erkolay
23.Ocak.2015, 23:37
Emailleriniz SPAM'e düşmesin, DKIM, SPF ve DMARC Ayarları
Müşterileriniz devamlı emaillerinizin spam yada junk dizinlerine düştüğünü söylüyorsa, okumaya devam edin. Email göndermek için yapmanız gereken tekşey SMTP protokolünün dilinden anlayan bir program kullanmanız, yani bir PHP, Perl hatta Bash kod parçası bile email gönderebilir. Bu emaillerde ister kendinizi Obama olarak ister de peri kızı olarak tanıtan bir email gönderebilirsiniz. Bu durumdan dolayı, seneler içinde mülkiyeti size ait olan domainlerden sadece sizin email gönderebileceğinizi belirlemenizi sağlayacak 3 ana teknoloji çözümü geliştirildi:
DKIM - Sunucu tarafından şifreleme sistemi kullanılarak gönderilen her emailin barkodlanması
SPF - Hangi sunucu IP adreslerinden sizin adınıza email gönderebileceğinin belirlenmesi
DMARC - Üstteki iki güvenlik önlemini aldıktan sonra sizin adınıza email gönderilip gönderilmediğinin raporlanması
DKIM ve SPF konfigürasyonu, emaillerin ulaşmasını sağlamak için olmazsa olmazdır. "Bunları yaptıktan sonra ağız tadıyla 1 milyon email gönderirim" derseniz tabi yine yanlış olur çünkü gönderim yapacağınız bütün IP adresleri ve domainler kara listeye girecektir ve bir daha bu domainlerden ve IP'lerden bir daha gönderim yapamazsınız. Ama benim niyetim iyi, emaillerimin müşterilerime ve alıcılarına ulaşmasını sağlamak diyorsanız (DKIM ve SPF) + DMARC ile raporlama yapmak email ile ilgili bütün ipleri elinize almaya sağlayacaktır. Örneğin Yahoo adresini fake ederek gmail kullanıcısı birisine bir email gönderimi yaptım, hemen cevap olarak alttaki emaili aldım.
A message that you sent could not be delivered to one or more of its recipients. This is a permanent error. The following address(es) failed:
[email protected]
SMTP error from remote mail server after end of data:
host aspmx.l.google.com [74.125.198.27]: 550-5.7.1 Unauthenticated email from yahoo.com is not accepted due to domain's
550-5.7.1 DMARC policy. Please contact administrator of yahoo.com domain if
550-5.7.1 this was a legitimate mail. Please visit
550-5.7.1 https://support.google.com/mail/answer/2451690 to learn about DMARC
550 5.7.1 initiative. w206si1164542oig.27 - gsmtp
Burada Google, "Yahoo.com'un sahipleri DMARC politikalarında kesin bir şekilde tembihledi, SPF kayıtlarında yayınladıkları IP adreslerden ve email sunucularından başka hiçbir yerden email gönderilmesine müsaade etmiyeceklerini belirttiler, senin bu emaili gönderdiğin IP adresi SPF kayıtlarında listelenen IP adresleri arasında bulunmuyor, dolayısıyla bu emailini kabul edemem" diyor.
Bu kadar girizgahtan sonra gelelim DKIM, SPF ve DMARC ayarlarına.
DKIM Ayarları DKIM Ayarlarında ana unsur olarak yapmanız gereken, sunucunuzda DKIM özelliğini oluşturmak ve size sistemin vereceği ifadeyi DNS kaydı olarak domaininize eklemek. Sistem tarafından oluşturulup verilecek ifade genel itibariyle v=DKIM1; k=rsa; ile başlayan ve karmaşık ifadelerin bulunduğu bir şifreleme (encryption) anahtarı, bunu DNS sunucunuza TXT kaydı olarak ekliyorsunuz.
cPanel için DKIM Ayarlamaları:
Websitenizle ilgili herşey aynı sunucuda tutuluyorsa, cPanel'den 'Email Authentication' kısmına tıklayıp, 'Enable DKIM'i seçmeniz yeterli. Email ve DNS sunucularında yapılması gereken ayarları cPanel otomatik olarak yapıyor.
