Mail Sunucusu Güvenliği İçin Rate Limit ve Auth Policy Nasıl Kurgulanır?

Mail sunucusu güvenliğinde rate limit ve kimlik doğrulama politikası, yalnızca saldırıları durdurmak için değil, aynı zamanda meşru kullanıcı deneyimini korumak için de birlikte tasarlanmalıdır. Özellikle SMTP, IMAP, POP3, webmail ve yönetim panelleri gibi farklı erişim noktaları aynı risk seviyesine sahip değildir. Bu nedenle tek bir genel kural seti yerine, servis bazlı, kullanıcı tipine göre ayrıştırılmış ve izleme ile desteklenen bir yaklaşım daha doğru sonuç verir. Başarılı bir kurguda amaç, kaba kuvvet denemelerini, parola püskürtme saldırılarını, hesap ele geçirme girişimlerini ve gereksiz kaynak tüketimini erken aşamada sınırlamaktır.

Kurumsal ortamlarda en sık yapılan hata, çok agresif limitler nedeniyle gerçek kullanıcıların engellenmesi veya çok gevşek kurallar nedeniyle saldırganlara deneme alanı bırakılmasıdır. Sağlıklı bir yapı için önce trafik profili çıkarılmalı, normal kullanıcı davranışı ölçülmeli ve farklı istemci türleri değerlendirilmelidir. Mobil istemciler, toplu gönderim yapan uygulamalar, çok faktörlü doğrulama kullanan kullanıcılar ve servis hesapları için aynı eşiklerin uygulanması çoğu zaman sorun üretir. Bu yüzden rate limit ve auth policy birlikte ele alınmalı, olay kayıtlarıyla sürekli iyileştirilmelidir.

Rate limit tasarımında temel prensipler

Rate limit, belirli bir zaman aralığında bir IP, kullanıcı hesabı, oturum veya istemci başına kaç denemeye izin verileceğini belirler. Burada önemli olan yalnızca başarısız girişleri saymak değildir. Kısa sürede çok sayıda başarılı oturum açma denemesi, tek bir kaynaktan yüksek hacimli bağlantı kurulması veya çok sayıda hesaba art arda erişim denenmesi de anomali olarak değerlendirilmelidir. Bu nedenle limitleri tek boyutlu değil, birden fazla eksende tanımlamak gerekir: IP başına bağlantı sayısı, kullanıcı başına başarısız deneme sayısı, protokol başına eşik ve zaman penceresi bu eksenlerin başlıcalarıdır.

Pratik bir başlangıç yaklaşımı olarak SMTP AUTH için kısa zaman penceresinde düşük eşik, IMAP için orta düzey eşik ve yönetim arayüzleri için daha sıkı sınırlar tercih edilebilir. Örneğin belirli bir IP’den 5 dakika içinde çok sayıda başarısız kimlik doğrulama görülürse gecikme uygulamak, ardından geçici engel koymak etkili olur. Kalıcı engel yerine artan gecikme, yanlış parola giren gerçek kullanıcıları tamamen dışlamadan saldırganın hızını düşürür. Ayrıca NAT arkasındaki kurumsal kullanıcıları mağdur etmemek için yalnızca IP tabanlı değil, hesap ve cihaz davranışını da hesaba katmak gerekir.

Eşik değerleri nasıl belirlenmeli?

Eşik değerleri varsayımla değil, gözlemle belirlenmelidir. Önce bir ila iki haftalık normal kullanım kayıtları incelenerek ortalama oturum açma sıklığı, başarısız deneme oranı ve yoğun saatler tespit edilmelidir. Ardından kullanıcı grupları ayrıştırılmalıdır: standart personel, yöneticiler, servis hesapları ve entegrasyon kullanıcıları için farklı profiller oluşturmak en doğru yöntemdir. Servis hesaplarında sabit IP ve sertifika temelli erişim varsa daha katı limit uygulanabilir. Son kullanıcı tarafında ise cihaz değişimi, mobil ağlar ve dolaşım gibi etkenler nedeniyle biraz daha esnek eşikler tanımlanmalıdır.

