E-posta kimlik doğrulama, e-posta iletişimini güvence altına almak için önemli bir adımdır ve bireylerin hassas mesaj içeriğini siber tehditlerden korumasına olanak tanır. Bir e-posta’nın hem göndericisinin hem de alıcısının meşru olduğunun doğrulanması, riski en aza indirir ve işletmeler ile tüketiciler arasında iki yönlü güvenli iletişimi kolaylaştırır.
E-posta Kimlik Doğrulama: Giriş
E-posta kimlik doğrulama, bir e-posta göndericisi veya alıcının kimliğini doğrulayabileceğiniz bir işlemdir.
Amaç, size e-posta gönderen kişinin veya sizin e-posta gönderdiğiniz kişinin tam olarak söyledikleri kişi olup olmadığını kontrol etmektir.
Kimlik doğrulama, e-posta güvenliğinde, kötü amaçlı saldırıların ve insan hatalarının önlenmesine odaklanan temel bir kavramdır. E-posta kimlik doğrulama çözümleri, hem gönderenin hem de alıcının doğru kişiyle veya güvenilir bir kuruluşu temsil eden kişiyle iletişim kurduklarına dair güvenini artırmak için tasarlanmıştır.
E-posta Kimlik Doğrulama Türleri
Bir e-posta iletişim etkileşimindeki her katılımcının korunduğundan emin olmak için iki tür e-posta kimlik doğrulaması vardır: gönderen kimlik doğrulaması ve alıcı kimlik doğrulaması.
İlgili İçerik: Maillerin Junk Klasörüne Düşmesi – Neden Maillerim Spam Olarak Algılanıyor?SPF – PTR – DKIM ve DMARC Kayıtları Nelerdir?
1. Gönderici Kimlik Doğrulaması
Gönderen kimlik doğrulaması, size bir işletmeden veya kişiden gönderilen bir e-posta’nın yasal bir kaynaktan geldiğini onaylar. Gerçek gönderenler için mesaj teslim edilebilirliğini artırır ve e-posta’ları açarken alıcılar için riski en aza indirir.
Bu tür e-posta kimlik doğrulaması, genellikle gönderenin e-posta adresinin geçerliliğinin ve mesajın kendisinin bütünlüğünün kriptografik teknikler kullanılarak doğrulanmasını içerir.
Bunu yapmak için kullanılan birkaç yöntem vardır:
Sender Policy Framework (SPF)
Bir Gönderen Politikası Çerçevesi, en basit kimlik doğrulama yöntemlerinden biridir ve hangi alan adlarının ve IP adreslerinin işletmeniz adına e-posta göndermeye yetkili olduğunu belirlemenize olanak tanır. Bunlar DNS (Domain Name System) kayıtları olarak yayınlanmaktadır.
Örneğin, kurumsal ve pazarlama iletişimleriniz için farklı hizmetleriniz varsa, bir SPF kaydı içinde işletmeniz adına e-posta teslim etmesine izin verilen birden çok hizmeti (örneğin, M365 sunucunuz ve pazarlama e-posta sağlayıcınız) belirtebilirsiniz.
Bir e-posta gönderdiğinizde, alıcının e-posta sunucusu, IP adresinin yetkili olup olmadığını görmek için SPF kaydını kontrol eder. Böyle bir durumda, e-posta gerçek olarak kabul edilir ve alıcının gelen kutusuna teslim edilir. Listelenmemişse veya yetkisiz olarak listelenmişse, e-posta reddedilir veya spam klasörüne gönderilir.
İlgili İçerik: SPF Nedir? Sender Policy Framework
DomainKeys Identified Mail (DKIM)
DKIM, şifreleme kullanan daha karmaşık bir e-posta kimlik doğrulama yöntemidir. Alanı ve e-posta iletisinin kendisini doğruladığı için SPF’den daha yüksek düzeyde güvenlik sunar.
DKIM’i alan adınız için etkinleştirirken, bir çift şifreleme anahtarı oluşturursunuz: bir özel anahtar ve bir genel anahtar. Özel anahtar daha sonra giden e-posta mesajlarını imzalamak için kullanılır (genellikle başlıkta), genel anahtar ise alanınızın DNS kayıtlarında yayınlanır.
İşletmenizden bir ileti alındığında, alıcının e-posta sunucusu, başlıkta bulunan özel anahtar imzasını, DNS kayıtlarındaki alanınızla ilişkili genel anahtarla karşılaştırır. İmzalar eşleşirse, alıcı sunucu, e-posta iletisinin yetkili bir gönderici tarafından gönderildiğinden emin olabilir. İmza geçersiz veya tamamen eksikse, e-posta büyük olasılıkla reddedilecek veya spam olarak filtrelenecektir.
