{"id":2007,"date":"2025-11-17T23:48:59","date_gmt":"2025-11-17T20:48:59","guid":{"rendered":"https:\/\/www.dchost.com\/blog\/e%e2%80%91postada-mta%e2%80%91sts-tls%e2%80%91rpt-ve-dane-teslim-edilebilirligi-nasil-tatli-tatli-yukseltirsin\/"},"modified":"2025-11-17T23:48:59","modified_gmt":"2025-11-17T20:48:59","slug":"e%e2%80%91postada-mta%e2%80%91sts-tls%e2%80%91rpt-ve-dane-teslim-edilebilirligi-nasil-tatli-tatli-yukseltirsin","status":"publish","type":"post","link":"https:\/\/www.dchost.com\/blog\/e%e2%80%91postada-mta%e2%80%91sts-tls%e2%80%91rpt-ve-dane-teslim-edilebilirligi-nasil-tatli-tatli-yukseltirsin\/","title":{"rendered":"E\u2011Postada MTA\u2011STS, TLS\u2011RPT ve DANE: Teslim Edilebilirli\u011fi Nas\u0131l Tatl\u0131 Tatl\u0131 Y\u00fckseltirsin?"},"content":{"rendered":"<div class=\"dchost-blog-content-wrapper\"><div id=\"toc_container\" class=\"toc_transparent no_bullets\"><p class=\"toc_title\">\u0130&ccedil;indekiler<\/p><ul class=\"toc_list\"><li><a href=\"#Giris_Gelen_kutusunda_kaybolan_mektuplar\"><span class=\"toc_number toc_depth_1\">1<\/span> Giri\u015f: Gelen kutusunda kaybolan mektuplar<\/a><\/li><li><a href=\"#Eposta_yolunda_gizli_tumsekler_STARTTLS_ve_neden_tek_basina_yetmez\"><span class=\"toc_number toc_depth_1\">2<\/span> E\u2011posta yolunda gizli t\u00fcmsekler: STARTTLS ve neden tek ba\u015f\u0131na yetmez?<\/a><\/li><li><a href=\"#MTASTS_Postacinin_guvenli_rotasi_nasil_cizilir\"><span class=\"toc_number toc_depth_1\">3<\/span> MTA\u2011STS: Postac\u0131n\u0131n g\u00fcvenli rotas\u0131 nas\u0131l \u00e7izilir?<\/a><ul><li><a href=\"#Politika_dosyasinin_ruhu\"><span class=\"toc_number toc_depth_2\">3.1<\/span> Politika dosyas\u0131n\u0131n ruhu<\/a><\/li><li><a href=\"#DNS_tarafindaki_kucuk_ama_kritik_dokunus\"><span class=\"toc_number toc_depth_2\">3.2<\/span> DNS taraf\u0131ndaki k\u00fc\u00e7\u00fck ama kritik dokunu\u015f<\/a><\/li><li><a href=\"#Testingden_enforcea_gecisin_tatli_sabri\"><span class=\"toc_number toc_depth_2\">3.3<\/span> Testing\u2019den enforce\u2019a ge\u00e7i\u015fin tatl\u0131 sabr\u0131<\/a><\/li><\/ul><\/li><li><a href=\"#TLSRPT_Kapinin_onundeki_not_defteri\"><span class=\"toc_number toc_depth_1\">4<\/span> TLS\u2011RPT: Kap\u0131n\u0131n \u00f6n\u00fcndeki not defteri<\/a><ul><li><a href=\"#Raporlar_nasil_gorunur_ve_ne_anlatir\"><span class=\"toc_number toc_depth_2\">4.1<\/span> Raporlar nas\u0131l g\u00f6r\u00fcn\u00fcr ve ne anlat\u0131r?<\/a><\/li><li><a href=\"#Gurultuyu_sinyale_cevirmek\"><span class=\"toc_number toc_depth_2\">4.2<\/span> G\u00fcr\u00fclt\u00fcy\u00fc sinyale \u00e7evirmek<\/a><\/li><\/ul><\/li><li><a href=\"#DANE_ve_DNSSEC_Anahtarlari_DNSe_emanet_etmek\"><span class=\"toc_number toc_depth_1\">5<\/span> DANE ve DNSSEC: Anahtarlar\u0131 DNS\u2019e emanet etmek<\/a><ul><li><a href=\"#TLSA_kayitlarinin_pratik_anlami\"><span class=\"toc_number toc_depth_2\">5.1<\/span> TLSA kay\u0131tlar\u0131n\u0131n pratik anlam\u0131<\/a><\/li><li><a href=\"#Gercek_hayatta_DANEe_adim_adim\"><span class=\"toc_number toc_depth_2\">5.2<\/span> Ger\u00e7ek hayatta DANE\u2019e ad\u0131m ad\u0131m<\/a><\/li><\/ul><\/li><li><a href=\"#Uctan_uca_yol_haritasi_Kucuk_adimlar_saglam_temeller\"><span class=\"toc_number toc_depth_1\">6<\/span> U\u00e7tan uca yol haritas\u0131: K\u00fc\u00e7\u00fck ad\u0131mlar, sa\u011flam temeller<\/a><\/li><li><a href=\"#Operasyonel_ipuclari_Kucuk_hatalar_buyuk_dersler\"><span class=\"toc_number toc_depth_1\">7<\/span> Operasyonel ipu\u00e7lar\u0131: K\u00fc\u00e7\u00fck hatalar, b\u00fcy\u00fck dersler<\/a><\/li><li><a href=\"#Kapanis_Eposta_zincirini_guclendirmek_bir_yolculuk\"><span class=\"toc_number toc_depth_1\">8<\/span> Kapan\u0131\u015f: E\u2011posta