E-Posta Spoofing Nedir, Nasıl Engellenir?

Her gün milyonlarca sahte e-posta kurumsal ağlara sızıyor; kimisi finans departmanını hedef alıyor, kimisi çalışanların parolalarını çalıyor, kimisi ise güvenilir bir iş ortağınızın adına fatura gönderiyor. E-posta spoofing (e-posta sahteciliği), saldırganların "Kimden" alanını manipüle ederek kurbanı tanıdık bir kaynaktan mesaj geldiğine inandırması esasına dayanır ve bugün hem bireyler hem de kurumsal yapılar için ciddi bir siber güvenlik tehdidi oluşturmaktadır.

TL;DR: E-posta spoofing, saldırganların gönderici adresini taklit ederek zararlı içerik iletmesidir. SPF, DKIM ve DMARC protokollerini birlikte yapılandırmak bu saldırıları büyük ölçüde engeller. Kurumsal ortamlarda bu üç protokolün eksiksiz devreye alınması hem teknik hem de yasal bir zorunluluktur.

E-Posta Spoofing Nedir?

Spoofing kelimesi Türkçeye "kimlik taklidi" veya "aldatma" olarak çevrilebilir. E-posta spoofing ise bir saldırganın, gönderdiği iletinin "From:" (Kimden) başlık alanını, DNS kayıtlarında veya posta sunucusunda herhangi bir yetki doğrulaması olmadan istediği adrese ayarlayabilmesi zafiyetini kötüye kullanmasıdır.

Bu zafiyet, e-posta iletiminin temelini oluşturan SMTP protokolünden (Simple Mail Transfer Protocol) kaynaklanır. SMTP, 1982 yılında RFC 821 ile tanımlanmış, 2008 yılında RFC 5321 ile güncellenmiştir. Protokol tasarlanırken kimlik doğrulama mekanizmaları öngörülmemiştir; "MAIL FROM:" komutu ile istenen herhangi bir adres yazılabilir. Bu durum, sonraki on yıllarda SPF, DKIM ve DMARC gibi ek güvenlik katmanlarının geliştirilmesini zorunlu kılmıştır.

Spoofing ile sıkça karıştırılan phishing (oltalama) aslında spoofing'in bir uygulamasıdır: saldırgan güvenilir bir kurumun kimliğine bürünerek kullanıcı bilgilerini ele geçirmeye çalışır. Spoofing ise yalnızca kimlik taklidi tekniğini ifade eder; phishing, ransomware dağıtımı, BEC (İş E-postası Ele Geçirme) saldırıları gibi çeşitli senaryolarda araç olarak kullanılır.

Saldırı Türleri ve Çalışma Mantığı

E-posta sahteciliği farklı biçimlerde karşımıza çıkabilir. Aşağıdaki tablo başlıca saldırı türlerini ve nasıl çalıştıklarını özetlemektedir:

Saldırı Türü	Nasıl Çalışır?	Hedef	Örnek Senaryo
Display Name Spoofing	Görünen isim gerçek gibi yazılır, asıl adres farklıdır	Bireysel kullanıcılar	"Ahmet Yılmaz <hacker@evil.com>" şeklinde görünür
Lookalike Domain	Orijinal domaine çok benzeyen sahte domain kullanılır	Kurumsal çalışanlar	example.com yerine examp1e.com veya example-tr.com
Exact Domain Spoofing	Kurbanın gerçek domain'i From alanına yazılır	Tüm alıcılar	SPF/DKIM yoksa admin@sizinfirmaniz.com taklit edilir
BEC (İş E-postası Ele Geçirme)	Yönetici kimliğine bürünme + sosyal mühendislik	Finans ve muhasebe	CEO adına acil havale talebi
Reply-To Spoofing	From meşru, Reply-To saldırganın adresi	Yanıt veren kullanıcılar	Yanıt saldırgana iletilir, alıcı fark etmez

SPF: Gönderici Politika Çerçevesi

SPF (Sender Policy Framework), RFC 7208 ile standartlaştırılmış bir DNS tabanlı kimlik doğrulama mekanizmasıdır. Domain sahibi, DNS'e bir TXT kaydı ekleyerek hangi IP adreslerinin veya sunucuların o domain adına e-posta gönderebileceğini ilan eder. Alıcı posta sunucusu, gelen iletinin geldiği IP'nin SPF kaydında yetkili olup olmadığını kontrol eder.

