{"id":1740,"date":"2025-11-12T16:07:55","date_gmt":"2025-11-12T13:07:55","guid":{"rendered":"https:\/\/www.dchost.com\/blog\/mta-sts-tls-rpt-ve-dane-tlsa-ile-smtp-guvenligi-teslim-edilebilirligi-ve-sifrelemeyi-nasil-guclendirirsin\/"},"modified":"2025-11-12T16:07:55","modified_gmt":"2025-11-12T13:07:55","slug":"mta-sts-tls-rpt-ve-dane-tlsa-ile-smtp-guvenligi-teslim-edilebilirligi-ve-sifrelemeyi-nasil-guclendirirsin","status":"publish","type":"post","link":"https:\/\/www.dchost.com\/blog\/mta-sts-tls-rpt-ve-dane-tlsa-ile-smtp-guvenligi-teslim-edilebilirligi-ve-sifrelemeyi-nasil-guclendirirsin\/","title":{"rendered":"MTA-STS, TLS-RPT ve DANE\/TLSA ile SMTP G\u00fcvenli\u011fi: Teslim Edilebilirli\u011fi ve \u015eifrelemeyi Nas\u0131l G\u00fc\u00e7lendirirsin?"},"content":{"rendered":"<div class=\"dchost-blog-content-wrapper\"><div id=\"toc_container\" class=\"toc_transparent no_bullets\"><p class=\"toc_title\">\u0130&ccedil;indekiler<\/p><ul class=\"toc_list\"><li><a href=\"#Ofiste_Baslayan_Bir_Eposta_Yolculugu_Neden_Bu_Kadar_Ugrasiyoruz\"><span class=\"toc_number toc_depth_1\">1<\/span> Ofiste Ba\u015flayan Bir E\u2011posta Yolculu\u011fu: Neden Bu Kadar U\u011fra\u015f\u0131yoruz?<\/a><\/li><li><a href=\"#MTA-STS_Nedir_Neyi_Cozer_ve_Nasil_Calisir\"><span class=\"toc_number toc_depth_1\">2<\/span> MTA-STS Nedir, Neyi \u00c7\u00f6zer ve Nas\u0131l \u00c7al\u0131\u015f\u0131r?<\/a><ul><li><a href=\"#Politika_nerede_durur\"><span class=\"toc_number toc_depth_2\">2.1<\/span> Politika nerede durur?<\/a><\/li><li><a href=\"#Testing_enforce_none_Hangisi\"><span class=\"toc_number toc_depth_2\">2.2<\/span> Testing, enforce, none\u2026 Hangisi?<\/a><\/li><li><a href=\"#Neden_faydali\"><span class=\"toc_number toc_depth_2\">2.3<\/span> Neden faydal\u0131?<\/a><\/li><\/ul><\/li><li><a href=\"#TLS-RPT_Gunluk_Raporla_Nefesini_Kontrol_Etmek\"><span class=\"toc_number toc_depth_1\">3<\/span> TLS-RPT: G\u00fcnl\u00fck Raporla Nefesini Kontrol Etmek<\/a><ul><li><a href=\"#Raporu_nereye_alacagiz\"><span class=\"toc_number toc_depth_2\">3.1<\/span> Raporu nereye alaca\u011f\u0131z?<\/a><\/li><li><a href=\"#Ne_ariyoruz\"><span class=\"toc_number toc_depth_2\">3.2<\/span> Ne ar\u0131yoruz?<\/a><\/li><\/ul><\/li><li><a href=\"#DANETLSA_DNSSEC_ile_Sertifika_Guvenini_DNSe_Capalamak\"><span class=\"toc_number toc_depth_1\">4<\/span> DANE\/TLSA: DNSSEC ile Sertifika G\u00fcvenini DNS\u2019e \u00c7apalamak<\/a><ul><li><a href=\"#MTA-STS_mi_DANE_mi\"><span class=\"toc_number toc_depth_2\">4.1<\/span> MTA-STS mi, DANE mi?<\/a><\/li><\/ul><\/li><li><a href=\"#Adim_Adim_Yol_Haritasi_Testten_Guclu_Yayina\"><span class=\"toc_number toc_depth_1\">5<\/span> Ad\u0131m Ad\u0131m Yol Haritas\u0131: Testten G\u00fc\u00e7l\u00fc Yay\u0131na<\/a><\/li><li><a href=\"#Gercek_Dunyadan_Kucuk_Dikenler_Neye_Dikkat_Etmeli\"><span class=\"toc_number toc_depth_1\">6<\/span> Ger\u00e7ek D\u00fcnyadan K\u00fc\u00e7\u00fck Dikenler: Neye Dikkat Etmeli?<\/a><\/li><li><a href=\"#SPF_DKIM_DMARC_ile_Kardeslik_Ayni_Gemideyiz\"><span class=\"toc_number toc_depth_1\">7<\/span> SPF, DKIM, DMARC ile Karde\u015flik: Ayn\u0131 Gemideyiz<\/a><\/li><li><a href=\"#Uygulamada_Kucuk_Stratejiler_Sunucu_Otomasyon_Izleme\"><span class=\"toc_number toc_depth_1\">8<\/span> Uygulamada K\u00fc\u00e7\u00fck Stratejiler: Sunucu, Otomasyon, \u0130zleme<\/a><\/li><li><a href=\"#Kaldiysa_Soru_Isareti_Kucuk_Orneklerle_Netlestirelim\"><span class=\"toc_number toc_depth_1\">9<\/span> Kald\u0131ysa Soru \u0130\u015fareti: K\u00fc\u00e7\u00fck \u00d6rneklerle Netle\u015ftirelim<\/a><\/li><li><a href=\"#Kapanis_Sessiz_ve_Guvenli_Bir_Trafik_Rahat_Bir_Zihin\"><span class=\"toc_number toc_depth_1\">10<\/span> Kapan\u0131\u015f: Sessiz ve G\u00fcvenli Bir Trafik, Rahat Bir Zihin<\/a><\/li><\/ul><\/div>\n<h2 id=\"section-1\"><span id=\"Ofiste_Baslayan_Bir_Eposta_Yolculugu_Neden_Bu_Kadar_Ugrasiyoruz\">Ofiste Ba\u015flayan Bir E\u2011posta Yolculu\u011fu: Neden Bu Kadar U\u011fra\u015f\u0131yoruz?