E-posta iletilebilirliğine derinlemesine bakış
- Ekim 1971'de, MIT mezunu Ray Tomlinson ilk e-postayı ağ üzerinden gönderdi.
- Geçen yıl yaklaşık 4,3 milyar kişi arasında yaklaşık 121 trilyon e-posta gönderildi.
- E-posta, dünyadaki en önemli yazılı iletişim biçimidir ve yakın gelecekte de öyle olmaya devam edecektir.
Genel bakış
- 3 Ekim 2023'te Google ve Yahoo, spam, phishing ve malware girişimlerini önlemek için yeni e-posta güvenliği standartlarını duyurdu.
- E-posta hizmet sağlayıcıları bu politikaları uygulamaya koydukça, e-posta iletilebilirliği yönergelerine uymak zorunlu hale geliyor.
- En büyük değişiklik, SPF, DKIM ve DMARC gibi e-posta kimlik doğrulama standartlarının uygulanmasıdır.
- Gmail'de kimliği doğrulanmamış postalar engellenir.
Kimler etkileniyor
- Başlıca etkilenenler toplu göndericilerdir; kendi alan adlarında SPF, DMARC ve DKIM'i etkinleştirmeleri gerekir.
- Toplu gönderici olmasanız bile, yönergelere uymazsanız etkilenebilirsiniz.
Zaman çizelgesi
- Google, Şubat 2024'ten itibaren toplu göndericilerin e-postalarını kimlik doğrulamasından geçirmesini zorunlu kıldı.
- Yahoo da 2024'ün ilk çeyreğinden itibaren aynı gereksinimleri uygulamaya aldı.
Yönergeler
- Gönderici kimlik doğrulaması: SPF, DKIM ve DMARC gibi e-posta kimlik doğrulama protokollerini uygulayın.
- Toplu gönderici gereksinimleri: Spam filtrelerine takılmamak ve itibar kaybını önlemek için gereksiz toplu e-posta gönderiminden kaçının.
- Kolay abonelikten çıkış: Abonelikten çıkma seçeneğini kolayca uygulanabilir hale getirin.
- Etkileşim: Yanıltıcı konu satırlarından, aşırı kişiselleştirmeden ve spam filtrelerini tetikleyen promosyon içeriklerinden kaçının.
Gönderici kimlik doğrulaması
- SPF, DKIM ve DMARC, kurumun e-postalarını korumaya yardımcı olan üç kimlik doğrulama standardıdır.
- Bu standartların doğru yapılandırılması, saldırılara karşı koruma sağlar ve iletilebilirliği artırarak e-postaların spam klasörü yerine gelen kutusuna ulaşmasına yardımcı olur.
Etki
- Google, e-posta filtrelemeyi ve kullanıcı deneyimini iyileştirmek için algoritmalarını ve kullanıcı raporu verilerini sürekli güncelliyor.
- Yeni güvenlik yönergeleri, e-posta iletilebilirliği ve etkileşim üzerindeki etkileri ortaya koyuyor.
Araçlar
- E-posta hijyenini kurmaya, doğrulamaya ve sürdürmeye yardımcı olan ücretsiz çevrimiçi kaynakların bir listesi sunuluyor.
Uygulama
- Bu yönergeleri uygulamak, kaynakları sınırlı küçük organizasyonlar için zorlayıcı olabilir.
- E-posta kimlik doğrulamasını uygulamak için hizmet sağlayıcınızın kaynaklarına veya desteğine başvurun.
Bonus
- Hacker'ların e-posta güvenliği açıklarını istismar ettiği bazı yöntemler tanıtılıyor.
GN⁺ görüşü
- Bu yazı, e-posta güvenliğiyle ilgili güncel standartlara uymanın önemini vurguluyor. Bu, e-posta üzerinden iletişimin güvenilirliğini artırır ve kullanıcıların spam ya da phishing gibi tehditlerden korunmasına katkı sağlar.
- E-posta hizmet sağlayıcıları yeni güvenlik standartlarını uygulamaya koydukça, organizasyonların bu değişikliklere uyum sağlamak ve gereklilikleri yerine getirmek için çaba göstermesi gerekir. Bu, özellikle gizlilik ve veri güvenliğine duyarlı olduğumuz bir dönemde daha da önemlidir.
