3 puan yazan GN⁺ 2024-04-02 | 1 yorum | WhatsApp'ta paylaş

E-posta iletilebilirliğine derinlemesine bakış

  • Ekim 1971'de, MIT mezunu Ray Tomlinson ilk e-postayı ağ üzerinden gönderdi.
  • Geçen yıl yaklaşık 4,3 milyar kişi arasında yaklaşık 121 trilyon e-posta gönderildi.
  • E-posta, dünyadaki en önemli yazılı iletişim biçimidir ve yakın gelecekte de öyle olmaya devam edecektir.

Genel bakış

  • 3 Ekim 2023'te Google ve Yahoo, spam, phishing ve malware girişimlerini önlemek için yeni e-posta güvenliği standartlarını duyurdu.
  • E-posta hizmet sağlayıcıları bu politikaları uygulamaya koydukça, e-posta iletilebilirliği yönergelerine uymak zorunlu hale geliyor.
  • En büyük değişiklik, SPF, DKIM ve DMARC gibi e-posta kimlik doğrulama standartlarının uygulanmasıdır.
  • Gmail'de kimliği doğrulanmamış postalar engellenir.

Kimler etkileniyor

  • Başlıca etkilenenler toplu göndericilerdir; kendi alan adlarında SPF, DMARC ve DKIM'i etkinleştirmeleri gerekir.
  • Toplu gönderici olmasanız bile, yönergelere uymazsanız etkilenebilirsiniz.

Zaman çizelgesi

  • Google, Şubat 2024'ten itibaren toplu göndericilerin e-postalarını kimlik doğrulamasından geçirmesini zorunlu kıldı.
  • Yahoo da 2024'ün ilk çeyreğinden itibaren aynı gereksinimleri uygulamaya aldı.

Yönergeler

  • Gönderici kimlik doğrulaması: SPF, DKIM ve DMARC gibi e-posta kimlik doğrulama protokollerini uygulayın.
  • Toplu gönderici gereksinimleri: Spam filtrelerine takılmamak ve itibar kaybını önlemek için gereksiz toplu e-posta gönderiminden kaçının.
  • Kolay abonelikten çıkış: Abonelikten çıkma seçeneğini kolayca uygulanabilir hale getirin.
  • Etkileşim: Yanıltıcı konu satırlarından, aşırı kişiselleştirmeden ve spam filtrelerini tetikleyen promosyon içeriklerinden kaçının.

Gönderici kimlik doğrulaması

  • SPF, DKIM ve DMARC, kurumun e-postalarını korumaya yardımcı olan üç kimlik doğrulama standardıdır.
  • Bu standartların doğru yapılandırılması, saldırılara karşı koruma sağlar ve iletilebilirliği artırarak e-postaların spam klasörü yerine gelen kutusuna ulaşmasına yardımcı olur.

Etki

  • Google, e-posta filtrelemeyi ve kullanıcı deneyimini iyileştirmek için algoritmalarını ve kullanıcı raporu verilerini sürekli güncelliyor.
  • Yeni güvenlik yönergeleri, e-posta iletilebilirliği ve etkileşim üzerindeki etkileri ortaya koyuyor.

Araçlar

  • E-posta hijyenini kurmaya, doğrulamaya ve sürdürmeye yardımcı olan ücretsiz çevrimiçi kaynakların bir listesi sunuluyor.

Uygulama

  • Bu yönergeleri uygulamak, kaynakları sınırlı küçük organizasyonlar için zorlayıcı olabilir.
  • E-posta kimlik doğrulamasını uygulamak için hizmet sağlayıcınızın kaynaklarına veya desteğine başvurun.

Bonus

  • Hacker'ların e-posta güvenliği açıklarını istismar ettiği bazı yöntemler tanıtılıyor.

