E-postanın geleceği

 (fastmail.com)
1 puan yazan GN⁺ 3 시간 전 | 1 yorum | WhatsApp'ta paylaş
  • AI gelen kutusunu okuyup özetlediği ve görevleri yerine getirdiği ortamlarda, gönderen doğrulaması e-posta güveninin temel koşulu haline geliyor
  • SPF, DKIM ve DMARC; sunucu yetkisi, mesaj bütünlüğü ve başarısızlık durumunda uygulanacak politikayı birleştirerek e-posta kimlik doğrulamasının temel yapısını oluşturuyor
  • AI filtreleri ve AI yardımcı araçları e-posta deneyiminin standart özellikleri haline geldikçe, doğrulama sonuçları spam·phishing değerlendirmesi ve otomatik işlemler için önemli bir girdi oluyor
  • Google ve Yahoo, 2024 başında toplu gönderim yapanlardan DMARC yapılandırması istemeye başlayınca, doğrulama altyapısı güvenilir teslimatın temel önkoşulu haline geldi
  • Doğrulama alan adı kimliğini teyit eder, ancak niyeti garanti etmez; otomatikleşmiş e-posta ortamında kimliğe bürünmenin maliyetini ve karmaşıklığını artırır

E-posta kimlik doğrulaması: E-postanın geleceğinin dayandığı güven katmanı

  • E-posta uzun zamandır spoofing sorunu taşıyordu ve herkes e-postanın “From” alanına istediği şeyi yazabiliyordu
  • Geçmişte dikkatli kullanıcılar, hafifçe farklı alan adları, gerçekçi olmayan bir aciliyet hissi veya tuhaf ifadeler gibi ipuçlarından sorunu fark edebiliyordu
  • AI kullanımı yaygınlaştıkça kullanıcıların e-postayla etkileşim biçimi değişiyor; mesajın ulaşıp ulaşmadığından çok, kaynağının gerçekten doğrulanıp doğrulanamadığı önem kazanıyor
  • Çoğu e-posta kullanıcısının düşünmek zorunda kalmadığı standartlar, sessizce e-posta deneyiminin temeline yerleşiyor

E-posta kimlik doğrulaması nedir

  • E-posta kimlik doğrulaması, birbiriyle bağlantılı üç standarttan oluşur: SPF, DKIM ve DMARC
  • SPF, mesajı gönderen sunucunun ilgili alan adı adına gönderim yapma yetkisine sahip olup olmadığını doğrular
  • DKIM, her mesaja kriptografik bir imza ekleyerek alıcı sunucunun iletim sırasında değişiklik yapılıp yapılmadığını kontrol etmesini sağlar
  • DMARC, SPF ile DKIM'i bir araya getirir ve denetimi geçemeyen mesajların reddedilmesi, karantinaya alınması veya kabul edilmesi konusunda alıcı sunucuya talimat verir
  • Bu üç standart, gelen kutusunun bir bankadan ya da işverenden gelmiş gibi görünen mesajın gerçekten o alan adından gelip gelmediğini değerlendirmesine imkân tanır
  • Doğrulama olmadığında, spoof edilmiş mesajlarla meşru mesajları ayırmak mümkün olmaz; e-postayla etkileşim biçimi değiştikçe bu sorun daha da büyür

