E-posta Kimlik Doğrulaması 101: Temellerinizi Kimlik Avı Saldırılarına Karşı Koruyun

Günde yüzlerce e-posta gönderen bir e-posta pazarlamacısıysanız, arkanıza bir hedef çizilmiş olabilir. Google, kimlik avı dolandırıcılıklarına karşı silahlarını eğitiyor ve bu tür e-postaların %99,9'unu her gün engelliyor. Dünyanın en çok taklit edilen markalarından biri olarak başka seçeneği yok. 'Güvenli şeritte' kalmak için e-posta kimlik doğrulamasını açmanız (veya incelemeniz) gerekir. Yasal olduğunu kanıtlamanın tek yolu bu.

E-posta kimlik doğrulamasına ihtiyaç duymanızın başka bir büyük nedeni daha var. E-posta dolandırıcılığına karşı mümkün olan her türlü korumayı sağlamayı müşterilerinize borçlusunuz. Ayrıca e-posta kimlik doğrulaması göründüğünden çok daha kolaydır.

Bu makalede, e-posta kimlik doğrulamasının temellerini ele alacağız ve bundan en iyi şekilde yararlanmanıza yardımcı olacağız. Şunları ele alacağız:

• E-posta kimlik doğrulama protokolleri nelerdir?
• E-posta kimlik doğrulama protokolleri nasıl çalışır?
• E-posta kimlik doğrulaması için en iyi uygulamalar

E-posta Kimlik Doğrulama Protokolleri Nelerdir?

E-posta kimlik doğrulama protokolleri, gelen her e-postayı gelen kutunuza göndermeden önce şüpheli etkinlik belirtileri açısından tarayan kapı korumaları gibidir. Kötü adamları (spam ve kimlik avı saldırıları) uzak tutmak için başarılı veya başarısız kriterlerinden oluşan iyi hazırlanmış bir kontrol listesi üzerinden çalışırlar.

E-posta kimlik doğrulama protokolleri, alıcı posta sunucularına gönderenin yasal olup olmadığını ve bir e-postanın gönderildikten sonra değiştirilip değiştirilmediğini bildirmek için birden fazla yöntem kullanır. E-posta doğrulamayı geçemezse, klinik yöntemlerle imha edilir; ya spam olarak filtrelenir ya da sonsuza kadar engellenir. E-posta kimlik doğrulama protokolleri, gelen bir e-postanın yetkili olup olmadığını kontrol etmek için gönderene ping işlemi yapar.

Başka bir deyişle, gönderen ve alan posta sunucularının gerçek zamanlı olarak iletişim kurmasına ve sorunları işaretlemesine olanak tanır. Ayrıca, gönderenlerin kimlik avı saldırılarını tanımlayabilmeleri ve zamanında harekete geçebilmeleri için e-posta teslim edilebilirlik raporları oluşturabilirler.

E-posta pazarlaması bağlamında, e-posta göndermek için kullandığınız e-posta platformu (EngageBay gibi) gönderen etki alanınız olarak hareket eder.

Kimlik Avı Nedir?

Kimlik avı e-postaları, dolandırıcılar tarafından sizin kimliğinize bürünerek listenizdeki kişilere gönderilen benzer e-postalardır. Kullanıcıların %70'i bu e-postaları açıyor ve %50'si tıklıyor. Bu mesajlar, şifreleri, sosyal güvenlik numaralarını, kredi kartı PIN'lerini ve diğer kişisel bilgileri vermeleri için onları kandırmak üzere tasarlanmıştır.

Tipik kimlik avı e-postası, bir bağlantıya tıklar tıklamaz farklı bir web sayfasına yönlendirilir. Oraya vardığınızda, 'giriş yapmanız ve hesabınızı doğrulamanız' istenebilir. Bu tek tıklama sizi kötü amaçlı yazılımlara ve diğer kötü amaçlı kodlara maruz bırakabilir. Bir e-posta pazarlamacısı olarak bunun bedelini ödersiniz: Müşterinin ilgisinin kesilmesi ve güven kaybı.

Kimlik avı e-postasına bir örnek:

E-posta kimlik doğrulaması 2000'li yılların başında bu tehdide karşı koymak için kullanılmaya başlandı ve zamanla pazarlamacılar için güvenilir, olmazsa olmaz bir çözüme dönüştü.