Temel bir SPF kaydı şu şekilde görünür:

v=spf1 include:_spf.google.com ip4:203.0.113.10 ~all

Burada ~all (softfail) yetkisiz sunuculardan gelenleri şüpheli olarak işaretle anlamına gelir; -all (hardfail) ise reddet anlamına gelir. SPF yalnızca "zarfın" gönderici adresini (MAIL FROM) denetler; kullanıcının e-posta istemcisinde gördüğü "From:" başlığını denetlemez. Bu sınırlılık, DKIM ve DMARC ile giderilir.

DKIM: Alan Adı Anahtarlarıyla Kimlik Doğrulama

DKIM (DomainKeys Identified Mail), RFC 6376 ile tanımlanmıştır. Gönderici sunucu, e-postanın belirli başlıklarını ve gövdesini özel bir kriptografik anahtarla imzalar; imzayı DKIM-Signature başlığı olarak iletime ekler. Alıcı sunucu, domain'in DNS'inde yayınlanan açık anahtarı kullanarak imzayı doğrular. Bu sayede:

İletinin gerçekten o domain'den gönderildiği kanıtlanır.
İletimin aktarım sırasında değiştirilmediği doğrulanır (bütünlük).

DKIM, iletme (forwarding) senaryolarında SPF'nin başarısız olduğu durumlarda bile çalışmaya devam edebilir; bu nedenle ikisi birbirini tamamlar.

DMARC: Politika Yönetimi ve Raporlama

DMARC (Domain-based Message Authentication, Reporting and Conformance), RFC 7489 ile belgelenmiş ve SPF ile DKIM'i bir üst katmanda birleştiren bir politika çerçevesidir. DMARC üç temel işlev sunar:

Hizalama (Alignment): SPF ve DKIM sonuçlarının "From:" başlığındaki domain ile uyumlu olmasını zorunlu kılar. Bu sayede display name spoofing ve exact domain spoofing'e karşı koruma sağlanır.
Politika (Policy): Doğrulama başarısız olduğunda ne yapılacağını belirler: none (izle), quarantine (spam klasörüne taşı), reject (reddet).
Raporlama: Alıcı sunucular, başarısız iletiler hakkında XML formatında günlük (aggregate) ve adli (forensic) raporlar gönderir.

Örnek bir DMARC DNS kaydı:

v=DMARC1; p=reject; rua=mailto:dmarc-raporlar@sizinfirmaniz.com; pct=100

p=reject politikası, doğrulanamayan iletilerin alıcı sunucu tarafından reddedilmesini sağlar. rua parametresi, raporların gönderileceği adresi belirtir.

MTA-STS ve BIMI: İleri Seviye Korumalar

SPF, DKIM ve DMARC'ın ötesinde iki ek standart dikkat çekmektedir:

MTA-STS (Mail Transfer Agent Strict Transport Security), RFC 8461 ile tanımlanmıştır. Posta sunucuları arasındaki SMTP bağlantılarının TLS kullanmasını zorunlu kılar ve ortadaki adam (MITM) saldırılarına karşı koruma sağlar.

BIMI (Brand Indicators for Message Identification), henüz IETF taslak aşamasında olan ancak Google, Yahoo ve Apple Mail gibi büyük sağlayıcılar tarafından desteklenen bir standarttır. DMARC politikası p=quarantine veya p=reject olan domain'lerin, e-posta istemcisinde onaylı marka logosunu göstermesine olanak tanır; bu da kimlik doğrulamasını görsel düzeye taşır.

Türk Mevzuatı Açısından E-Posta Güvenliği

Türkiye'de e-posta güvenliği yalnızca teknik bir mesele değil, aynı zamanda yasal bir yükümlülüktür. İlgili başlıca düzenlemeler şunlardır:

6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK), Madde 12: Veri sorumlularının kişisel verilerin hukuka aykırı işlenmesini önlemek için uygun güvenlik düzeyini temin etmekle yükümlü olduğunu hükme bağlar. Sahte e-posta yoluyla kişisel veri sızdırılması bu madde kapsamında değerlendirilir.
6563 Sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun (ETK): Ticari elektronik ileti gönderiminde alıcının onayını zorunlu kılmakta ve iletilerin gerçek göndericiyi yansıtmasını şart koşmaktadır. Spoofing yoluyla gönderilen ticari iletiler bu kanunun 9. maddesi kapsamında idari yaptırıma tabi olabilir.
BTK Bilgi Teknolojileri ve İletişim Kurumu Yönetmelikleri: Bilgi güvenliği yönetim sistemlerine ilişkin BTK tebliğleri, kritik altyapı işleticileri için e-posta güvenlik protokollerinin uygulanmasını öneri veya zorunluluk olarak ele almaktadır.