zincirini g\u00fc\u00e7lendirmek bir yolculuk<\/a><\/li><\/ul><\/div>\n<h2 id=\"section-1\"><span id=\"Giris_Gelen_kutusunda_kaybolan_mektuplar\">Giri\u015f: Gelen kutusunda kaybolan mektuplar<\/span><\/h2>\n<p>Hi\u00e7 ba\u015f\u0131na geldi mi? M\u00fc\u015fteri \u201cfaturan\u0131z\u0131 g\u00f6remedim\u201d diyor, sen panelde her \u015fey ye\u015fil, DNS d\u00fczg\u00fcn, SPF ve DKIM tamam, hatta DMARC bile rapor yolluyor. Buna ra\u011fmen bir yerlerde e\u2011postalar ya gecikiyor ya da ara s\u0131ra garip \u015fekilde geri d\u00f6n\u00fcyor. Bir sabah ben de ayn\u0131 manzarayla uyand\u0131m. Log\u2019lara g\u00f6m\u00fcld\u00fcm, iz s\u00fcrd\u00fcm, sonunda \u015funu fark ettim: E\u2011posta d\u00fcnyas\u0131nda g\u00f6r\u00fcnmeyen ama etkisi b\u00fcy\u00fck ince yollar var. O yollar\u0131 biraz d\u00fczg\u00fcn asfaltlamak gerekiyor.<\/p>\n<p>\u0130\u015fte tam bu noktada <strong>MTA\u2011STS<\/strong>, <strong>TLS\u2011RPT<\/strong> ve <strong>DANE<\/strong> devreye giriyor. \u00dc\u00e7\u00fc de ayn\u0131 senfoninin farkl\u0131 enstr\u00fcmanlar\u0131 gibi. Biri postac\u0131n\u0131n g\u00fcvenli rotas\u0131n\u0131 \u00e7izer, di\u011feri kap\u0131ya b\u0131rak\u0131lan notlar\u0131 toplar, \u00fc\u00e7\u00fcnc\u00fcs\u00fc ise anahtar\u0131 kap\u0131n\u0131n hemen yan\u0131ndaki kasaya emanet eder. Bu yaz\u0131da, kula\u011fa teknik gelen bu kavramlar\u0131 g\u00fcnl\u00fck hayattan \u00f6rneklerle anlataca\u011f\u0131m. \u201cMesela \u015f\u00f6yle d\u00fc\u015f\u00fcn\u00fcn\u201d diyece\u011fim, yeri geldi\u011finde kendi t\u00f6kezlemelerimden bahsedece\u011fim. Sonunda hedef basit: E\u2011postalar daha g\u00fcvenli, daha \u00f6ng\u00f6r\u00fclebilir ve daha tutarl\u0131 \u015fekilde yerine vars\u0131n.<\/p>\n<p>Plan\u0131m\u0131z net: \u00d6nce STARTTLS\u2019in neden tek ba\u015f\u0131na yetmedi\u011fini konu\u015faca\u011f\u0131z. Sonra MTA\u2011STS ile bu yolu nas\u0131l g\u00fc\u00e7lendirece\u011fimizi, TLS\u2011RPT ile nabz\u0131 nas\u0131l tutaca\u011f\u0131m\u0131z\u0131, DANE ve DNSSEC ile zinciri nas\u0131l sa\u011flamla\u015ft\u0131raca\u011f\u0131m\u0131z\u0131 g\u00f6rece\u011fiz. Aralara ger\u00e7ek d\u00fcnyadan ipu\u00e7lar\u0131 serpi\u015ftirece\u011fim. Haz\u0131rsan ba\u015fl\u0131yorum.<\/p>\n<h2 id=\"section-2\"><span id=\"Eposta_yolunda_gizli_tumsekler_STARTTLS_ve_neden_tek_basina_yetmez\">E\u2011posta yolunda gizli t\u00fcmsekler: STARTTLS ve neden tek ba\u015f\u0131na yetmez?<\/span><\/h2>\n<p>SMTP sunucular\u0131 konu\u015furken genelde STARTTLS ile \u015fifreli bir t\u00fcnel kurar. G\u00fczel, g\u00fcvenli, kula\u011fa ho\u015f geliyor. Fakat bu t\u00fcnelin kurulmas\u0131 asl\u0131nda kar\u015f\u0131 taraf\u0131n iyili\u011fine kalm\u0131\u015f gibi. Yani t\u00fcnel teklif ediliyor, kar\u015f\u0131 taraf kabul ederse kuruluyor. Bu esneklik iyi niyetli d\u00fcnyada i\u015f g\u00f6r\u00fcr, ama araya giren birisi bu ad\u0131m\u0131 sessizce \u201csilerse\u201d ne olacak? T\u00fcnel kurulmadan ta\u015f\u0131ma devam eder, fark etmek de kolay olmayabilir.<\/p>\n<p>Bir sabah log\u2019larda \u201cTLS yoktu, d\u00fcz g\u00f6nderildi\u201d sat\u0131rlar\u0131n\u0131 g\u00f6r\u00fcnce i\u00e7ime bir \u00fcrperti gelmi\u015fti. Meselenin \u00f6z\u00fc \u015fu: STARTTLS varsa g\u00fczel, ama yoksa ne yap\u0131laca\u011f\u0131n\u0131 netle\u015ftirmek gerekiyor. E\u2011postan\u0131n iletim yolu bazen \u00e7ok basamakl\u0131. Arada farkl\u0131 MTA\u2019lar var, farkl\u0131 sertifikalar, farkl\u0131 denetimler. Bu karma\u015fada k\u00fc\u00e7\u00fck bir yanl\u0131\u015f ayar ciddi gecikmelere, hatta kal\u0131c\u0131 ba\u015far\u0131s\u0131zl\u0131klara yol a\u00e7abiliyor. Bunu \u00f6nlemek i\u00e7in yola i\u015faret koymak, rotay\u0131 tarif etmek ve bu tarifin herkese ayn\u0131 \u015fekilde ula\u015fmas\u0131n\u0131 sa\u011flamak gerekiyor.