Eğer DNS sunucunuz başka bir yerdeyse, cPanel'de verilecek TXT kaydını, DNS sunucunuza eklemeniz gerekiyor. Örneğin Godaddy'yi DNS server olarak kullanıyorsanız, TXT kayıtları bölümüne sol tarafta default._domainkey anahtarı ile, size verilen v=DKIM1; k=rsa; şeklinde başlıyan kaydı ekleyin. DKIM için yapmanız gereken bunlardan ibaret.
Google Apps için DKIM Ayarlamaları:
Admin Panel'den Google Apps -> Gmail -> Settings for Gmail -> Authenticate Email -> Generate new record
Size verilen kaydı yine google._domainkey anahtar olacak şekilde v=DKIM1; k=rsa; eklemeniz gerekiyor
SPF Ayarları SPF ile hangi sunucuların bizim domainimizi kullanarak email göndermesine izin verdiğimizi belirtiyoruz. Aşağıda belirttiğim örneği takip ederek veya Kaynaklar kısmında belirttiğim diğer kaynaklardan araştırma yaparak, email sunucularınızın listesini TXT kaydı DNS suncunuza eklemeniz gerekiyor. Örnek olması için alttaki ifadeyi irdeleyelim:
@ v=spf1 a mx include:_spf.google.com include:servers.mcsv.net ~all
a mx'den kastımız:
webmaster.bbs.tr A kaydı yani 192.185.237.14
webmaster.bbs.tr MX kaydındaki IP adresleri
include:_spf.google.com Eğer Google Apps kullanıyorsanız, Gmail'in sunucularının ip adresleri
include:servers.mcsv.net Eğer Mailchimp ile toplu emailler gönderiyorsanız, Mailchimp'in email sunucularının bilgileri
~all Bundan önce belirtilenler haricinde bir email alırsa buna şüpheyle yaklaş manasına geliyor
En Çok Kullanılan Email Sağlayıcıları:
Sağlayıcı
SPF Bilgisi
Constant Contact
include:spf.constantcontact.com
Google
include:_spf.google.com
Hostgator
include:websitewelcome.com
Mailchimp
include:servers.mcsv.net
Microsoft/Hotmail
SPF yerine SenderID kullanıyor
DMARC Ayarları Doğrusu benim favorim bu. DMARC ile bizim adımıza email gönderen sunucularla ilgili ne yapılmasını isteyeceğimize müdahale edebiliyoruz ayrıca bunların bir raporunun bize email ile gönderilmesini sağlayabiliyoruz. DMARC bir konsorsiyum ve email gönderebileceğimiz neredeyse bütün kodamanları olduğu firmalar, Google, Yahoo, Microsoft ve daha diğerleri. Bu firmalar babamızın oğlu gibi bize günü birlik email göndermeye başlıyorlar dolayısıyla SPF kaydına eklemeyi unuttuğumuz IP adresleri veya email sunucuları varsa bu raporları almak suretiyle bizim adımıza email gönderen sunucuları tespit etmek suretiyle düzeltme yoluna gidebiliriz.
https://www.unlocktheinbox.com/dmarcwizard/ adresindeki DMARC sihirbazını kullanarak alttaki listeyi oluşturdum ve DNS kayıtlarına TXT olarak ekledikten 5-6 saat içinde Google'dan hemen email geldi, onları da SPF kayıtlarını ekledim.