AI e-postaya nasıl dahil oluyor

  • E-posta deneyiminde iki tür AI standart özellik haline geliyor
  • İlki, spam, phishing ve dikkate değer mesajları değerlendiren AI filtreleme
    • Bu sistemler yıllardır var, ancak modern sürümleri çok daha güçlü
    • Doğrulama sonuçları, AI filtrelerinin karar verirken giderek daha temel bir girdisi haline geliyor
  • İkincisi ise gelen kutusunu özetleyen, yapılacak işleri ortaya çıkaran, yanıt taslağı hazırlayan ve bazı durumlarda kullanıcı adına hareket eden AI yardımcı araçları
  • Fastmail, AI'yı gelen kutusuna entegre etmedi ve kullanıcı e-postaları arka planda modeller tarafından işlenmiyor
    • MCP sunucusu, kullanıcı açıkça onay verdiğinde seçilen AI istemcileriyle bağlantı kurabilen bir API uç noktasıdır
    • Kullanıcı bağlamazsa hiçbir şey değişmez
  • Daha geniş e-posta ekosisteminde, gelen kutusunda otonom şekilde hareket eden AI yardımcı araçları giderek daha yaygın hale geliyor
  • Bir insan şüpheli bir e-postayı okurken, gönderen alan adında fazladan bir karakter olduğunu ya da isteğin kulağa tuhaf geldiğini fark edebilir
  • AI yardımcı araçları ise işlem gerektiren unsurları ararken içeriği ve aciliyeti okuyup buna göre hareket edebilir
  • İkna edici bir spoofing mesajı söz konusuysa, e-posta gelen kutusuna ulaşmadan önce doğrulamanın bunu engellemesi gerekir

Doğrulama altyapıya dönüşüyor

  • Google ve Yahoo, 2024 başında toplu gönderim yapanların e-postaları güvenilir şekilde teslim edebilmesi için DMARC yapılandırmasını doğru yapmasını istemeye başladı
  • Bu değişiklik, doğrulamayı göndericilerin geri plana atabileceği bir unsur olmaktan çıkarıp gelen kutusuna ulaşmanın temel önkoşuluna dönüştürdü
  • E-posta kimlik doğrulaması, web'de HTTPS'in geçtiği yola benzer bir yönde ilerliyor
    • HTTPS, en iyi uygulamadan beklentiye, oradan da altyapıya dönüştü
    • Tarayıcı adres çubuğundaki kilidin tam olarak ne anlama geldiğini bilmeseniz de, bir web sitesinde kilidin olmaması görmezden gelinemeyecek bir uyarı işaretine dönüştü
  • Yeni standartlar bu doğrulama temeli üzerine inşa ediliyor
  • BIMI, doğrulanmış göndericilerin desteklenen gelen kutularında logolarını doğrudan gösterebilmesini sağlıyor
    • İçeriğe bakarak AI üretimi phishing'i ayırt etmenin daha zor hale geldiği bir dönemde, bu küçük ama görsel bir güven sinyali sunuyor
  • DKIM tasarımı, deneysel ARC belirtiminden çıkarılan dersler temelinde yeniden gözden geçiriliyor
    • Bu, karmaşık e-posta akışlarında değişiklikleri takip edip ilişkilendirerek filtreleme sistemlerinin kötü amaçlı içeriğin kaynağını değerlendirmesine yardımcı oluyor
    • Yanlış tarafın itibarının zarar görmesini önlemeye de katkı sağlıyor

Yalnızca doğrulama yeterli değil

  • Doğrulama alan adı kimliğini teyit eder, ancak niyeti doğrulamaz
  • İnandırıcı bir benzer alan adına ve doğru yapılandırılmış bir DMARC kaydına sahip bir dolandırıcı, gönderen kimlik doğrulama kontrollerini geçebilir
  • Doğrulama, kimliğe bürünmenin maliyetini ve karmaşıklığını ciddi biçimde artırır; e-postanın geleceği daha otomatik hale geldikçe bu daha da önem kazanır
  • Geleceğin gelen kutusu, bugün çoğu kullanıcının kullandığından daha hızlı, daha akıllı ve daha fazla özellikli olacak
  • Doğrulama, bu geleceğin yalnızca kullanışlı değil, aynı zamanda güvenilir olmasını sağlayan unsurdur
  • Standartlar yıllar içinde olgunlaştı ve e-posta daha da otomatikleşirken bu temel üzerine inşa etmeyi sürdürmek gerekiyor