Ayrıca okuyun: Spam Klasöründen Kaçınma: E-posta Teslim Edilebilirliğine Giriş

E-posta Kimlik Doğrulamanın Faydaları

E-posta kimlik doğrulama protokolleri, e-postalarını güvence altına almak ve gelen kutularına girmek isteyen pazarlamacılar için trafik kuralları gibidir. Aşağıdaki avantajları sunarlar:

1. Müşterilerle güven oluşturun ve etkileşimi artırın

E-posta kimlik doğrulaması sayesinde, posta sunucuları birbirleriyle konuşabilir ve şüpheli e-postaları kullanıcılara teslim edilmeden önce işaretleyebilir. Bu, tüketicileri karmaşık kimlik avı ve kimlik sahtekarlığı saldırılarına karşı korur. Size güvenirlerse, e-postalarınızı daha sık açıp tıklayacaklar, böylece gönderenin itibarı artacaktır.

E-posta kimlik doğrulamasını bir markalaşma fırsatı olarak bile kullanabilirsiniz (bununla ilgili daha sonra daha fazla bilgi vereceğiz).

2. Uyumluluğu artırın

Kimlik bilgileriniz kötü amaçlı e-postalar göndermek için kullanılırsa, sizin hatanız olmadan kara listeye alınabilirsiniz. E-posta kimlik doğrulama raporları, yetkisiz mesajları işaretleyebilir ve çok geç olmadan e-posta servis sağlayıcılarını uyarmanıza yardımcı olabilir.

Kimlik doğrulama raporlarından elde edilen bilgilerle daha iyi bir e-posta güvenlik politikası oluşturabilirsiniz.

3. E-posta teslim edilebilirliğini artırır

E-posta servis sağlayıcıları, doğrulanmış gönderenlerden gelen e-postaları gelen kutusuna gönderir. Bu, güvenli bir gönderici olduğunuza dair bir onaydır. Bazı e-posta sağlayıcıları, yerleşime karar verirken aldığınız etkileşim düzeyine de bakacaktır.

Ancak e-posta kimlik doğrulaması, zaman içinde e-posta teslim edilebilirliğini artırmanın kapılarını açmaya yardımcı olur.

Günümüzde e-posta kimlik doğrulaması, yoldayken trafik kurallarına uymak gibidir. E-posta kimlik doğrulamasını ayarlamazsanız, e-posta servis sağlayıcıları büyük olasılıkla e-postalarınızı spam'e gönderecektir. Yakında bu, e-posta teslim edilebilirliğinizi ve yatırım getirinizi etkileyecektir.

Devamını oku: E-posta Teslim Edilebilirliği — Daha Fazla Tıklama, Satış ve Kayıt Almak için 7 İpucu

E-posta Kimlik Doğrulaması Nasıl Çalışır?

E-posta kimlik doğrulaması, bir e-postanın (birden fazla bağlantılı sunucuda) izlediği yolu doğrulamak ve gönderene kadar izini sürmek için bir dizi kural kullanır. Gönderen etki alanı kuralları belirler ve eşleştirmek ve doğrulamak alıcı sunucunun görevidir.

E-posta teslim alınmazsa spam olarak işaretlenebilir, reddedilebilir veya alıcının politikasına göre işlenmiş olabilir. Kurallar, IP ve/veya etki alanı bilgilerini içeren bir 'dahili adres' olan Etki Alanı Adı Hizmetinde (DNS) bulunur.

E-posta kimlik doğrulama işlemi şu şekilde çalışır:

• Gönderen, bir veya daha fazla alan için DNS kayıtlarındaki kuralları günceller
• Alıcı sunucu, gönderenin yasal olup olmadığını ve e-postanın herhangi bir şekilde değiştirilip değiştirilmediğini doğrulamak için bu kuralları kullanır.
• Alıcı sunucu daha sonra e-postayı kabul eder veya reddeder.

E-posta kimlik doğrulama protokolleri şunları doğrulamakla görevlidir:

• E-postayı gönderenin kimliği (siz)
• Gönderen alan adı (barındırma sağlayıcınız – örneğin Go Daddy)
• Üçüncü bir tarafın aktarım sırasında e-postayı kurcalaması durumunda.

Ayrıca okuyun: Geri Dönen E-postalar - Bunlar Nedir ve Nasıl Düzeltilir?

4 E-posta Kimlik Doğrulama Protokolü

4 ana e-posta yetkilendirme protokolü vardır: SPF, DKIM, DMARC ve BIBI. Her biri spam, sahtekarlık ve kimlik avı saldırılarına karşı koruyucu bir kalkan oluşturur. Bunları ayrıntılı olarak inceleyelim:

1. Gönderen Politikası Çerçevesi (SPF)

Bu kimlik doğrulama yöntemi sizin (gönderenin), alıcı sunucuya hangi sunucuların (veya IP adreslerinin) sizin adınıza e-posta göndermeye yetkili olduğunu söylemenize olanak tanır. Bu bilgiler gönderenin DNS'sinde (Alan Adı Sistemi) saklanır.

