D
Damla
Misafir
E-posta, iş dünyasında ve günlük iletişimde hâlâ en yaygın kullanılan dijital araçlardan biri. Ancak yıllardır bu sistemin en zayıf halkalarından biri de güvenlik konusu. Her gün milyonlarca e-posta, gönderici ile alıcı arasında çeşitli sunucular üzerinden dolaşırken; araya giren kötü niyetli kişiler, saldırgan yazılımlar ya da yönlendirme hataları nedeniyle veri sızıntısı yaşanabiliyor.Tam da bu noktada MTA-STS (Mail Transfer Agent Strict Transport Security) adı verilen yeni nesil bir e-posta güvenlik protokolü devreye giriyor. Peki MTA-STS nedir, ne işe yarar, kimler kullanmalı ve nasıl çalışır? Hepsini bu rehber yazımızda adım adım ele aldık.
MTA-STS, yani “Mail Transfer Agent – Strict Transport Security”, e-posta sunucuları arasında iletilen maillerin güvenli bir şekilde aktarılmasını sağlayan bir güvenlik protokolüdür. SMTP protokolü üzerinden çalışan bu yapı, iletilerin TLS (Transport Layer Security) şifrelemesi ile korunarak iletilmesini zorunlu hale getirir. SMTP protokolü varsayılan olarak şifrelemeyi zorunlu kılmaz; yani bir e-posta gönderilirken araya giren bir saldırgan, verileri şifrelenmemiş şekilde ele geçirebilir. MTA-STS ise e-posta gönderen sunucuya “Ben TLS şifreleme destekliyorum ve şifreleme olmadan mail kabul etmem” mesajı verir. Böylece iletişim daha güvenli hâle gelir.
Geleneksel SMTP protokolü, yıllar önce tasarlandığı için günümüzün siber tehditlerine karşı yeterli değil. Özellikle şu iki büyük sorunu adresleyemiyor:
MTA-STS bu iki problemi aynı anda çözmeyi amaçlar: Birincisi, TLS şifrelemesini zorunlu hâle getirerek downgrade saldırılarını engeller. İkincisi ise kimlik doğrulama ile sahte sunuculardan gelen iletileri reddeder.
MTA-STS, DNS kayıtları ve HTTPS üzerinden sunulan bir “politikayı” temel alır. Bu politika, e-posta sunucularının TLS kullanımını nasıl uyguladığını tanımlar. İşte süreç adım adım şöyle işler:
MTA-STS; büyük kurumsal şirketlerden, devlet kurumlarına, dijital güvenliğe önem veren tüm e-posta sağlayıcıları için önerilir. Özellikle şunlar için olmazsa olmaz bir teknolojidir:
Günümüzde birçok büyük e-posta sağlayıcısı MTA-STS desteğini aktif hâle getirmiştir. Bunlar arasında:
Kendi domain’inizle bu servislerle güvenli iletişim kurmak istiyorsanız, MTA-STS yapılandırmanızı tamamlamanız kritik önem taşır.
TLS-RPT (TLS Reporting), MTA-STS’nin bir tamamlayıcısıdır. Kurduğunuz MTA-STS yapısının çalışıp çalışmadığını raporlayan bir sistemdir. TLS bağlantı hataları, şifreleme sorunları veya başarısız iletimler hakkında günlük olarak rapor gönderir.
MTA-STS’yi yapılandırmak için 3 temel bileşene ihtiyacınız var:
MTA-STS politikası, e-posta sunucunuza gelen iletilerin nasıl işleneceğini belirten basit bir düz metin dosyasıdır. Bu dosya,
version: STSv1
mode: enforce
mx: mail.sirketiniz.com
max_age: 604800
MTA-STS’nin aktif olduğunu gönderici sunuculara bildirmek için DNS’e şu TXT kaydını girmeniz gerekir:
Alan Adı:
Değer: v=STSv1; id=20250407
DNS kayıtları yayıldıktan sonra 24 saate kadar etkili olmayabilir.
MTA-STS ancak TLS (STARTTLS) destekleyen mail sunucularıyla çalışır. Aşağıdaki kontrolleri yapın:
openssl s_client -connect mail.sirketiniz.com:25 -starttls smtp Bu komutla sunucunun STARTTLS destekleyip desteklemediğini görebilirsiniz.
Politika dosyanıza şu URL’den erişim sağlanıyor mu? https://mta-sts.sirketiniz.com/.well-known/mta-sts.txt
Eğer bu URL çalışmıyorsa ya HTTPS sunucusu hatalıdır ya da dosya/dizin yanlış konumlandırılmıştır.