<\/span><\/h2>\n<p>Hi\u00e7 ba\u015f\u0131n\u0131za geldi mi? Ofiste gayet s\u0131radan bir g\u00fcn. M\u00fc\u015fteriden \u201cMailiniz bende yok\u201d diye bir d\u00f6n\u00fc\u015f gelir. Loglar\u0131 a\u00e7ars\u0131n\u0131z, sunucu tertemiz g\u00f6r\u00fcn\u00fcr, hata yok. Kar\u015f\u0131 taraf \u201cTLS zorunlu, sertifikan\u0131z uyumsuzmu\u015f\u201d diye bir c\u00fcmle ekler ve o an anlars\u0131n\u0131z: E\u2011posta teslimat\u0131 sadece SPF\/DKIM\/DMARC \u00fc\u00e7l\u00fcs\u00fcyle bitmiyor; <strong>ta\u015f\u0131ma katman\u0131nda g\u00fcven<\/strong> eksikse mesajlar\u0131n\u0131z yolda \u00fc\u015f\u00fcy\u00fcp geri d\u00f6nebiliyor. Benim i\u00e7in o g\u00fcn, MTA-STS, TLS-RPT ve DANE\/TLSA\u2019y\u0131 bir araya getirme karar\u0131n\u0131n ba\u015flang\u0131c\u0131 oldu.<\/p>\n<p>\u015e\u00f6yle d\u00fc\u015f\u00fcn\u00fcn: E\u2011posta, eski ama inat\u00e7\u0131 bir protokol\u00fcn omuzlar\u0131nda y\u00fcr\u00fcyor. STARTTLS var, ama herkes ayn\u0131 s\u0131k\u0131l\u0131kta uygulam\u0131yor. Baz\u0131 al\u0131c\u0131lar \u015fifrelemeyi zorunlu tutuyor, baz\u0131lar\u0131 hafif b\u0131rak\u0131yor. \u0130\u015fte <strong>MTA-STS<\/strong> devreye girer, \u201cBu alan ad\u0131, TLS\u2019i ciddiye al\u0131yor ve MX\u2019leri \u015fu \u015fu hostlard\u0131r\u201d diye d\u00fcnyaya duyurur. <strong>TLS-RPT<\/strong> de posta trafi\u011finizin \u015fifreleme foto\u011fraf\u0131n\u0131 her g\u00fcn yollay\u0131p nerede aksad\u0131\u011f\u0131n\u0131z\u0131 anlat\u0131r. <strong>DANE\/TLSA<\/strong> ise DNSSEC ile el s\u0131k\u0131\u015f\u0131p sertifika do\u011frulamas\u0131n\u0131 DNS\u2019e ba\u011flayarak kilidi bir t\u0131k daha s\u0131k\u0131 kapat\u0131r. Bu yaz\u0131da tam da bunu konu\u015faca\u011f\u0131z: Ger\u00e7ek d\u00fcnyada bu \u00fc\u00e7l\u00fcy\u00fc nas\u0131l kurar, nas\u0131l \u00f6l\u00e7er, nas\u0131l g\u00fcvenle yay\u0131na al\u0131rs\u0131n\u0131z?<\/p>\n<p>Yaz\u0131n\u0131n devam\u0131nda, politikay\u0131 nas\u0131l tan\u0131mlad\u0131\u011f\u0131n\u0131z\u0131, raporlar\u0131 nas\u0131l okudu\u011funuzu, DNSSEC devredeyken DANE\u2019in size nas\u0131l art\u0131 katt\u0131\u011f\u0131n\u0131, ayr\u0131ca k\u00fc\u00e7\u00fck g\u00f6r\u00fcn\u00fcp b\u00fcy\u00fck dert \u00e7\u0131karan n\u00fcanslar\u0131 ad\u0131m ad\u0131m, hikaye gibi anlataca\u011f\u0131m. Teknik terimleri yumu\u015fatmaya \u00e7al\u0131\u015faca\u011f\u0131m; mesela TXT kay\u0131tlar\u0131n\u0131 ve politikalar\u0131 \u00f6rneklerle b\u0131rak\u0131p, neden i\u015fe yarad\u0131\u011f\u0131n\u0131 g\u00fcnl\u00fck hayattan benzetmelerle peki\u015ftirece\u011fim.<\/p>\n<h2 id=\"section-2\"><span id=\"MTA-STS_Nedir_Neyi_Cozer_ve_Nasil_Calisir\">MTA-STS Nedir, Neyi \u00c7\u00f6zer ve Nas\u0131l \u00c7al\u0131\u015f\u0131r?<\/span><\/h2>\n<p>Mesela \u015f\u00f6yle d\u00fc\u015f\u00fcn\u00fcn: Bir kargo firmas\u0131 var ve siz \u201cSadece \u015fu depoya teslim edersin, ba\u015fka yere de\u011fil\u201d diyorsunuz. MTA-STS tam da bu; alan ad\u0131n\u0131z i\u00e7in \u201c\u015eifreleme zorunlu ve ge\u00e7erli sertifika bekliyorum, \u00fcstelik posta kabul eden sunucular\u0131m da bunlar\u201d diyen bir <strong>g\u00f6nderim politikas\u0131<\/strong>. Bu sayede aradaki f\u0131rsat\u00e7\u0131lar, yanl\u0131\u015f sertifikayla, sahte MX\u2019lerle yolunuzu kesemiyor.<\/p>\n<h3><span id=\"Politika_nerede_durur\">Politika nerede durur?