Öte yandan, e-posta sahteciliği yoluyla gerçekleştirilen dolandırıcılıklar 5237 Sayılı Türk Ceza Kanunu'nun 157. (dolandırıcılık) ve 244. (bilişim sistemlerine müdahale) maddeleri kapsamında da suç teşkil etmektedir.

Kurumsal Ortamda Uygulama Adımları

E-posta spoofing'e karşı etkili bir savunma katmanlı bir yaklaşım gerektirir. Aşağıdaki sıra izlenebilir:

Mevcut durumu değerlendirin: MXToolbox veya dmarcian gibi araçlarla domain'inizin SPF, DKIM ve DMARC kayıtlarını kontrol edin.
SPF kaydı oluşturun: Yalnızca yetkili posta sunucularını listeleyerek DNS'e TXT kaydı ekleyin. include: mekanizmalarının zincirlenmesi lookup limitine (10) dikkat etmeyi gerektirir.
DKIM anahtarlarını üretin: Posta sunucunuzda (Exchange, Postfix, Google Workspace, Microsoft 365 vb.) 2048 bit RSA veya Ed25519 anahtar çifti oluşturun; açık anahtarı DNS'e yayınlayın.
DMARC'ı aşamalı devreye alın: Önce p=none ile izleme modunda başlayın, raporları analiz edin, ardından p=quarantine ve son olarak p=reject'e geçin.
MTA-STS uygulayın: SMTP bağlantılarını TLS ile şifrelemek için politika dosyası ve DNS kaydı yayınlayın.
Çalışanları eğitin: Teknik önlemler sosyal mühendisliğe karşı tek başına yeterli değildir; display name spoofing ve BEC senaryoları için düzenli farkındalık eğitimi verin.
DMARC raporlarını izleyin: Aggregate raporları otomatik parse eden dmarcian, Valimail veya Postmark gibi araçlarla sürekli görünürlük sağlayın.

Sık Sorulan Sorular

SPF kaydım var ama hâlâ sahte e-postalar alıyorum, neden?

SPF yalnızca "MAIL FROM" (zarf gönderici adresi) üzerinde çalışır; e-posta istemcisinde görünen "From:" başlığını denetlemez. Saldırganlar bu boşluktan yararlanarak display name spoofing veya farklı domain kullanabilir. Gerçek koruma için DKIM ve DMARC'ı da devreye almanız gerekir. DMARC'ın "hizalama" özelliği bu boşluğu kapatır.

DMARC politikasını doğrudan p=reject olarak ayarlayabilir miyim?

Teknik olarak mümkündür; ancak önerilmez. Meşru posta akışlarınız (üçüncü taraf hizmetler, CRM, ERP, toplu posta sistemleri) henüz DKIM ile imzalanmamış veya SPF'e eklenmemiş olabilir. p=none ile başlayarak raporları incelemek ve tüm meşru kaynakları yapılandırdıktan sonra kademeli olarak p=quarantine ve ardından p=reject'e geçmek en güvenli yoldur.

DKIM anahtarı ne sıklıkla yenilenmelidir?

Sektör pratiğine göre 6 ila 12 ayda bir DKIM anahtarlarını döndürmek (key rotation) önerilir. Google Workspace ve Microsoft 365 gibi büyük sağlayıcılar bunu otomatik yapabilir; kendi sunucunuzu yönetiyorsanız yenileme sürecini takvime bağlamanız gerekir. Eski anahtar, yeni anahtar aktif olduktan birkaç gün sonra DNS'den kaldırılabilir.

Küçük bir işletme tüm bu protokolleri uygulamak zorunda mı?

Evet, büyüklükten bağımsız olarak herkes hedef olabilir. Ayrıca Google ve Yahoo, 2024 yılı itibarıyla günlük 5.000'den fazla e-posta gönderen domain'ler için SPF, DKIM ve DMARC zorunlu kılmaktadır. Düşük hacimli göndericilere de temel düzeyde SPF ve DKIM uygulanması şiddetle tavsiye edilmektedir.

Spoofing ile phishing arasındaki fark nedir?