DKIM’in e-posta mesajı içeriklerini şifrelemediğine dikkat etmeniz önemlidir, bu nedenle bir üçüncü tarafın mesajlara müdahale etmesi ve bunlara erişmesi hala mümkündür.
Domain-based Message Authentication, Reporting, and Conformance (DMARC)
DMARC, gönderenin geçerliliğini doğrulamak için hem SPF hem de DKIM kayıtlarını kullanan bir yöntemdir. Bir alıcı belirli bir alan adından gönderilen bir e-posta’nın meşru olduğunu doğruladığında hangi kimlik doğrulama yöntemlerinden hangisinin kullanılması gerektiğini belirten bir DNS kaydı yayınlamanıza olanak tanır.
DMARC, kimlik doğrulama kontrollerinde başarısız olmaları durumunda iletilerin nasıl ele alınacağını seçmenize de olanak tanır. Örneğin, iletinin karantinaya alınmasını, doğrudan spam’e gönderilmesini veya hemen engellenmesini belirtebilirsiniz. Bu işlem daha sonra alan sahibine rapor edilir.
Brand Indicators for Message Identification (BIMI)
BIMI, kendi başına bir kimlik doğrulama yöntemi olmasa da, meşru göndericilerin, alıcının e-posta istemcisinde bir e-posta mesajının yanında bir marka logosu görüntülemesine izin vermek için DMARC’nin kullanımından yararlanır.
Alıcılar, gelen bir e-posta’nın güvenilir bir göndericiden geldiğine dair görünür bir göstergeye sahip olduğundan, bu, markanın tanınmasına ve yasal olarak gönderilen bir e-posta iletisine duyulan güvenin güçlendirilmesine yardımcı olur.
BIMI, giden iletileri bir logo dosyasına işaret eden bir URL içeren bir BIMI başlığıyla damgalayarak çalışır. Alıcının e-posta istemcisi BIMI damgası olan bir e-posta mesajı aldığında, DKIM kayıt kontrollerini kullanarak mesajın markayı kullanma izni olduğunu doğrular. Bu kontrolleri geçerse, e-posta istemcisi gelen kutusunda logoyu ve ilgili mesajı görüntüler.
2. Alıcı Kimlik Doğrulaması
Alıcı kimlik doğrulaması, gönderenlerin, iki faktörlü veya çok faktörlü kimlik doğrulama uygulayarak e-posta’larının yalnızca amaçlanan alıcılar tarafından açıldığını doğrulamasını sağlar.
Çok faktörlü kimlik doğrulama (MFA) nedir?
MFA, kullanıcıların bir kaynağa erişim elde etmek için iki veya daha fazla doğrulama faktörü sağlamasını gerektirir. Bu faktörler, aşağıdakilerin bir kombinasyonunu içerebilir:
İlgili İçerik: İki Faktörlü ya da İki Adımlı Kimlik Doğrulama Nedir?
- Şifre
- Dijital cihaz
- Biyometri
Genellikle sadece bir e-posta ve parola içeren bir oturum açma işlemi olan tek faktörlü kimlik doğrulama, tek bir hata noktası oluşturduğundan daha az koruma sağlar. Bir e-posta girişinin, şifrenin ele geçirilmesi veya şifreyi ortaya çıkaran bir veri ihlali yoluyla ele geçirilmesi alışılmadık bir durum değildir.
Karşılaştırıldığında, çok faktörlü kimlik doğrulama, bilgisayar korsanlarının doğru kişi olduklarını kanıtlayacak başka bir kanıta sahip olmadan, kullanıcının hesap parolasını başka yollarla elde etmiş olsalar bile, bir e-posta hesabına erişememelerini sağlar.
E-posta alıcılarının kimliğini doğrulamak için kullanılan en yaygın iki ikinci faktör doğrulama noktası aşağıdaki gibidir:
SMS Kimlik Doğrulaması
SMS kimlik doğrulaması, kimliğini doğrulamasını gerektirerek e-posta hesaplarına ek bir güvenlik katmanı sağlar.
SMS kimlik doğrulaması, e-posta alıcısının kimliğini doğrulamak için bir metin mesajı kullanır. SMS kodu doğrulaması giderek yaygınlaşan bir uygulamadır ve tüketiciler, dijital varlıklara hızlı ve kolay bir şekilde erişmek için cep telefonlarını kullanmaya daha aşina hale gelmektedir.
