Mail Server’da SMTP Relay Engelleme

Mail sunucularında SMTP relay engelleme, modern kurumsal ağlarda e-posta güvenliğinin temel taşlarından biridir. Açık relay olarak bilinen bu durum, yetkisiz kullanıcıların sunucunuzu spam dağıtımı için kullanmasına yol açar. Bu makalede, SMTP relay’in ne olduğunu, neden kritik bir tehdit oluşturduğunu ve pratik engelleme yöntemlerini adım adım ele alacağız. Kurumsal ortamlar için Postfix gibi popüler mail sunucularını temel alarak, yapılandırma ipuçları ve en iyi uygulamaları paylaşacağız. Bu rehber, sistem yöneticilerine somut adımlar sunarak sunucu güvenliğini artıracak şekilde tasarlanmıştır.

SMTP Relay Kavramı ve Potansiyel Riskleri

SMTP (Simple Mail Transfer Protocol), e-postaların sunucular arası iletimini sağlayan standart bir protokoldür. Open relay durumunda, sunucu herhangi bir kimlik doğrulaması olmadan dışarıdan gelen e-postaları relay eder. Bu, kötü niyetli aktörlerin sunucunuzu kullanarak milyonlarca spam mesajı göndermesine olanak tanır. Sonuç olarak, IP adresiniz kara listelere alınır, e-posta teslimatı engellenir ve yasal sorunlar doğabilir.

Kurumsal sunucularda bu riski minimize etmek için relay’i yalnızca yetkili domain’lere ve authenticated kullanıcılara sınırlamak şarttır. Örneğin, bir finans şirketi sunucusunda açık relay, müşteri verilerinin dolaylı olarak riske atılmasına neden olabilir. Riskleri önlemek adına, sunucu kurulumundan itibaren relay kontrolleri etkinleştirilmelidir. Bu yaklaşım, ağ trafiğini analiz ederek anormal pattern’leri erken tespit etmenizi sağlar ve genel sistem bütünlüğünü korur.

Postfix ile SMTP Relay Engelleme Yapılandırması

Postfix, Linux tabanlı sistemlerde yaygın kullanılan bir MTA (Mail Transfer Agent) olup, SMTP relay engelleme için güçlü özellikler sunar. Ana konfigürasyon dosyası /etc/postfix/main.cf üzerinden smtpd_recipient_restrictions parametresiyle relay erişimi kontrol edilir. Varsayılan olarak relay’i devre dışı bırakmak için şu satırları ekleyin:

• smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination
• mynetworks = 127.0.0.0/8 [::1]/128 (yalnızca localhost’u relay’e izin ver)

Değişiklikleri uygulamak için postfix reload komutunu çalıştırın. Bu ayar, yalnızca kendi domain’inize ait alıcılara relay yapar ve SASL authentication’ı zorunlu kılar. Pratik bir örnek: Şirket domain’iniz example.com ise, relay_domains = example.com ile sınırlayın. Test için telnet localhost 25 ile bağlanıp EHLO komutunu deneyin; yetkisiz relay denemeleri 554 hatası vermelidir.

SASL Authentication Entegrasyonu

Dovecot veya Cyrus gibi IMAP sunucularıyla entegre SASL kullanarak kullanıcı doğrulamasını etkinleştirin. /etc/postfix/main.cf‘e smtpd_sasl_auth_enable = yes ve smtpd_sasl_type = dovecot ekleyin. Dovecot’ta /etc/dovecot/conf.d/10-master.conf içinde service auth-worker’ı Postfix’e socket ile bağlayın. Bu, istemcilerin login olmadan relay yapmasını engeller ve mobil cihazlar için güvenli erişim sağlar. Kurulum sonrası logları /var/log/maillog‘da izleyin; authentication hataları için rate limiting uygulayın.

IP Tabanlı Erişim Kontrolleri

smtpd_client_restrictions ile belirli IP’leri whitelist’e alın: smtpd_client_restrictions = permit_mynetworks, reject_rbl_client zen.spamhaus.org. Bu, bilinen spam kaynaklarını RBL (Realtime Blackhole Lists) ile bloke eder. Kurumsal VPN IP’lerinizi mynetworks’e ekleyerek iç ağdan relay’e izin verin. Değişiklikler sonrası postfix check ile syntax doğrulayın ve trafiği tcpdump ile monitor edin. Bu katmanlı yaklaşım, %99’un üzerinde yetkisiz erişimi önler.

İzleme, Test ve En İyi Uygulamalar

Sunucu yapılandırması sonrası düzenli izleme şarttır. postfix -v ile verbose logging etkinleştirin ve Fail2Ban gibi araçlarla brute-force atakları banlayın. Haftalık testler için MX Toolbox gibi araçlar kullanmadan manuel relay testi yapın: Harici bir makineden sunucunuza bağlanıp RCPT TO komutuyla foreign domain deneyin; ret edilmelidir. Log rotasyonu için logrotate.conf düzenleyin ve SIEM entegrasyonu düşünün.

En iyi uygulamalar arasında firewall kuralları (iptables ile 25 portu kısıtla), TLS zorunluluğu (smtpd_tls_security_level = encrypt) ve düzenli güncellemeler yer alır. Birden fazla domain yönetiyorsanız, virtual_alias_maps ile mapping oluşturun. Bu adımlar, sunucunuzu spam relay’lere karşı dayanıklı kılar ve uyumluluk standartlarını (örneğin GDPR) destekler.

Sonuç olarak, SMTP relay engelleme kurumsal mail altyapınızın temel güvenliğini sağlar. Yukarıdaki adımları uygulayarak, olası tehditleri proaktif biçimde ortadan kaldırın ve kesintisiz e-posta akışı elde edin. Sistem yöneticileri, bu konfigürasyonları prod ortamında test ederek uyarlamalıdır.