_dmarc v=DMARC1; p=none; sp=none; rua=mailto:[email protected]; ruf=mailto:[email protected]; rf=afrf; pct=100; ri=86400
Kaynaklar:
https://spf-all.com/
https://www.unlocktheinbox.com/default.aspx
https://www.unlocktheinbox.com/dnstools/spf/
https://www.kitterman.com/spf/validate.html
Örnek DMARC emaili: https://www.amerikadabirgun.com/dmarc.txt
Mehmet BÜYÜKÖZER
amerikadabirgun.com (https://www.amerikadabirgun.com/emailleriniz-spame-dusmesin-dkim-spf-ve-dmarc-ayarlari/)
Müşterileriniz devamlı emaillerinizin spam yada junk dizinlerine düştüğünü söylüyorsa, okumaya devam edin. Email göndermek için yapmanız gereken tekşey SMTP protokolünün dilinden anlayan bir program kullanmanız, yani bir PHP, Perl hatta Bash kod parçası bile email gönderebilir. Bu emaillerde ister kendinizi Obama olarak ister de peri kızı olarak tanıtan bir email gönderebilirsiniz. Bu durumdan dolayı, seneler içinde mülkiyeti size ait olan domainlerden sadece sizin email gönderebileceğinizi belirlemenizi sağlayacak 3 ana teknoloji çözümü geliştirildi:
DKIM - Sunucu tarafından şifreleme sistemi kullanılarak gönderilen her emailin barkodlanması
SPF - Hangi sunucu IP adreslerinden sizin adınıza email gönderebileceğinin belirlenmesi
DMARC - Üstteki iki güvenlik önlemini aldıktan sonra sizin adınıza email gönderilip gönderilmediğinin raporlanması
DKIM ve SPF konfigürasyonu, emaillerin ulaşmasını sağlamak için olmazsa olmazdır. "Bunları yaptıktan sonra ağız tadıyla 1 milyon email gönderirim" derseniz tabi yine yanlış olur çünkü gönderim yapacağınız bütün IP adresleri ve domainler kara listeye girecektir ve bir daha bu domainlerden ve IP'lerden bir daha gönderim yapamazsınız. Ama benim niyetim iyi, emaillerimin müşterilerime ve alıcılarına ulaşmasını sağlamak diyorsanız (DKIM ve SPF) + DMARC ile raporlama yapmak email ile ilgili bütün ipleri elinize almaya sağlayacaktır. Örneğin Yahoo adresini fake ederek gmail kullanıcısı birisine bir email gönderimi yaptım, hemen cevap olarak alttaki emaili aldım.
A message that you sent could not be delivered to one or more of its recipients. This is a permanent error. The following address(es) failed:
[email protected]
SMTP error from remote mail server after end of data:
host aspmx.l.google.com [74.125.198.27]: 550-5.7.1 Unauthenticated email from yahoo.com is not accepted due to domain's
550-5.7.1 DMARC policy. Please contact administrator of yahoo.com domain if
550-5.7.1 this was a legitimate mail. Please visit
550-5.7.1 https://support.google.com/mail/answer/2451690 to learn about DMARC
550 5.7.1 initiative. w206si1164542oig.27 - gsmtp
Burada Google, "Yahoo.com'un sahipleri DMARC politikalarında kesin bir şekilde tembihledi, SPF kayıtlarında yayınladıkları IP adreslerden ve email sunucularından başka hiçbir yerden email gönderilmesine müsaade etmiyeceklerini belirttiler, senin bu emaili gönderdiğin IP adresi SPF kayıtlarında listelenen IP adresleri arasında bulunmuyor, dolayısıyla bu emailini kabul edemem" diyor.
Bu kadar girizgahtan sonra gelelim DKIM, SPF ve DMARC ayarlarına.
DKIM Ayarları DKIM Ayarlarında ana unsur olarak yapmanız gereken, sunucunuzda DKIM özelliğini oluşturmak ve size sistemin vereceği ifadeyi DNS kaydı olarak domaininize eklemek. Sistem tarafından oluşturulup verilecek ifade genel itibariyle v=DKIM1; k=rsa; ile başlayan ve karmaşık ifadelerin bulunduğu bir şifreleme (encryption) anahtarı, bunu DNS sunucunuza TXT kaydı olarak ekliyorsunuz.
cPanel için DKIM Ayarlamaları:
Websitenizle ilgili herşey aynı sunucuda tutuluyorsa, cPanel'den 'Email Authentication' kısmına tıklayıp, 'Enable DKIM'i seçmeniz yeterli. Email ve DNS sunucularında yapılması gereken ayarları cPanel otomatik olarak yapıyor.