E-posta ortadan kaybolmuyor

  • Herkesin e-postaya ihtiyacı var; bankalar hesap özetleri gönderiyor, doktorlar randevu bilgilerini iletiyor ve diğer siteler parola sıfırlama bağlantıları yolluyor
  • Herkesin bir e-posta adresi var
  • Bir teknolojinin kalıcılığını gösteren en iyi göstergelerden biri, zaten ne kadar uzun süredir var olduğudur; e-posta da uzun zamandır hayatımızda
  • Fastmail, geleceğin e-postasını destekleyecek standartların geliştirilmesinde ön saflarda yer alıyor ve herkes için daha iyi bir e-posta oluşturmak adına e-postayla birlikte evrilmeyi sürdürecek

İlgili okumalar

1 yorum

 
GN⁺ 3 시간 전
Hacker News görüşleri

  • Bunun pratikte ne kadar faydalı olacağını kestirmek zor, ama e-postanın daha güvenli hale gelip kurumların, özellikle de bankalar, devlet kurumları ve sigortacıların kapalı güvenli mesaj kutusu gibi alternatifler üretmek zorunda kalmaması olumlu olur
    “Güvenli mesaj merkezine giriş yapın” diyorlar, sonra da orada biçimi de berbat olan mesajları yalnızca kısa bir süre görebiliyorsunuz ve ardından kalıcı olarak siliniyorlar
    Benim gelen kutum bir ölçüde aranabilir bir yaşam kaydı, bu tür alternatifler ise bunu bozuyor

    • Bu tür “mesaj merkezleri” yalnızca güvenlik yüzünden değil, uyumluluk nedeniyle de var
      Örneğin sigorta şirketleri HIPAA'ya uymak zorunda ve sağlıkla ilgili bilgiler yalnızca HIPAA uyumlu başka sistemlere gönderilebiliyor
      Bunun için o sistemle BAA denen bir sözleşme yapmanız gerekiyor, ama bunu e-postayla yapmak pratikte mümkün değil
      Çünkü bir sigorta şirketi dünyadaki tüm e-posta barındırıcılarıyla sözleşme yapamaz ve bir e-posta gönderildikten sonra sonunda nereye ulaşacağını da bilemez
      Sağlık bilgisi içeren e-postalarla içermeyenleri kesin biçimde ayırmak da çok zor; kişinin adı ya da IP adresi bile bağlama göre buna girebilir
      Bu yüzden varsayılan olarak her şeyi mesaj merkezine göndermeyi seçiyorlar ve e-posta güvenliği ne kadar iyileşirse iyileşsin bunun değişmesi zor
    • Güvenli e-posta oluşturmak için e-postadan HTML/CSS desteğini çıkarmak ve gelen kutusunu davet tabanlı çalıştırmak gerektiğini düşünüyorum
      Sosyal ağlarda arkadaş ekler gibi, göndericilerin önceden onaylandığı bir sistem olmalı
    • Bu güvenli mesaj platformları yedeklemeyi neredeyse imkansız hale getiriyor
      Tıbbi kliniklerin mahkemede aleyhlerine kullanılabilecek mesajları sildiğini de gördüm
      Bu yüzden böyle bir şey gönderenlere gerçek e-postayla yollamalarını söylüyorum
    • Benim bankam “önemli bir mesajı okumak için uygulamaya giriş yapın” şeklinde bir push bildirimi gönderiyor; çoğu zaman bu sadece aylık hesap özeti oluyor
      Sonra ayrıca e-posta da gönderiyorlar, bu yüzden bazen onun başka bir mesaj olduğunu sanıp tekrar giriş yapıyorum
      Bir de “bu mesajı PDF olarak indir” düğmesi var, ama gerçekte sadece bir web tarayıcısı sarmalayıcısına götürüyor
    • Kısa süre önce bankadan bilgi istedim; e-postayla gönderemeyeceklerini ama posta yoluyla gönderebileceklerini söylediler
      Gelecek hafta civarı ulaşırmış
      Muhtemelen çeşitli uyumluluk gerekçeleri vardır ama bana hiç mantıklı gelmiyor

  • Yazıyı okuyup sona gelince şaşırdım. Her şey sanki bir duyuruya ya da yeni bir şeye giriş gibi hissettirdi ama ortada hiçbir şey yoktu
    Ben anlamamış olabilirim ama bu yüzden asıl sonucun ne olduğunu çıkaramadım

