Güvenli E-Posta Sunucusu Nedir?
Güvenli e-posta sunucusu, bir kişi veya kurumun e-posta domaini ve verilerinin yetkisiz erişimler ile kullanımına karşı korunması anlamına gelmektedir. Daha detaylı incelemek gerekirse:
– E-postaların hem iletim aşamasında hem de mail kutularında beklerken korunması,
– Saldırganların kuruluşun domainini kullanarak bir mail gönderilmesinin önlenmesi,
– Sunucular üzerinde e-posta filtreleri ve antivirüs koruması gibi seçeneklerin devreye alınması,
– Şirket çalışanların ve yetkili kullanıcıların bu e-posta sunucularına erişmek için kullandıkları ağların daha güvenli hale getirilmesi,
– Saldırganların e-posta sunucularına fiziksel olarak erişimi konusunda güvenlik önlemlerinin alınması gibi temel güvenlik politikalarını devreye alınması gereklidir.
Biraz daha detaya inmek gerekirse aşağıdaki gibi birtakım güvenlik önlemlerinin alınması, saldırganlara karşı konumumuzu güçlendirecektir:
1. E-posta Sunucularının Özelleştirilmesi: Kuruluşların mail sunucuları varsayılan olarak asla bırakılmamalıdır. Bu duruma varsayılan olarak gelen oturum açma bilgileri de dahildir. Bu tarz seçeneklere dikkat edilmemesi durumunda potansiyel saldırı riskleri ön plana çıkacaktır.
2. Posta Aktarım Ajanı ile Sıkı Aktarım Güvenliği (MTA-STS) Ayarlanması: Mail sunucuları üzerinde MTA-STS etkinleştirildiğinde, gelen trafiği sadece kimliği doğrulanmış güvenli bağlantılar (TSL1.2 ve TLS 1.3) üzerinden devam etmesi sağlanacaktır. Yani gönderenin dijital kimliği doğrulanmamış veya SSL/TLS etkinleştirilmemiş ise, gelen mesaj reddedilecektir.
Böylece gönderen ve alıcı sunucular üzerinde yapılandırılan MTA-STS politikası ile e posta için SMTP bağlantıları da daha güvenli hale gelecektir.
3. Mail Aktarımında İletişimi Korumak İçin Protokol Seçimi: Güvenli iletişim için MTA güzel bir seçenek olsa da tek başına yeterli olmayacaktır. Bunun yanında HTTPS’yi etkinleştirmek için SSL/TLS gibi mail sunucuları arasındaki veri trafiğini şifreleyecek güvenli protokollerin kullanılması önemlidir.
Genellikle IMAP veya POP3, gelen, SMTP ise giden e-postalarda kullanılan protokollerdir. Fakat bu protokollerin kullandığı portlar önemlidir. Bu servisler TCP/IP portları üzerine ayarlanmalıdır.
Giden: SMTPS için güvenli bağlantı noktası 465 veya 587 (STARTTLS etkinken)
Gelen: SSL/TLS etkinleştirildiğinde, aşağıdaki bağlantı noktaları kullanılabilir.
– IMAP için Bağlantı Noktası 993 (SSL etkinken)
– POP3 için Bağlantı Noktası 995 (SSL etkinken)
4. Domain Sahteciliğine Önlem Olarak DMARC Kullanılması: DMARC, domainin saldırganlar tarafından sahtecilik gibi eylemlerine karşı korumaya yardımcı olan e-posta protokolüdür. DMARC, iki kimlik doğrulama protokolünü esas alır:
– SPF: Bir SPF metni, DNS’nize eklediğiniz bir kayıttır. Bu, domaininiz üzerinden gönderilen iletilerin doğrulanmasına yardımcı olmaktadır.
– DKIM: Bu protokol, dijital imzanızı gönderilen mailinizin “header” kısmına ekler. Bu, domaininiz üzerinden gelen e-postaların gerçekliğinin kanıtlanmasına yardımcı olması için ortak anahtar şifrelemesi kullanmanıza imkan verir.
5. Gelen ve Giden Trafiğin Kontrolü İçin E-Posta Sunucusu Güvenlik Duvarı Kullanılması: E-posta sunucusu güvenlik duvarı, mail sunucunuz üzerindeki kurallara göre akan trafiği filtreler. Bu filtreler, domain üzerinde akan trafiğin takibine yardımcı olmaktadır.
Bunun yanında akan trafik üzerinde belirli limitlendirmeler (hız limitleri ve boyut kısıtlamaları) de yapılabilmektedir. Bu limitler, trafik üzerindeki ani değişimlerin tespitini kolaylaştırmaktadır.
6. Posta Sunucusu Erişim Kontrolünün Yapılandırılması: Şirket çalışanlarının veya kullanıcıların mail sunucularına erişilmesi gerektiği durumlarda, minimum erişim düzeyi sahip olacak şekilde yapılandırılması örnek olarak verilebilir. Ayrıca kuruluştan ayrılan çalışanların hesaplarının devre dışı bırakılması konusunda gerekli prosedürlerin hayata geçirilmesi önemlidir.
7. Kullanıcılara Hesap Güvenliği Konusunda Eğitimlerin Verilmesi: Güvenliğin temel faktörünün “insan” olması, farkındalığa ayrı bir pencere açılmasını gerektirir. Sosyal mühendislik temelli saldırılara karşı eğitimler, şüpheli mail veya telefon aramalarına karşı yapılması gerekenler, güçlü parolaların oluşturulması gibi çeşitli farkındalık eğitimlerinin verilmesi gerekmektedir.
8. Yönetici Hesaplardan İletilecek E-Postaların Dijital İmzaya ve Şifrelemeye Taabi Tutulması: Çalışanların, özellikle de yönetici hesapların oltalama saldırılarına maruz kalmaması için herkesin e-postalarının dijital olarak imzalanması gerekmektedir. Alınacak bu önlemler ile:
– E-posta alıcısına gönderilen mailin güvenli olduğu hakkında güvence verilmesi,
– İmzalanma sonrasındaki iletilerinin bütünlüğünün korunmasından emin olunması gibi konular netlik kazanmış olacaktır.
Alınan bu önlemler her iki taraf için yapıldığında (gönderici ve alıcı) anahtarlama gibi bir kavramın doğmasını sağlayacaktır. Bu anahtarlar ile iletilerin uçtan uca şifrelenmesi sağlanır. İletilen mesajların çözülmesi için de özel anahtar kullanılması gerekir.
Genel olarak özetleyecek olursak, güvenli mail sunucularına sahip olmanın gerekliliklerini şu şekilde sıralayabiliriz:
– Verilerin, saldırganlar tarafından erişimine karşı korunmasını sağlar.
– Veri ihlallerini ve risklerini önler.
– Güvenlik problemlerinden kaynaklanabilecek itibar kaybını önler.
– GDPR, CCPA, PCI DSS gibi uluslararası veri gizliliği ve güvenlik prosedürlerine uyumluluğu sağlar.