MTA-STS kurulumunu tamamladınız, DNS kaydınızı girdiniz, HTTPS ile dosyayı yayınladınız. Peki gerçekten doğru yapılandırıldınız mı? Hataları nasıl fark edeceksiniz?
Web sitesi: Hardenize: Comprehensive web site configuration test
Avantajı: Tek bir testle birçok güvenlik kontrolünü aynı anda yapar.
Web sitesi: //email/testTo:
Teknik bilgi içerir ama çok detaylıdır. Geliştiriciler için birebir.
Web sitesi: Google Transparency Report
MTA-STS testi değildir ama şifreli iletim oranlarını analiz etmek için faydalıdır.
Eğer kendi başınıza doğrulama yapmak isterseniz GitHub’da yer alan açık kaynaklı araçları kullanabilirsiniz:
Örnek repo:
https://github.com/techslides/mta-sts-validator
TLS ile ilgili hata raporlarını almak için
Alan Adı:
Değer: v=TLSRPTv1; rua=mailto:rapor@sirketiniz.com Bu kayıtla birlikte TLS bağlantı sorunları size JSON formatında raporlanır.
Kurulum kadar test süreci de hayati. Çünkü en ufak bir eksik:
E-posta pazarlamasında ya da günlük kurumsal iletişimde, gönderdiğiniz e-postaların gerçekten karşı tarafa ulaşıp ulaşmadığı en kritik konudur. “Gönderildi” demek, “teslim edildi” demek değildir. İşte bu noktada MTA-STS devreye girer. Yalnızca güvenliği değil, teslim edilebilirlik başarısını da artıran bir yapı sunar.
Teslim edilebilirlik, gönderdiğiniz e-postaların:
Bu konuda SMTP sunucu ayarlarınız, SPF/DKIM/DMARC gibi güvenlik protokolleri ve MTA-STS yapılandırması birlikte çalışır.
Gmail, Outlook, Yahoo gibi büyük sağlayıcılar; gelen iletileri değerlendirirken güvenlik protokollerini aktif kullanmayan sunucuları “riskli” kabul eder.
MTA-STS sayesinde:
Bu da maillerinizin spam’e düşme riskini azaltır.
SMTP doğası gereği güvenli bir protokol değildir. STARTTLS sayesinde şifreleme yapılabilir, ancak bu opsiyonel çalışır.
MTA-STS ile:
Sonuç: Güvenli iletim = güvenli teslimat.
E-posta servis sağlayıcıları; mail başlığınızdan IP adresinize, SPF-DKIM ayarlarından DNS kayıtlarınıza kadar her şeyi analiz eder.
Birlikte kullanıldığında:
Bu soru çok soruluyor. Kısa cevap: Dolaylı olarak, evet.
Özellikle B2B kampanyalarında MTA-STS, daha profesyonel bir yapı sunar.
MTA-STS Nedir, Ne İşe Yarar? Adım Adım Rehber yazısı ilk önce Turkticaret.Net Blog üzerinde ortaya çıktı.
Kaynak : TurkTicaret
MTA-STS Nedir?
MTA-STS, yani “Mail Transfer Agent – Strict Transport Security”, e-posta sunucuları arasında iletilen maillerin güvenli bir şekilde aktarılmasını sağlayan bir güvenlik protokolüdür. SMTP protokolü üzerinden çalışan bu yapı, iletilerin TLS (Transport Layer Security) şifrelemesi ile korunarak iletilmesini zorunlu hale getirir. SMTP protokolü varsayılan olarak şifrelemeyi zorunlu kılmaz; yani bir e-posta gönderilirken araya giren bir saldırgan, verileri şifrelenmemiş şekilde ele geçirebilir. MTA-STS ise e-posta gönderen sunucuya “Ben TLS şifreleme destekliyorum ve şifreleme olmadan mail kabul etmem” mesajı verir. Böylece iletişim daha güvenli hâle gelir.
Neden MTA-STS’ye İhtiyaç Var?
Geleneksel SMTP protokolü, yıllar önce tasarlandığı için günümüzün siber tehditlerine karşı yeterli değil. Özellikle şu iki büyük sorunu adresleyemiyor:
STARTTLS Downgrade Saldırıları: STARTTLS, SMTP protokolüne sonradan eklenen bir güvenlik özelliğidir. Ancak bu yapı kötü niyetli kişiler tarafından devre dışı bırakılabilir. Saldırgan, sunucular arasındaki bağlantıya müdahale ederek şifrelemeyi düşürebilir ve verileri düz metin olarak okuyabilir.