<\/p>\n<p>Burada MTA\u2011STS devreye giriyor. \u201cBenim alan\u0131ma e\u2011posta yollarken \u015fu kurallara uy, aksi halde kabul etme\u201d diyebilmenin yolu. Bu sayede postac\u0131, SIS\u2019taki haritaya de\u011fil, alan ad\u0131n\u0131n bizzat yay\u0131nlad\u0131\u011f\u0131 rotaya bak\u0131yor. Rota netse, yol daha g\u00fcvenli ve daha \u00f6ng\u00f6r\u00fclebilir.<\/p>\n<h2 id=\"section-3\"><span id=\"MTASTS_Postacinin_guvenli_rotasi_nasil_cizilir\">MTA\u2011STS: Postac\u0131n\u0131n g\u00fcvenli rotas\u0131 nas\u0131l \u00e7izilir?<\/span><\/h2>\n<p>MTA\u2011STS\u2019i bir \u015fehrin ana caddesindeki trafik tabelalar\u0131 gibi d\u00fc\u015f\u00fcn. Tabela do\u011fru yerde, do\u011fru dilde ve net olmal\u0131. Yan\u0131ndan ge\u00e7en herkes ayn\u0131 \u015feyi g\u00f6rmeli. MTA\u2011STS de e\u2011postay\u0131 alan tarafa dair \u201cTLS zorunludur, \u015fu MX alan adlar\u0131 do\u011frudur\u201d gibi kurallar\u0131, kolay bulunabilir bir yerde yay\u0131nlar. G\u00f6nderen posta sunucular\u0131 da bu kurallar\u0131 okuyup ona g\u00f6re davran\u0131r.<\/p>\n<h3><span id=\"Politika_dosyasinin_ruhu\">Politika dosyas\u0131n\u0131n ruhu<\/span><\/h3>\n<p>MTA\u2011STS politikas\u0131 asl\u0131nda bir metin dosyas\u0131. Basit, okunakl\u0131 ve niyet mektubu gibi. Versiyonu, modunu, kabul edilen MX desenlerini ve ge\u00e7erlilik s\u00fcresini s\u00f6yler. Dosyan\u0131n yeri nettir: mta\u2011sts alt alan\u0131nda, iyi bilinen bir yolda durur. \u0130\u00e7erik taraf\u0131nda ise en kritik nokta <strong>mode<\/strong> de\u011feri. \u00d6nce \u201ctesting\u201d ile ba\u015flamak, sonra \u201cenforce\u201d ile zorunluluk getirmek en sa\u011fl\u0131kl\u0131 yol. B\u00f6ylece \u00f6nce sular\u0131n ak\u0131\u015f\u0131n\u0131 izlersin, hatalar\u0131 g\u00f6r\u00fcrs\u00fcn; sonra ciddile\u015fip kemeri s\u0131kars\u0131n.<\/p>\n<p>Burada sertifikalar\u0131n g\u00fcvenilir bir otoriteden gelmesi \u015fart. Otomasyon kullan\u0131yorsan, sertifika yenilemelerinin bu politikayla uyumlu oldu\u011fundan emin ol. ACME ile yenileme yap\u0131yorsan, <a href=\"https:\/\/www.dchost.com\/blog\/acme-challenge-turleri-derinlemesine-http%e2%80%9101-dns%e2%80%9101-ve-tls%e2%80%91alpn%e2%80%9101-ne-zaman-hangisi\/\">ACME challenge t\u00fcrlerini do\u011fru se\u00e7menin p\u00fcf noktalar\u0131n\u0131<\/a> sahiplenmek i\u015fleri \u00e7ok kolayla\u015ft\u0131r\u0131yor. Baz\u0131 ortamlarda HTTP\u201101 rahat \u00e7al\u0131\u015f\u0131r, baz\u0131lar\u0131nda DNS\u201101 daha g\u00fcvenlidir. MTA\u2011STS sunan u\u00e7 i\u00e7in de bu tercihler, servis kesintisi ya\u015famaman\u0131n anahtar\u0131 olabilir.<\/p>\n<h3><span id=\"DNS_tarafindaki_kucuk_ama_kritik_dokunus\">DNS taraf\u0131ndaki k\u00fc\u00e7\u00fck ama kritik dokunu\u015f<\/span><\/h3>\n<p>MTA\u2011STS yaln\u0131zca dosyadan ibaret de\u011fil, ayn\u0131 zamanda DNS\u2019te k\u00fc\u00e7\u00fck bir not da istiyor. Bu not, politikan\u0131n s\u00fcr\u00fcm\u00fcn\u00fc ve varl\u0131\u011f\u0131n\u0131 duyuruyor. G\u00f6nderenler \u00f6nce DNS\u2019e bak\u0131yor, sonra dosyay\u0131 \u00e7ekiyor. Politikay\u0131 g\u00fcncellerken bu nottaki kimli\u011fi de\u011fi\u015ftirip bir \u201cyenileme\u201d \u00e7a\u011fr\u0131s\u0131 yapt\u0131\u011f\u0131n\u0131 hayal et. B\u00f6ylece kar\u015f\u0131 taraf \u00f6nbellekten de\u011fil, taze politikadan beslenecek.