Mail Server’da DKIM Selector Oluşturma
Mail sunucularında e-posta güvenliğini artırmak için DKIM (DomainKeys Identified Mail) protokolü vazgeçilmez bir unsurdur.
Mail sunucularında e-posta güvenliğini artırmak için DKIM (DomainKeys Identified Mail) protokolü vazgeçilmez bir unsurdur. DKIM, gönderilen e-postaların alan adını doğrulayarak sahteciliği önler ve alıcı sunucuların mesajları güvenle işlemesini sağlar. Bu kapsamda, DKIM selector’ı oluşturmak, her bir anahtar çifti için benzersiz bir tanımlayıcı olarak işlev görür ve birden fazla DKIM imzası yönetmeyi kolaylaştırır. Selector, tipik olarak DNS kayıtlarında TXT kaydıyla ilişkilendirilir ve mail sunucunuzun doğru imzayı seçmesini sağlar. Bu makalede, kurumsal bir mail sunucusunda DKIM selector’ını adım adım nasıl oluşturacağınızı, yapılandıracağınızı ve doğrulayacağınızı detaylı olarak ele alacağız. Bu işlem, Postfix ve OpenDKIM gibi yaygın araçlarla gerçekleştirilebilir ve e-posta teslim oranlarınızı önemli ölçüde iyileştirir.
DKIM Selector’ının Temel Kavramları ve Önemi
DKIM selector’ı, public-private anahtar çiftiyle ilişkili benzersiz bir string’dir; örneğin “s1” veya “default._domainkey” gibi. Bu selector, e-posta başlığındaki DKIM-Signature alanından alınarak DNS sorgusuyla public anahtarı doğrular. Kurumsal ortamlarda birden fazla selector kullanmak, farklı sunucular veya dönemler için imzaları ayırmayı sağlar. Örneğin, ana sunucunuz için “prod” selector’ı, test sunucusu için “test” kullanabilirsiniz. Bu yaklaşım, anahtar rotasyonunu kolaylaştırır ve güvenlik açıklarını minimize eder.
Selector oluşturmadan önce, sistem gereksinimlerini gözden geçirin: OpenDKIM paketi yüklü olmalı (örneğin Ubuntu’da sudo apt install opendkim opendkim-tools). Selector seçimi sırasında, kısa ve anlamlı isimler tercih edin; uzun isimler DNS sorgularını yavaşlatabilir. Ayrıca, selector’lar alan adınıza özgü olmalıdır, örneğin example.com için “mail2024._domainkey.example.com”. Bu yapı, SPF ve DMARC ile entegre çalışarak tam e-posta kimlik doğrulaması sağlar. Pratikte, selector olmadan DKIM imzaları başarısız olur ve e-postalar spam klasörüne düşer.
DKIM Selector Oluşturma Adımları
Selector oluşturma süreci, anahtar üretimiyle başlar ve konfigürasyon dosyalarına entegre edilir. Öncelikle, OpenDKIM araçlarını kullanarak RSA anahtar çifti oluşturun. Komut satırında opendkim-genkey -s selector_adi -d alanadiniz.com çalıştırın; burada “selector_adi” sizin belirlediğiniz isimdir, örneğin “mysel”. Bu komut, private.key ve mysel.txt dosyalarını üretir. Private anahtarı /etc/opendkim/keys/ dizinine taşıyın ve izinleri 600 olarak ayarlayın (chmod 600 private.key).
Anahtar Çifti Üretimi ve Güvenliği
Anahtar üretimi için 1024-bit veya tercihen 2048-bit RSA önerilir; daha yüksek bitlik anahtarlar güvenlik sağlar ancak performans düşürebilir. Üretilen private.key dosyasını asla public alanlara maruz bırakmayın; yalnızca mail sunucunuzun erişimine açık tutun. Örneğin, opendkim-genkey -s mysel -d example.com -b=2048 komutuyla yüksek güvenlikli anahtar elde edin. Bu dosyalar, SigningTable ve KeyTable konfigürasyonlarında referanslanır. Güvenlik için, anahtarları düzenli rotasyon yapın ve eski selector’ları devre dışı bırakın. Bu adım, selector’ınızın temelini oluşturur ve sonraki DNS entegrasyonu için hazırlar; toplam işlem 5 dakikadan az sürer.
Konfigürasyon Dosyalarının Düzenlenmesi
OpenDKIM’in ana konfigürasyon dosyası /etc/opendkim.conf’ta Selector ve KeyFile direktiflerini ekleyin. KeyTable dosyasına (/etc/opendkim/KeyTable) şu satırı yazın: mysel._domainkey.example.com example.com:mysel:/etc/opendkim/keys/mysel.private. SigningTable’a ise *@example.com mysel._domainkey.example.com ekleyin. Postfix entegrasyonu için /etc/postfix/main.cf’ye milter_protocol = 6 ve smtpd_milters = unix:/var/spool/opendkim/opendkim.sock satırlarını dahil edin. Bu ayarlar, her e-postayı otomatik imzalar ve selector’ı doğru eşleştirir. Yeniden başlatma sonrası (systemctl restart opendkim postfix), logları kontrol edin (/var/log/maillog).
DNS TXT Kaydının Eklenmesi
Üretilen mysel.txt dosyasındaki içeriği kopyalayın; bu, “v=DKIM1; k=rsa; p=[BASE64_PUBLIC_KEY]” formatındadır. DNS sağlayıcınızda, mysel._domainkey.example.com için TXT kaydı oluşturun ve public key’i yapıştırın. Yayılma süresi 1-48 saat arasındadır; mxtoolbox.com gibi araçlarla doğrulayın. Bu kayıt olmadan DKIM başarısız olur. Kurumsal DNS’lerde TTL’yi 3600 saniye olarak ayarlayın ki değişiklikler hızlı yayılsın.
Uygulama, Test ve Bakım
Selector uygulandıktan sonra, test e-postaları göndererek doğrulayın. Mail-Tester.com veya dmarcanalyzer.com gibi servisler DKIM durumunu raporlar. OpenDKIM loglarında “DKIM signing successful” arayın. Sorun giderme için, selector adını büyük/küçük harf duyarlılığını kontrol edin ve anahtar izinlerini doğrulayın. Kurumsal ölçekte, birden fazla selector için KeyTable’ı genişletin; örneğin yedek sunucu için “backup” ekleyin.
Bakım açısından, selector’ları yılda iki kez rotasyon yapın: Yeni anahtar üretip eskiyi kaldırın. DMARC raporlarını izleyerek selector etkinliğini ölçün. Bu süreç, e-posta itibarınızı korur ve phishing saldırılarını engeller. Uygulamada, %100 DKIM passage oranı hedefleyin; başarısızlıklar genellikle DNS gecikmesinden kaynaklanır.
Sonuç olarak, DKIM selector oluşturma, mail sunucunuzun güvenilirliğini pekiştiren pratik bir adımdır. Yukarıdaki talimatları takip ederek, sorunsuz bir kurulum gerçekleştirebilir ve e-posta akışınızı optimize edebilirsiniz. Düzenli testlerle sistemi güncel tutun; bu, uzun vadeli kurumsal e-posta stratejinizin temel taşıdır.