    • Fastmail kullanıcısı olarak ortada bir duyuru olmamasına aslında sevindim
      Şirket ne zaman parlak gelecekten söz etmeye başlasa, bu genelde benim kullanıcı deneyimimin yakında kötüleşeceği anlamına geliyordu
    • “Fastmail'e göre e-postanın geleceği” başlığını görünce hemen büyük bir duyuru bekledim
      Ama gerçekte söylenen şey “artık DMARC'tan geçmeniz gerekiyor” oldu; oysa bu zaten 2 yıldır geçerliydi
      Kimlik doğrulamanın sahte alan adlarını engellemeye yardımcı olduğu doğru, ama bence en büyük sorun sahte alan adları değil
      Saldırganlar PayPal ve Stripe gibi ödeme platformlarına e-posta göndertmenin yolunu buluyor
      Sonra oluşturulan e-postaya hangi bilgilerin girdiğini anlayıp şirket adını “bir sorun var, lütfen şu numarayı arayın” gibi bir şey olarak ayarlıyorlar
      Böylece gerçekten PayPal'dan gelen, tüm doğrulamalardan geçen meşru bir e-postanın konu satırında ya da gövdesinde bu şirket adı yer alıyor ve aciliyet hissi yaratıyor
      Bu tür iletiler gerçekten ilgili şirketten gönderildiği ve tüm doğrulamaları geçtiği için DMARC bunları yakalayamıyor; son dönemde saldırganların tam olarak böyle hareket ettiğini görüyorum
      Fastmail'in bu sorunu ele alacak bir şey sunmasını gerçekten umuyordum
    • “Geleceğin gelen kutusu, bugün çoğu insanın kullandığından daha hızlı, daha akıllı ve daha fazlasını yapabilir olacak”
      Özetle söylenen bu kadar. Oraya nasıl varılacağını bilmiyoruz ama e-posta daha hızlı ve daha akıllı olacak deniyor
    • Benim de hissim benzerdi. Kritik bir şey gelecek diye bekledim ama sonunda çıkan sonuç “e-posta ortadan kalkmayacak” oldu
      Açıkçası bu yazının neden paylaşılıp oy aldığını merak ediyorum

  • Fastmail'i seviyorum. Birkaç yıl önce Proton'dan geçtim, çünkü şifreli e-postanın getirdiği ödünlerin buna değmediğine karar vermiştim
    Proton'a tamamen güvenseniz bile e-postaların çoğu zaten AWS, Outlook, Gmail üzerinden gidip geliyor
    Fastmail hizmetinden çok memnunum. Fiyatı makul, büyük gelen kutularında bile çok hızlı ve gereksiz özellikler ya da şişkinlik eklemiyor
    Aslında işletim sisteminin varsayılan posta uygulamasını kullanmayı planlıyordum ama Fastmail uygulaması ve web sitesi o kadar iyi ki sadece onları kullanır oldum

    • Fastmail'i 9 yıldan uzun süredir kullanıyorum. Özellikle uygulamaya çevrimdışı destek geldikten sonra ayrılmak için hiçbir nedenim kalmadı
    • Proton'da ne tür ödünler vardı, merak ettim
    • Fastmail masaüstü uygulaması kelimenin tam anlamıyla web sitesinin sarmalanmış hali, ama eklenen özelliklerden biri ne yazık ki geri düğmesinin olmaması
      30 yıllık webmail kullanımından gelen kas hafızam bu “uygulama” yüzünden tamamen işe yaramaz hale geliyor
      Belli ki bir web geliştiricisi masaüstü uygulama geliştiricisi gibi davranmak istemiş
      Bu bir hata da değil; önceki sayfaya dönmek için klavye kısayolu eklememeyi bilinçli olarak seçtiklerini söylüyorlar
      Müşteri destek temsilcisi bunu bir “özellik isteği” olarak ekleyeceğini söyledi