GN⁺ görüşü

  • Bu yazı, e-posta güvenliğiyle ilgili güncel standartlara uymanın önemini vurguluyor. Bu, e-posta üzerinden iletişimin güvenilirliğini artırır ve kullanıcıların spam ya da phishing gibi tehditlerden korunmasına katkı sağlar.
  • E-posta hizmet sağlayıcıları yeni güvenlik standartlarını uygulamaya koydukça, organizasyonların bu değişikliklere uyum sağlamak ve gereklilikleri yerine getirmek için çaba göstermesi gerekir. Bu, özellikle gizlilik ve veri güvenliğine duyarlı olduğumuz bir dönemde daha da önemlidir.
  • Bu yazı, özellikle e-posta pazarlamasıyla ilgili iş yürüten şirketler için faydalı olabilir. E-posta pazarlaması hâlâ birçok şirket için önemli bir pazarlama kanalı olduğundan, e-posta iletilebilirliğini korumak başarılı kampanyalar için kritiktir.
  • E-posta kimlik doğrulama standartlarını uygulamak teknik bir zorluk olabilir; özellikle SPF, DKIM ve DMARC gibi protokollerle ilk kez karşılaşan organizasyonlar için daha da zorlayıcıdır. Bu standartları devreye alırken teknik destek ve kaynak gerekebilir; bu da zaman ve maliyet anlamına gelebilir.
  • Bu yazı, e-posta güvenliğini güçlendirmek isteyen organizasyonlara faydalı yönergeler ve araçlar sunarak e-posta sistemlerinin zayıf noktalarını gidermeye ve kullanıcı deneyimini iyileştirmeye yardımcı olabilir.

1 yorum

 
GN⁺ 2024-04-02
Hacker News yorumları
  • “Gmail”, “Outlook”, “Yahoo” gibi e-posta sağlayıcılarının etkisine bakınca, şirketleri hedefleyen başka saldırılar için hedefli teslimat başarısızlığı mümkün olmaz mı diye hep merak etmişimdir
    Kurbanın, özellikle de bir şirketin, mailing listesinin ya da STK'nın, saldırganın sahip olduğu adreslere toplu e-posta göndermesi sağlanır; saldırgan da bu postaları Gmail/Yahoo/Outlook'ta spam olarak işaretler
    Böylece yapay zeka spam filtresi bunu yeni bir spam faaliyeti olarak öğrenir ve sonrasında gerçek müşterilere giden postaları bile spam olarak işaretleyebilir ya da teslim edilmeden silebilir
    Yaklaşık bir yıl sonra şirket her çeyrekte para kaybeder, reklam departmanı e-posta etkileşim oranındaki düşüşe şaşırır, teknik ekip de karmaşaya düşebilir
    Büyük şirketler dayanabilir ya da e-postadan tamamen vazgeçebilir; ama küçük şirketler, STK'lar ve siyasi mailing listeleri bağışların azalması gibi darbeler alabilir
    Açıkçası bir saldırı yolu olarak olasılığı düşük, ama aklımda kalıp duran bir düşünce

    • Gerçek bir spammer'ın meşru e-posta şablonlarını aynen çalıp kullandığı bir mağduru biliyorum
      Spammer, meşru şablonu e-postanın içine görünmeyecek şekilde koyuyor, yalnızca gerçek dolandırıcılık metninden birkaç satırı görünür bırakıyor
      Amaç, filtrenin e-postanın büyük kısmını normal görüp geçirmesi; sonunda kullanıcılar yeterince spam bildirimi yaptığında şablonun kendisi engellemeyi tetikliyor
      Sonra spammer, henüz filtrelerden geçen bir sonraki mağdurun e-posta şablonuna geçiyor; ilk mağdur ise kendi e-postalarının hiçbir yere ulaşmamasının yükünü üstleniyor
    • Bunu şirketlere saldırı açısından değil, tüketici hakları ya da boykot açısından düşündüğüm olmuştu
      Hissedar değerini maksimize etmeyi öne çıkaran büyük bir şirketle çok kötü bir deneyim yaşadığım için eski e-posta kayıtlarımı karıştırıp o şirketin tüm iletişimlerini spam olarak işaretlemiştim
      Tek bir damla olabilir, ama spam dünyasında çok fazla oya ihtiyaç olmayabilir
      E-posta teslimi yakında daha açık bir ücretli geçiş modeline evrilecek gibi geliyor; belki perde arkasında anlaşmalar zaten vardır
    • Bu yüzden çoğu e-ticaret sitesi pazarlama e-postalarını ayrı bir alan adından gönderir
      O alan adı şikâyet edilse bile işlemsel e-postalar ana alan adından gönderilmeye devam edebilir
      Elbette iki posta sunucusunun farklı IP'lerde olduğu varsayımı gerekir
    • Bildiğim bir web forumunda, gönderdikleri e-posta bildirimlerini spam olarak işaretlemeyin diye bir kural var
      Siteden abonelikten çıkılabiliyor; istenen şey e-posta istemcisi tarafında spam olarak işaretlenmemesi
      Küçük kuruluşlar için oldukça gerçekçi bir risk olabilir
      Büyük kuruluşların bunu nasıl hafiflettiğini pek bilmiyorum
    • Bunun DMARC politikasıyla engellenebileceğini düşünüyorum
      Saldırganın gönderdiği e-posta SPF/DKIM'den kalıyorsa, Gmail'in o sahte postayı baştan teslim etmemesi için DMARC politikası ayarlanabilir
      O zaman böyle bir saldırı işlemez
  • Bu değişiklik gerekliydi ve çok geç kaldı
    Çok miktarda e-posta gönderen alan adı sahiplerinden iletileri düzgün şekilde imzalamalarını istemek, alıcıların iyi ve kötü postaları IP adresi itibarına değil alan adı itibarına göre daha net ayırmasını sağlar
    Giderek daha fazla alan adının işlemsel ve pazarlama servislerinin paylaşımlı IP alanı üzerinden e-posta gönderdiği bir ortamda, itibarı gönderen alan adına istikrarlı biçimde bağlayabilmek kötüye kullanımı azaltmak için çok faydalı