<\/p>\n<p>Bu noktada CAA kay\u0131tlar\u0131n\u0131 da hat\u0131rlamak iyi fikir. Sertifika otoritelerini s\u0131n\u0131rland\u0131rmak, yanl\u0131\u015f ellerden sertifika al\u0131nmas\u0131n\u0131 zorla\u015ft\u0131r\u0131r. Kendi deneyimimde, MTA\u2011STS ile birlikte <a href=\"https:\/\/www.dchost.com\/blog\/caa-kayitlari-derinlemesine-neden-nasil-ve-ne-zaman-coklu%e2%80%91caya-gecmelisin\/\">CAA kay\u0131tlar\u0131n\u0131 bilin\u00e7li y\u00f6netmek<\/a>, beklenmedik a\u00e7\u0131ktan ziyade g\u00fcven hissi veriyor. K\u00fc\u00e7\u00fck bir kay\u0131t, b\u00fcy\u00fck bir nefes.<\/p>\n<h3><span id=\"Testingden_enforcea_gecisin_tatli_sabri\">Testing\u2019den enforce\u2019a ge\u00e7i\u015fin tatl\u0131 sabr\u0131<\/span><\/h3>\n<p>\u0130lk kez kurulum yaparken heyecanla \u201chemen enforce\u201d demek cazip. Ama ben her defas\u0131nda \u00f6nce \u201ctesting\u201d ile birka\u00e7 g\u00fcn nab\u0131z yoklamay\u0131 seviyorum. Raporlar geliyor mu, ba\u015far\u0131s\u0131z ba\u011flant\u0131lar nerede toplan\u0131yor, hangi MX ad\u0131nda yaz\u0131m hatas\u0131 yap\u0131lm\u0131\u015f, hepsi ortaya d\u00f6k\u00fcl\u00fcyor. Sonra minik d\u00fczeltmeler, temizlik, bir iki prova derken g\u00f6n\u00fcl rahatl\u0131\u011f\u0131yla \u201cenforce\u201d diyorsun. O an, yol art\u0131k netle\u015fmi\u015f, t\u00fcnellerin zeminine sa\u011flam demir at\u0131lm\u0131\u015f oluyor.<\/p>\n<p>Bu ge\u00e7i\u015fte log\u2019lar\u0131 so\u011fukkanl\u0131 takip etmek \u00f6nemli. Sertifika zinciri, ara sertifikalar, SNI bekleyen u\u00e7lar, hepsi tek tek kontrol listesine giriyor. Kal\u0131c\u0131 bir al\u0131\u015fkanl\u0131k haline getirdi\u011finde, ileride ya\u015fanacak \u015fa\u015fk\u0131nl\u0131klar\u0131 daha do\u011fmadan bertaraf etmi\u015f oluyorsun.<\/p>\n<h2 id=\"section-4\"><span id=\"TLSRPT_Kapinin_onundeki_not_defteri\">TLS\u2011RPT: Kap\u0131n\u0131n \u00f6n\u00fcndeki not defteri<\/span><\/h2>\n<p>Bir \u015feyi d\u00fczg\u00fcn yapt\u0131m m\u0131 diye anlaman\u0131n en g\u00fczel yolu, geri bildirim almakt\u0131r. TLS\u2011RPT tam da bu. G\u00f6ndericiler, alan\u0131na e\u2011posta atmaya \u00e7al\u0131\u015ft\u0131klar\u0131nda ya\u015fad\u0131klar\u0131 ba\u015far\u0131 ve ba\u015far\u0131s\u0131zl\u0131klar\u0131 \u00f6zetleyen raporlar g\u00f6nderiyor. Bu raporlar tek tek vaka yerine \u00f6zet tablo gibi d\u00fc\u015f\u00fcnebilirsin, ama tabloyu a\u00e7\u0131p i\u00e7inden leziz \u00f6yk\u00fcler \u00e7\u0131karabiliyorsun.<\/p>\n<p>Pratikte bir e\u2011posta adresi belirliyorsun. \u201cRaporlar\u0131 buraya b\u0131rak\u0131n\u201d diyorsun. Geriye o kutuyu d\u00fczenli kontrol etmek, hatta m\u00fcmk\u00fcnse bir k\u00fc\u00e7\u00fck betikle s\u0131n\u0131fland\u0131rmak kal\u0131yor. \u0130lk zamanlar g\u00fcr\u00fclt\u00fc bol. Yava\u015f yava\u015f ayn\u0131 kal\u0131plar ortaya \u00e7\u0131k\u0131yor: Belirli bir a\u011fdan gelen hatalar, bir sa\u011flay\u0131c\u0131n\u0131n ara s\u0131ra t\u00f6kezlemesi, kendi MX\u2019lerinden birinin sertifika yenilemesini birka\u00e7 saat geciktirmesi. Bunlar\u0131n her biri, yolda ufak \u00e7ukurlar oldu\u011funu g\u00f6steriyor.<\/p>\n<h3><span id=\"Raporlar_nasil_gorunur_ve_ne_anlatir\">Raporlar nas\u0131l g\u00f6r\u00fcn\u00fcr ve ne anlat\u0131r?<\/span><\/h3>\n<p>Raporlarda alan ad\u0131n, hedef MX adlar\u0131n, denenmi\u015f TLS s\u00fcr\u00fcmleri ve hatalar\u0131n kaba gerek\u00e7eleri var. Bazen \u201csertifika ad\u0131 uyu\u015fmad\u0131\u201d gibi net bir bilgi gelir, bazen \u201cTLS kurulamad\u0131\u201d gibi daha yuvarlak. Bu bilgiyi g\u00fcnl\u00fck operasyon ak\u0131\u015f\u0131na katmak en de\u011ferli k\u0131s\u0131m. Haftal\u0131k k\u00fc\u00e7\u00fck bir g\u00f6zden ge\u00e7irme, kal\u0131c\u0131 iyile\u015fmeyi getiriyor.