Exchange Online SPF, DMARC, DKIM/DKIM2 Kayıtlarını Etkinleştirme

Merhaba, Exchange yöneticileri hızlı ve güvenilir bir mail akışı için sürekli sistemlerini güncellemektedir. Üzerinde en çok durdukları nokta ise iyi bir mail akışıdır, aslında burda sunucundan bağımsız işlemlerinde yapılması gerekmektedir; MX, SPF, DMARC ve DKIM kayıtlarının tam olması bunlardan bir tanesidir. Aslında konumuz yine DNS 🙂

Aslında her sistem yöneticisinin bu tanımlamaları bilmesi ve anlaması gerekiyor, ama tekrardan ilgili kayıtların üzerinden geçmekte fayda var.

Makale İçeriği;

• MX Nedir?
• MX Kaydı Sorgulama
• SPF Nedir?
• DMARC Nedir?
• DKIM Nedir?
• Exchange Online’da SPF, DMARC, MX ve DKIM/DKIM2 Kayıtları Nasıl Etkinleştirilir?
• Exchange Online DKIM Kaydı Etkinleştirme
• Exchange Online DMARC Kaydı Yayınlama

MX Nedir?

MX, (Mail Exchanger) anlamına gelmektedir. MX kaydı sizin local ve public DNS’te kullanılan bir kayıt türüdür. MTA’lara postaları nereye göndereceklerini işaret etmektedir.

Bir e-posta göndermek istediğiniz zaman, giden sunucu aşağıdaki adımları yapmaktadır;

1- Alıcı adresin DNS kayıtlarında bulunan MX kaydı bulunur

2- MX kayıtlarının IP adresleri bulunur

3- E-postayı önceliği yüksek olan IP adresine gönderir

MX Kaydı Sorgulama

Bir MX kaydı sorgulamak için nslookup veya online servisleri kullanabilirsiniz, nslookup ile sorgulama için aşağıdaki adımı kullanabilirsiniz.

nslookup -q=MX contoso.com

Bu komutun çıktısı aşağıdaki gibi olmalıdır.

C:\Users\Cengiz>nslookup -q=MX contoso.com
Server:  SANSUR :)
Address:  SANSUR :)

Non-authoritative answer:
contoso.com     MX preference = 10, mail exchanger = contoso-com.mail.protection.outlook.com

contoso-com.mail.protection.outlook.com internet address = 104.47.57.110
contoso-com.mail.protection.outlook.com internet address = 104.47.51.110

C:\Users\Cengiz>

SPF Nedir?

SPF Nedir? Sender Policy Framework – ÇözümPark (cozumpark.com)

Detaylı halini CozumPark üzerinde yayınlamış olduğum SPF Nedir? konulu yazıyı okuyabilirsiniz.

Yetkilendirmiş olduğumuz domain ve sunucuları işaretleyen bir TXT Dns kaydı olarak kısa bir tanımını yapabiliriz.

1- E-posta gönderdiğiniz zaman alıcı taraf göndermiş olduğunuz iletiyi alır ve domaini inceler “contoso.com”

2- contoso.com için DNS kayıtlarını kontrol eder ve gönderici sunucunun IP adresi SPF kaydında olup olmadığını kontrol eder, eğer listeneliyorsa mail alıcıya teslim edilir.

SPF kaydını meşru IP adreslerinin beyaz listesi olarak düşünün ve yalnızca gelen bir e-posta IP adreslerinden birinden geldiğinde, SPF yeşil ışık yakar. Başka hiçbir barındırıcı, alanınızı kullanarak e-posta gönderemez. SPF kimlik doğrulama sonucu daha sonra DMARC kimlik doğrulaması için kullanılmaktadır.

DMARC Nedir?

SPF ve DKIM kaydını inceleyerek analiz işlemi gerçekleştirmektir, kayıt içerisinde kullanmış olduğunuz protokollere göre aksiyon almaktadır.

DKIM Nedir?

E-posta gönderdiğiniz zaman DKIM kaydı ile beraber posta header içerisinde imza bırakılmaktadır. İlgili imza şifrelenmiş bir biçimde oluşuyor ve alıcı sunucu imzayı okuyabilmek için sizin DNS kaydına bıraktığınız selector’e gidiyor daha sonra doğrulama gerçekleştikten sonra ilgili mail alıcıya teslim ediliyor.

Exchange Online’da SPF, DMARC, MX ve DKIM/DKIM2 Kayıtları Nasıl Etkinleştirilir?

