E-Posta iletişimi günlük yaşamın önemli bir parçası haline gelmiştir, bu noktada birçok phishing ve kişisel veri hırsızlığı spam mail yolu ile yapılmaktadır. Bu makalemde bu güvenlik sorununu azaltmak için Microsoft’un geliştirmiş olduğu SIDF (Sender ID Framework) protokolünden bahsedeceğim. SIDF’in amacı spam’ı önlemek değildir, sadece spam mail alımını azaltarak çevrim içi güvenliği biraz daha arttırmaktır. SIDF hiçbir ücret ödemeden postalarınız üzerinden kimlik doğrulaması yapabileceğiniz bir protokoldür ve bu protokol IETF tarafından desteklenmektedir.
Sender ID yi açıklamadan önce size SPF (Sender Policy Framework )’den bahsetmek istiyorum, SPF bir mail doğrulama sistemidir, amacı bir domainden gelen mailin yetkili bir MTA’dan gönderilip gönderilmediğinin kontrolü sırasında kullanılan DNS kaydını oluşturmasıdır.
Sender ID ise SPF alt yapısı üzerine kurulmuş, daha gelişmiş bir protokoldür. SPF aslında gelen mail için MAIL FROM bölümündeki adresi baz alarak DNS kontrolü yapmaktadır, oysaki bir mail için tek header bilgisi bu değildir. Sender ID işte tam bu noktada bize ek olarak Purported Responsible Address (PRA) dediğimiz ve yine mailin kimden geldiğini doğrulamamızı sağlayan bir bilgiyi de kontrol eder. Yani SPF’ in bir adım ötesi veya zayıf yanını kapatan bir sistem olarak özetleyebiliriz.
Bunu kullanmak istiyorsak eğer bu durumda SPF deki gibi tek bir parametre değil birden çok parametre kullanabiliyoruz.
spf2.0/mfrom – meaning to verify the envelope sender address just like SPF.
spf2.0/mfrom,pra or spf2.0/pra,mfrom – meaning to verify both the envelope sender and the PRA.
spf2.0/pra – meaning to verify only the PRA.
Bu durumu bir örnek ile açıklamak istiyorum.
Siz mail sisteminizde sadece SPF kullanmak istiyorsanız, yani mail sisteminiz için SPF doğrulaması yapmak için DNS üzerinde aşağıdaki gibi bir kayıt açmalısınız
v=spf1 a mx IP4:188.132.200.251 –all
SenderID ile doğrulama yapmak istiyorsanız aşağıdaki gibi bir kayıt kullanmanız gerekmektedir
spf2.0/pra a mx IP4:188.132.200.251 -all
Burada spf2.0 yazması sizi aldatmasın, bunlar SenderID için kullanabileceğiniz kayıtlar olup genelde pek çok kurum bunları kullanamk yerine hala geçerli olan ( 2003 de SPF çıktığı için uzun yıllardır kabül görmüş bir DNS kaydıdır ) SPF kaydını kullanmayı tercih etmektedir.
Aşağıdaki tablo yine karşılaştırma açısından iyi bir kaynaktır
Sender ID
|
SPF
|
|
Address checked
|
PRA
|
Envelope domain (return-path address)
|
Where check’s made
|
Visible message-body header in sender line
|
Root and subdomains
|
Example
|
example.com (as in [email protected])
|
mail.example.com (subdomain) and example.com (root
|
Burada bir konuya daha değinmek istiyorum. Genellikle SenderID mi yoksa SPF mi kullanmalı ? SenderID, SPF in yeni sürümü mü gibi sorular çok sorulmaktadır. Aslında bu soruların temelinde bu iki çözüm için DNS üzerinde kullanılan kayıtlardaki taglar ile alaklı. Örneğin SPF için siz DNS üzerinde bir kayıt açtığınız zaman “v=spf1” ile başlar ve bu standart RFC 4408 ile belirlenmiştir. Sender ID ise “spf2.0/pra”, “spf2.0/mfrom”, veya “spf2.0/mfrom,pra” taglarına sahip olduğu için ilk okuyanlar sanki SenderID nin SPF in yeni sürümü gibi düşünüyor ancak makalemde de açıkladığım gibi bunlar temelde aynı amaca hizmet eden farklı çözümlerdir ve karşılaştırmak yerine bir arada kullanılması gerekmektedir.
