Sender Policy Framework (SPF) veya Türkçe tabiriyle Gönderen Politikası Çerçevesi, DMARC ve DKIM ile birlikte modern e-posta kimlik doğrulamasında önemli bir rol oynar. Yetkisiz gönderenlerden gelen e-postaların gelen kutusuna düşmesini önlemeye yardımcı olur.

Bu yazıda SPF için kapsamlı bir rehber sunacağız. SPF’nin çeşitli kavramlarını, nasıl çalıştığını, tipik senaryolarda uygulamalı kurulum talimatlarını ve daha fazlasını ele alacağız. Bu SPF kılavuzuna dayanarak kuruluşunuz içinde SPF’yi uygulayabileceksiniz.

Sender Policy Framework (SPF) Nedir?

Sender Policy Framework (SPF), yalnızca yetkili gönderenlerin bir etki alanı adına gönderme yapmasına izin veren ve tüm yetkisiz kullanıcıların bunu yapmasını engelleyen bir e-posta kimlik doğrulama mekanizmasıdır.

SPF, alıcı e-posta sunucusunun, belirli bir alandan geldiğini iddia eden bir e-postanın gerçekten de o alan yöneticisi tarafından yetkilendirilmiş bir IP adresinden gelip gelmediğini kontrol etmesini sağlar.

SPF’nin Tarihçesi

SPF kavramı ilk kez 2000 yılında dile getirildi. Daha sonra Hadmut Danisch’in “Reverse MX” (RMX) ve Gordon Fecyk’in “Designated Mailer Protocol” (DMP) gibi önerileri IETF Anti-Spam Araştırma Grubu’na (ASRG) sunuldu. 2003 yılında Meng Weng Wong, RMX ve DMP spesifikasyonlarını birleştirerek nihayetinde SPF haline geldi.

2004’ün başlarında, IETF, artık Gönderen Kimliği olarak bilinen şeyin temeli olarak SPF’yi ve Microsoft’un Arayan Kimliği önerisini kullanmaya çalıştı; ancak teknik ve lisans çatışmaları nedeniyle hiçbir yere varamadı.

Topluluk daha sonra SPF’nin orijinal sürümüne geri döndü. 2006 yılında SPF RFC, deneysel RFC 4408 olarak yayınlandı. 2014 yılında IETF, SPF’yi RFC 7208’de “önerilen standart” olarak yayınladı.

Neden Sender Policy Framework (SPF) Kullanmalıyız?

E-posta, güvenli bir iletişim platformu olarak tasarlanmamıştır – herkes, belirli bir etki alanından gelmiş gibi görünen e-postalar gönderebilir. Bu, siber suçluların alıcının kredi kartı bilgileri ve/veya şifresi gibi hassas bilgilerini hileli bir şekilde ele geçirmesine olanak tanır.

SPF, özellikle bu sorunu çözmek için tasarlanmıştır: SPF bir etki alanında doğru bir şekilde uygulandığında, SPF uyumlu bir e-posta servis sağlayıcısı, gelen herhangi bir e-posta iletisinin, alan adına e-posta göndermesine izin verilen belirtilen ana bilgisayar listesinden gelip gelmediğini kontrol eder.

Bu durumda, e-postanın SPF tarafından doğrulandığı söylenir ve gelen kutusuna iner; aksi takdirde, e-posta başka türden kontrollere tabi tutulur ve DMARC ayarlarınıza bağlı olarak karantinaya alınabilir veya reddedilebilir.

SPF Kullanmanın Avantajları

SPF, e-posta gönderenlerin kimliğini doğrulamak için bir mekanizma sağlar – bu, belirtilen beyaz liste dışındaki gönderenlerin etki alanı için e-posta göndermesine izin verilmemesini sağlar. Bu, çok çeşitli kimlik sahtekarlığı saldırılarını ortadan kaldırır.

Kısacası:

• SPF olmadan: etki alanı için herkes e-posta gönderebilir;
• SPF ile: yalnızca beyaz listede belirtilen ana bilgisayarlar alan adı için e-posta gönderebilir.

SPF Ne Yapmaz?

E-postada 2 tür Kimden adresi vardır: Zarf Kimden adresi ve Kimden adresi başlığı. SPF, From address başlığını işaretlemeden bırakırken yalnızca From address zarfının kimliğini doğrular. DMARC, bu sorunu çözmek için “SPF tanımlayıcı hizalaması” kavramını sunar.

E-posta, iletildiğinde olduğu gibi dolaylı bir posta akışından geçtiğinde SPF bozulur. Ara ana bilgisayarın IP adresi kaynağınkinden farklı olduğundan ve beyaz listede olmayabilir, e-posta, hedef ana bilgisayarda SPF kimlik doğrulamasında başarısız olabilir.

Neyse ki, kimliği doğrulanmış alınan zincir (ARC) adı verilen görece yeni bir protokol bu sorunu giderir: Kimliği doğrulanmış alınan zincir (ARC) nedir? ARC, SPF kimlik doğrulama sonucunu korur ve terminal ana bilgisayarının onu alabilmesi için aşağı akış atlamalarına iletir.