Kuruluşunuzda artık Exchange Online kullanmaya başladınız ve Portal üzerinden Domain kaydınızı ve domain doğrulama işlemlerini gerçekleştirdiniz. Microsoft öncelikle sizden MX, SPF ve Autodiscover kayıtlarını Public DNS sunucunuza girmenizi istiyor.

Siz kayıtları girdiğiniz zaman Status durumunda ilgili kaydınızın durumunu 365 servislerinde görebiliyorsunuz, örnek olarak benim CNAME olarak eklemem gereken autodiscover kaydım bulunmadığı için Error vermekte.

Microsoft 365 servisleri ilk domain ekleme sırasında sizden bu 3 DNS kaydını eklemenizi istiyor çünkü bu kayıtlar aslında bir mail servisinin temel taşıdır. CNAME olarak eklemem kaydı public DNS sunucumda düzenledim ve 365 servisinde kontrol ettiğim zaman Status durumunda yaşanan sorunun çözüldüğünü görüntüleyebildim.

Not: DNS olarak CloudFlare kullanıyorsanız CNAME kaydında Proxy Only özelliğini kapatmanız gerekmektedir

MX, CNAME ve SPF kaydı için aşağıdaki adımları takip edebilirsiniz;

Öncelikle https://admin.microsoft.com/ oturum açmanız gerekiyor.

Settings – Domains adımlarından kullanmış olduğunuz domaine gelerek MX, SPF ve CNAME kayıtlarını görüntüleyebilir durumlarını kontrol edebilirsiniz.

Exchange Online DKIM Kaydı Etkinleştirme

Öncelikle https://security.microsoft.com/ adresinde oturum açmamız gerekiyor yada 365 portalda sol menü üzerinden defender’a tıklayabilirsiniz.

Policies & Rules – Threat Policies – Email Authentication Settings adımlarını takip ediyoruz ve DKIM kaydını hangi domain üzerinde etkinleştirmemiz gerekiyorsa ilgili domaine geliyoruz.

Daha sonra Create DKIM Keys butonu ile DKIM anahtarlarımızı oluşturuyoruz.

Public DNS üzerinde oluşturmamız gereken kayıtları bize bildiriyor, ilgili kayıtları Public DNS sunucunuzda oluşturmadığınız sürece DKIM etkinleştirmesini gerçekleştirememektesiniz.

Public DNS sunucumda SELECTOR1 ve SELECTOR2 kayıtlarını oluşturdum şimdi portal üzerinden DKIM etkinleştirmesini gerçekleştirebiliriz.

Sign messages for this domain with DKIM signatures bölümünü enabled olarak ayarlabiliriz, eğer kayıtlar girmezseniz burada etkinleştirme işlemi gerçekleştiremezsiniz.

DNS hizmetini CloudFlare üzerinden aldığım için ilgili kayıtları CloudFlare kullanarak oluşturuyorum. İlgili kayıtları aşağıdaki gibi girdim.

Kayıtlar bazen hemen yayınlanmadığı için bazı durumlarda 24 saat beklemeniz gerekebilir. Kayıtlarınız yayınladıktan sonra DKIM kaydını portal üzerinden Enabled duruma sorunsuz getirebilirsiniz.

Exchange Online DKIM test işlemini aşağıdaki link üzerinden gerçekleştirebilirsiniz.

Home – Microsoft 365 admin center

Exchange Online DMARC Kaydı Yayınlama

Microsoft 365 portalında DMARC için bir bağlantı bulunmamaktadır, DMARC kaydınızı kendiniz oluşturabilir ve DNS sunucunuz üzerinden yayınlayabilirsiniz. DMARC kaydı oluştururken kullanmanız gereken aksiyonları iyi belirlemeniz gerekmektedir.

Eğer kendiniz oluşturmak istemiyorsanız aşağıdaki link ile DMARC kaydı oluşturabilirsiniz.

Free DMARC Record Generator – DMARCLY

Burada yapılandırmanızı seçerek bir kayıt oluşturabilirsiniz. Ben şimdi kendi alan adım ile ilgili yapılandırmaları gireceğim.

Ben DMARC raporu istemediğim için Forensic Email ve Aggregate Email kısımlarını boş bıraktım ve sadece SPF için hizalama istedim bu yapılandırmaya göre oluşturduğum DMARC kaydı ise aşağıdaki gibidir.

v=DMARC1; p=quarantine; sp=quarantine; aspf=s; fo=s;

CloudFlare üzerinden DMARC kaydı aşağıdaki gibi girilmektedir.

Bundan sonraki adımda göndermiş olduğunuz maillerin Header bölümünde DMARC ve DKIM kaydınız işaretlenecektir.