<\/span><\/h3>\n<p>\u0130ki par\u00e7al\u0131 bir yap\u0131 var. Birincisi, DNS\u2019te <strong>_mta-sts.alanadiniz.com<\/strong> i\u00e7in bir TXT kayd\u0131yla \u201cPolitikam var ve versiyonum \u015fu\u201d dersiniz. Genelde \u201cv=STSv1; id=2025xxxx\u201d gibi g\u00f6r\u00fcn\u00fcr, id k\u0131sm\u0131 de\u011fi\u015fiklik oldu\u011funda g\u00fcncellenir. \u0130kincisi ise HTTPS \u00fczerinden <strong>mta-sts.alanadiniz.com\/.well-known\/mta-sts.txt<\/strong> adresinde durur. Bu dosyada \u201cversion: STSv1\u201d, \u201cmode: testing | enforce | none\u201d, \u201cmx: mx1.alanadiniz.com\u201d, \u201cmax_age: 86400\u201d gibi sat\u0131rlar olur. G\u00f6nderen MTA, DNS\u2019teki sinyali g\u00f6r\u00fcr, HTTP ile politikay\u0131 \u00e7eker ve teslim s\u0131ras\u0131nda TLS\u2019i buna g\u00f6re zorunlu k\u0131lar.<\/p>\n<h3><span id=\"Testing_enforce_none_Hangisi\">Testing, enforce, none\u2026 Hangisi?<\/span><\/h3>\n<p>\u0130\u015fe <strong>testing<\/strong> ile ba\u015flamay\u0131 seviyorum. \u00c7\u00fcnk\u00fc ilk g\u00fcnlerde sertifika isimleri, SNI, MX listesi, wildcard detaylar\u0131 gibi ufak ta\u015flar ortaya \u00e7\u0131kar. Testing, hatalar\u0131 raporlamaya yol a\u00e7ar ama trafi\u011fi an\u0131nda kesmez. Bir s\u00fcre temiz raporlar ald\u0131ktan sonra <strong>enforce<\/strong> moduna ge\u00e7er, \u201cTLS uygunsa gel, de\u011filse gelme\u201d dersiniz. <strong>None<\/strong> ise fi\u015f kapal\u0131 gibi; var ama etkisiz. Ge\u00e7i\u015fleri ko\u015far ad\u0131m de\u011fil, raporlarla g\u00f6zeterek yapmak bariz hata riskini azalt\u0131r.<\/p>\n<h3><span id=\"Neden_faydali\">Neden faydal\u0131?<\/span><\/h3>\n<p>\u00dc\u00e7 ana nedenle: Bir, <strong>aktif m\u00fcdahaleyi s\u0131n\u0131rlar<\/strong>; yanl\u0131\u015f sertifika veya sahte MX ile araya girenleri bo\u015fa d\u00fc\u015f\u00fcr\u00fcr. \u0130ki, <strong>teslim edilebilirli\u011fi netle\u015ftirir<\/strong>; baz\u0131 al\u0131c\u0131lar TLS zorunlulu\u011fu arar, MTA-STS burada anahtar rol oynar. \u00dc\u00e7, <strong>operasyonel g\u00f6r\u00fcn\u00fcrl\u00fck<\/strong>; testing modunda TLS-RPT ile elde edece\u011finiz veriler, yay\u0131n\u0131 sakinle\u015ftirir. B\u00fct\u00fcn bunlar \u201cHadi g\u00f6nder gitsin\u201d hissini azalt\u0131p, \u201cDo\u011fru yolday\u0131z\u201d g\u00fcvenini art\u0131r\u0131r.<\/p>\n<p>Teknik detay severler i\u00e7in, MTA-STS\u2019nin resmi tan\u0131m\u0131 IETF taraf\u0131nda yay\u0131nl\u0131. Yolun ta\u015flar\u0131n\u0131 g\u00f6rmek isterseniz <a href=\"https:\/\/datatracker.ietf.org\/doc\/html\/rfc8461\" rel=\"nofollow noopener\" target=\"_blank\">IETF\u2019deki MTA-STS dok\u00fcman\u0131n\u0131<\/a> sakin bir kahveyle okumak iyi gelir.<\/p>\n<h2 id=\"section-3\"><span id=\"TLS-RPT_Gunluk_Raporla_Nefesini_Kontrol_Etmek\">TLS-RPT: G\u00fcnl\u00fck Raporla Nefesini Kontrol Etmek<\/span><\/h2>\n<p>MTA-STS politikas\u0131n\u0131 a\u00e7t\u0131n\u0131z, peki ne oluyor? \u0130\u015fte burada <strong>TLS-RPT<\/strong> devreye girer. G\u00f6nderen servisler, sizin alan ad\u0131n\u0131za posta atarken ya\u015fad\u0131klar\u0131 TLS deneyimini \u00f6zet rapor halinde size yollar. Bu raporlar genelde s\u0131k\u0131\u015ft\u0131r\u0131lm\u0131\u015f ekle gelir ve \u201c\u015eu tarihlerde \u015fu sunuculara \u015fu hatalar g\u00f6r\u00fcld\u00fc\u201d gibi okunur. \u0130lk kurulumda konu sat\u0131r\u0131na bak\u0131p \u201cBir \u015feyler var ama ne?\u201d demek normaldir; k\u0131sa s\u00fcrede dili \u00e7\u00f6zersiniz.<\/p>\n<h3><span id=\"Raporu_nereye_alacagiz\">Raporu nereye alaca\u011f\u0131z?