Alan Adı Sahteciliği ve Kimlik Avı (Phishing): Eğer bir e-posta alıcısı, gelen iletinin gerçekten kimden geldiğini doğrulayamazsa, saldırganlar sahte domainler kullanarak kimlik avı yapabilir.
MTA-STS bu iki problemi aynı anda çözmeyi amaçlar: Birincisi, TLS şifrelemesini zorunlu hâle getirerek downgrade saldırılarını engeller. İkincisi ise kimlik doğrulama ile sahte sunuculardan gelen iletileri reddeder.
MTA-STS Nasıl Çalışır?
MTA-STS, DNS kayıtları ve HTTPS üzerinden sunulan bir “politikayı” temel alır. Bu politika, e-posta sunucularının TLS kullanımını nasıl uyguladığını tanımlar. İşte süreç adım adım şöyle işler:
DNS Üzerinden Keşif: E-posta gönderen sunucu, alıcı domain’in MTA-STS desteği olup olmadığını DNS üzerinden kontrol eder. Örneğin:
_mta-sts.ornekdomain.comgibi bir kayıt aranır.
Politikanın İndirilmesi: Eğer destekleniyorsa, gönderici sunucu, HTTPS protokolü üzerinden alıcı domain’e ait MTA-STS politikasını indirir.
TLS Zorunluluğu: Politika dosyasındaki kurallara göre, alıcı sunucuya TLS bağlantısı kurulmadan e-posta iletimi yapılmaz. Eğer güvenli bağlantı kurulamazsa, ileti reddedilir veya sıraya alınır.
MTA-STS’nin Sağladığı Faydalar
E-posta trafiğinin şifrelenmesini zorunlu hâle getirir.
Downgrade saldırılarını ve dinlemeleri önler.
Alan adı güvenliğini artırır ve kimlik avı saldırılarına karşı ek bir katman sunar.
Kurumsal e-posta hizmetlerinin güvenilirliğini artırır.
DMARC, SPF, DKIM gibi diğer güvenlik protokolleriyle entegre çalışabilir.
Kimler MTA-STS Kullanmalı?
MTA-STS; büyük kurumsal şirketlerden, devlet kurumlarına, dijital güvenliğe önem veren tüm e-posta sağlayıcıları için önerilir. Özellikle şunlar için olmazsa olmaz bir teknolojidir:
Kendi e-posta sunucusunu yöneten işletmeler
Finans, hukuk, sağlık gibi hassas veri içeren sektörler
Gmail, Outlook, Yahoo gibi servis sağlayıcılarıyla iletişimde olan domain sahipleri
Kamu kurumları ve eğitim kurumları
MTA-STS Desteği Hangi Servis Sağlayıcılarında Var?
Günümüzde birçok büyük e-posta sağlayıcısı MTA-STS desteğini aktif hâle getirmiştir. Bunlar arasında:
Google (Gmail)
Microsoft (Outlook/Exchange Online)
Yahoo
ProtonMail
Fastmail
Kendi domain’inizle bu servislerle güvenli iletişim kurmak istiyorsanız, MTA-STS yapılandırmanızı tamamlamanız kritik önem taşır.
MTA-STS ile TLS-RPT Farkı Nedir?
TLS-RPT (TLS Reporting), MTA-STS’nin bir tamamlayıcısıdır. Kurduğunuz MTA-STS yapısının çalışıp çalışmadığını raporlayan bir sistemdir. TLS bağlantı hataları, şifreleme sorunları veya başarısız iletimler hakkında günlük olarak rapor gönderir.
MTA-STS Kurulum Rehberi (Adım Adım ve Uygulamalı)
MTA-STS’yi yapılandırmak için 3 temel bileşene ihtiyacınız var:
HTTPS üzerinden ulaşılabilir bir politika dosyası
Doğru yapılandırılmış bir DNS kaydı (TXT)
TLS destekleyen geçerli SSL sertifikasına sahip bir e-posta sunucusu (MX)
Adım 1: HTTPS Sunucusunda Politika Dosyasını Oluşturun
MTA-STS politikası, e-posta sunucunuza gelen iletilerin nasıl işleneceğini belirten basit bir düz metin dosyasıdır. Bu dosya,
https://mta-sts.sirketiniz.com/.well-known/mta-sts.txt adresinde HTTPS ile erişilebilir olmalıdır.Dosya Yapısı Şu Şekilde Olmalı:
version: STSv1
mode: enforce
mx: mail.sirketiniz.com
max_age: 604800
version: Protokol sürümü (her zaman STSv1 olmalı)
mode: enforce (zorunlu uygula), testing (test modu), none (devre dışı)
mx: E-posta sunucunuzun FQDN adresi
max_age: Politika önbellekte ne kadar süre geçerli kalacak (saniye cinsinden)
Tavsiyeler:
.well-knowndizinini doğru yapılandırın.