- Bu yazı, özellikle e-posta pazarlamasıyla ilgili iş yürüten şirketler için faydalı olabilir. E-posta pazarlaması hâlâ birçok şirket için önemli bir pazarlama kanalı olduğundan, e-posta iletilebilirliğini korumak başarılı kampanyalar için kritiktir.
- E-posta kimlik doğrulama standartlarını uygulamak teknik bir zorluk olabilir; özellikle SPF, DKIM ve DMARC gibi protokollerle ilk kez karşılaşan organizasyonlar için daha da zorlayıcıdır. Bu standartları devreye alırken teknik destek ve kaynak gerekebilir; bu da zaman ve maliyet anlamına gelebilir.
- Bu yazı, e-posta güvenliğini güçlendirmek isteyen organizasyonlara faydalı yönergeler ve araçlar sunarak e-posta sistemlerinin zayıf noktalarını gidermeye ve kullanıcı deneyimini iyileştirmeye yardımcı olabilir.
1 yorum
Hacker News yorumları
“Gmail”, “Outlook”, “Yahoo” gibi e-posta sağlayıcılarının etkisine bakınca, şirketleri hedefleyen başka saldırılar için hedefli teslimat başarısızlığı mümkün olmaz mı diye hep merak etmişimdir
Kurbanın, özellikle de bir şirketin, mailing listesinin ya da STK'nın, saldırganın sahip olduğu adreslere toplu e-posta göndermesi sağlanır; saldırgan da bu postaları Gmail/Yahoo/Outlook'ta spam olarak işaretler
Böylece yapay zeka spam filtresi bunu yeni bir spam faaliyeti olarak öğrenir ve sonrasında gerçek müşterilere giden postaları bile spam olarak işaretleyebilir ya da teslim edilmeden silebilir
Yaklaşık bir yıl sonra şirket her çeyrekte para kaybeder, reklam departmanı e-posta etkileşim oranındaki düşüşe şaşırır, teknik ekip de karmaşaya düşebilir
Büyük şirketler dayanabilir ya da e-postadan tamamen vazgeçebilir; ama küçük şirketler, STK'lar ve siyasi mailing listeleri bağışların azalması gibi darbeler alabilir
Açıkçası bir saldırı yolu olarak olasılığı düşük, ama aklımda kalıp duran bir düşünce
Spammer, meşru şablonu e-postanın içine görünmeyecek şekilde koyuyor, yalnızca gerçek dolandırıcılık metninden birkaç satırı görünür bırakıyor
Amaç, filtrenin e-postanın büyük kısmını normal görüp geçirmesi; sonunda kullanıcılar yeterince spam bildirimi yaptığında şablonun kendisi engellemeyi tetikliyor
Sonra spammer, henüz filtrelerden geçen bir sonraki mağdurun e-posta şablonuna geçiyor; ilk mağdur ise kendi e-postalarının hiçbir yere ulaşmamasının yükünü üstleniyor
Hissedar değerini maksimize etmeyi öne çıkaran büyük bir şirketle çok kötü bir deneyim yaşadığım için eski e-posta kayıtlarımı karıştırıp o şirketin tüm iletişimlerini spam olarak işaretlemiştim
Tek bir damla olabilir, ama spam dünyasında çok fazla oya ihtiyaç olmayabilir
E-posta teslimi yakında daha açık bir ücretli geçiş modeline evrilecek gibi geliyor; belki perde arkasında anlaşmalar zaten vardır
O alan adı şikâyet edilse bile işlemsel e-postalar ana alan adından gönderilmeye devam edebilir
Elbette iki posta sunucusunun farklı IP'lerde olduğu varsayımı gerekir
Siteden abonelikten çıkılabiliyor; istenen şey e-posta istemcisi tarafında spam olarak işaretlenmemesi
Küçük kuruluşlar için oldukça gerçekçi bir risk olabilir
Büyük kuruluşların bunu nasıl hafiflettiğini pek bilmiyorum
Saldırganın gönderdiği e-posta SPF/DKIM'den kalıyorsa, Gmail'in o sahte postayı baştan teslim etmemesi için DMARC politikası ayarlanabilir
O zaman böyle bir saldırı işlemez
Bu değişiklik gerekliydi ve çok geç kaldı