<\/span><\/h3>\n<p>DNS\u2019e bir TXT kayd\u0131 ekleyerek \u201craporlar\u0131 \u015fu adrese g\u00f6nder\u201d dersiniz. \u00d6rne\u011fin \u201c_smtp._tls.alanadiniz.com\u201d i\u00e7in \u201cv=TLSRPTv1; rua=mailto:tlsrpt@alanadiniz.com\u201d gibi bir sat\u0131r. Ben raporlar\u0131 ayr\u0131 bir posta kutusuna almay\u0131 ve otomatik ar\u015fiv kurallar\u0131yla etiketlemeyi tercih ediyorum. B\u00f6ylece g\u00fcnl\u00fck ak\u0131\u015f kirlenmiyor, raporlar da kaybolmuyor.<\/p>\n<h3><span id=\"Ne_ariyoruz\">Ne ar\u0131yoruz?<\/span><\/h3>\n<p>En s\u0131k g\u00f6rd\u00fc\u011f\u00fcm hikayelerden biri, sertifika adlar\u0131n\u0131n MX\u2019lerle tam uyu\u015fmamas\u0131. Mesela \u201cmx1.mail.alanadiniz.com\u201d sunuyor ama sertifika \u201cmail.alanadiniz.com\u201d diye haz\u0131rlanm\u0131\u015fsa, baz\u0131 al\u0131c\u0131lar bunu reddediyor. Bazen <strong>SNI<\/strong> bekleyen ama gelmeyen ba\u011flant\u0131lar olur. Bazen bir veri merkezinde ara s\u0131ra sertifika yenilenirken ge\u00e7ici uyumsuzluk olu\u015fur. TLS-RPT bu hikayeleri y\u00fczeye \u00e7\u0131kar\u0131r. Raporda s\u0131kl\u0131k ve etki alan\u0131 artt\u0131k\u00e7a \u00f6nceli\u011fi y\u00fckseltmek iyidir. Az g\u00f6r\u00fclen bir hata ise \u00f6nce not al\u0131n\u0131r, tekrar ediyorsa k\u00f6k sebep aran\u0131r.<\/p>\n<p>Teknik tan\u0131m\u0131n\u0131 merak ediyorsan\u0131z, <a href=\"https:\/\/datatracker.ietf.org\/doc\/html\/rfc8460\" rel=\"nofollow noopener\" target=\"_blank\">TLS Raporlama (TLS-RPT) standard\u0131n\u0131n IETF dok\u00fcman\u0131<\/a> pratik \u00f6rnekleri de akla getirir. Ama sahada en \u00e7ok i\u015finize yarayan \u015fey, kendi a\u011f\u0131n\u0131zda \u00e7\u0131kan ger\u00e7ek raporlar\u0131n dili olur.<\/p>\n<h2 id=\"section-4\"><span id=\"DANETLSA_DNSSEC_ile_Sertifika_Guvenini_DNSe_Capalamak\">DANE\/TLSA: DNSSEC ile Sertifika G\u00fcvenini DNS\u2019e \u00c7apalamak<\/span><\/h2>\n<p>MTA-STS g\u00fczel. Peki \u201cBu sertifikay\u0131 \u015fu \u015fekilde do\u011frulamak istiyorum\u201d demek ister misiniz? <strong>DANE\/TLSA<\/strong> tam burada parl\u0131yor. DNSSEC etkin bir alan ad\u0131 i\u00e7in, belirli bir servisin TLS bilgisi DNS\u2019e yaz\u0131l\u0131r. \u00d6rne\u011fin posta i\u00e7in \u201c_25._tcp.mx1.alanadiniz.com\u201d alt\u0131nda TLSA kayd\u0131 yay\u0131nlars\u0131n\u0131z. Bu kay\u0131t, ya do\u011frudan sertifikan\u0131z\u0131 ya da sertifikan\u0131n ba\u011fland\u0131\u011f\u0131 k\u00f6k\u00fc do\u011frulamay\u0131 tarif eder. G\u00f6nderen MTA, DNSSEC ile imzal\u0131 bu kayd\u0131 g\u00fcvenle okur ve sertifika zincirini burayla e\u015fle\u015ftirir.<\/p>\n<h3><span id=\"MTA-STS_mi_DANE_mi\">MTA-STS mi, DANE mi?<\/span><\/h3>\n<p>Bunu sanki iki arkada\u015f gibi d\u00fc\u015f\u00fcn\u00fcn. Biri polisiye, biri dedektif. <strong>MTA-STS<\/strong> \u201cBenim politikam bu, bu MX\u2019lere TLS ile gel\u201d der. <strong>DANE<\/strong> \u201cSertifika do\u011frulama \u015fu kuralla olacak\u201d der. DNSSEC varsa, DANE\u2019in sa\u011flad\u0131\u011f\u0131 <strong>kriptografik ba\u011f<\/strong> \u00e7ok g\u00fczeldir; ortadaki adamla sertifika kurcalamas\u0131n\u0131 iyice zorla\u015ft\u0131r\u0131r. DNSSEC yoksa DANE \u00e7al\u0131\u015fmaz, bu durumda MTA-STS tek ba\u015f\u0131na elinden geleni yapar.<\/p>\n<p>DANE\u2019in MTA taraf\u0131 i\u00e7in yay\u0131nlanan standart da IETF\u2019de mevcut. \u201cE\u2011posta i\u00e7in DANE\u2019in resmi tarifi nas\u0131l?\u201d diye merak ederseniz <a href=\"https:\/\/datatracker.ietf.org\/doc\/html\/rfc7672\" rel=\"nofollow noopener\" target=\"_blank\">SMTP over DANE (RFC 7672) dok\u00fcman\u0131na<\/a> bir g\u00f6z at\u0131n.