HTTPS sertifikası geçerli olmalı (Let’s Encrypt olabilir).
mta-sts.sirketiniz.comsubdomaini ayrı bir sunucuya da yönlendirilebilir.
Adım 2: DNS Kaydını Ekleyin
MTA-STS’nin aktif olduğunu gönderici sunuculara bildirmek için DNS’e şu TXT kaydını girmeniz gerekir:
TXT Kaydı:
Alan Adı:
_mta-sts.sirketiniz.comDeğer: v=STSv1; id=20250407
v: Protokol versiyonu
id: Politika dosyasının versiyon bilgisi. Güncellenirse tarih formatında değiştirilmesi önerilir.
DNS kayıtları yayıldıktan sonra 24 saate kadar etkili olmayabilir.
Adım 3: MX Sunucularınızın TLS Destekli Olduğundan Emin Olun
MTA-STS ancak TLS (STARTTLS) destekleyen mail sunucularıyla çalışır. Aşağıdaki kontrolleri yapın:
Mail sunucunuzda geçerli bir SSL sertifikası kurulu mu?
STARTTLS açık mı?
SMTP bağlantı noktası 25 açık ve dış dünyaya erişebilir mi?
Test Komutu (Linux/Mac terminal):
openssl s_client -connect mail.sirketiniz.com:25 -starttls smtp Bu komutla sunucunun STARTTLS destekleyip desteklemediğini görebilirsiniz.
Adım 4: Politikanızın Yayında Olduğunu Doğrulayın
Politika dosyanıza şu URL’den erişim sağlanıyor mu? https://mta-sts.sirketiniz.com/.well-known/mta-sts.txt
Eğer bu URL çalışmıyorsa ya HTTPS sunucusu hatalıdır ya da dosya/dizin yanlış konumlandırılmıştır.
Adım 5: MTA-STS Test ve Doğrulama Rehberi
MTA-STS kurulumunu tamamladınız, DNS kaydınızı girdiniz, HTTPS ile dosyayı yayınladınız. Peki gerçekten doğru yapılandırıldınız mı? Hataları nasıl fark edeceksiniz?
. Hardenize.com – Kapsamlı Mail Güvenliği Analizi
Web sitesi: Hardenize: Comprehensive web site configuration testNe yapar?
MTA-STS politikasını kontrol eder
TLS destek durumu
SPF, DKIM, DMARC, TLS-RPT gibi diğer güvenlik katmanlarını da analiz eder
Eksik veya hatalı konfigürasyonları raporlar
Nasıl kullanılır?
Ana sayfadan alan adınızı yazın.
Çıkan sonuçları “SMTP” bölümünden detaylıca inceleyin.
“MTA-STS” satırında politika doğrulaması, TLS desteği ve HTTPS yapılandırmasıyla ilgili detaylı bilgi verir.
Avantajı: Tek bir testle birçok güvenlik kontrolünü aynı anda yapar.
2. CheckTLS – TestReceiver
Web sitesi: //email/testTo:Ne yapar?
Mail sunucunuza TLS üzerinden bağlanarak STARTTLS desteğini test eder.
Karşı tarafın sizin sunucunuza nasıl bağlandığını simüle eder.
TLS handshake sırasında alınan hataları gösterir.
Nasıl kullanılır?
“Email Address to Test” kısmına test etmek istediğiniz e-posta adresini girin.
Test’i başlatın.
TLS sonuçlarını inceleyin.
Teknik bilgi içerir ama çok detaylıdır. Geliştiriciler için birebir.
3. Google Transparency Report – Mail Encryption
Web sitesi: Google Transparency ReportNe yapar?
Gmail kullanıcılarının diğer alan adlarına gönderdiği ve aldığı e-postaların TLS ile şifrelenme oranlarını gösterir.
Domain bazlı karşılaştırmalar yapabilirsiniz.
MTA-STS testi değildir ama şifreli iletim oranlarını analiz etmek için faydalıdır.
4. MTA-STS Validator CLI (Geliştiriciler İçin)
Eğer kendi başınıza doğrulama yapmak isterseniz GitHub’da yer alan açık kaynaklı araçları kullanabilirsiniz:
Örnek repo:https://github.com/techslides/mta-sts-validator
Ne yapar?