Çok miktarda e-posta gönderen alan adı sahiplerinden iletileri düzgün şekilde imzalamalarını istemek, alıcıların iyi ve kötü postaları IP adresi itibarına değil alan adı itibarına göre daha net ayırmasını sağlar
Giderek daha fazla alan adının işlemsel ve pazarlama servislerinin paylaşımlı IP alanı üzerinden e-posta gönderdiği bir ortamda, itibarı gönderen alan adına istikrarlı biçimde bağlayabilmek kötüye kullanımı azaltmak için çok faydalı
Google yeni gereksinimlerin yalnızca günde 5.000'den fazla e-posta gönderildiğinde zorunlu olduğunu söylüyor, ama bu doğru değil
Ben günde en fazla birkaç e-posta, normalde Gmail hesaplarına günde bir tane bile göndermiyordum ve gereksinimlerin yalnızca bir kısmını uygulamıştım; buna rağmen Google iletilerimi reddetmeye başladı
Sonunda biraz mükerrer gereksinimler dâhil hepsini uygulamak için zaman harcamak zorunda kaldım
Genel olarak bunun olumlu bir değişim olduğuna katılıyorum, ama e-postanın spam kutusuna düşme nedeni alıcı tarafındaki yapılandırma hatası olunca gerçekten sinir bozucu
Örneğin yönlendirme sırasında SPF bozulabiliyor
Kötü niyetli bir gönderici her e-postayı farklı bir IPv6 adresinden gönderebiliyorsa, yeni görünen IPv6 adreslerinin varsayılan olarak tamamına güvenmemek gerekebilir
Zorlukları olsa da bu değişikliğin e-posta ekosistemini toparlamasını umuyorum
Spam, kötü amaçlı içerikten ayırt edilemez
O “bültene” hiç kaydolmadınız; e-posta adresiniz toplanıp sizi rahatsız etmek isteyen kötü niyetli aktörlere geçmiş
Herhangi bir şeye tıklarsanız, o şirketin bilgilerinize sahip olduğu ve çıkarlarınızı hiç gözetmeyecek bir web sitesine gidersiniz
En iyi ihtimalle gelen kutunuzdaki bir çöp kaynağını ortadan kaldırabilirsiniz; en kötü ihtimalle bilgisayarınıza kötü amaçlı yazılım kuran bir şeye tıklarsınız
Bu yüzden abonelikten çıkma bağlantılarına tıklamayın, spam bildir düğmesine basın ve spam bildirimlerini görmezden gelen büyük e-posta servislerini kullanmayı bırakın
Gmail, başka büyük şirketlerin size spam göndermesine göz yumarken size tüm bir alan adını doğrudan engelleme seçeneği bile sunmuyor
Gizlilik ve güvenliği ciddiye alan bir e-posta sağlayıcısına geçene kadar kötü amaçlı içerik gelen kutunuza girmeye devam edecek
Hangi e-posta servis sağlayıcısını kullandığını merak ediyorum
Bu kadar çok büyük şirketin tek tıkla abonelikten çıkma testini geçememesi şaşırtıcı
Cloudflare veya Akamai bağlantıyı engelliyor, sayfanın yüklenmesi 5 saniyeden uzun sürüyor ya da oturum açmayı veya e-posta adresini yeniden girmeyi istiyorlar
Sonra da müşterinin spam bildir düğmesine basmasına şaşırmamaları gerekir
Bu yüzden spam bildir'e basarım
En sinir bozucu olan, e-posta gönderenlerin reklam engelleme listelerince engellenen alan adları üzerinden tıklama takibi yapması
Böyle bağlantıları kopyalayıp yapıştırmak için ayrı bir tarayıcı örneği tutuyorum ama bu kez de tekrar oturum açmak gerekiyor
Bağlantıya tıklamak yerine abonelikten çıkma e-postası göndermeyi tercih ederim; Gmail bunu otomatikleştirebiliyor
Birkaç gün içinde yine e-posta gelirse spam olarak işaretlerim
TripAdvisor yapay zeka ile üretilmiş seyahat planı oluşturabiliyorsa, bunu e-postayla göndermemenin yolunu da bulabilmeli
Müşteri, abonelikten çıkma ile spam bildirme arasında hangisi daha kolaysa onu seçer
Nisan değişikliklerinin bozduğu şeylerden biri, e-posta servisleri arasında yönlendirme