<\/p>\n<p>Raporlama k\u00fclt\u00fcr\u00fc yabanc\u0131 geliyorsa, web taraf\u0131ndaki i\u00e7erik g\u00fcvenli\u011fi raporlar\u0131na benzedi\u011fini d\u00fc\u015f\u00fcnebilirsin. Bir keresinde <a href=\"https:\/\/www.dchost.com\/blog\/cspyi-dogru-kurmak-wordpress-laravelde-nonce-hash-report-to-ve-inline-scriptleri-tatli-tatli-ehlilestirmek\/\">CSP raporlama mekanizmalar\u0131n\u0131 tatl\u0131 tatl\u0131 ehlile\u015ftirmek<\/a> bana \u00e7ok \u015fey \u00f6\u011fretmi\u015fti. E\u2011postada da benzer bir ritim var: Kural\u0131 koy, raporu al, d\u00fczenli d\u00fczelt, bir daha \u00f6l\u00e7.<\/p>\n<h3><span id=\"Gurultuyu_sinyale_cevirmek\">G\u00fcr\u00fclt\u00fcy\u00fc sinyale \u00e7evirmek<\/span><\/h3>\n<p>\u0130lk g\u00fcnlerde posta kutuna d\u00fc\u015fen raporlar biraz g\u00f6z korkutabilir. Vazge\u00e7me. Birka\u00e7 k\u00fc\u00e7\u00fck filtre ile tekrar eden hatalar\u0131 grupland\u0131r, ilkel bir panoyla trendlere bak. Ben \u201cayn\u0131 a\u011f blo\u011fu, ayn\u0131 hata\u201d kal\u0131plar\u0131n\u0131 i\u015faretleyip onlar i\u00e7in k\u00fc\u00e7\u00fck notlar tutmay\u0131 seviyorum. Zamanla hangi hatalar\u0131n kritik, hangilerinin ise ge\u00e7ici oldu\u011funa g\u00f6z\u00fcn al\u0131\u015f\u0131yor. B\u00f6ylece kaynaklar\u0131n\u0131 do\u011fru yere harc\u0131yorsun.<\/p>\n<h2 id=\"section-5\"><span id=\"DANE_ve_DNSSEC_Anahtarlari_DNSe_emanet_etmek\">DANE ve DNSSEC: Anahtarlar\u0131 DNS\u2019e emanet etmek<\/span><\/h2>\n<p>MTA\u2011STS ve TLS\u2011RPT ile g\u00fczel bir ritim yakalad\u0131n. Peki daha da sa\u011flamla\u015ft\u0131rmak ister misin? DANE burada devreye giriyor. Fikir basit: Sertifika do\u011frulamay\u0131 DNS\u2019e ba\u011flamak ve DNS\u2019in b\u00fct\u00fcnl\u00fc\u011f\u00fcn\u00fc de imzayla g\u00fcvenceye almak. B\u00f6ylece postac\u0131, \u201cbu anahtar bu kap\u0131ya aittir\u201d bilgisini do\u011frudan alan ad\u0131n\u0131n imzal\u0131 kay\u0131tlar\u0131ndan okur.<\/p>\n<p>DNSSEC, DNS kay\u0131tlar\u0131n\u0131n \u201cyolda de\u011fi\u015fmedi\u011fini\u201d kan\u0131tlayan imza zinciri. DANE ise bu imzal\u0131 d\u00fcnyada, e\u2011posta i\u00e7in kullan\u0131lan anahtar\u0131n parmak izini ya da sertifika bilgisini, belirli bir adreste yay\u0131nlaman\u0131 istiyor. B\u00f6ylece araya girip yanl\u0131\u015f bir sertifika g\u00f6sterme giri\u015fimleri, imza zincirine tak\u0131l\u0131yor. Bu yakla\u015f\u0131m biraz daha kurumsal ciddiyet ister; \u00e7\u00fcnk\u00fc DNSSEC\u2019i oturtmak, imza yenilemelerini ve kay\u0131t y\u00f6netimini disiplinle s\u00fcrd\u00fcrmeyi gerektirir.<\/p>\n<h3><span id=\"TLSA_kayitlarinin_pratik_anlami\">TLSA kay\u0131tlar\u0131n\u0131n pratik anlam\u0131<\/span><\/h3>\n<p>DANE i\u00e7in kulland\u0131\u011f\u0131n kay\u0131tlar TLSA diye ge\u00e7er. Basit\u00e7e \u015funu s\u00f6yler: \u201c\u015eu porttan, \u015fu sunucuya giderken bekledi\u011fin sertifika\/birincil anahtar budur.\u201d G\u00f6nderen posta sunucusu da bu kayd\u0131 okuyup, kar\u015f\u0131la\u015ft\u0131\u011f\u0131 sertifikan\u0131n bu tan\u0131ma uyup uymad\u0131\u011f\u0131na bakar. Uymazsa yoldan geri d\u00f6ner, uyarsa g\u00f6n\u00fcl rahatl\u0131\u011f\u0131yla devam eder. Bana kal\u0131rsa DANE\u2019in en g\u00fczel taraf\u0131 bu netlik. Yoruma pek yer b\u0131rakm\u0131yor.<\/p>\n<p>Kurarken dikkat edilmesi gereken en kritik ayr\u0131nt\u0131, alan ad\u0131nda DNSSEC\u2019in do\u011fru ve tam \u00e7al\u0131\u015f\u0131yor olmas\u0131. K\u00f6kten ba\u015flay\u0131p senin alan ad\u0131na kadar uzanan imza zinciri eksiksiz olmal\u0131. DANE bir kez oturdu\u011funda, uzun s\u00fcre sessiz ve derinden i\u015fini yapar. Ba\u015fta biraz \u00e7aba, sonra tatl\u0131 bir huzur.