Komut satırından politika dosyasını indirip analiz eder
DNS kayıtlarını doğrular
SSL/TLS sertifikalarını kontrol eder
Ekstra Güvenlik: TLS-RPT Yapılandırması
TLS ile ilgili hata raporlarını almak için
_smtp._tls.sirketiniz.com DNS kaydını şu şekilde tanımlayın: TLS-RPT TXT Kaydı:
Alan Adı:
_smtp._tls.sirketiniz.comDeğer: v=TLSRPTv1; rua=mailto:rapor@sirketiniz.com Bu kayıtla birlikte TLS bağlantı sorunları size JSON formatında raporlanır.
Özet: Test Etmeden Güvenemezsiniz
Kurulum kadar test süreci de hayati. Çünkü en ufak bir eksik:
Maillerin gönderilememesine
Güvenliğin devre dışı kalmasına
Müşteri verilerinin tehlikeye girmesine neden olabilir.
MTA-STS’nin Teslim Edilebilirlik (Deliverability) Üzerindeki Etkisi
E-posta pazarlamasında ya da günlük kurumsal iletişimde, gönderdiğiniz e-postaların gerçekten karşı tarafa ulaşıp ulaşmadığı en kritik konudur. “Gönderildi” demek, “teslim edildi” demek değildir. İşte bu noktada MTA-STS devreye girer. Yalnızca güvenliği değil, teslim edilebilirlik başarısını da artıran bir yapı sunar.
Teslim Edilebilirlik Nedir?
Teslim edilebilirlik, gönderdiğiniz e-postaların:
Spam’e düşmeden
Reddedilmeden
Sorunsuz şekilde hedef inbox’a ulaşmasını ifade eder.
Bu konuda SMTP sunucu ayarlarınız, SPF/DKIM/DMARC gibi güvenlik protokolleri ve MTA-STS yapılandırması birlikte çalışır.
MTA-STS Teslim Edilebilirliği Nasıl Artırır?
1. Büyük Mail Servislerinin Güvenini Kazanırsınız
Gmail, Outlook, Yahoo gibi büyük sağlayıcılar; gelen iletileri değerlendirirken güvenlik protokollerini aktif kullanmayan sunucuları “riskli” kabul eder.
MTA-STS sayesinde:
TLS şifrelemesi zorunlu hale gelir.
MTA-STS politikası sayesinde kötü niyetli yönlendirme girişimleri engellenir.
Mail sunucunuzun güven skoru yükselir.
Bu da maillerinizin spam’e düşme riskini azaltır.
2. Man-In-The-Middle (MITM) Saldırıları Engellenir
SMTP doğası gereği güvenli bir protokol değildir. STARTTLS sayesinde şifreleme yapılabilir, ancak bu opsiyonel çalışır.
MTA-STS ile:
STARTTLS zorunlu hale gelir.
Aradaki bir saldırganın mesajınızı çözmesi ya da yönlendirmesi imkansız hale gelir.
Sonuç: Güvenli iletim = güvenli teslimat.
3. Mail Reputation (İtibar) Artar
E-posta servis sağlayıcıları; mail başlığınızdan IP adresinize, SPF-DKIM ayarlarından DNS kayıtlarınıza kadar her şeyi analiz eder.
MTA-STS + TLS-RPT gibi protokoller aktifse bu, sisteminize değer katar.
Reputation (itibar) arttıkça beyaz listede kalma ihtimaliniz yükselir.
MTA-STS + TLS-RPT: Birlikte Daha Güçlü
MTA-STS, politikayı zorunlu kılar.
TLS-RPT, bu politikanın ihlallerini size raporlar.
Birlikte kullanıldığında:
Olası saldırı girişimlerini erkenden görürsünüz.
Güvenlik zaaflarını tespit eder, teslim edilememe riskini azaltırsınız.
SEO ve E-posta Pazarlaması Açısından Etkisi Var mı?
Bu soru çok soruluyor. Kısa cevap: Dolaylı olarak, evet.
Neden?
Mail pazarlama kampanyalarınız hedefe ulaşmazsa, açılma oranı düşer.
Açılma oranı düşerse, domain reputation’ınız zarar görür.
Bu da e-posta kampanyalarının etkisizleşmesine, kullanıcı etkileşimlerinin düşmesine neden olur.
Aynı zamanda bu düşüşler marka güvenini de zedeler.
Özellikle B2B kampanyalarında MTA-STS, daha profesyonel bir yapı sunar.
MTA-STS Nedir, Ne İşe Yarar? Adım Adım Rehber yazısı ilk önce Turkticaret.Net Blog üzerinde ortaya çıktı.
Kaynak : TurkTicaret