Son olarak, SPF raporlama/geri bildirim yeteneklerinden yoksundur. Bu, uygulanmasını ve sürdürülmesini zorlaştırır.

SPF, DKIM ve DMARC Arasındaki Farklar Nelerdir?

Modern e-posta kimlik doğrulaması, genellikle SPF’ye ek olarak DKIM ve DMARC dahil olmak üzere büyük oyuncuları içerir. Birlikte, doğru bir şekilde uygulandığında e-posta sahteciliği saldırılarının risklerini en aza indiren iş e-postası için eksiksiz bir sahtekarlığa karşı koruma sunarlar.

DKIM, DomainKeys Identified Mail’in kısaltmasıdır. E-postalardaki sahte başlık alanlarını ve içeriği tespit etmek için tasarlanmış bir e-posta kimlik doğrulama yöntemidir. DKIM, alıcının e-posta başlıklarının ve içeriğinin aktarım sırasında değiştirilip değiştirilmediğini kontrol etmesini sağlar.

Yukarıda açıklandığı gibi, SPF, DKIM ve DMARC, e-posta kimlik doğrulamasında farklı amaçlara hizmet eder. Bu arada, birlikte çalışırken e-posta için tam koruma sağlarlar. Özetlemek gerekirse: SPF, e-posta gönderenlerin kimliğini doğrular; DKIM, e-posta başlıklarının ve içeriğinin kurcalanmamasını sağlar; ve DMARC, e-posta iletilerinin kimliğini SPF ve DKIM kimlik doğrulamasının sonuçlarına göre doğrular.

DMARCLY, SPF, DKIM ve DMARC’nin tamamını kullanırken, kişi SPF ve DMARC gibi kısmi bir uygulamadan başlayabilir ve ardından tam bir SPF, DKIM ve DMARC uygulaması elde etmeye devam edebilir.

SPF Nasıl Çalışır?

SPF’nin çalışması için domain yöneticisinin e-posta servis sağlayıcısıyla işbirliği yapması gerekir. Etki alanı yöneticisi tarafında, DNS’de gönderenlerin beyaz listesini, yani o etki alanı adına hangi ana bilgisayarların göndermesine izin verildiğini belirten bir SPF kaydı yayınlar; zorlama, e-posta servis sağlayıcı tarafında gerçekleşir: gelen her e-posta için, DNS’den SPF kaydını getirir ve gönderenin listede olup olmadığını kontrol eder. DNS hakkında  daha fazla bilgi edinmek için DNS nedir makalesini okuyabilirsiniz.

Bu senaryoyu göz önünde bulundurun:

• İşletme alan adınız business.com’dur; çalışanlarınıza ve müşterilerinize [email protected] adresinden e-posta göndereceksiniz;
• E-postayı sizin için gönderen e-posta teslim sunucunuzun IP adresi 192.168.0.1’dir;
• Bazı saldırganlar, sahte e-postalar göndermeye çalışmak için 1.2.3.4 IP adresinde bir sahte e-posta ana bilgisayarı kullanır.

Bir e-posta dağıtım hizmeti, alıcının posta kutusuna hizmet veren e-posta sunucusuna bağlandığında:

• E-posta sunucusu, alan adını adresten gelen zarftan çıkarır; bu durumda, bu business.com’dur;
• E-posta sunucusu, business.com’un DNS’de yayınlanan SPF kaydında listelenip listelenmediğini görmek için bağlanan ana bilgisayarın IP adresini kontrol eder. IP adresi listeleniyorsa SPF kontrolünden geçilir, aksi takdirde geçilmez.

Örneğin, SPF kaydınızın şöyle göründüğünü varsayalım:

v=spf1 ip4:192.168.0.1 -all

bu, yalnızca 192.168.0.1 IP adresinden gelen e-postaların SPF kontrolünden geçebileceği, 192.168.0.1 dışındaki herhangi bir IP adresinden gelen tüm e-postaların başarısız olacağı anlamına gelir. Bu nedenle, 1.2.3.4 IP adresindeki dolandırıcılık sunucusundan gelen hiçbir e-posta SPF kontrolünden geçemez.

SPF kaydını meşru IP adreslerinin beyaz listesi olarak düşünün ve yalnızca IP adreslerinden birinden gelen bir e-posta olduğunda SPF yeşil ışık yakar. CPanel hosting gibi başka her tür barındırıcı, alanınızı kullanarak e-posta gönderebilir. SPF kimlik doğrulama sonucu daha sonra DMARC kimlik doğrulaması için kullanılır.

Gmail kullanıyorsanız, SPF kontrolünün başarılı olup olmadığını görmek kolaydır. Web Gmail’de oturum açın, söz konusu iletiyi tıklayın ve bir e-posta iletisinin ayrıntılarını incelemek için “Orijinali göster” özelliğini kullanın.

SPF TXT Kaydı Nedir?

Bir SPF kaydı, belirli bir etki alanında DNS’de yayınlanan TXT kaynak kaydı türünde bir Gönderen Politikası Çerçevesi kaydıdır. Tüm amacı, etki alanı adına izin verilen göndericilerin bir listesini belirtmektir.