Bir alıcı, gelen kutusundaki bir e-posta’ya girmeye çalıştığında, sınırlı bir süre içinde cep telefonlarına gönderilen bir kodu girmeleri istenir. Bu kod her kişi için benzersizdir ve yalnızca belirli bir e-posta’ya erişime izin vermelidir.
Kullanıcı sürekli olarak yanlış bir kod girerse, e-posta’ya erişimi kilitlenir ve gönderenin kodu yeniden göndermesi gerekir. Kullanıcı doğru kodu girerse, e-posta içeriğine erişmesine izin verilir ve ardından e-posta’yı okuyabilir ve yanıtlayabilir.
Q&A Kimlik Doğrulaması
Bir kullanıcı bir e-posta’yı açmaya çalıştığında, gönderen tarafından önceden tanımlanmış bir soruyu yanıtlaması istenir. Bu noktada soru, alıcıya (veya gönderici ile alıcının ilişkisine) özel ve üçüncü bir tarafın tahmin etmesi zor olmalıdır. Sağlam güvenlik sağlamak için genel bilgi ve temel bilgi sorularından kaçınmak önemlidir.
Bir kullanıcı soruyu doğru yanıtlarsa, alıcı e-posta’ya erişebilir. Çok fazla yanlış cevap verirlerse içeriğe erişilemez hale gelir.
E-posta Kimlik Doğrulamasını Kimler Kullanmalıdır?
E-posta kimlik doğrulama, e-posta iletişimlerinin güvenliğini ve gizliliğini sağlamak isteyen herkes için, özellikle de düzenli olarak hassas bilgi ve belgeler gönderen veya alanlar için önerilir. Buna bireyler, küçük işletmeler ve büyük şirketler dahildir.
Özellikle, gizliliğin ve veri güvenliğinin kritik öneme sahip olduğu yüksek düzeyde düzenlemelere tabi sektörlerde faaliyet gösteren işletmeler, e-posta kimlik doğrulamasını standart bir uygulama olarak uygulamalıdır.
Örneğin; sağlık, finans, hukuk ve devlet sektörleri. Bu, sektöre özgü düzenlemelere uymalarına ve tüketicilerin kişisel ve finansal bilgilerini korumalarına yardımcı olur.
E-posta Kimlik Doğrulama Neden Önemlidir?
E-posta kimlik doğrulamayı kullanmak, hem gönderenlere hem de alıcılara aşağıdakiler gibi e-posta tehditlerine karşı koruma sağlar:
1. Kimlik avı saldırıları (Phishing attacks)
Kimlik avı, bireyleri veya işletmeleri hedef alabilen yaygın bir siber saldırı türüdür. Kimlik avı saldırısında, bilgisayar korsanı, banka veya tanınmış bir şirket gibi saygın bir kaynaktan geliyormuş gibi davranan bir e-posta gönderir.
İlgili İçerik: Phishing Nedir? Kimlik Avı Saldırıları Nasıl Tanımlanır ve Önlenir?
Amaç, alıcının bir bağlantıya tıklamak veya hassas bilgilerle yanıt vermek gibi kendisini riske atacak bir eylemde bulunmasını sağlamaktır. Bu, bilgisayar korsanının kişisel verilere erişmesine yardımcı olur ve mali kayba veya kimlik hırsızlığına neden olabilir.
Gönderen kimlik doğrulaması, alıcının bir e-posta’nın meşru bir kaynaktan geldiğini bilmesini sağladığı için kimlik avı saldırılarını önlemek için kritik güvenlik sağlar. Ancak, alıcı kimlik doğrulaması olmadan, bir e-posta’nın doğru kişi tarafından okunmadan önce kötü niyetli bir üçüncü tarafça okunmadığının veya manipüle edilmediğinin garantisi yoktur.
2. İnsan hatası
Kimlik avı gibi kötü amaçlı saldırılara karşı korunmak için yüksek bir öncelik olsa da, veri ihlallerini önleme söz konusu olduğunda, insan hatası da dikkate alınması gereken bir öneme sahiptir.
Dolu dolu bir gelen kutusu ve yoğun bir iş günü ile yanlış belgeyi eklemek veya yanlışlıkla yanlış kişiye göndermek oldukça kolay olabilir. Bu tür yanlış yönlendirilmiş e-posta’lar, özellikle hassas bilgiler içeriyorsa endişe vericidir.