DNS'yi, UPS veya FedEx aracılığıyla göndereceğiniz bir posta paketinin içindeki adres olarak düşünün. E-postaların kaynağa (başka bir deyişle dönüş yolu adresine) kadar izlenmesine olanak tanır. Alıcı sunucu, e-postanın yetkili bir IP'den gelip gelmediğini kontrol eder. Eşleşme yoksa e-posta başarısız olarak işlenir.

Bir SPF şöyle görünür:

V=spf1: Bu, kullanılan SPF sürümünü gösterir.

Dahil et: Gönderen tarafından yetkilendirilen tüm geçerli alanlar veya IP adresleri burada gösterilir. Bu örnekte 3rdparty.com'u kullanıyoruz

Hepsi: Bu, başka hiçbir alan adının e-posta gönderemeyeceği anlamına gelir. Alıcı sunucuya bu tür e-postaları SPF'de engellemesini söylüyoruz.

SPF ayrıca belirli e-postaların nasıl işleneceğine ilişkin sunucuların alınmasına ilişkin talimatlar da içerir

• ~ : Bu sembol geçici başarısızlık anlamına gelir; bu, e-postanın kabul edilebileceği ancak SPF'nin başarısız olduğu anlamına gelir.
• – : Bu sembol kesin başarısızlık anlamına gelir. E-posta spam'e gönderildi veya reddedildi.
• + : Geçmek anlamına gelir. E-posta gelen kutusuna filtrelendi
• ? : Bu, tarafsızlığı veya politikanın olmadığını gösterir. Alıcı kendi politikasını uygulayabilir veya SPF durumunu işaretlemeyebilir.

Ancak alıcı sunucu bu geçme, başarısız olma veya reddetme koşullarını atlayabilir.

2. Etki Alanı Anahtarlarıyla Tanımlanmış Posta (DKIM)

DKIM, gönderilmeden önce e-postanın başlığına eklenen şifrelenmiş bir dijital imzadır. Gönderen, e-posta başlığını ve içeriğini bir dizi karma halinde yeniden biçimlendiren özel bir anahtar kullanarak imzayı oluşturur.

Gönderici ayrıca alıcı sunucunun imzayı okuyabilmesi için bir ortak anahtar ekler.

Bu anahtar DNS'de saklanır. Gönderenin ayrıntıları ve içeriği eşleşirse e-posta 'geçişli' olarak işaretlenir. Aksi takdirde 'başarısız' olarak kabul edilir. Başarısız olan kontroller spam'e gider veya engellenir. Aşağıdaki resimde DKIM'in neye benzediği gösterilmektedir.

Görselde 'bh' etiketi mesajın gövdesini, 'b' etiketi ise imzayı temsil ediyor.

3. Etki Alanı Tabanlı İleti Yetkilendirmesi, Raporlama ve Uygunluk (DMARC)

DMARC, alıcı sunucuya hangi politikanın aranacağını (SPF, DKIM veya her ikisi) ve e-postanın iki kontrolü (reddet, karantinaya al veya hiçbir şey yapma) geçememesi durumunda ne yapılacağını bildirir. Gönderen 'reddet' seçeneğini seçerse, e-posta engellenir, 'karantina' seçilirse e-posta spam'e gönderilir.

'Yok' seçeneğini ayarlarsanız, alıcı sunucu e-postayı kendi politikasına göre değerlendirmekte özgürdür. DMARC ayrıca gönderenler için başarılı ve başarısız doğrulamalara ilişkin raporlar oluşturarak daha iyi e-posta teslimi için optimizasyon yapmanıza yardımcı olabilir.

4. Mesaj Tanımlamaya Yönelik Marka Göstergeleri (BIMI)

BIMI, e-posta sağlayıcılarının yavaş yavaş alışmaya başladığı yeni bir özelliktir. Tipik güvenlik e-posta kimlik doğrulama aracınız değil. Logonuzu gönderenin adının hemen yanında görüntüleyerek abonelerin sizi anında tanımasına yardımcı olur.

BIMI'nin katı yeterlilik gereksinimleri vardır; gönderenlerin hizmeti kullanabilmeleri için kaydolmaları ve iyi bir gönderen itibarına sahip olmaları gerekir. SPF, DKIM ve DMARC ile birlikte e-posta kimlik doğrulamasını çok etkili hale getirir.

Ayrıca okuyun: SPF, DKIM, DMARC: E-posta Kimlik Doğrulama Protokolleri Kılavuzu

SPF, DKIM, DMARC ve BIMI Birbirleriyle Nasıl Karşılaştırılır?