    • “Çok miktarda” koşulu aslında doğru değil
      Google yeni gereksinimlerin yalnızca günde 5.000'den fazla e-posta gönderildiğinde zorunlu olduğunu söylüyor, ama bu doğru değil
      Ben günde en fazla birkaç e-posta, normalde Gmail hesaplarına günde bir tane bile göndermiyordum ve gereksinimlerin yalnızca bir kısmını uygulamıştım; buna rağmen Google iletilerimi reddetmeye başladı
      Sonunda biraz mükerrer gereksinimler dâhil hepsini uygulamak için zaman harcamak zorunda kaldım
    • Bir sistem yöneticisi olarak, alıcının Office365 posta sunucusundaki yapılandırma hatası yüzünden e-postaların %5'i spama düşerse ne yapmalı diye düşünüyorum
      Genel olarak bunun olumlu bir değişim olduğuna katılıyorum, ama e-postanın spam kutusuna düşme nedeni alıcı tarafındaki yapılandırma hatası olunca gerçekten sinir bozucu
      Örneğin yönlendirme sırasında SPF bozulabiliyor
    • Biz de yavaş yavaş IPv6'ya geçiyoruz; istenildiği kadar yeni IP adresi alınabildiğinde IP tabanlı itibar bir ölçüde işe yaramaz hâle gelecek
      Kötü niyetli bir gönderici her e-postayı farklı bir IPv6 adresinden gönderebiliyorsa, yeni görünen IPv6 adreslerinin varsayılan olarak tamamına güvenmemek gerekebilir
    • Katılıyorum, bunun kesin bir avantajı var
      Zorlukları olsa da bu değişikliğin e-posta ekosistemini toparlamasını umuyorum
  • Spam, kötü amaçlı içerikten ayırt edilemez
    O “bültene” hiç kaydolmadınız; e-posta adresiniz toplanıp sizi rahatsız etmek isteyen kötü niyetli aktörlere geçmiş
    Herhangi bir şeye tıklarsanız, o şirketin bilgilerinize sahip olduğu ve çıkarlarınızı hiç gözetmeyecek bir web sitesine gidersiniz
    En iyi ihtimalle gelen kutunuzdaki bir çöp kaynağını ortadan kaldırabilirsiniz; en kötü ihtimalle bilgisayarınıza kötü amaçlı yazılım kuran bir şeye tıklarsınız
    Bu yüzden abonelikten çıkma bağlantılarına tıklamayın, spam bildir düğmesine basın ve spam bildirimlerini görmezden gelen büyük e-posta servislerini kullanmayı bırakın
    Gmail, başka büyük şirketlerin size spam göndermesine göz yumarken size tüm bir alan adını doğrudan engelleme seçeneği bile sunmuyor
    Gizlilik ve güvenliği ciddiye alan bir e-posta sağlayıcısına geçene kadar kötü amaçlı içerik gelen kutunuza girmeye devam edecek