Alıcı kimlik doğrulaması, gönderdiğiniz e-posta’ya yalnızca hedeflenen bir alıcının erişebilmesini sağladığından, kullanıcıları hatalardan korumanın anahtarıdır. Yanlış kişiye e-posta gönderseniz bile doğrulama aşamasını geçemedikleri için e-posta’yı açamazlar.
Kimlik avına ve insan hatasına karşı korunmanın ötesinde, güçlü e-posta kimlik doğrulaması uygulamanın başka ticari avantajları da vardır:
- Yönetmeliklere uygunluk – Finans ve sağlık gibi birçok sektörde hassas verilerin korunmasını çevreleyen katı düzenlemeler vardır. E-posta kimlik doğrulama, işletmelerin müşteri iletişimi için güvenli bir ortam oluşturarak uyum sağlamasına yardımcı olabilir.
- Gelişmiş e-posta teslim edilebilirliği – E-posta kimlik doğrulaması, iletişiminizin gerçekliğini artırır ve iletilerin reddedilme veya spam klasörüne filtrelenme olasılığını azaltarak e-posta teslim edilebilirliğini kolaylaştırır.
- Artan itibar – İşletmeler, müşteri bilgilerini ve gizliliğini korumak için adımlar atarak tüketici sadakatini ve markalarına olan güveni artırabilir.
E-posta Kimlik Doğrulama İle İlgili En Çok Sorulan Sorular
1. E-posta adresim kimlik doğrulamasında başarısız olursa ne olur?
E-posta’nız kimlik doğrulamada başarısız olursa, alıcı posta sunucusu tarafından şüpheli olarak işaretlenebilir, karantinaya alınabilir veya reddedilebilir. Kimlik doğrulama sorunlarını çözmek için SPF, DKIM ve DMARC kayıtlarınızın doğru şekilde yapılandırıldığından emin olun ve yapılandırma sorunlarını belirlemek ve düzeltmek için e-posta servis sağlayıcınız veya BT ekibinizle birlikte çalışın.
2. E-posta adresimin doğrulanıp doğrulanmadığını nasıl kontrol edebilirim?
E-posta’nızın kimlik doğrulama durumunu kontrol etmek için Google Admin Toolbox’ın Messageheader Analyzer’ı, MXToolbox’ın Email Header Analyzer’ı veya dmarcian’ın DMARC Inspector’ı gibi çeşitli çevrimiçi araçları kullanabilirsiniz. Bu araçlar, e-posta’nızın SPF, DKIM ve DMARC kontrollerinden geçip geçmediğini belirlemenize yardımcı olabilir.
3. E-posta kimlik doğrulama tüm kimlik avı saldırılarını önleyebilir mi?
E-posta kimlik doğrulama, kimlik avı saldırılarını önemli ölçüde azaltabilse de kusursuz bir çözüm değildir. Bilgisayar korsanları, kullanıcıları aldatmak için sosyal mühendislik tekniklerini kullanmaya veya diğer güvenlik açıklarından yararlanmaya devam edebilir. Kimlik avı risklerini azaltmak için kullanıcı eğitimi ve sağlam e-posta filtreleme dahil olmak üzere kapsamlı bir güvenlik yaklaşımı gereklidir.
4. E-posta kimlik doğrulamasını nasıl ayarlarım?
E-posta kimlik doğrulamasını ayarlamak için alan adınızın DNS ayarlarında SPF, DKIM ve DMARC kayıtlarını yapılandırmanız gerekir. Bu kayıtları düzgün bir şekilde yapılandırmak için e-posta servis sağlayıcınız veya BT ekibinizle birlikte çalışmanız gerekebilir.
5. Birincil e-posta kimlik doğrulama yöntemleri nelerdir?
Üç ana e-posta kimlik doğrulama yöntemi vardır: SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) ve DMARC (Domain-based Message Authentication, Reporting, and Conformance).
6. E-posta kimlik doğrulaması uygulamanın avantajları nelerdir?
E-posta kimlik doğrulama uygulamak, e-posta teslim edilebilirliğini artırmaya, alan adınızın itibarını korumaya ve alan adınızın spam veya kimlik avı e-posta’ları göndermek için yetkisiz kullanımını önlemeye yardımcı olur.
7. E-posta kimlik doğrulaması %100 teslim edilebilirliği garanti edebilir mi?
Hayır, e-posta kimlik doğrulaması teslim edilebilirliği artırabilir ancak bunu garanti edemez. İçerik, gönderen itibarı ve alıcı katılımı gibi diğer faktörler de teslim edilebilirliği etkiler.