Linux Sunucuda SPF, DKIM ve DMARC Ayarları Nasıl Yapılır?

E-posta güvenliği, modern kurumsal iletişimde kritik bir öneme sahiptir. Linux sunucularında SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) ve DMARC (Domain-based Message Authentication, Reporting and Conformance) protokollerini doğru şekilde yapılandırmak, spam filtrelerinden kaçınmak, phishing saldırılarını önlemek ve e-posta teslim oranlarını artırmak için vazgeçilmezdir. Bu protokoller, gönderici kimliğini doğrular ve alıcı sunuculara e-postanın meşru olduğunu kanıtlar. Bu makalede, Postfix tabanlı bir Linux sunucuda (örneğin Ubuntu veya CentOS) bu ayarları adım adım ele alacağız. Öncelikle sunucunuzun DNS erişimine sahip olmanız ve root yetkilerine ihtiyacınız vardır. Yapılandırma sonrası testler yaparak etkinliği doğrulayacağız.

SPF Kaydının Oluşturulması ve Sunucu Entegrasyonu

SPF, gönderici IP adreslerini DNS TXT kaydıyla yetkilendirerek sahte e-postaları engeller. Linux sunucunuzda SPF ayarına başlamak için öncelikle mevcut IP’nizi belirleyin. hostname -I komutuyla sunucu IP’sini not alın. DNS panelinizde (örneğin Cloudflare veya cPanel), domaininizin TXT kaydını ekleyin: v=spf1 ip4:SUNUCU_IP_ADRESI include:_spf.google.com ~all. Burada ip4 kendi IP’nizi, ~all yumuşak başarısızlığı belirtir; üretimde -all katı modu tercih edin.

Sunucu tarafında Postfix’i yapılandırın. /etc/postfix/main.cf dosyasını düzenleyin ve smtpd_milters = inet:localhost:8891 satırını ekleyin (milter için). SPF’yi doğrulamak üzere postfix-policyd-spf-policy paketini yükleyin: apt install postfix-policyd-spf-python (Debian tabanlı) veya yum install policyd-spf (RPM tabanlı). /etc/postfix/master.cf‘de policy hizmetini etkinleştirin. Yeniden başlatın: systemctl restart postfix. Bu adımlar, gelen e-postalarda SPF kontrolü yapar ve header’lara ekler. Pratikte, birden fazla IP için ip4:IP1 ip4:IP2 kullanın; Google Workspace gibi servisleri dahil edin. Test için mxtoolbox.com gibi araçlar SPF kaydınızı doğrulayın.

DKIM İmzalama Sisteminin Kurulumu ve Yapılandırılması

DKIM, e-postalara kriptografik imza ekleyerek bütünlüğü sağlar. OpenDKIM paketini yükleyin: apt install opendkim opendkim-tools. Anahtar çifti üretin: opendkim-genkey -s mail -d example.com (domain’inizi değiştirin). Oluşan mail.private dosyasını /etc/opendkim/keys/‘e taşıyın ve izinleri ayarlayın: chown opendkim:opendkim /etc/opendkim/keys/mail.private; chmod 600.

DNS TXT Kaydının Eklenmesi

DNS panelinde, mail._domainkey.example.com için TXT kaydı oluşturun: v=DKIM1; k=rsa; p=PUBLIC_KEY (mail.txt’den public key’i kopyalayın). Key uzunluğu 2048 bit olmalı. Bu kayıt, alıcı sunucuların imzayı doğrulamasına izin verir.

Postfix ile Entegrasyon

/etc/opendkim.conf‘da Domain example.com, KeyFile /etc/opendkim/keys/mail.private, Selector mail ekleyin. MilterProtocol 2 ve Socket inet:8891@localhost belirtin. /etc/opendkim/TrustedHosts‘a sunucu IP’sini ekleyin. Postfix main.cf‘ye milter_default_action = accept ve smtpd_milters ekleyin. Servisleri başlatın: systemctl restart opendkim postfix. E-posta gönderip header’larda DKIM-Signature’ı kontrol edin; dkimvalidator.com ile test edin. Bu kurulum, imzalanmamış e-postaları reddetmez ancak doğrulama sağlar.

DMARC Politikalarının Tanımlanması ve İzleme

DMARC, SPF ve DKIM sonuçlarını birleştirerek politika uygular. DNS’te _dmarc.example.com TXT kaydı ekleyin: v=DMARC1; p=quarantine; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=1. p=reject tam korumayı sağlar; başlangıçta none izleme için idealdir. RUA/RUF e-posta raporları gönderir.

Politika Seçenekleri ve Aşamalı Uygulama

Politikalar: p=none raporlama, quarantine karantinaya alma, reject reddetme. pct=50 yüzde bazlı uygular. Aşamalı geçişte haftalık raporları izleyin ve sp=quarantine alt domainler için ayarlayın. Sunucuda Postfix ile dmarc-milter entegre edin: apt install opendmarc, /etc/opendmarc.conf‘da PublicSuffixList /usr/share/publicsuffix/public_suffix_list belirtin.

Raporlama ve Test Süreci

Aggregrate raporlar (RUA) haftalık XML olarak gelir; dmarcly.com gibi araçlarla analiz edin. Forensic (RUF) bireysel başarısızlıkları raporlar. Test için mail-tester.com kullanın; skor 10/10 hedefleyin. Postfix log’larında reject_dmarc arayın. Tam entegrasyon sonrası, e-posta hacminizi %20-30 artırabilirsiniz.

SPF, DKIM ve DMARC’ı başarıyla uyguladıktan sonra, düzenli DNS propagasyonunu (48 saat) bekleyin ve birden fazla araçla doğrulayın. Bu protokoller, kurumsal itibarı korur ve yasal uyumluluğu sağlar. Pratik takeaway: Her değişikliği test ortamında deneyin, raporları haftalık inceleyin ve politikaları kademeli sıkılaştırın. Uzman destek için sistem log’larını derinlemesine analiz edin.