    • Yerinde bir değerlendirme
      Hangi e-posta servis sağlayıcısını kullandığını merak ediyorum
  • Bu kadar çok büyük şirketin tek tıkla abonelikten çıkma testini geçememesi şaşırtıcı
    Cloudflare veya Akamai bağlantıyı engelliyor, sayfanın yüklenmesi 5 saniyeden uzun sürüyor ya da oturum açmayı veya e-posta adresini yeniden girmeyi istiyorlar
    Sonra da müşterinin spam bildir düğmesine basmasına şaşırmamaları gerekir

    • Onay vermediğim e-postalarda abonelikten çıkmam
      Bu yüzden spam bildir'e basarım
    • NextDNS'i reklam engelleme listesiyle birlikte kullanıyorum; fiilen buluttaki Pi-hole
      En sinir bozucu olan, e-posta gönderenlerin reklam engelleme listelerince engellenen alan adları üzerinden tıklama takibi yapması
      Böyle bağlantıları kopyalayıp yapıştırmak için ayrı bir tarayıcı örneği tutuyorum ama bu kez de tekrar oturum açmak gerekiyor
      Bağlantıya tıklamak yerine abonelikten çıkma e-postası göndermeyi tercih ederim; Gmail bunu otomatikleştirebiliyor
    • Abonelikten çıkarım ama 2024'te “uygulanması 14 gün sürebilir” gibi saçmalıkları artık kabul edemem
      Birkaç gün içinde yine e-posta gelirse spam olarak işaretlerim
      TripAdvisor yapay zeka ile üretilmiş seyahat planı oluşturabiliyorsa, bunu e-postayla göndermemenin yolunu da bulabilmeli
    • Sonuçta bunun basit bir UI rekabeti olduğunu düşünüyorum
      Müşteri, abonelikten çıkma ile spam bildirme arasında hangisi daha kolaysa onu seçer
  • Nisan değişikliklerinin bozduğu şeylerden biri, e-posta servisleri arasında yönlendirme
    Örneğin eski üniversite adresiniz foo@school.edu'dan kişisel Gmail hesabınız bar@gmail.com'a yönlendirme yapıyorsanız, artık çalışmayacak
    Büyük sağlayıcıların bunu zorlamasına bakılırsa nispeten nadir bir kullanım senaryosu olmalı, ama etkilenenler için oldukça can sıkıcı bir değişiklik

    • Neden artık çalışmayacağını anlamıyorum
      E-posta yönlendirilirken yönlendiren mesaj içeriğini değiştirmediği sürece DKIM imzası hâlâ eşleşir, dolayısıyla geçmesi gerekir
    • Bu yeni bir değişiklik değil
      SPF, zarf üzerindeki gönderen adresine dokunmayan yönlendirmeleri her zaman bozuyordu; bu da doğru ve yerinde
      E-posta yönlendirme hâlâ mümkün, ama yönlendirenin return path'i yeniden yazması gerekiyor
    • Bu oldukça önemli; artık e-posta yönlendirme yapılamayacağı anlamına mı geliyor?
  • SPF, DKIM, DMARC kusursuz ayarlı değilken birilerinin postaları geçirdiğine şaşırıyorum
    Ben yıllarca iyi yapılandırılmış kendi barındırdığım kişisel e-posta sunucusu işletmeme rağmen bazen postaları geçirmekte zorlandım; yine de yavaş yavaş daha iyiye gidiyor gibi