Eğer DNS sunucunuz başka bir yerdeyse, cPanel'de verilecek TXT kaydını, DNS sunucunuza eklemeniz gerekiyor. Örneğin Godaddy'yi DNS server olarak kullanıyorsanız, TXT kayıtları bölümüne sol tarafta default._domainkey anahtarı ile, size verilen v=DKIM1; k=rsa; şeklinde başlıyan kaydı ekleyin. DKIM için yapmanız gereken bunlardan ibaret.
Google Apps için DKIM Ayarlamaları:
Admin Panel'den Google Apps -> Gmail -> Settings for Gmail -> Authenticate Email -> Generate new record
Size verilen kaydı yine google._domainkey anahtar olacak şekilde v=DKIM1; k=rsa; eklemeniz gerekiyor
SPF Ayarları SPF ile hangi sunucuların bizim domainimizi kullanarak email göndermesine izin verdiğimizi belirtiyoruz. Aşağıda belirttiğim örneği takip ederek veya Kaynaklar kısmında belirttiğim diğer kaynaklardan araştırma yaparak, email sunucularınızın listesini TXT kaydı DNS suncunuza eklemeniz gerekiyor. Örnek olması için alttaki ifadeyi irdeleyelim:
@ v=spf1 a mx include:_spf.google.com include:servers.mcsv.net ~all
a mx'den kastımız:
webmaster.bbs.tr A kaydı yani 192.185.237.14
webmaster.bbs.tr MX kaydındaki IP adresleri
include:_spf.google.com Eğer Google Apps kullanıyorsanız, Gmail'in sunucularının ip adresleri
include:servers.mcsv.net Eğer Mailchimp ile toplu emailler gönderiyorsanız, Mailchimp'in email sunucularının bilgileri
~all Bundan önce belirtilenler haricinde bir email alırsa buna şüpheyle yaklaş manasına geliyor
En Çok Kullanılan Email Sağlayıcıları:
Sağlayıcı
SPF Bilgisi
Constant Contact
include:spf.constantcontact.com
include:_spf.google.com
Hostgator
include:websitewelcome.com
Mailchimp
include:servers.mcsv.net
Microsoft/Hotmail
SPF yerine SenderID kullanıyor
DMARC Ayarları Doğrusu benim favorim bu. DMARC ile bizim adımıza email gönderen sunucularla ilgili ne yapılmasını isteyeceğimize müdahale edebiliyoruz ayrıca bunların bir raporunun bize email ile gönderilmesini sağlayabiliyoruz. DMARC bir konsorsiyum ve email gönderebileceğimiz neredeyse bütün kodamanları olduğu firmalar, Google, Yahoo, Microsoft ve daha diğerleri. Bu firmalar babamızın oğlu gibi bize günü birlik email göndermeye başlıyorlar dolayısıyla SPF kaydına eklemeyi unuttuğumuz IP adresleri veya email sunucuları varsa bu raporları almak suretiyle bizim adımıza email gönderen sunucuları tespit etmek suretiyle düzeltme yoluna gidebiliriz.
https://www.unlocktheinbox.com/dmarcwizard/ adresindeki DMARC sihirbazını kullanarak alttaki listeyi oluşturdum ve DNS kayıtlarına TXT olarak ekledikten 5-6 saat içinde Google'dan hemen email geldi, onları da SPF kayıtlarını ekledim.
_dmarc v=DMARC1; p=none; sp=none; rua=mailto:[email protected]; ruf=mailto:[email protected]; rf=afrf; pct=100; ri=86400
Kaynaklar:
https://spf-all.com/
https://www.unlocktheinbox.com/default.aspx
https://www.unlocktheinbox.com/dnstools/spf/
https://www.kitterman.com/spf/validate.html
Örnek DMARC emaili: https://www.amerikadabirgun.com/dmarc.txt
Mehmet BÜYÜKÖZER
amerikadabirgun.com (https://www.amerikadabirgun.com/emailleriniz-spame-dusmesin-dkim-spf-ve-dmarc-ayarlari/)