<\/p>\n<h3><span id=\"Gercek_hayatta_DANEe_adim_adim\">Ger\u00e7ek hayatta DANE\u2019e ad\u0131m ad\u0131m<\/span><\/h3>\n<p>D\u00fcr\u00fcst olay\u0131m: Ben genelde MTA\u2011STS ve TLS\u2011RPT ile ba\u015flay\u0131p birka\u00e7 hafta al\u0131\u015fkanl\u0131k kazand\u0131ktan sonra DANE\u2019e ge\u00e7iyorum. Kendimi daha g\u00fcvende hissediyorum. DANE\u2019i kurarken k\u00fc\u00e7\u00fck bir laboratuvar alan ad\u0131 a\u00e7\u0131p orada denemek, rahatlat\u0131c\u0131 bir prova sa\u011fl\u0131yor. DNSSEC imzalar\u0131n\u0131n sa\u011fl\u0131kl\u0131 d\u00f6nd\u00fc\u011f\u00fcn\u00fc, TLSA parmak izlerinin do\u011fru \u00fcretildi\u011fini ve g\u00f6nderici taraf\u0131n beklendi\u011fi gibi davrand\u0131\u011f\u0131n\u0131 g\u00f6r\u00fcnce as\u0131l alan ad\u0131na ta\u015f\u0131mak daha kolay oluyor.<\/p>\n<p>Teknik detayla bo\u011fmadan s\u00f6yleyeyim: Sertifikay\u0131 yeniledi\u011finde TLSA kayd\u0131n\u0131n da g\u00fcncel kalmas\u0131 gerekiyor. Otomasyonu seviyorsan, yenileme zincirine ufak bir ad\u0131m ekleyip yeni parmak izini DNS\u2019e yazd\u0131rmak harika bir al\u0131\u015fkanl\u0131k. Bu, ileride ya\u015fanabilecek senkron kay\u0131plar\u0131n\u0131 engelliyor.<\/p>\n<h2 id=\"section-6\"><span id=\"Uctan_uca_yol_haritasi_Kucuk_adimlar_saglam_temeller\">U\u00e7tan uca yol haritas\u0131: K\u00fc\u00e7\u00fck ad\u0131mlar, sa\u011flam temeller<\/span><\/h2>\n<p>\u015eimdi t\u00fcm\u00fcn\u00fc bir araya getirelim. Mesela \u015f\u00f6yle d\u00fc\u015f\u00fcn\u00fcn: \u00d6nce alan\u0131nda MTA\u2011STS\u2019i \u201ctesting\u201d ile yay\u0131na al\u0131yorsun. Sertifikalar\u0131n yenilenme ritmine bak\u0131yorsun. MX desenlerinin g\u00fcncel oldu\u011fundan emin oluyorsun. Bu arada TLS\u2011RPT raporlar\u0131n\u0131 toplamaya ba\u015fl\u0131yorsun ki ilk g\u00fcnlerden itibaren bir nab\u0131z haritan olsun. Birka\u00e7 g\u00fcn izledikten, k\u00fc\u00e7\u00fck hatalar\u0131 d\u00fczelttikten sonra MTA\u2011STS\u2019i \u201cenforce\u201da al\u0131yorsun. Yol art\u0131k daha net.<\/p>\n<p>Bu noktada akl\u0131na d\u00fc\u015fen ba\u015fka ta\u015flar da olacak. E\u2011posta itibar\u0131n nas\u0131l, kara listelerle ufak bir fl\u00f6rt var m\u0131, geri d\u00f6n\u00fc\u015fler nas\u0131l? Bu sorular i\u00e7in kendi g\u00fcnl\u00fck notlar\u0131mda <a href=\"https:\/\/www.dchost.com\/blog\/e-posta-itibarini-kurtarma-rehberi-blacklist-delisting-postmaster-araclari-ve-guvenli-ip-isitma-nasil-kurtarici-olur\/\">e\u2011posta itibar\u0131n\u0131 toparlamak \u00fczerine payla\u015ft\u0131\u011f\u0131m pratik ad\u0131mlar\u0131<\/a> referans al\u0131yorum. Teslim edilebilirlik, sadece \u015fifreleme ile de\u011fil; davran\u0131\u015f, i\u00e7erik ve istikrarla da besleniyor.<\/p>\n<p>Ard\u0131ndan DANE\u2019e bak\u0131yorsun. DNSSEC\u2019i a\u00e7\u0131yor, imzalar\u0131 do\u011fruluyor, k\u00fc\u00e7\u00fck bir deneme alan\u0131nda TLSA kay\u0131tlar\u0131n\u0131 oturtuyorsun. Bu s\u0131rada sertifika y\u00f6netimini otomatize ettiysen, <a href=\"https:\/\/www.dchost.com\/blog\/acme-challenge-turleri-derinlemesine-http%e2%80%9101-dns%e2%80%9101-ve-tls%e2%80%91alpn%e2%80%9101-ne-zaman-hangisi\/\">ACME challenge tercihinin e\u2011posta servislerinin mimarisiyle uyumlu<\/a> oldu\u011funa bir kez daha bak. Sertifika katman\u0131nda d\u00fczen, DANE taraf\u0131nda dinginlik getiriyor.<\/p>\n<p>Son dokunu\u015flar i\u00e7in g\u00fcvenlik \u00e7evresini geni\u015fletmek m\u00fcmk\u00fcn. \u00d6rne\u011fin arka u\u00e7 servislerin aras\u0131nda kar\u015f\u0131l\u0131kl\u0131 TLS kulland\u0131\u011f\u0131n senaryolara merak\u0131n varsa, web taraf\u0131ndaki mTLS yakla\u015f\u0131m\u0131n\u0131 anlat\u0131rken payla\u015ft\u0131\u011f\u0131m <a href=\"https:\/\/www.dchost.com\/blog\/origini-korumak-cloudflare-authenticated-origin-pulls-ve-mtls-ile-gercek-kaynak-dogrulamasi\/\">ger\u00e7ek kaynak do\u011frulamas\u0131 ipu\u00e7lar\u0131<\/a> akl\u0131nda bulunsun. Do\u011frudan e\u2011postaya birebir uygulanmasa da, sertifika ve kimlik do\u011frulama disiplinini \u00e7ok g\u00fczel peki\u015ftiriyor.