Örneğin eski üniversite adresiniz foo@school.edu'dan kişisel Gmail hesabınız bar@gmail.com'a yönlendirme yapıyorsanız, artık çalışmayacak
Büyük sağlayıcıların bunu zorlamasına bakılırsa nispeten nadir bir kullanım senaryosu olmalı, ama etkilenenler için oldukça can sıkıcı bir değişiklik
E-posta yönlendirilirken yönlendiren mesaj içeriğini değiştirmediği sürece DKIM imzası hâlâ eşleşir, dolayısıyla geçmesi gerekir
SPF, zarf üzerindeki gönderen adresine dokunmayan yönlendirmeleri her zaman bozuyordu; bu da doğru ve yerinde
E-posta yönlendirme hâlâ mümkün, ama yönlendirenin return path'i yeniden yazması gerekiyor
SPF, DKIM, DMARC kusursuz ayarlı değilken birilerinin postaları geçirdiğine şaşırıyorum
Ben yıllarca iyi yapılandırılmış kendi barındırdığım kişisel e-posta sunucusu işletmeme rağmen bazen postaları geçirmekte zorlandım; yine de yavaş yavaş daha iyiye gidiyor gibi
Özellikle Microsoft sunucuları, hiçbir sorunu olmayan DKIM yapılandırmasını sebepsiz yere rastgele başarısız sayabiliyor
Gönderim hacmi düşükse, sırf iyi bilinen bir gönderici olmadığınız için bile atılma riskiniz var
Büyük 3'lünün bu yönergeleri yayımlayıp şeffaf hâle getirmesiyle davranışın daha tutarlı olmasını umuyorum
Spam gönderenler de giriş bariyeri düşük olduğu için aynısını yapabilir
Önemli, ama gerçek dünyadaki ulaşılabilirlikle ilişkisi çok küçük
DMARC'ta en zor olan, özellikle Microsoft'ta sık sık başarısız olması
Ayrıca alıcının e-postayı yönlendirdiği tüm kullanım senaryolarında da sorun çıkıyor; bu durumda SPF hizalaması bozuluyor
En iyi uygulamaları takip etmek istediğim için yakın zamanda p=quarantine'i p=none'a çevirdim
DKIM ve SPF'yi düzgün ayarlamış olsam da meşru e-postaların DMARC'tan geçememesinden korktuğum için
Aslında p=reject kullanmayı çok istiyorum, ama alıcılar e-posta yönlendirme yüzünden DMARC'ın bozulduğu benzer istisnai durumları ele alacak şekilde gelen posta sunucularını düzeltmeden bunu yapamam
DKIM imzalı bir mesajı yönlendirmek DMARC'ı hiç bozmaz
En kötüsü, postayı alıp sessizce spam olarak işaretlemek ve amaçlanan alıcının asla göremeyeceği bir yere koymak
Google'ın Gmail'i bunu en ağır biçimde yapıyor
Kurumsal e-posta artık e-posta değil; Facebook gibi duvarlarla çevrili bir bahçe ve silo
Aksi hâlde soğuk e-posta spam'inde boğulmuş olurduk
Ciddi söylüyorum, kendi sunucumu işletip yönetmekten vazgeçtim ve tüm şirketlerde Gmail kullanıyorum
Bunun bu kadar zorlaşmış olması trajik
İyi yapılandırılmış bir Gmail Workspace üzerinde değilseniz, meşru postaların bile geçme şansı yokmuş gibi geliyor
Benim anladığım kadarıyla spam gönderenlere mesajın normal posta mı spam mi olarak sınıflandırıldığına dair bir sinyal vermek istemiyorlar
Spam gönderenlerin bu tür bilgileri gerçekte ne kadar akıllıca kullandığını merak ediyorum
Spam'in çoğu, başarısızlık geri bildirimini dikkate almadan yapılan kaba kuvvet denemeleri gibi görünüyor
Kendi posta sunucumda, çöp olarak sınıflandırılan mesajları genel hata mesajıyla sürekli geçici olarak reddediyorum
En azından yanlış sınıflandırılmış meşru gönderici gecikmiş bir DSN alıyor ve sonunda mesajın teslim alınmadığına dair geri bildirim alıyor
Birçok posta sunucusu ve hizmeti, yanlış sınıflandırılmış meşru kullanıcılara faydalı sinyal vermektense spam gönderenlere sinyal vermemeyi daha önemli görüyor gibi
Belki de sınıflandırmalarının çok iyi olduğunu ve yanlış pozitif yapmadığını düşünüyorlardır