Sender ID Nasıl Çalışır?
Yukarıdaki resme baktığımızda özetlemek gerekirse kısaca;
1- Kullanıcı Hotmail.com gibi domain adresine maili gönderir fakat Hotmail.com sunucusu SIDF protokolünü kullanmaktadır.
2- Hotmail.com sunucusu DNS bilgilerini sorgulayarak mail gönderen domain adı ve ip adresinin eşleşip eşleşmediğini sorgular
3- Eğer bilgiler eşleşmişse mail yetkilendirilerek içeriye geçmesi sağlanır. Eğer eşleşmezse mail drop edilir, spam klasörüne ya da junk klasörüne düşebilir.
Peki o zaman nasıl SIDF kaydı oluşturabilirsiniz, bunu inceleyelim.
Öncelikle http://www.microsoft.com/mscorp/safety/content/technologies/senderid/wizard/Default.aspx
Bu adresi açarak domain adımızı yazıyoruz ve start a basıyoruz
Gelen ekranda bizim SPF kaydımız olup olmadığını sorguluyor uyarı olarak bize A ve MX kayıtlarımızın mevcut olduğunu SPF kaydımızın olmadığını bize söylemektedir. Next diyerek devam ediyorum
Domain Not Used for Sending E-Mail: Bu seçenek eğer mail sunucunuzu dışarıya mail göndermek için açmadıysanız işaretlenmesi gereken seçenektir.
Inbound Mail Servers Send Outbound Mail: Bu adımda eğer mail gönderen sunucunuzla, gelen sunucunuz aynı ise bu alan işaretlenmelidir ki zaten default da gelen de budur.
Cozumpark.com doamainin MX kayıtlarını listeliyor bize ayrıca cozumpark.com haricinde başka domain isimleri ve MX kayıtları mevcutsa onları da ilgili boş alana eklememiz gerekiyor.
Outbound Mail Server Addresses: Bu adımda giden posta sunucunuzun ip adresleri aşağıda listelenecektir. All addresses listed in A records may send mail seçeneğini seçerek oluşturmuş olduğunuz tüm A kayıtlarına mail gönderiminin gerçekleşmesini sağlayabilirsiniz.
Outsourced Domains: Eğer dışarıda barındırdığınız başka domainleriniz var ise boş olan text kutusuna her bir satıra bir domain adı gelecek şekilde yazmanız gerekmektedir.
Örneğin şirketinize bağlı yan bir şirketin olduğu durumlarda yazılması gerekmektedir.
Default: Varsayılan olarak
Discouraged; mail may legitimately originate
from IP addresses not identified above, however,
use of such IP addresses is discouraged and may
not be permitted in the future.
Mail adresine gelen maillerin kimlik doğrulamasını yaparak ilgili mail hakkında spam mail olup olmayacağına dair bilgi verebileceğini bildiren bir bildirimdi. Bu seçenek seçilerek diğer adıma geçilir.
Scope: Maillerin doğrulamasının hangi yöntemle yapılması gerektiğini seçerek bu adımı özelleştirebilirsiniz, fakat konu hakkında bilginiz yok ise Both seçeneği kalması önerilir. Sonraki Adım son adımdır.
SPF kaydımız oluşturulduk buradaki text alanındaki veriyi kopyalayarak DNS’imiz üzerinde bir Text kaydı oluşturmamız ve bu kaydı o text alanına girmemiz gerekiyor.
DNS üzerinde boş bir alanda Other New Records u tıklayarak.
Text (TXT) kaydını seçerek TEXT alanına da son adımda kaydetmiş olduğumuz SPF bilgisini bu kısma eklemeliyiz ve kaydı kaydederek kapatabiliriz.
Eğer adımları doğru gerçekleştirmiş ve Exchange 2010 yöneticisiyseniz kuyrukta bekleyen maillerin hızla azaldığını artık daha az mailin kuyrukta beklediğini gözle görülür bir şekilde fark edebilirsiniz.
Windows Server 2008 Standart Edt.
Windows Exchange Server 2010 SP1 ile test edilmiştir.
Bir başka makalede görüşmek dileğiyle.
Kaynak: http://www.microsoft.com/mscorp/safety/technologies/senderid/default.mspx
Kaynak: http://www.hakanuzuner.com/
Eline sağlık.