<\/p>\n<h2 id=\"section-7\"><span id=\"Operasyonel_ipuclari_Kucuk_hatalar_buyuk_dersler\">Operasyonel ipu\u00e7lar\u0131: K\u00fc\u00e7\u00fck hatalar, b\u00fcy\u00fck dersler<\/span><\/h2>\n<p>G\u00fcn\u00fcn sonunda her \u015fey ayar ve al\u0131\u015fkanl\u0131k. Benim ajandamda her zaman k\u00fc\u00e7\u00fck bir liste olur: Sertifika yenileme tarihleri, MTA\u2011STS politikas\u0131n\u0131n max\u2011age s\u00fcresi, DNS TTL de\u011ferleri, TLSA parmak izi g\u00fcncelleme ritmi. Bu listeyi k\u0131sa tutup d\u00fczenli kontrol etmek, son dakika tela\u015f\u0131n\u0131 s\u00f6nd\u00fcr\u00fcyor. Mesela politikan\u0131n kimli\u011fini de\u011fi\u015ftirirken dosyay\u0131 da ayn\u0131 anda g\u00fcncellemek, g\u00f6nderenlerin taze politikay\u0131 g\u00f6rmesini sa\u011fl\u0131yor.<\/p>\n<p>Bir keresinde raporlarda bir sa\u011flay\u0131c\u0131dan s\u00fcrekli \u201csertifika ad\u0131 uyu\u015fmad\u0131\u201d uyar\u0131s\u0131 ald\u0131m. Gittim bakt\u0131m, MX kayd\u0131nda k\u00fc\u00e7\u00fck bir yaz\u0131m hatas\u0131. \u0130nan bana, en yorucu problemler en k\u00fc\u00e7\u00fck harfle geliyor. O g\u00fcn \u015funu \u00f6\u011frendim: DNS de\u011fi\u015fiklikleri bitti sanma, bir kez daha oku. Hatta m\u00fcmk\u00fcnse bir arkada\u015f\u0131na okut. G\u00f6z\u00fcm\u00fcz bazen al\u0131\u015f\u0131yor, hata g\u00f6r\u00fcnmez oluyor.<\/p>\n<p>Bir ba\u015fka not: Politikay\u0131 \u201cenforce\u201da ald\u0131ktan sonra geri d\u00f6n\u00fc\u015fler artarsa pani\u011fe kap\u0131lma. Bazen kar\u015f\u0131ndaki taraf eski bir MTA kullan\u0131yor, bazen kendi zincirinde aksakl\u0131k var. TLS\u2011RPT raporlar\u0131 burada alt\u0131n de\u011ferinde. Sorunu senin \u00e7\u00f6zmen gerekmeyebilir ama do\u011fru ki\u015fiye <strong>anlaml\u0131 bir \u00f6zetle<\/strong> durumu iletmek, \u00e7\u00f6z\u00fcm\u00fc h\u0131zland\u0131r\u0131yor. Kibar bir e\u2011posta, k\u0131sa bir log \u00f6zeti, i\u015fte bu kadar.<\/p>\n<p>Bu disipline bir kom\u015fu ba\u015fl\u0131k daha e\u015flik ediyor: Sertifika otoritelerini k\u0131s\u0131tlamak. <a href=\"https:\/\/www.dchost.com\/blog\/caa-kayitlari-derinlemesine-neden-nasil-ve-ne-zaman-coklu%e2%80%91caya-gecmelisin\/\">CAA kay\u0131tlar\u0131n\u0131 \u00f6zenle y\u00f6netmek<\/a>, hatal\u0131 ya da yetkisiz sertifika al\u0131nmas\u0131n\u0131n \u00f6n\u00fcne ince ama etkili bir perde \u00e7ekiyor. K\u00fc\u00e7\u00fck korumalar zamanla b\u00fcy\u00fck z\u0131rha d\u00f6n\u00fc\u015f\u00fcr.<\/p>\n<h2 id=\"section-8\"><span id=\"Kapanis_Eposta_zincirini_guclendirmek_bir_yolculuk\">Kapan\u0131\u015f: E\u2011posta zincirini g\u00fc\u00e7lendirmek bir yolculuk<\/span><\/h2>\n<p>Toparlayal\u0131m. E\u2011postan\u0131n yolu uzun ve k\u0131vr\u0131ml\u0131. Biz bu yolda \u00fc\u00e7 g\u00fczel arkada\u015f\u0131 tan\u0131d\u0131k: MTA\u2011STS, TLS\u2011RPT ve DANE. \u0130lki rotay\u0131 \u00e7izip \u015fifreli ileti\u015fimi \u015fart ko\u015fuyor, ikincisi deneyimi \u00f6zet raporlarla masaya koyuyor, \u00fc\u00e7\u00fcnc\u00fcs\u00fc ise anahtarlar\u0131 DNS\u2019in imzal\u0131 kasas\u0131na emanet ediyor. \u00dc\u00e7\u00fcn\u00fc birlikte kurdu\u011funda teslim edilebilirlikte g\u00f6zle g\u00f6r\u00fcl\u00fcr bir sakinlik, g\u00fcvenlikte hissedilir bir derinlik olu\u015fuyor. Kafandaki \u201cAcaba?\u201d sorular\u0131 azal\u0131yor.