Mail Server’da TLS Policy Ayarı

Mail sunucularında TLS (Transport Layer Security) politika ayarları, e-posta trafiğinin şifrelenmesini yöneterek veri güvenliğini kritik ölçüde artırır. Günümüzde siber tehditlerin yaygınlaştığı bir ortamda, TLS policy’leri sayesinde hassas iletişimler korunur ve uyumluluk standartları sağlanır. Bu politika, sunucunun gelen ve giden bağlantılarda TLS kullanımını zorunlu kılar mı yoksa isteğe bağlı mı bırakacağını belirler. Postfix gibi popüler mail sunucularında bu ayarlar, ana yapılandırma dosyası üzerinden yapılır ve hem istemci hem sunucu taraflı politikalarla optimize edilir. Bu makalede, TLS policy ayarlarının adım adım nasıl yapılandırılacağını inceleyerek, pratik uygulamalarla güvenlik seviyenizi yükseltmenize yardımcı olacağız.

TLS Policy Kavramı ve Önemi

TLS policy, mail sunucusunun SMTP bağlantılarında şifreleme protokollerini nasıl uygulayacağını tanımlayan bir kurallar kümesidir. Bu politika sayesinde, e-postalar transit sırasında eavesdropping (dinleme) saldırılarına karşı korunur. Örneğin, “none” politikası şifrelemeyi devre dışı bırakırken, “encrypt” politikası TLS’i zorunlu kılar. Kurumsal ortamlarda, GDPR veya PCI DSS gibi düzenlemeler gereği TLS 1.2 veya üzeri versiyonlar tercih edilir. Policy ayarları, smtpd_tls_security_level gibi parametrelerle belirlenir ve hem incoming hem outgoing trafiği kapsar.

Policy’nin önemi, özellikle büyük ölçekli organizasyonlarda belirgindir. Şifrelenmemiş bağlantılar, man-in-the-middle saldırılarına davetiye çıkarır. Uygun policy ile, sunucu TLS desteklemeyen istemcileri reddedebilir veya fallback mekanizmaları devreye sokabilir. Pratikte, bu ayarlar sunucu performansını etkilemez ancak loglama ve sertifika yönetimi gerektirir. Başarılı bir yapılandırma, MX kayıtlarının SPF, DKIM ile entegre edilerek tam güvenlik zinciri oluşturur.

Postfix Mail Server’da TLS Policy Yapılandırması

Ana Yapılandırma Dosyasını Düzenleme

Postfix kurulumunda, /etc/postfix/main.cf dosyasını nano veya vim ile açın. smtpd_tls_security_level = encrypt parametresini ekleyin; bu, incoming bağlantılarda TLS’i zorunlu kılar. smtp_tls_security_level = encrypt ile outgoing trafiği de şifreleyin. smtpd_tls_cert_file = /etc/ssl/certs/mailserver.crt ve smtpd_tls_key_file = /etc/ssl/private/mailserver.key satırlarını sertifika yollarınızla güncelleyin. Değişiklikleri postfix reload komutuyla etkinleştirin. Bu adımlar, Let’s Encrypt gibi ücretsiz CA’lerden alınan sertifikalarla uyumludur ve otomatik yenileme için cron job’lar eklenebilir.

İleri Düzey Parametreler

TLS versiyonlarını sınırlamak için smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1 ekleyin; yalnızca TLS 1.2+ destekleyin. smtpd_tls_exclude_ciphers parametresiyle zayıf şifrelemeleri engelleyin, örneğin HIGH:!aNULL:!MD5:!RC4. Bu ayarlar, OpenSSL kütüphanesine dayanır ve sunucu yeniden başlatılmadan uygulanır. Logları /var/log/maillog’da izleyerek, TLS handshake hatalarını tespit edin. Pratik örnek: Bir kurumsal sunucuda bu policy ile %99 TLS uyumluluğu sağlanır.

Yaygın TLS Policy Seçenekleri ve Uygulamalar

Postfix’te dört ana policy seviyesi vardır: none (şifreleme yok), may (isteğe bağlı), encrypt (zorunlu TLS) ve dane (DANE protokolüyle). Kurumsal tercihiniz encrypt olmalı, çünkü Opportunistic TLS yerine Mandatory TLS güvenlik sağlar. Outgoing için may yeterli olabilir, ancak relay sunucularında encrypt önerilir. Bu seçenekler, main.cf’de ayrı ayrı tanımlanır ve master.cf ile transport bazlı özelleştirilir.

• Encrypt Politikası: Tüm bağlantıları şifreler, fallback yok; en güvenli seçenek.
• May Politikası: TLS destekli bağlantıları tercih eder, uyumsuzlukta plaintext’e döner; geçiş dönemleri için ideal.
• Dane Politikası: DNSSEC tabanlı sertifika doğrulaması ekler, gelişmiş güvenlik için.

Uygulamada, policy’leri test etmek için openssl s_client -connect mailserver.example.com:465 komutunu kullanın. Başarılı handshake, “Verify return code: 0 (ok)” ile doğrulanır. Kurumsal ağlarda, bu ayarlar firewall kurallarıyla (port 465 SMTPS, 587 Submission) entegre edilerek tam koruma sağlanır.

TLS policy ayarlarını doğru yapılandırarak, mail sunucunuzu modern tehditlere karşı güçlendirebilirsiniz. Düzenli sertifika yenileme, log analizi ve policy güncellemeleriyle uzun vadeli güvenlik elde edin. Bu adımları uygulayarak, e-posta altyapınızı kurumsal standartlara ulaştırın ve kesintisiz şifreli iletişim sağlayın.