Gmail'in spam filtresi ve promosyon filtresi kullanıcı açısından %99'dan fazla güvenilir; yanlış pozitifleri de gerçekten az
B2B'de, e-posta adresinizi bilen bir pazarlamacı istediği kadar mesaj gönderme hakkına sahip sayılıyor
Duvarlar olmasaydı tamamen kullanılamaz hâle gelirdi
Kişisel VM’im bir RBL’ye girmiş; nedeni tüm /24 adres alanının kara listeye alınmış olması
Birinin spam gönderdiği söyleniyor ve artık haftada yaklaşık üç e-posta gönderen benim makinem de engelleniyor
Spam gönderen o aralıktaki rastgele bir adresi kullanmış olabilir ya da biri relay’e izin veren yanlış yapılandırılmış bir SMTP sunucusu çalıştırmış olabilir
Müşteri IP aralıklarında giden SMTP sunucusu çalıştırmak zaten sorun çıkarmaya çok yatkın
Böyle aralıklar, spam gönderenler itibarı umursamadan kullandığı için tamamen şüpheli görülebilir
Engelleme listesi operatörleri kötüye kullanım bildirimlerini iyi doğrulayamıyor ya da ağ operatörlerini harekete geçirmek için yan hasar yaratıyor gibi
Engelleme listesine girmek istemem ama geniş internet için net etkisi olumlu olabilir
Bence posta sunucuları ve hizmetleri IP tabanlı engelleme listelerini yanlış kullanıyor
Bunu birden fazla sinyalden biri olarak kullanabilirler ve ilk kez görülen gönderenlere daha fazla ağırlık verebilirler
Ama SPF/DKIM/DMARC ile doğrulanmış mesajlarla sürekli iletişim kurulan bir IP birdenbire engelleme listesine girerse, önceki olumlu itibar bu engellemeden daha güçlü olmalı
Bilinen taraflarla iletişim devam edebilmeli; ancak onlar spam olarak işaretledikten sonra sonraki teslimatlar reddedilmeli ya da önemsiz postaya atılmalı
Şu anda birçok posta sunucusu ve hizmeti, sistem yükünü azaltmak için IP engelleme listelerini SMTP sürecinin erken aşamalarında uyguluyor gibi
Sistem yükü için iyi, ama analiz performansı için kötü
Genel olarak büyük ücretsiz e-posta hizmetleri bile meşru/spam kararlarında mevcut itibarı kullanma konusunda iyi görünmüyor
Yakın zamanda yaptığım çevrimiçi web hizmetini e-posta tabanlı kayda çevirdim; posta listesine abone olur gibi belirli bir adrese e-posta göndererek kaydolunan bir yöntem
Fikir şu: kullanıcı hizmetime e-posta gönderdiğinde ben kullanıcının bilinen kişiler listesine girmiş oluyorum
O zaman posta sunucumun gönderdiği SPF/DKIM/DMARC hizalı doğrulama yanıtının doğal olarak kabul edilmesi gerekir
Bundan daha açık bir opt-in daha ne kadar gerekli olabilir ki
Birkaç büyük ücretsiz e-posta sağlayıcısında test ettim; Yahoo, özgün mesaja referans veren doğrulama yanıtını bile önemsiz klasörüne attı
Büyük e-posta hizmetleriyle rekabet edemeyeceğini düşünenlere şunu söyleyeyim: çıta sandığınız kadar yüksek değil
İtibarı düzeltmek, en iyi ihtimalle bile kâbusa yakın
Ana alan adını korumak için başka bir alan adı satın alıp e-postaları oradan gönderme önerisini de gördüm, ama bunu pek yapmak istemiyorum
Metinde zarf (RFC5321) ile başlık (RFC5322) karıştırılmış gibi
“E-posta zarf başlığındaki From: alanında yer alan alan adı kontrol edilir ve SPF ya da DKIM ile doğrulanmış başka bir alan adıyla hizalanır” denmiş, ama zarfta başlık yoktur; başlık e-posta içeriğinin/gövdesinin içindedir
“Tüm e-posta güvenlik yönergelerinden geçen bir kuruluşun e-posta zarfı örneği” şeklindeki ekran görüntüsü de zarf bilgisi değil, posta başlığıdır
Bu konuda dmarc.org’un iyi bir sunum materyali var
https://dmarc.org/presentations/Email-Authentication-Basics-...