<\/p>\n<p>Pratik re\u00e7ete basit: MTA\u2011STS\u2019i testing ile a\u00e7, raporlar\u0131 topla, k\u00fc\u00e7\u00fck hatalar\u0131 d\u00fczelt, enforce\u2019a ge\u00e7. Ard\u0131ndan DANE i\u00e7in DNSSEC\u2019i kur, TLSA kay\u0131tlar\u0131n\u0131 oturt, sertifika yenilemelerine bir ad\u0131m otomasyon ekle. Arada rapor kutunu d\u00fczenli kontrol et, k\u00fc\u00e7\u00fck notlar al, trendleri izle. \u0130tibar\u0131na g\u00f6z kulak ol; gerekiyorsa <a href=\"https:\/\/www.dchost.com\/blog\/e-posta-itibarini-kurtarma-rehberi-blacklist-delisting-postmaster-araclari-ve-guvenli-ip-isitma-nasil-kurtarici-olur\/\">itibar toparlama ad\u0131mlar\u0131n\u0131<\/a> uygulamaya koy.<\/p>\n<p>Umar\u0131m bu yaz\u0131, i\u00e7ini rahatlatan bir yol haritas\u0131 vermi\u015ftir. Sorun \u00e7\u0131kt\u0131\u011f\u0131nda panik yerine planla yakla\u015fmak, e\u2011postay\u0131 yeniden \u201cs\u0131k\u0131c\u0131 ama g\u00fcvenilir\u201d bir araca d\u00f6n\u00fc\u015ft\u00fcr\u00fcyor. Tak\u0131ld\u0131\u011f\u0131n yerde not d\u00fc\u015f, geri d\u00f6n\u00fcp bak, k\u00fc\u00e7\u00fck ad\u0131mlar\u0131 sev. Bir dahaki yaz\u0131da g\u00f6r\u00fc\u015fmek \u00fczere, posta kutun hep ferah olsun.<\/p>\n<hr>\n<p>Teknik referanslar\u0131 merak edenler i\u00e7in: MTA\u2011STS ayr\u0131nt\u0131lar\u0131 <a href=\"https:\/\/datatracker.ietf.org\/doc\/html\/rfc8461\" rel=\"nofollow noopener\" target=\"_blank\">resmi dok\u00fcmanda MTA\u2011STS RFC metninde<\/a>, raporlaman\u0131n format\u0131 <a href=\"https:\/\/datatracker.ietf.org\/doc\/html\/rfc8460\" rel=\"nofollow noopener\" target=\"_blank\">TLS\u2011RPT a\u00e7\u0131klamalar\u0131nda<\/a>, DANE\u2019in SMTP taraf\u0131 ise <a href=\"https:\/\/datatracker.ietf.org\/doc\/html\/rfc7672\" rel=\"nofollow noopener\" target=\"_blank\">SMTP i\u00e7in DANE k\u0131lavuzunda<\/a> tatl\u0131 tatl\u0131 anlat\u0131l\u0131yor. Ba\u011flant\u0131lar\u0131 bir kenara kaydet, ihtiyac\u0131n oldu\u011funda d\u00f6n\u00fcp bakmak iyi geliyor.<\/p>\n<\/div>","protected":false},"excerpt":{"rendered":"<p>\u0130&ccedil;indekiler1 Giri\u015f: Gelen kutusunda kaybolan mektuplar2 E\u2011posta yolunda gizli t\u00fcmsekler: STARTTLS ve neden tek ba\u015f\u0131na yetmez?3 MTA\u2011STS: Postac\u0131n\u0131n g\u00fcvenli rotas\u0131 nas\u0131l \u00e7izilir?3.1 Politika dosyas\u0131n\u0131n ruhu3.2 DNS taraf\u0131ndaki k\u00fc\u00e7\u00fck ama kritik dokunu\u015f3.3 Testing\u2019den enforce\u2019a ge\u00e7i\u015fin tatl\u0131 sabr\u01314 TLS\u2011RPT: Kap\u0131n\u0131n \u00f6n\u00fcndeki not defteri4.1 Raporlar nas\u0131l g\u00f6r\u00fcn\u00fcr ve ne anlat\u0131r?4.2 G\u00fcr\u00fclt\u00fcy\u00fc sinyale \u00e7evirmek5 DANE ve DNSSEC: Anahtarlar\u0131 DNS\u2019e [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":2008,"comment_status":"","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[26],"tags":[],"class_list":["post-2007","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-teknoloji"],"_links":{"self":[{"href":"https:\/\/www.dchost.com\/blog\/wp-json\/wp\/v2\/posts\/2007","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.dchost.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.dchost.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.dchost.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.dchost.com\/blog\/wp-json\/wp\/v2\/comments?post=2007"}],"version-history":[{"count":0,"href":"https:\/\/www.dchost.com\/blog\/wp-json\/wp\/v2\/posts\/2007\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.dchost.com\/blog\/wp-json\/wp\/v2\/media\/2008"}],"wp:attachment":[{"href":"https:\/\/www.dchost.com\/blog\/wp-json\/wp\/v2\/media?parent=2007"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.dchost.com\/blog\/wp-json\/wp\/v2\/categories?post=2007"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.dchost.com\/blog\/wp-json\/wp\/v2\/tags?post=2007"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}