E-posta altyapısının en sık göz ardı edilen katmanı taşıma güvenliğidir. SMTP bağlantıları varsayılan olarak şifrelenmemiş metin olarak seyahat eder — bu, araya girme (man-in-the-middle) saldırılarına kapı açar. MTA-STS, bu açığı kapatmak için tasarlandı. Türkiye\'de henüz yaygın olmasa da, küresel veri gösterişi benimseme oranının hızlıca arttığını ve büyük gönderenler için artık neredeyse zorunlu hale geldiğini gösteriyor.
MTA-STS Nedir?
MTA-STS (Mail Transfer Agent Strict Transport Security), SMTP sunucuları arasında güvenli iletişimi zorlayan bir polika standardıdır. DNS kayıtları üzerinden yayınlandığı için, kurumunuzun alan adı altında hızlıca dağıtılabilir.
Temel fikir şu: e-posta alıcı sunucu (örneğin Gmail\'in MX kaydı), gönderen sunucuya diyor ki "Bana e-posta göndermek istiyorsan, SMTP bağlantısını mutlaka TLS ile şifrele, aksi takdirde reddetme." DMARC\'ın bir adım ötesi olarak çalışır — DMARC auth başlıklarını doğrularken, MTA-STS fiziksel taşıma kanalının şifrelenmesini garanti eder.
SMTP TLS Şifreleme Neden Kritik?
Geleneksel SMTP (Port 25, açık) kullanıldığında:
- Sözleşmeli veri güvenliğinin olmaması — ağ yöneticileri veya saldırganlar trafiği yakalayabilir.
- Sahte e-posta başlıkları ve kimlik avı saldırılarının yayılması — ortadaki saldırgan kaynak IP\'sini taklit edebilir.
- Yasal riskler: Türkiye\'nin KVKK yasası kişisel verilerin şifreli aktarılmasını gerekli kılıyor.
MTA-STS uygulandığında:
- TLS 1.2+ zorunlu hale gelir — sadece modern, güvenli bağlantılar kabul edilir.
- Sertifikat doğrulaması — alınan sertifikanın geçerli ve doğru olup olmadığı kontrol edilir.
- Fallback güvenliği — TLS başarısız olursa, e-posta başarısızlıkla işaretlenir ve reddedilir; kuyrukta beklemeyi bitirmez, güvenliği tercih eder.
Türkiye\'de MTA-STS Benimseme
Türkiye\'deki büyük posta sağlayıcıları (Gmail Workspace, Outlook/Microsoft 365, Yandex Mail) MTA-STS desteklemektedir. Ancak Mynet, Türk Telekom (ttmail.com) ve bazı eski e-ticaret platformlarında (İdeasoft, Ticimax) henüz tam uyum yok.
Benimseme oranlarını gerçek verilerden görmek için email-stats veri tabanını ziyaret edebilirsiniz — Tranco top-1M domainin haftalık taraması, MTA-STS kabul eden ve politika yayınlayan gönderenleri gösterir. Türkiye bağlamında trendler:
- Büyük e-ticaret platformları ve mağaza operatörleri (Trendyol, Hepsiburada üzerinden bağlantılı sellers) — hızlıca geçiş yapıyor.
- Related Digital, Setrow, Euromsg gibi yerli ESP\'ler — müşterilerine MTA-STS desteği sunmaya başlamışlar.
- Küçük işletmeler ve blog e-posta sistemleri — çoğunlukla henüz boş, SMTP eklentileri (WP Mail SMTP vb.) yapılandırılmamış.
SPF, DKIM, DMARC ile Bağlantı
Dört sütunlu e-posta güvenlik piramidini düşünün:
- SPF — "Bu IP adresinden e-posta göndermesi izinlidir" — DNS TXT kaydı aracılığıyla kaynak doğrulama.
- DKIM — Mesaj imzalamak — özel/ortak anahtar çifti, alıcı sunucu imzayı doğrulayabilir.
- DMARC — SPF ve DKIM başarısızlıklarına tepki veren politika — p=reject, p=quarantine veya p=none seçeneği.
- MTA-STS — Taşımanın kendisini şifrele — başarısız bağlantıyı reddet, güvenlikten ödün verme.
Gmail ve Yahoo (Şubat 2024 itibaren) tüm dördünü talep ediyor — sadece SPF/DKIM yeterli değil. MTA-STS henüz zorunlu değil, ancak büyük gönderenlerin spam oranlarını düşürmek istiyorlarsa eklemesi öneriliyor.
Türkiye\'de İYS Uygunluğu
İYS (İleti Yönetim Sistemi), Türkiye\'nin ticari reklam e-postası için zorunlu kamu sistemidir. Her coğrafyada benzerleri var, ancak İYS kendine özgü: gönderenin İYS\'de kayıtlı olması ve alıcının açık rızası gerekir.
MTA-STS, İYS ile doğrudan bağlantılı değildir — ancak verilerinizi korumak açısından tamamlayıcıdır. E-posta şifreli olmadan aktarılırsa, İYS onayları sızdırılabilir. Güvenlik en iyi uygulamalarının tam yığını — SPF, DKIM, DMARC ve MTA-STS — İYS uyumlu reklam taşıyıcılarının altı çatısıdır.
dig mta-sts.yourdomain.com TXT çalıştırın. Kayıt görülür ve policy=enforce varsa, alıcı sunucular şu andan itibaren TLS\'yi zorunlu görecektir. Ancak geçiş süresi (politika yayınlanması) 24-48 saat sürebilir — DNS TTL\'ye göre değişir.Adım Adım Kurulum
- Politika dosyası oluştur:
/.well-known/mta-sts.txtdosyasını HTTPS aracılığıyla yayın (örn.https://mta-sts.example.com/.well-known/mta-sts.txt). İçinde alan adı ve MX kaydınızın listelenmesi gerekir. - DNS TXT kaydı yayınla:
_mta-sts.example.com IN TXT "v=STSv1; id=2024010101; policy=enforce"ekleyin. İlk kez deniyorsanızpolicy=testingkullanın, sorun olmadığını gördüğündeenforceyap. - TLS sertifikası doğrula: SMTP sunucunuzun TLS sertifikası geçerli mi? OpenSSL ile kontrol edin:
openssl s_client -connect mail.example.com:465 - TLSRPT kaydı ekle (opsiyonel):
_tlsrpt.example.comTXT kaydı, MTA-STS başarısızlıklarını raporlayarak hata ayıklamayı kolaylaştırır.
Türkiye\'de Bilinen Sorunlar
Şu anki durumda:
- Eski sistemler desteğini kesebilir — enforcement seviyesini yükseltmeden önce, müşteri posta sunucularının TLS desteklemediğini test edin.
- İYS-entegreli sistemler — Euromsg, Related Digital gibi platformlarda MTA-STS desteği hala sınırlı; destek ekibine danışın.
- ttmail, Mynet ve eski Türk Telekom adresleri — TLS desteği olmayabilir, e-postalar kuyruğa alınabilir. Yüksek enforcement modu yerine testing modundan başlayın.
MTA-STS ve DMARC arasındaki fark nedir?
MTA-STS etkinleştirirsem eski posta sunucularına e-posta gönderilemez mi?
policy=enforce yayınlarsanız, e-posta reddedilir. Geçişi hafif tutmak için policy=testing ile başlayın — DNS\'yi güncelle ama sertifika hatalarını logla, enforcelemeden kaçının. 1-2 hafta sonra enforcement moduna geçin.