Eskiden bir SPF kaynak kaydı türü olduğunu, ancak bunun 2014’te kullanımdan kaldırıldığını unutmayın. Bir SPF kaydı, DNS’de bir TXT kaydı olarak yayınlanmalıdır.

Bir SPF kaydı, domain yöneticisi tarafından yayınlanır ve e-posta servis sağlayıcıları tarafından zorunlu kılınır.

SPF Kaydı Nasıl Kurulur?

Bir SPF kaydının tüm bileşenlerini okuduk. Şimdi alan adınız için bir kayıt oluşturmak için ilk adım, alanınızın IP adresini ve kullanıyorsanız üçüncü taraf posta sunucusu ayrıntılarını ekleyerek özelleştirmek ve kendi başınıza bir SPF kaydı oluşturmaktır. Bu, alan adınızın DNS sunucusunda barındırılmalıdır. Bu arada IP adresi nedir makalesi IP adresleri hakkında size daha fazla bilgi verebilir.

Etki alanı kayıt kuruluşunuzun DNS sunucusunu kullanıyorsanız, kayıt şirketi tarafından DNS girişlerini ekleyebileceğimiz veya kaldırabileceğimiz bir gösterge panosu sağlanacaktır. DNS eklemeden önce, SPF kaydı bir TXT girişi olduğundan, giriş türünü TXT olarak seçtiğinizden emin olun.

Çoğu zaman DNS sunucusu, üçüncü taraf bir sağlayıcı veya alan adınızı barındıran şirket tarafından yönetilir. Gerekirse destek vereceklerdir. SPF kaydınızı ekledikten sonra 72 saat sürebilir.

etkinleştirmek için. Başarıyla uyguladıktan sonra, yeni yapılandırmanızı bir posta göndererek test edebilirsiniz. SPF kimlik doğrulama ayrıntılarını görmek için e-posta başlığını kontrol edin.

SPF’yi “geçerli” olarak bulursanız, SPF kaydı düzgün çalışıyor ve posta başarıyla alıcı sunucuya ulaştı demektir. Posta sunucunuzun spam kutusunu işaretlerseniz, SPF başarısız olan e-postalar ve bir uyarı mesajı olacaktır.

SPF kayıtlarınızı ayarlarken aklınızda bulundurmanız gerekenler:

1. İşletmeniz büyüyüp çoğaldıkça kayıtlarınızı doğru bir şekilde güncellediğinizden emin olun. Bu değişiklikler gerçek zamanlı olarak uygulanmazsa, SPF kayıtlarınız geçerliliğini yitirecektir.
2. SPF, dolandırıcılık postasını bildirmek için bir sinyaldir ve SPF hatası, postanın engellendiğini garanti etmez.
3. Posta iletilirse SPF kaydı bozulur
4. SPF’yi atlamanın yöntemleri vardır, bu nedenle SPF’ye ek güvenlik önlemlerinin uygulanması önerilir.

Bu nedenle, alanınız için yalnızca bir SPF kaydının ayarlanmış olması kuruluşunuzu korumaz, her zaman en son teknolojilerle güncellenir ve e-posta güvenliği kurbanı olmaktan kaçınmak için etki alanı güvenliğinizi günceller.

Son Söz

Bilmeniz gereken her şeyi bu makale içerisine topladık, umarız tüm sorularınızın cevabını almışsınızdır. Yine herhangi sorunuz olursa Mavihost destek ekibine ulaşabilir ve sorularınızı sorabilirsiniz.

SPF Hakkında Sıkça Sorulan Sorular

Burada Sender Policy Framework hakkında daha fazla soruyu yanıtlayacağız:

SPF E-postamı Nasıl Düzeltirim?

SPF kaydınızın mevcut tüm e-posta gönderenlerini içerdiğini doğrulayın

1. SPF kaydınızdaki sunucuları ve hizmetleri kontrol edin. Mevcut bir SPF kaydınız olup olmadığını kontrol edin bölümündeki adımları izleyin.
2. SPF kaydınızı yeni gönderen bilgileriyle güncelleyin. SPF kaydınızı tanımlama bölümündeki adımları izleyin.

E-posta İçin SPF’mi Nasıl Bulabilirim?

nslookup’ı kullanarak, bir etki alanının Gönderen Politikası Çerçevesi (SPF) kaydını aşağıdaki gibi manuel olarak kontrol edebilirsiniz:

1. Komut istemini açın (Başlat > Çalıştır > cmd)  veya (Start > Run > cmd)
2. Etki alanı veya ana bilgisayar adını, bir boşluk girin ve ardından nslookup -type=txt .
3. Bir SPF kaydı varsa, sonuç v=spf1 ip4:207.171 gibi olacaktır.

SPF’nin Başarısız Olmasına Ne Sebep Olur?

SPF kimlik doğrulama hataları aşağıdaki nedenlerden dolayı meydana gelebilir: Alıcı MTA, DNS’inizde yayınlanan bir SPF kaydını bulamıyor. Aynı etki alanı için DNS’nizde yayınlanmış birden çok SPF kaydınız var. ESP’lerinizin SPF kaydınızda güncellenmemiş IP adresleri değişti veya eklendi.