    • SPF, DKIM, DMARC'yi kusursuz ayarlamış olmanız, alıcı sunucunun da bunu öyle gördüğü anlamına gelmez
      Özellikle Microsoft sunucuları, hiçbir sorunu olmayan DKIM yapılandırmasını sebepsiz yere rastgele başarısız sayabiliyor
    • Mesele yalnızca yapılandırma değil; itibar da önemli
      Gönderim hacmi düşükse, sırf iyi bilinen bir gönderici olmadığınız için bile atılma riskiniz var
    • Ben de yıllardır bu sorunla boğuşuyorum
      Büyük 3'lünün bu yönergeleri yayımlayıp şeffaf hâle getirmesiyle davranışın daha tutarlı olmasını umuyorum
    • Deneyimime göre DKIM gerekli değildi; yeni Google yönergelerinde de SPF kullanıyorsanız hâlâ zorunlu değil
    • İnsanların e-posta ulaşılabilirliğini yalnızca SPF, DKIM, DMARC ayarları olarak görmesine şaşırıyorum
      Spam gönderenler de giriş bariyeri düşük olduğu için aynısını yapabilir
      Önemli, ama gerçek dünyadaki ulaşılabilirlikle ilişkisi çok küçük
  • DMARC'ta en zor olan, özellikle Microsoft'ta sık sık başarısız olması
    Ayrıca alıcının e-postayı yönlendirdiği tüm kullanım senaryolarında da sorun çıkıyor; bu durumda SPF hizalaması bozuluyor
    En iyi uygulamaları takip etmek istediğim için yakın zamanda p=quarantine'i p=none'a çevirdim
    DKIM ve SPF'yi düzgün ayarlamış olsam da meşru e-postaların DMARC'tan geçememesinden korktuğum için
    Aslında p=reject kullanmayı çok istiyorum, ama alıcılar e-posta yönlendirme yüzünden DMARC'ın bozulduğu benzer istisnai durumları ele alacak şekilde gelen posta sunucularını düzeltmeden bunu yapamam

    • DMARC uygularken e-postasının yönlendirilmesini isteyen göndericiler DKIM kullanmalı
      DKIM imzalı bir mesajı yönlendirmek DMARC'ı hiç bozmaz
  • En kötüsü, postayı alıp sessizce spam olarak işaretlemek ve amaçlanan alıcının asla göremeyeceği bir yere koymak
    Google'ın Gmail'i bunu en ağır biçimde yapıyor
    Kurumsal e-posta artık e-posta değil; Facebook gibi duvarlarla çevrili bir bahçe ve silo

    • Böyle duvarlar olduğu için memnunum
      Aksi hâlde soğuk e-posta spam'inde boğulmuş olurduk
      Ciddi söylüyorum, kendi sunucumu işletip yönetmekten vazgeçtim ve tüm şirketlerde Gmail kullanıyorum
      Bunun bu kadar zorlaşmış olması trajik
      İyi yapılandırılmış bir Gmail Workspace üzerinde değilseniz, meşru postaların bile geçme şansı yokmuş gibi geliyor
    • Gerçekten sinir bozucu
      Benim anladığım kadarıyla spam gönderenlere mesajın normal posta mı spam mi olarak sınıflandırıldığına dair bir sinyal vermek istemiyorlar
      Spam gönderenlerin bu tür bilgileri gerçekte ne kadar akıllıca kullandığını merak ediyorum
      Spam'in çoğu, başarısızlık geri bildirimini dikkate almadan yapılan kaba kuvvet denemeleri gibi görünüyor
      Kendi posta sunucumda, çöp olarak sınıflandırılan mesajları genel hata mesajıyla sürekli geçici olarak reddediyorum
      En azından yanlış sınıflandırılmış meşru gönderici gecikmiş bir DSN alıyor ve sonunda mesajın teslim alınmadığına dair geri bildirim alıyor
      Birçok posta sunucusu ve hizmeti, yanlış sınıflandırılmış meşru kullanıcılara faydalı sinyal vermektense spam gönderenlere sinyal vermemeyi daha önemli görüyor gibi
      Belki de sınıflandırmalarının çok iyi olduğunu ve yanlış pozitif yapmadığını düşünüyorlardır
    • Doğru olduğunu söylemiyorum, ama işe yarıyor
      Gmail'in spam filtresi ve promosyon filtresi kullanıcı açısından %99'dan fazla güvenilir; yanlış pozitifleri de gerçekten az
    • Ne yazık ki istenmeyen spam'e karşı birçok yasal koruma yalnızca tüketici kullanımına uygulanıyor
      B2B'de, e-posta adresinizi bilen bir pazarlamacı istediği kadar mesaj gönderme hakkına sahip sayılıyor
      Duvarlar olmasaydı tamamen kullanılamaz hâle gelirdi
  • Kişisel VM’im bir RBL’ye girmiş; nedeni tüm /24 adres alanının kara listeye alınmış olması
    Birinin spam gönderdiği söyleniyor ve artık haftada yaklaşık üç e-posta gönderen benim makinem de engelleniyor