Spoofing, gönderici kimliğini taklit etme tekniğidir. Phishing ise bu tekniği kullanan sosyal mühendislik saldırısıdır; kullanıcıyı kandırarak parola, kredi kartı bilgisi veya kurumsal erişim bilgileri gibi hassas verileri ele geçirmeyi amaçlar. Her phishing e-postası bir tür spoofing içerebilir; ancak her spoofing phishing değildir (örneğin spam veya malware dağıtımı da spoofing kullanabilir).

Alınan e-postanın sahte olup olmadığını nasıl anlarım?

E-posta başlıklarını (headers) inceleyerek SPF, DKIM ve DMARC doğrulama sonuçlarını görebilirsiniz. Gmail'de "Orijinali Göster", Outlook'ta "İleti Kaynağını Görüntüle" seçenekleriyle başlıklara ulaşabilirsiniz. "Authentication-Results:" satırı spf=fail, dkim=fail veya dmarc=fail içeriyorsa ileti doğrulanamamış demektir.

E-posta spoofing Türkiye'de suç mudur?

Evet. Kimlik taklidi yoluyla gerçekleştirilen e-posta sahteciliği; 5237 sayılı Türk Ceza Kanunu'nun 157. maddesi (nitelikli dolandırıcılık) ve 244. maddesi (bilişim sistemlerine engel olma ve zarar verme) kapsamında suç teşkil edebilir. Kişisel veri ihlali söz konusu olduğunda KVKK kapsamında idari para cezaları da uygulanabilir.

Toplu e-posta gönderimi yapıyorum; DMARC uyumluluğunu nasıl sağlarım?

Toplu posta platformunuzun (Mailchimp, SendGrid, Connect365 vb.) domain'iniz adına gönderim yapabilmesi için iki seçenek vardır: (1) Platform'un IP/domain'lerini SPF kaydınıza ekleyin ve platformun DKIM imzasını domain'inize hizalayın. (2) Platforma ait bir alt domain kullanın (örn. haber.sizinfirmaniz.com) ve bu alt domain için ayrı SPF/DKIM/DMARC kaydı oluşturun. İkinci yöntem ana domain'i daha iyi korur.

MX kaydım olmayan bir domain'den de spoofing gerçekleşebilir mi?

Evet. Saldırganlar gelen posta almayan "park edilmiş" veya yalnızca web için kullanılan domain'leri de taklit edebilir. Bu nedenle e-posta göndermediğiniz domain'ler için de v=spf1 -all, null DKIM ve p=reject DMARC kaydı yayınlamak iyi bir uygulamadır.

DMARC raporlarını ücretsiz analiz edebilir miyim?

Evet. dmarcian (sınırlı ücretsiz plan), Google Postmaster Tools (Gmail trafiği için), Postmark'ın DMARC Digests aracı ve açık kaynak aracı parsedmarc gibi seçenekler mevcuttur. Raporlar XML formatında olduğundan ham haliyle okunması güçtür; bir analiz aracı kullanılması önerilir.

Kaynaklar ve İleri Okuma

RFC 7208 — Sender Policy Framework (SPF) — SPF protokolünün resmi IETF standart belgesi; mekanizma ve nitelifikasyon tanımları dahil.
RFC 6376 — DomainKeys Identified Mail (DKIM) Signatures — DKIM imzalama ve doğrulama süreçlerini tanımlayan IETF standart belgesi.
RFC 7489 — DMARC: Domain-based Message Authentication, Reporting and Conformance — DMARC politika mimarisi, raporlama formatları ve hizalama kuralları.
Kişisel Verileri Koruma Kurumu — Kılavuzlar ve Rehberler — KVKK kapsamında veri güvenliği yükümlülükleri ve teknik/idari tedbir rehberleri.
Bilgi Teknolojileri ve İletişim Kurumu — Mevzuat — BTK'nın bilgi güvenliği ve elektronik haberleşmeye ilişkin yönetmelik ve tebliğleri.
Google — E-posta Gönderici Yönergeleri (2024) — Google'ın toplu göndericiler için SPF, DKIM ve DMARC zorunlulukları dahil güncel e-posta gereksinimleri.
dmarc.org — DMARC Genel Bakış — DMARC.org'un DMARC'ı tanıtan ve uygulama kılavuzlarına yönlendiren resmi kaynağı.

E-Posta Spoofing Nedir, Nasıl Engellenir?

E-Posta Spoofing Nedir, Nasıl Engellenir?