  • Aslında e-posta değerlendirmesini fiilen AI'a dış kaynak olarak veriyoruz ve bunu telafi etmek için SPF/DKIM'i güçlendirmeye çalışıyoruz
    Kilitleri daha sağlam yaparken ana anahtarları daha çok dağıtıyormuşuz gibi geliyor

    • Bence bu alanda aynı anda birçok şey yaşanıyor. Fastmail sadece bunlardan birini kendi çıkarına uygun şekilde ifade etmiş
      Fastmail'in e-posta konusunda mutlak otoriteymiş gibi konuşması doğru değil
      Çünkü Fastmail e-postanın kendisi değil, e-postaya bağımlı bir hizmet

  • Gelen kutunuzu taşıyıp istediğiniz sağlayıcıya yönlendirebilene kadar, bu tür kimlik doğrulama sistemlerinin büyük ölçekte gerçek bir değer taşıması zor görünüyor
    Telefon numarası taşınabiliyorsa teorik olarak e-posta adresi de taşınabilmeli
    Burada söz edilen doğrulama sistemleri böyle bir taşınabilirliği mümkün kılacak kadar yardımcı olmuyor
    Hangi sağlayıcı kullanılırsa kullanılsın, e-posta alan adını değil kişinin kendisini doğrulamanın geçerli bir yoluna ihtiyaç var
    Yani barındırma sağlayıcısının yerine imza atabilen bir standardın gelişmesi gerekiyor

  • 2026 yılında e-postada imza ve şifrelemenin hâlâ varsayılan olmaması saçma
    Ancak büyük e-posta sağlayıcılarının iş modeli bizim bunları kullanmamamıza dayandığı sürece muhtemelen böyle kalacak

    • E-posta şifrelenirse bu model kelimenin tam anlamıyla çalışamaz
      Gelen kutusunu gerçekten kullanışlı kılmak için tüm makine öğrenimi işlemlerinin çalışması gerekir ve bunun için e-postanın şifrelenmemiş olması gerekir
    • Büyük sağlayıcılar bunu kimsenin istemediğini düşünüyor
      Aksi olsaydı Microsoft'un Outlook verilerini 1000 iş ortağıyla paylaşması çok daha zor olurdu
    • 2026'da e-posta şifrelemesini zorlamak, gerçek güvenlik uygulamalarından çok onay kutusu gereksinimlerine önem verildiğinin işaretine daha yakın
      Şifreli e-posta kulağa hoş geliyor ama gerçek tehditlere bakıldığında mevcut duruma kıyasla koruduğu şey çok az ve çok sayıda işlev de kayboluyor
      Temel varsayım olarak e-posta zaten benim bilgisayarımdan posta sunucuma, benim posta sunucumdan alıcının posta sunucusuna, alıcının posta sunucusundan da alıcının bilgisayarına kadar şifreleniyor
      Ben ve alıcı dışında görebilen taraflar yalnızca aradaki posta sunucuları ve şifreli e-postayla elde edilebilecek en iyi sonuç bile bu süreçte kilit rol oynayan bazı tarafları devre dışı bırakmakla sınırlı
      Özellikle e-posta başlıkları açık kalmaya devam ettiği için, en iyi durumda bile bu çok mahrem bir iletişim olmuyor
      Buna karşılık şifreli e-posta, sunucu tarafı filtreleme gibi işlemleri bozuyor. Spam işleme de buna dahil; özellikle spam klasörüne bile ulaşmayan devasa spam hacmi düşünülünce pratik bir çözüm görünmüyor
      Kullanıcılar webmail'e giriş yapıp e-postayı hemen okuyabilmeyi bekliyor ve webmail baskın e-posta istemcisi konumunda
      Bunu çözmek için anahtarı sunucuya verirseniz, sunucu yeniden e-postayı okuyabilen taraf hâline gelir ve mevcut durumdan farkı kalmaz
      Daha büyük sorun anahtar dağıtımı. E-posta göndermek için alıcının anahtarını bulmanız gerekir; büyük ölçekte en pratik yöntem, kullanıcının açık anahtarını posta sunucusuna sormaktır
      Ama o sunucu, o kullanıcıya giden tüm mesajları ele geçirebilecek tek taraf olduğundan kendi anahtarını verip şifreyi çözdükten sonra kullanıcıya yeniden şifrelese bile bunun fark edilmesi zordur
      PGP anahtar sunucusu gibi alternatifler de işe yaramıyor. PGP şifrelemesiyle ilgilenen kullanıcı sayısı bir milyona bile ulaşmamışken PGP anahtar sunucusu ekosistemi birkaç yıl önce çöktü; bu, milyarlarca e-posta kullanıcısının ölçeğiyle kıyaslanamaz bile
      Şifreli e-posta, e-posta şirketlerinin iş modeli yüzünden değil, e-posta mimarisinin zaten yeterince iyi güvenlik sağlaması ve ek şifrelemenin faydasını pratiğe dökmenin çok zor olması nedeniyle uygulanması güç bir hayale daha yakın görünüyor
    • Yeni e-posta, e-posta değil de daha çok Matrix ya da merkezileşmeyi kabul edersek Signal gibi bir şey olacaktır
      İyi bir kullanıcı deneyimi ve güçlü şifreleme sunan bir sistem olması gerekir