Dört e-posta kimlik doğrulama yönteminin belirli işlevleri vardır ve bir bütünün parçaları olarak görülmelidir. İşte hızlı bir karşılaştırma:

Ayrıca okuyun: E-posta Geri Bildirim Döngüleri: Nasıl Çalışır? [Bir Kılavuz]

E-posta Kimlik Doğrulaması için En İyi Uygulamalar

E-posta teslim edilebilirliğini yüksek tutmak için e-posta kimlik doğrulama protokollerinin düzenli olarak güncellenmesi gerekir. İşte denenmiş ve test edilmiş bazı uygulamalar:

1. Orta düzeyde SPF ayarları kullanın

Çoğu pazarlamacının geçici başarısız (~tümü veya nötr) e-posta kimlik doğrulama politikası kullanması daha iyidir çünkü bu, bazen SPF doğrulamasında başarısız olabilecek geçerli e-postaların gelen kutusunu iyileştirir. Daha katı '-all' politikasının kullanılması, SPF koşullarını karşılamayan tüm e-postaları reddeder.

E-posta servis sağlayıcıları, orijinalliği belirlemek için açılma oranı gibi ek parametrelere bakar, dolayısıyla e-postalarınızın hâlâ kabul edilme ihtimali yüksektir.

2. Anahtarları düzenli olarak değiştirin

Google, DKIM anahtarlarınızı üç ayda bir döndürmenizi veya değiştirmenizi önerir. Sebebi ise dolandırıcıların bunlara erişebilmesi ve şüphelenmeyen aboneleri hedef almak için bunları kullanabilmesidir. Ancak kimlik doğrulama işlemlerinin başarısız olmasını önlemek için anahtarların güncellenmesi ve kaldırılması arasında birkaç gün beklemek en iyisidir.

3. E-posta kimlik doğrulama protokolleri ekip olarak en iyi şekilde çalışır

Daha fazla e-posta teslimi için SPF, DKIM, DMARC ve BIMI'yi birlikte kullanmak en iyisidir. Her yöntemin belirli bir odağı vardır ve birini atlamak, alıcı sunucular tarafından spam olarak işaretlenmek anlamına gelebilir. Aboneler, hemen tanımadıkları gönderenlere karşı anlaşılır bir şekilde ihtiyatlı davranırlar.

BIMI, bir logo görüntüleyerek onlara sizin söylediğiniz kişi olduğunuz konusunda güvence vermelerine yardımcı olabilir. Bu marka bilinirliğini yaratır. Google, BIMI'yi daha sağlam hale getirmek için değişiklikler yapıyor.

Ayrıca okuyun: Daha İyi E-posta Teslimi İçin Spam Filtrelerinden Nasıl Kaçınılır?

E-posta Kimlik Doğrulaması Nasıl Test Edilir

Pazarlamacıların e-posta kimlik doğrulama protokollerinin doğru çalışıp çalışmadığını test etmesinin en basit yolu, kişinin mevcut etki alanından bir e-posta göndermektir. İletiyi Gmail'de açın ve orijinal iletiyi kontrol edin ("yanıtla"nın yanındaki "daha fazla" düğmesini tıklayın). Bu size tam bir kimlik doğrulama durumu sağlamalıdır.

Aşağıdaki resme biraz benzeyecek:

E-posta kimlik doğrulamasını ayarlamak bir deneme yanılma meselesi değildir. Bazı protokollerin çalışmayabileceği bazı teknik istisnalar vardır. Örneğin, SPF'nin iletilen e-postaları atladığı bilinmektedir. Manuel hatalar aynı zamanda e-posta kimlik doğrulamasının başarısız olmasına da neden olabilir. EngageBay, kimlik doğrulama protokollerini ayarlama işini otomatikleştirir.

Örneğin alan adınızı girdiğiniz anda sistem SPF ve DKIM için kod üretiyor. Tek yapmanız gereken DNS'yi güncellemek ve alan adınızı doğrulamak.

Kurulum sırasında oluşabilecek sorunları çözmek için destek ekibimizle de çalışabilirsiniz. Bilmiyorsanız EngageBay'de ilk katılım desteği ücretsizdir!

Ayrıca okuyun: Ayrıca okuyun: Yeni Başlayanlar İçin E-posta Kullanımdan Kaldırma Politikası 101

Çözüm

E-posta kimlik doğrulama protokolleri, e-postalarınızın hedef kitlenize ulaşmasını sağlamada önemli bir rol oynar. İyi teslimat ve katılım oranları sağlamak için liste bakım rutininiz sırasında bunları düzenli olarak kontrol edin.

Unutmayın, dolandırıcılar her zaman e-posta güvenliğindeki zayıflıklardan yararlanmanın yollarını ararlar.

Onlardan bir adım önde olun.