DKIM
Günümüzde maillerle ilgili phishing ve spam mail gibi birçok hileler söz konusudur. E-postalarda bu gibi hilelerin önüne geçmek için birtakım önlemler alınması gerekir. SPF (Sender Policy Framework) bunlardan birisi olup, mail atılmasına izin veren mail sunucusunu tanımlar. SPF için DNS’e TXT kaydı eklenir ve bu TXT kaydı, özel alan adlarının ilgili mail sunucusundan mail gönderebileceğini tanımlayan kayıttır. Mail sunucuları mail geldiğinde ilgili alan adının yetkili bir mail sunucusundan gelip gelmediğini anlamak için SPF’e ait TXT kaydına bakar. Örneğin Office 365 alt yapısına x.com alan adının ve SPF kaydının eklendiği bir platformda ezgi@x.com adresinden mail atıldığında, maili alan mail sunucusu x.comâ dair SPF TXT kaydını arar. Böylelikle mailin geçerli olup olmadığını doğrular. Maili alan sunucu SPF kaydından mailin başka sunucudan geldiğini anladığında ise maili spam olarak reddedebilir. Buradan da anlaşılacağı üzere SPF TXT kaydı, e-posta iletilerinin gönderildiği alan adını doğrulayarak sahteciliği ve kimlik avlamasını önlemeye yardımcı olan bir DNS kaydıdır. Böylelikle sahtecilik yapan kullanıcıların başkalarına ait alan adlarından mail gönderimleri engellenir. SPF kaydına ek olarak DKIM (Domain Keys Identified Mail) teknolojisi de ek güvenlik olarak kullanılmalıdır. DKIM, etki alanları üzerinde sahteciliği ve kimlik avı saldırısını önlemek için SPF ile birlikte kullanılan gelişmiş bir güvenlik özelliğidir. DKIM’i etkinleştirilen alan adlarında, gönderilen tüm e-postalar, kriptografik kimlik doğrulaması kullanılarak dijital olarak imzalanır. DKIM, tüm giden maillerin header’ına private key kullanarak şifreleme işlemi yapar. DKIM etkinleştirilmiş sunucudan atılan mail şifreli olarak mail alan sunucuya iletilir. Maili alan sunucu imzayı çözebilmek için DKIM public anahtarını arar. Bu public key için DNS’te alan adına ait kayıt girilir ve maili alan sunucu bu sayede imzayı çözer. Kısaca DKIM için private key ve public key adında 2 tane anahtar oluşturulur. Private key gönderilecek e-postaların imzalanması için kullanılır. Bu nedenle gizli olarak sunucuda saklanır. Public key ise imzalanmış e-postayı doğrulamak için kullanılır. E-posta alıcısının doğrulama yapabilmesi için public key’in DNS sunucusuna TXT kaydı olarak eklenmiş olması gerekir. Böylelikle mailler yetkisiz bir sunucudan geliyorsa, sahtecilik girişimi engellenir ve imza çözümlenmez. SPF ve DKIM kayıtları ile Spoofing saldırılarından korunma sağlanır.
Office 365’te, kullanıcılar için oluşturulan ilk alan adları için otomatik olarak DKIM ayarı yapılır. Burada ilk adları olarak bahsedilen, Office 365’te oturum açıldığında kullanıcılar için oluşturulan onmicrosoft.com uzantılı alan adlarıdır. Bu noktada Office 365 DKIM ayarlarını otomatik yaptığı için kullanıcıların herhangi ayar yapmalarına gerek yoktur. BT ekipleri firmalarına ait alan adlarını girdiklerinde DKIM ayarlarını yapmamaları durumunda, Office 365 otomatik olarak 1024-bit’lik DKIM public key ve ona bağlı private key oluşturur. Office 365 kullanıcıları varsayılan imzalama ilkelerini kullanır. Ancak birden fazla özel alan adlarının olması, aynı zamanda DMARC özelliğinin kullanılması, private key’lerin kontrollerinin sağlanmak istenmesi, CNAME kayıtlarının kontrolleri ya da 3rd party etki alanlarından iletilen maillerden DKIM kullanılmak istenildiğinde manuel ayarlar yapılandırılmalıdır. DKIM için her özel alan adı için iki tane CNAME kaydı oluşturulur. Office 365 oluşturulan bu iki CNAME kaydını ile anahtar döndürme işleminde kullanır. DKIM için kullanılacak olan CNAME kayıtlarına dair format aşağıdaki gibi olmalıdır.
Burada yer alan domainGUID olan alan MX kaydında yer alan mail.protection.outlook.com bölümünde görüntülenir. Aşağıdaki örnekte yer alan MX kaydına dair domainGUID contoso-com’dur.
Initial domain ise Office 365’e kayıt olurken verilen alan adıdır. Onmicrosoft.com uzantılı alan adlarıdır.
Contoso.com’a alan adı için girilmesi gereken DKIM CNAME kayıtları aşağıdaki gibidir. Bu örnekte initial domain contoso.onmicrosoft.com olarak düşünülmüştür.
Host name: selector1._domainkey.contoso.com
Points to address or value: selector1-contoso-com._domainkey.contoso.onmicrosoft.com
TTL: 3600
Host name: selector2._domainkey. contoso.com
Points to address or value: selector2-contoso-com._domainkey.contoso.onmicrosoft.com
TTL: 3600
İlgili DNS kayıtlarının girilmesinin ardından Office 365 Güvenlik ve Uyumluluk Merkezi’nden ilgili domainler ile ilgili DKIM ayarı etkinleştirilir. Etkinleştirme sırasında da girilmesi gereken CNAME kayıtları ile ilgili bilgiler görüntülenir. Office 365 Güvenlik ve Uyumluluk arayüzünden “Tehdit Yönetimi” bölümündeki “İlke” seçeneğindeki DKIM’e tıklanır.
DKIM arayüzünde ilgili alan adları görüntülenir. İlgili alan adına tıklanır ve “Etkinleştir” seçeneği ile DKIM ayarı manuel olarak etkinleştirilir. Etkinleştirme sırasında girilmesi gereken kayıta dair de bilgiler görüntülenir.
Gerekli DNS ayarlarının girilmesinden ve Office 365 portalındaki ayarlar yapıldıktan sonra DKIM manuel olarak etkinleştirilmiş olur.
https://technet.microsoft.com/en-us/library/mt695945(v=exchg.150).aspx