  • Yazıda, e-posta iletiminde DKIM'in bozulmamasını sağlamaya çalışan başarısız ARC önerisinden söz ediliyor
    https://www.ietf.org/archive/id/draft-adams-arc-experiment-c...
    Google'ın ARC'den farklı bir yaklaşıma geçmeye ikna edilip edilemeyeceği ilginç
    Gmail bugünlerde e-posta sunucusu itibarına çok önem veriyor; bu yüzden hoşuna gitmeyen posta sunucularına sürekli olarak kötü muamele yapabiliyor

  • “İkincisi AI desteği. Gelen kutusunu özetleyen, eylem maddelerini öne çıkaran, yanıt taslağı hazırlayan ve bazı durumlarda kullanıcı adına hareket eden araçlar”
    En şeytani kısım bu. Sonunda botlar botlarla konuşuyor ve insanlar devreden çıkıyor
    Tüm e-posta sorunları GPG ile çözülebilir ama o zaman Fastmail gibi e-posta hizmetlerinin işi çöker
    Çünkü kullanıcı e-postalarını okuyup analiz edemezler, reklam satamazlar, kullanıcı profillerini reklam şirketlerine satamazlar ve kullanıcı verileriyle AI eğitemezler
    Benim görmek istediğim e-postanın geleceği bu. Ne yazık ki kimse GPG kullanmıyor ve insanlara öğretmek de epey zor

    • Sonuçta bu yola itileceğiz, o yüzden sabırlı olmak yeterli
      İletişimin gerçekten gerçek olduğunu kanıtlamanın tek yolu, önceden yüz yüze anahtar değişimi yapmak olacak
      GPG bunun sadece bir yolu ve birileri bunu kurumsal düzeyde kolaylaştırmanın bir yolunu bulacaktır
    • Fastmail kullanıcı e-postalarını okuyup analiz ederek reklam mı satıyor? Fastmail kullanıcı e-postalarıyla AI modeli mi eğitiyor?
      Analizde mesaj içeriğinden çok meta veriler daha değerlidir. GPG bunu nasıl çözüyor?

  • Bunun JMAP hakkında bir yazı olmasını ummuştum

    • Bu yazı sayesinde SPF, DKIM ve DMARC'ı öğrendim; bunlar oldukça iyi teknik iyileştirmeler gibi görünüyor
      İçerik şifrelemesi değil ama temel e-posta ortamında bile hâlâ iyileştirme alanı olduğunu gösteriyor
    • JMAP'in ne olduğunu bilmiyordum ama biraz araştırınca katıldım

  • Hobi projesinde tüm kurallara uyup doğru başlıkları ekleseniz bile e-posta gönderememek sinir bozucu
    jeremyevans'ın kendi e-posta sunucusunu barındırma yazısını ilgiyle okudum ama o yalnızca alımı ele alıyor, gönderimi değil
    https://code.jeremyevans.net/2021-07-29-running-my-own-email...