<\/p>\n<h2 id=\"section-5\"><span id=\"Adim_Adim_Yol_Haritasi_Testten_Guclu_Yayina\">Ad\u0131m Ad\u0131m Yol Haritas\u0131: Testten G\u00fc\u00e7l\u00fc Yay\u0131na<\/span><\/h2>\n<p>Benim tipik ak\u0131\u015f\u0131m \u015f\u00f6yle oluyor, ama liste gibi de\u011fil, k\u00fc\u00e7\u00fck bir yolculuk gibi d\u00fc\u015f\u00fcn\u00fcn. \u00d6nce posta sunucular\u0131nda TLS d\u00fczenini toparlar\u0131m. Sertifikalar ayn\u0131 isim d\u00fcnyas\u0131nda olmal\u0131; MX\u2019lerin sundu\u011fu isimle sertifikadaki CN\/SAN alanlar\u0131 uyumlu. Wildcard sertifikalar bazen hayat kurtar\u0131r, bazen olmazsa olmaz de\u011fildir; \u00f6nemli olan sunulan isimle do\u011frulanan ismin net olmas\u0131. Ard\u0131ndan MTA-STS dosyas\u0131n\u0131, \u00f6nce <strong>testing<\/strong> modda, sade bir MX listesi ve makul bir max_age ile yay\u0131mlar\u0131m. DNS\u2019te \u201c_mta-sts\u201d TXT\u2019si ve politika dosyas\u0131n\u0131n HTTPS\u2019te haz\u0131r olu\u015fu burada kritik. \u0130lk hafta TLS-RPT\u2019leri takip ederim; raporlar genelde k\u00fc\u00e7\u00fck ipu\u00e7lar\u0131 verir.<\/p>\n<p>\u0130kinci perde, raporlarda g\u00f6r\u00fclen hatalar\u0131 temizlemektir. E\u011fer bir region\u2019da SNI sorunu ya\u015fan\u0131yorsa, SMTP yaz\u0131l\u0131m\u0131 veya proxy katman\u0131nda SNI davran\u0131\u015f\u0131n\u0131 netle\u015ftiririm. E\u011fer sertifika yenileme aral\u0131\u011f\u0131nda k\u0131sa s\u00fcreli bo\u015fluklar olu\u015fuyorsa, yenilemeyi otomatikle\u015ftirip \u201ccutover\u201d anlar\u0131n\u0131 daha yumu\u015fak hale getiririm. DNS\u2019te MX setleri de\u011fi\u015fiyorsa, MTA-STS dosyas\u0131n\u0131 da buna paralel g\u00fcnceller, <strong>id<\/strong> alan\u0131n\u0131 de\u011fi\u015ftirip yak\u0131ndan izlerim.<\/p>\n<p>\u00dc\u00e7\u00fcnc\u00fc perde, <strong>enforce<\/strong> moduna sakin ge\u00e7i\u015ftir. Bunu genelde d\u00fc\u015f\u00fck trafi\u011fin oldu\u011fu bir zaman dilimine denk getiririm. TLS-RPT\u2019ler ilk g\u00fcn daha g\u00fcr\u00fclt\u00fcl\u00fc olabilir; normal. Birka\u00e7 g\u00fcn i\u00e7indeki tablo s\u00fckunete d\u00f6nerse, politika yerini bulmu\u015f demektir. Bu s\u0131rada DMARC, SPF, DKIM \u00fc\u00e7l\u00fcs\u00fcn\u00fcn de d\u00fczg\u00fcn \u00e7al\u0131\u015ft\u0131\u011f\u0131ndan emin olurum; g\u00f6nderim altyap\u0131s\u0131 bir ekosistem sonu\u00e7ta.<\/p>\n<p>DNSSEC etkin bir alan ad\u0131n\u0131z varsa, DANE\/TLSA\u2019y\u0131 eklemek g\u00fczeldir. TLSA kay\u0131tlar\u0131n\u0131 do\u011fru olu\u015fturup yay\u0131nlad\u0131ktan sonra g\u00f6nderici taraflar\u0131n bunu g\u00f6rmesi biraz zaman al\u0131r. E\u015fle\u015ftirmeyi yerel testlerle do\u011frulay\u0131p, farkl\u0131 sa\u011flay\u0131c\u0131lardan denemeler yapar\u0131m. DANE devreye girince MTA-STS ve TLS-RPT ile kurdu\u011funuz d\u00fczen bir kat daha \u00f6zg\u00fcvenle y\u00fcr\u00fcr.<\/p>\n<h2 id=\"section-6\"><span id=\"Gercek_Dunyadan_Kucuk_Dikenler_Neye_Dikkat_Etmeli\">Ger\u00e7ek D\u00fcnyadan K\u00fc\u00e7\u00fck Dikenler: Neye Dikkat Etmeli?<\/span><\/h2>\n<p>\u0130lk diken genelde <strong>sertifika ad\u0131 uyumu<\/strong> olur. mx1, mx2, mx3 gibi da\u011f\u0131t\u0131k yap\u0131lar\u0131n\u0131z varsa, her birinin sundu\u011fu ad\u0131n sertifika i\u00e7inde olmas\u0131 laz\u0131m. Bir ara bir projede, load balancer \u201cmail.alanadiniz.com\u201d sunarken arka taraftaki MX\u2019ler farkl\u0131 host isimleriyle g\u00f6r\u00fcn\u00fcyor, al\u0131c\u0131 ise as\u0131l sunulan ada bak\u0131p \u00e7eli\u015fki \u00e7\u0131kar\u0131yordu. \u00c7\u00f6z\u00fcm, SNI ve sunulan isimleri ayn\u0131 hizaya \u00e7ekmek oldu.<\/p>\n<p>\u0130kinci diken <strong>TTL ve cache davran\u0131\u015flar\u0131<\/strong>. MTA-STS dosyas\u0131ndaki max_age, politikay\u0131 \u00f6nbelle\u011fe ald\u0131r\u0131r. Politika de\u011fi\u015fikliklerini \u00e7ok s\u0131k yapmak istiyorsan\u0131z, ilk g\u00fcnlerde max_age\u2019i d\u00fc\u015f\u00fck tutup, sonra g\u00fcven gelince art\u0131rmak ak\u0131ll\u0131ca. DNS taraf\u0131nda da TXT ve MX TTL de\u011ferlerini planl\u0131 se\u00e7mek, gece yar\u0131s\u0131 s\u00fcrprizlerini azalt\u0131r.