza uygun DMARC kaydı oluşturmanıza yardımcı olur.

Free DMARC Record Generator – DMARCLY

DMARC kaydınızı oluştururken, belirli aksiyonlar tanımlamanız gerekebilir. Örneğin, SPF doğrulaması için sıkı hizalama (strict alignment) isteyip istemediğinizi ve eğer DMARC doğrulaması başarısız olursa ne yapılması gerektiğini belirleyebilirsiniz. Aşağıdaki örnek, bazı yaygın parametreleri içerir

v=DMARC1; p=quarantine; sp=quarantine; aspf=s; fo=s;

• p=quarantine: Eğer DMARC doğrulaması başarısız olursa, e-postaları karantinaya alın.
• sp=quarantine: Alt domainler için de aynı politikayı uygula.
• aspf=s: SPF hizalamasını sıkı yap (sadece tam eşleşen göndericiler kabul edilir).
• fo=s: Doğrulama başarısız olduğunda bir rapor üret.

Ben DMARC raporu istemediğim için Forensic Email ve Aggregate Email kısımlarını boş bıraktım ve sadece SPF için hizalama istedim bu yapılandırmaya göre oluşturduğum DMARC kaydı ise aşağıdaki gibidir.

Oluşturduğunuz DMARC kaydını, DNS yönetim paneliniz üzerinden TXT kaydı olarak ekleyin.

Bundan sonraki adımda göndermiş olduğunuz maillerin Header bölümünde DMARC ve DKIM kaydınız işaretlenecek şekilde iletilecektir.

Benzer Yazilar – Exchange Online SPF, DMARC, DKIM/DKIM2 Kayıtlarını Etkinleştirme

• Exchange Server ve Yol Haritası
• Exchange Server 2019 İçin Genel Destek Bitti: Mainstream Support Sonrası Roadmap
• Alternate Witness Server for Exchange Server
• Exchange Server 2016 ve 2019 TLS Certificate Name Receive Connector