İyi bir kural seti genellikle şu adımları içerir:

• Başarısız deneme sayısına göre artan bekleme süresi tanımlamak
• Tek IP’den çok sayıda kullanıcı adına deneme yapılmasını ayrı bir risk olarak ele almak
• Başarılı girişten sonra sayaçları tamamen sıfırlamak yerine kısa süreli davranış geçmişini korumak
• Yönetici hesapları için daha düşük eşik ve daha hızlı alarm üretmek

Auth policy oluştururken zorunlu güvenlik katmanları

Kimlik doğrulama politikası, parola karmaşıklığı şartı koymaktan çok daha geniş bir çerçevedir. Politika; parola yaşam döngüsü, çok faktörlü doğrulama, başarısız giriş yönetimi, oturum kontrolü, servis hesaplarının sınırlandırılması ve eski protokollerin kapatılmasını kapsamalıdır. Özellikle düz parola ile çalışan eski istemciler, modern güvenlik kontrollerini zayıflatır. Mümkünse temel kimlik doğrulama yöntemleri kapatılmalı, güvenli protokoller ve modern auth mekanizmaları tercih edilmelidir. Bu adım, kaba kuvvet saldırılarının etkisini ciddi biçimde azaltır.

Parola politikasında yalnızca minimum uzunluk şartı değil, tahmin edilebilir kalıpların engellenmesi de önemlidir. Şirket adı, mevsim, yıl ve sıra tabanlı parolalar kurumsal yapılarda sık görülür. Buna ek olarak yeniden kullanım kontrolü yapılmalı, parola sıfırlama süreçleri güvenli hale getirilmeli ve kilit hesap açma prosedürü kayıt altına alınmalıdır. Yüksek ayrıcalıklı kullanıcılar için çok faktörlü doğrulama fiilen zorunlu tutulmalı, servis hesapları mümkünse interaktif oturum açmadan tamamen çıkarılmalıdır.

Hesap kilitleme mi, kademeli gecikme mi?

Doğrudan hesap kilitleme bazı durumlarda güvenlik sağlarken hizmet kesintisine de yol açabilir. Saldırgan, kullanıcı adını biliyorsa art arda hatalı deneme yaparak hesabı bilinçli şekilde kilitleyebilir. Bu nedenle çoğu kurumsal senaryoda kademeli gecikme, risk puanlama ve ek doğrulama talebi daha dengeli bir çözümdür. Örneğin birkaç başarısız denemeden sonra oturum açma sürecine zaman gecikmesi eklemek, daha sonra ikinci faktörü zorunlu kılmak ve anormal coğrafi konumlarda oturumu incelemeye almak, hem güvenlik hem erişilebilirlik açısından daha sürdürülebilir bir model sunar.

Ancak kritik yönetici hesaplarında veya hassas sistemlerde belirli sayıda başarısız deneme sonrası kısa süreli kilitleme yine de uygun olabilir. Burada önemli olan, kilitleme süresinin makul tutulması, yardım masası süreçlerinin hazır olması ve olayın güvenlik ekibine otomatik bildirilmesidir. Kullanıcının neden engellendiğini anlayabilmesi için istemciye genel ama yönlendirici hata mesajı verilmesi de operasyonel yükü azaltır.

Uygulama, izleme ve sürekli iyileştirme

Rate limit ve auth policy tasarımı, devreye alındığı gün tamamlanmış sayılmaz. Etkinlik için merkezi log toplama, alarm eşikleri, korelasyon kuralları ve düzenli gözden geçirme şarttır. Başarısız girişler, IP dağılımı, kullanıcı bazlı deneme yoğunluğu, farklı protokollerdeki anomaliler ve kilitlenen hesap sayısı düzenli izlenmelidir. Sadece engellenen olaylara değil, eşik altı kalan ama tekrar eden davranışlara da bakılmalıdır. Çünkü parola püskürtme saldırıları genellikle düşük hızda ilerler ve klasik bloklama mantığını aşmayı hedefler.

Uygulamada pilot geçiş yapmak faydalıdır. Önce uyarı modunda kayıt toplanır, yanlış pozitifler görülür, ardından kademeli yaptırımlar açılır. Güvenlik ekibi ile sistem yöneticilerinin ortak çalışması burada kritik önemdedir; çünkü bir posta altyapısında gecikme, kuyruk davranışı ve istemci uyumluluğu doğrudan etkilenebilir. Son aşamada politika dokümante edilmeli, istisnalar yazılı olarak yönetilmeli ve servis hesapları düzenli envanter kontrolünden geçirilmelidir.

Özetle, etkili bir mail sunucusu güvenlik kurgusu, yalnızca sert kural koymakla değil, doğru yerde doğru sıkılığı uygulamakla oluşur. Rate limit saldırı hızını keser, auth policy ise saldırı yüzeyini daraltır. Bu iki yapı birlikte planlandığında hem hesap güvenliği güçlenir hem de operasyonel süreklilik korunur. Kurumların en iyi sonucu alabilmesi için ölçüm, kademeli uygulama ve düzenli iyileştirme yaklaşımını standart hale getirmesi gerekir.