<\/p>\n<p>\u00dc\u00e7\u00fcnc\u00fc diken <strong>\u00e7oklu sa\u011flay\u0131c\u0131 ve yedeklilik<\/strong>. Ayn\u0131 alan i\u00e7in farkl\u0131 b\u00f6lgelerde farkl\u0131 MX k\u00fcmeleri kullan\u0131yorsan\u0131z, MTA-STS dosyan\u0131z\u0131n ger\u00e7ek topolojiyi yans\u0131tmas\u0131 gerekir. Aksi halde kar\u015f\u0131 taraf beklenmedik bir MX ismi g\u00f6rd\u00fc\u011f\u00fcnde TLS politikan\u0131za sad\u0131k kalamayabilir. Burada iyi bir envanter tutmak, hatta otomasyonla politikay\u0131 derlemek b\u00fcy\u00fck fark yarat\u0131r.<\/p>\n<p>D\u00f6rd\u00fcnc\u00fc diken <strong>raporlar\u0131n sindirimi<\/strong>. TLS-RPT raporlar\u0131 ilk bak\u0131\u015fta yabanc\u0131 bir dil gibi. Ben k\u00fc\u00e7\u00fck bir ak\u0131\u015f kurup raporlar\u0131 JSON\u2019a a\u00e7\u0131yor, sahte pozitifleri eleyip \u201ckritik\u201d, \u201corta\u201d, \u201cbilgi\u201d gibi etikete ba\u011fl\u0131yorum. Birka\u00e7 hafta sonra g\u00f6z\u00fcn\u00fcz raporlar\u0131n nabz\u0131n\u0131 tutar hale geliyor. Sessiz bir tablo g\u00fczeldir ama m\u00fbsiki gibi sessizlik de bir \u015fey anlat\u0131r; aniden artan hatalar \u201cbir yerde ta\u015f oynad\u0131\u201d demektir.<\/p>\n<h2 id=\"section-7\"><span id=\"SPF_DKIM_DMARC_ile_Kardeslik_Ayni_Gemideyiz\">SPF, DKIM, DMARC ile Karde\u015flik: Ayn\u0131 Gemideyiz<\/span><\/h2>\n<p>\u015eifreleme katman\u0131n\u0131 sa\u011flamla\u015ft\u0131rmak harika. Ama kimlik katman\u0131n\u0131 ihmal edersek, g\u00fcven hikayesi eksik kal\u0131r. Ben genelde projelerde \u201cTLS taraf\u0131n\u0131 a\u00e7t\u0131k\u201d dedi\u011fim noktada, DMARC raporlar\u0131n\u0131 da yak\u0131ndan izliyorum. \u00c7\u00fcnk\u00fc al\u0131c\u0131lar, \u201cKim g\u00f6nderiyor?\u201d sorusuna DMARC ile daha h\u0131zl\u0131 yan\u0131t buluyor. Bu konuda daha derine dalmak isterseniz, <a href=\"https:\/\/www.dchost.com\/blog\/gelismis-dmarc-ve-bimi-rua-ruf-raporlarindan-marka-gostergesine-nasil-yol-alinir\/\">Geli\u015fmi\u015f DMARC ve BIMI rehberimizde RUA\/RUF raporlar\u0131ndan marka g\u00f6stergesine giden yolu<\/a> olduk\u00e7a pratik bir dille anlatt\u0131k.<\/p>\n<p>SPF kayd\u0131, DKIM imzas\u0131, DMARC politikas\u0131; bunlar kimlik ve itibar\u0131 netle\u015ftirir. MTA-STS, TLS-RPT ve DANE\/TLSA ise ta\u015f\u0131ma g\u00fcvenini oturtur. \u0130kisi birlikte y\u00fcr\u00fcd\u00fc\u011f\u00fcnde, teslim edilebilirlikteki \u201cs\u0131k nefes alma\u201d halleri yerini daha sakin bir ritme b\u0131rak\u0131r. Bunu ger\u00e7ek hayatta g\u00f6rmek iyi hissettiriyor.<\/p>\n<h2 id=\"section-8\"><span id=\"Uygulamada_Kucuk_Stratejiler_Sunucu_Otomasyon_Izleme\">Uygulamada K\u00fc\u00e7\u00fck Stratejiler: Sunucu, Otomasyon, \u0130zleme<\/span><\/h2>\n<p>Ben mail altyap\u0131s\u0131n\u0131 kurarken \u00f6nce ta\u015f\u0131y\u0131c\u0131y\u0131 sevdiririm. Postfix veya benzeri bir MTA, do\u011fru TLS ayarlar\u0131yla ev gibi hissedilir. Bu a\u015famaya s\u0131cak bir giri\u015f yapmak isterseniz, <a href=\"https:\/\/www.dchost.com\/blog\/vpste-e%e2%80%91posta-sunucusu-kurulumu-postfix-dovecot-rspamd-ile-teslim-edilebilirlik-ve-ip-isitma-adim-adim\/\">VPS\u2019te Postfix + Dovecot + rspamd ile teslim edilebilirlik ve IP \u0131s\u0131tma ad\u0131mlar\u0131n\u0131<\/a> ad\u0131m ad\u0131m anlatt\u0131\u011f\u0131m rehber, \u201cnereden ba\u015flamal\u0131y\u0131m\u201d sorusuna iyi geliyor.