    • Sorun, VM sağlayıcısının istemeden aynı adres alanını spam gönderenlere de sunuyor olması
      Spam gönderen o aralıktaki rastgele bir adresi kullanmış olabilir ya da biri relay’e izin veren yanlış yapılandırılmış bir SMTP sunucusu çalıştırmış olabilir
      Müşteri IP aralıklarında giden SMTP sunucusu çalıştırmak zaten sorun çıkarmaya çok yatkın
      Böyle aralıklar, spam gönderenler itibarı umursamadan kullandığı için tamamen şüpheli görülebilir
    • Evet, bu acı verici
      Engelleme listesi operatörleri kötüye kullanım bildirimlerini iyi doğrulayamıyor ya da ağ operatörlerini harekete geçirmek için yan hasar yaratıyor gibi
      Engelleme listesine girmek istemem ama geniş internet için net etkisi olumlu olabilir
      Bence posta sunucuları ve hizmetleri IP tabanlı engelleme listelerini yanlış kullanıyor
      Bunu birden fazla sinyalden biri olarak kullanabilirler ve ilk kez görülen gönderenlere daha fazla ağırlık verebilirler
      Ama SPF/DKIM/DMARC ile doğrulanmış mesajlarla sürekli iletişim kurulan bir IP birdenbire engelleme listesine girerse, önceki olumlu itibar bu engellemeden daha güçlü olmalı
      Bilinen taraflarla iletişim devam edebilmeli; ancak onlar spam olarak işaretledikten sonra sonraki teslimatlar reddedilmeli ya da önemsiz postaya atılmalı
      Şu anda birçok posta sunucusu ve hizmeti, sistem yükünü azaltmak için IP engelleme listelerini SMTP sürecinin erken aşamalarında uyguluyor gibi
      Sistem yükü için iyi, ama analiz performansı için kötü
      Genel olarak büyük ücretsiz e-posta hizmetleri bile meşru/spam kararlarında mevcut itibarı kullanma konusunda iyi görünmüyor
      Yakın zamanda yaptığım çevrimiçi web hizmetini e-posta tabanlı kayda çevirdim; posta listesine abone olur gibi belirli bir adrese e-posta göndererek kaydolunan bir yöntem
      Fikir şu: kullanıcı hizmetime e-posta gönderdiğinde ben kullanıcının bilinen kişiler listesine girmiş oluyorum
      O zaman posta sunucumun gönderdiği SPF/DKIM/DMARC hizalı doğrulama yanıtının doğal olarak kabul edilmesi gerekir
      Bundan daha açık bir opt-in daha ne kadar gerekli olabilir ki
      Birkaç büyük ücretsiz e-posta sağlayıcısında test ettim; Yahoo, özgün mesaja referans veren doğrulama yanıtını bile önemsiz klasörüne attı
      Büyük e-posta hizmetleriyle rekabet edemeyeceğini düşünenlere şunu söyleyeyim: çıta sandığınız kadar yüksek değil
    • Gerçekten üzücü
      İtibarı düzeltmek, en iyi ihtimalle bile kâbusa yakın
      Ana alan adını korumak için başka bir alan adı satın alıp e-postaları oradan gönderme önerisini de gördüm, ama bunu pek yapmak istemiyorum
  • Metinde zarf (RFC5321) ile başlık (RFC5322) karıştırılmış gibi
    “E-posta zarf başlığındaki From: alanında yer alan alan adı kontrol edilir ve SPF ya da DKIM ile doğrulanmış başka bir alan adıyla hizalanır” denmiş, ama zarfta başlık yoktur; başlık e-posta içeriğinin/gövdesinin içindedir
    “Tüm e-posta güvenlik yönergelerinden geçen bir kuruluşun e-posta zarfı örneği” şeklindeki ekran görüntüsü de zarf bilgisi değil, posta başlığıdır
    Bu konuda dmarc.org’un iyi bir sunum materyali var
    https://dmarc.org/presentations/Email-Authentication-Basics-...