<\/p>\n<p>Politika ve DNS taraf\u0131nda tekrar eden i\u015fleri otomatikle\u015ftirmek, hem h\u0131z hem g\u00fcven demek. MTA-STS dosyas\u0131n\u0131 bir \u015fablondan \u00fcretmek, id alan\u0131n\u0131 CI\/CD boru hatt\u0131nda g\u00fcncellemek ve DNS\u2019e yans\u0131tmak\u2026 Bu noktada <a href=\"https:\/\/www.dchost.com\/blog\/terraform-ile-vps-ve-dns-otomasyonu-cloudflare-proxmox-openstack-ve-sifir-kesinti-dagitim-nasil-bir-araya-gelir\/\">Terraform ile VPS ve DNS otomasyonuna dair pratiklerin<\/a> i\u015fe \u00e7ok yarad\u0131\u011f\u0131n\u0131 s\u00f6yleyebilirim. TLSA kay\u0131tlar\u0131 gibi hassas \u015feyleri de otomasyonla \u00fcretip hatay\u0131 azaltmak m\u00fcmk\u00fcn.<\/p>\n<p>Bir de sertifika d\u00fcnyas\u0131 var elbette. DV\u2011OV\u2011EV ayr\u0131mlar\u0131n\u0131 kar\u0131\u015ft\u0131ranlara \u00e7ok rastl\u0131yorum. SMTP taraf\u0131nda genellikle DV yeterli olur; ama i\u015f gereksinimlerinize g\u00f6re durumu tartmak iyi fikir. Bunun i\u00e7in <a href=\"https:\/\/www.dchost.com\/blog\/dv-ov-ev-ve-wildcard-ssl-arasinda-kaybolmadan-e%e2%80%91ticaret-ve-saaste-hangi-sertifika-ne-zaman\/\">sertifika t\u00fcrlerini sade bir dille anlatt\u0131\u011f\u0131m rehbere<\/a> g\u00f6z atabilirsiniz; \u201cNe zaman hangisi?\u201d sorusu posta i\u00e7in de ufuk a\u00e7ar.<\/p>\n<p>\u0130zleme konusunda, MTA-STS\/TLS-RPT\u2019nin \u00f6tesinde SMTP loglar\u0131n\u0131n ritmini takip etmeyi seviyorum. Ba\u015far\u0131l\u0131 TLS el s\u0131k\u0131\u015fmalar\u0131, cipher se\u00e7imi, ba\u015far\u0131s\u0131z el s\u0131k\u0131\u015fma denemeleri, beklenmedik banner kar\u015f\u0131lamalar\u0131\u2026 Bunlara bak\u0131nca bazen konfig\u00fcrasyondan \u00f6nce g\u00f6zle \u00e7\u00f6z\u00fcm ortaya \u00e7\u0131k\u0131yor. Ayr\u0131ca <strong>rate limit<\/strong> ve greylisting davran\u0131\u015flar\u0131n\u0131n, TLS zorunluluklar\u0131yla nas\u0131l dans etti\u011fini izlemek de g\u00fczel bir al\u0131\u015fkanl\u0131k.<\/p>\n<h2 id=\"section-9\"><span id=\"Kaldiysa_Soru_Isareti_Kucuk_Orneklerle_Netlestirelim\">Kald\u0131ysa Soru \u0130\u015fareti: K\u00fc\u00e7\u00fck \u00d6rneklerle Netle\u015ftirelim<\/span><\/h2>\n<p>Bir m\u00fc\u015fteride MTA-STS\u2019yi testing modda a\u00e7t\u0131k. \u0130lk g\u00fcn TLS-RPT, \u201cmx2\u2019de ara s\u0131ra sertifika zinciri eksik g\u00f6z\u00fck\u00fcyor\u201d dedi. Kontrol ettik, bir b\u00f6lgede intermediate sertifika dosyas\u0131 eksik y\u00fcklenmi\u015f. Tamamlay\u0131nca rapor s\u0131f\u0131rland\u0131. \u0130kinci hafta enforce\u2019a ge\u00e7tik; bir al\u0131c\u0131, \u201cMX listesi politikan\u0131zla tutmuyor\u201d diye geri d\u00f6nd\u00fc. Me\u011fer trafikte zaman zaman zahiri bir MX g\u00f6r\u00fcn\u00fcyormu\u015f; eski bir DNS kayd\u0131n\u0131n TTL\u2019i uzun kalm\u0131\u015f. Temizledik. \u00dc\u00e7\u00fcnc\u00fc haftada DANE\u2019i ekledik; ilk g\u00fcn raporlarda de\u011fi\u015fen bir \u015fey olmad\u0131, ama birka\u00e7 b\u00fcy\u00fck al\u0131c\u0131 taraf\u0131nda ba\u011flant\u0131 kurulurken daha tutarl\u0131 TLS davran\u0131\u015f\u0131 g\u00f6zledik. Bu k\u00fc\u00e7\u00fck hikayeler, ad\u0131m ad\u0131m gitmenin de\u011ferini g\u00f6steriyor.<\/p>\n<p>Bu arada standa bakmak isterseniz, MTA-STS ve TLS-RPT\u2019nin resmi metinlerine yukar\u0131da de\u011findim. DANE\u2019in SMTP taraf\u0131ndaki tan\u0131m\u0131 da yerli yerinde. Yaln\u0131z \u015funu not edeyim: Standartlar a\u011fac\u0131, mutfak tezgah\u0131 gibi; evet, her \u015feyin nereye konaca\u011f\u0131 yaz\u0131yor, ama ger\u00e7ek hayatta bazen o kadar derli toplu olmuyor. Sizin mutfa\u011f\u0131n\u0131z\u0131n, yani a\u011f\u0131n\u0131z\u0131n, kendi pratikleri olacak. O pratikleri raporlarla beslemek her \u015feyi kolayla\u015ft\u0131r\u0131r.<\/p>\n<h2 id=\"section-10\"><span id=\"Kapanis_Sessiz_ve_Guvenli_Bir_Trafik_Rahat_Bir_Zihin\">Kapan\u0131\u015f: Sessiz ve G\u00fcvenli Bir Trafik, Rahat Bir Zihin<\/span><\/h2>\n<p>Toparlayal\u0131m. <strong>MTA-STS<\/strong> ile alan ad\u0131n\u0131z\u0131n \u201cTLS ciddidir ve \u015fu MX\u2019ler esast\u0131r\u201d diyen bir sesi var art\u0131k. <strong>TLS-RPT<\/strong> ile o sesin yank\u0131s\u0131n\u0131 duyuyor, nerede \u00e7atlak var g\u00f6r\u00fcyorsunuz. <strong>DANE\/TLSA<\/strong> ile DNSSEC\u2019in g\u00fcc\u00fcn\u00fc al\u0131p sertifika do\u011frulamas\u0131n\u0131 DNS\u2019e \u00e7apal\u0131yor, \u015f\u00fcphe pay\u0131n\u0131 azalt\u0131yorsunuz. Bunlar birlikte \u00e7al\u0131\u015ft\u0131\u011f\u0131nda, e\u2011posta trafi\u011finiz hem daha g\u00fcvenli hem daha \u00f6ng\u00f6r\u00fclebilir hale geliyor. Teslim edilebilirlik de bu \u00f6ng\u00f6r\u00fclebilirlikten besleniyor.<\/p>\n<p>Pratik bir kapan\u0131\u015f listesi vermek istemem, ama \u015funu \u00f6nerebilirim: \u00d6nce mevcut TLS durumunuza d\u00fcr\u00fcst\u00e7e bak\u0131n. Sertifika adlar\u0131, zincirler, SNI, MX envanteri\u2026 Sonra MTA-STS\u2019yi testing ile a\u00e7\u0131n, TLS-RPT\u2019yi toplay\u0131p bir\u2011iki hafta dinleyin. Enforce\u2019a ge\u00e7erken sakin kal\u0131n. DNSSEC haz\u0131rsa DANE\u2019i ekleyin, de\u011filse yol haritan\u0131za yaz\u0131n. Ve bu yolculu\u011fu otomasyonla destekleyin; k\u00fc\u00e7\u00fck insan hatalar\u0131n\u0131 bilgisayar\u0131n sabr\u0131na b\u0131rakmak \u00e7o\u011fu kez iyi bir fikir. Umar\u0131m bu yaz\u0131 size, kendi posta altyap\u0131n\u0131z\u0131 daha g\u00fcvenli ve sa\u011fl\u0131kl\u0131 k\u0131lmak i\u00e7in s\u0131cak bir rehber olur. Bir dahaki yaz\u0131da g\u00f6r\u00fc\u015fmek \u00fczere; o zamana kadar raporlar sessiz, TLS el s\u0131k\u0131\u015fmalar\u0131 p\u00fcr\u00fczs\u00fcz kals\u0131n.<\/p>\n<\/div>","protected":false},"excerpt":{"rendered":"<p>\u0130&ccedil;indekiler1 Ofiste Ba\u015flayan Bir E\u2011posta Yolculu\u011fu: Neden Bu Kadar U\u011fra\u015f\u0131yoruz?2 MTA-STS Nedir, Neyi \u00c7\u00f6zer ve Nas\u0131l \u00c7al\u0131\u015f\u0131r?2.1 Politika nerede durur?2.2 Testing, enforce, none\u2026 Hangisi?2.3 Neden faydal\u0131?3 TLS-RPT: G\u00fcnl\u00fck Raporla Nefesini Kontrol Etmek3.1 Raporu nereye alaca\u011f\u0131z?3.2 Ne ar\u0131yoruz?4 DANE\/TLSA: DNSSEC ile Sertifika G\u00fcvenini DNS\u2019e \u00c7apalamak4.1 MTA-STS mi, DANE mi?5 Ad\u0131m Ad\u0131m Yol Haritas\u0131: Testten G\u00fc\u00e7l\u00fc Yay\u0131na6 [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1741,"comment_status":"","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[26],"tags":[],"class_list":["post-1740","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-teknoloji"],"_links":{"self":[{"href":"https:\/\/www.dchost.com\/blog\/wp-json\/wp\/v2\/posts\/1740","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.dchost.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.dchost.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.dchost.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.dchost.com\/blog\/wp-json\/wp\/v2\/comments?post=1740"}],"version-history":[{"count":0,"href":"https:\/\/www.dchost.com\/blog\/wp-json\/wp\/v2\/posts\/1740\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.dchost.com\/blog\/wp-json\/wp\/v2\/media\/1741"}],"wp:attachment":[{"href":"https:\/\/www.dchost.com\/blog\/wp-json\/wp\/v2\/media?parent=1740"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.dchost.com\/blog\/wp-json\/wp\/v2\/categories?post=1740"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.dchost.com\/blog\/wp-json\/wp\/v2\/tags?post=1740"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}