MTA-STS ve TLS-RPT Nedir? E-posta Trafiğinizi Zorunlu TLS ile Şifreleme Rehberi

Q: MTA-STS gönderdiğim postaları mı, bana geleni mi korur?

Alan adınızın MTA-STS politikası size gelen postada TLS'i zorunlu kılar; gönderen sunucular politikanızı okur. Giden postalarınızın şifreli gitmesi için gönderdiğiniz alanların politikalarına sizin sunucunuzun uyması gerekir.

Q: enforce moduna hemen geçebilir miyim?

Önerilmez. Önce testing modunda TLS-RPT raporlarıyla MX/sertifika sorunlarını ayıklayın. Hatalı sertifika veya eksik MX ile doğrudan enforce'a geçmek, gelen meşru postaların reddedilmesine yol açabilir.

Q: MTA-STS teslim edilebilirliğimi etkiler mi?

Doğru kurulduğunda olumlu; güvenlik duruşunu güçlendirir. Geçersiz sertifika ile enforce moduna geçmek ise gelen postayı engelleyebilir. Bu yüzden testing modunda doğrulama şarttır.

SPF, DKIM ve DMARC e-postanın kimliğini doğrular — ama mesaj sunucular arasında giderken şifreli gittiğini garanti etmez. SMTP, şifreleme zorunluluğu olmadan tasarlandı; STARTTLS ise “fırsatçı” (opportunistic) çalışır ve bir saldırgan tarafından devre dışı bırakılabilir (downgrade/stripping saldırısı), bu da e-postalarınızın düz metin olarak dinlenmesine yol açabilir. İşte MTA-STS tam burada devreye girer: alan adınıza gelen postada TLS’i zorunlu kılar. TLS-RPT ise bu süreçteki başarısızlıkları raporlar. Bu rehberde ikisinin de ne olduğunu ve adım adım nasıl kurulacağını anlatıyoruz.

MTA-STS Nedir?

MTA-STS (Mail Transfer Agent Strict Transport Security), alan adınıza e-posta gönderen sunuculara “bana yalnızca geçerli bir TLS bağlantısı üzerinden teslimat yap” talimatını veren bir standarttır. Gönderen sunucu, alan adınızın MTA-STS politikasını okur; MX sunucunuz geçerli bir sertifikayla TLS sunamıyorsa teslimatı yapmaz (enforce modunda). Böylece düz metin teslimatı ve TLS-stripping saldırıları engellenir.

Neden Gerekli? STARTTLS’in Zayıflığı

Klasik STARTTLS fırsatçıdır: “TLS varsa kullan, yoksa düz metin gönder.” Araya giren bir saldırgan, sunucular arasındaki STARTTLS reklamını kaldırarak bağlantıyı düz metne düşürebilir (downgrade). Bu durumda e-postalarınız şifresiz iletilir ve okunabilir. MTA-STS, “TLS olmadan teslimat yok” diyerek bu açığı kapatır — gönderen sunucu politikanızı bildiği için saldırgan TLS’i kaldıramaz.

MTA-STS Nasıl Çalışır?

İki parçadan oluşur:

DNS TXT kaydı: _mta-sts.alanadi.com altında politikanın varlığını ve sürümünü bildiren bir kayıt.
HTTPS politika dosyası: https://mta-sts.alanadi.com/.well-known/mta-sts.txt adresinde, izin verilen MX’leri ve modu belirten bir dosya.

Politika dosyasındaki mode üç değerden biri olur:

none: Politika yok/iptal.
testing: Kurallar uygulanmaz ama ihlaller TLS-RPT ile raporlanır (güvenli başlangıç modu).
enforce: TLS zorunlu; uymayan teslimat reddedilir.

TLS-RPT (TLS Raporlama) Nedir?

TLS-RPT, alan adınıza teslimat yapan sağlayıcıların TLS bağlantı sorunlarını size raporlamasını sağlar. _smtp._tls.alanadi.com altında bir TXT kaydıyla rapor adresinizi (genellikle bir e-posta veya HTTPS uç noktası) bildirirsiniz. Böylece “kimler bana TLS olmadan ulaşmaya çalıştı, sertifika hatası yaşadı” gibi sorunları görür ve sessiz teslimat kayıplarını erkenden yakalarsınız. MTA-STS’i her zaman TLS-RPT ile birlikte kurun — özellikle testing modunda görünürlük şarttır.

Adım Adım MTA-STS Kurulumu

MX’lerinizin TLS’ini doğrulayın. Tüm MX sunucularınız, hostname’iyle eşleşen geçerli bir TLS sertifikası sunmalıdır. MX kayıtlarınızı MX sorgulama aracıyla kontrol edin.
Politika dosyasını yayımlayın. mta-sts alt alan adını HTTPS ile yayına alın ve /.well-known/mta-sts.txt dosyasını koyun (version, mode, izinli mx’ler, max_age).
_mta-sts TXT kaydını ekleyin. Örnek: _mta-sts.alanadi.com TXT "v=STSv1; id=2026062301" (politika değiştikçe id güncellenir).
TLS-RPT ekleyin. _smtp._tls.alanadi.com TXT "v=TLSRPTv1; rua=mailto:tls-raporlari@alanadi.com"
testing moduyla başlayın. Birkaç hafta raporları izleyin; sertifika/MX sorunu yoksa enforce moduna geçin.

MX sunucunuzun güçlü TLS yapılandırması için yönetilen bir Zimbra mail sunucusu ve geçerli sertifika için IHS SSL çözümleri işinizi kolaylaştırır.

MTA-STS, SPF/DKIM/DMARC’tan Farkı Nedir?

Bunlar farklı katmanlarda çalışır ve birbirini tamamlar:

SPF/DKIM/DMARC: Mesajın kimliğini doğrular (kim gönderdi, sahte mi).
BIMI: Doğrulanmış kimlikle marka logosunu gösterir.
MTA-STS/TLS-RPT: Mesajın taşınmasını şifreler ve şifresiz teslimatı engeller.

Yani MTA-STS, DMARC’ın alternatifi değil; e-posta güvenliğinizin taşıma şifreleme ayağıdır. İkisini birlikte kullanmak en sağlamıdır.

Sık Sorulan Sorular

MTA-STS gönderdiğim postaları mı, bana geleni mi korur?

Alan adınızın MTA-STS politikası, size gelen postada TLS’i zorunlu kılar (gönderen sunucular politikanızı okur). Giden postalarınızın şifreli gitmesi için, gönderdiğiniz alanların MTA-STS politikalarına gönderen sunucunuzun uyması gerekir — bu yüzden standart karşılıklı yaygınlaştıkça herkes kazanır.

enforce moduna hemen geçebilir miyim?

Önerilmez. Önce testing modunda TLS-RPT raporlarıyla MX/sertifika sorunlarını ayıklayın. Hatalı bir sertifika veya eksik MX ile doğrudan enforce‘a geçmek, size gelen meşru postaların reddedilmesine yol açabilir.

MTA-STS, teslim edilebilirliğimi etkiler mi?

Doğru kurulduğunda olumlu; güvenlik duruşunuzu güçlendirir ve büyük sağlayıcılar nezdinde güven verir. Yanlış (geçersiz sertifika + enforce) kurulduğunda gelen postayı engelleyebilir. Genel teslimat sağlığınız için e-posta sağlık kontrolünü ve teslim edilebilirlik rehberini kullanın.

Özet: MTA-STS + TLS-RPT, e-posta trafiğinizi araya girme ve dinlemeye karşı şifreleyen modern bir güvenlik katmanıdır. MX TLS’inizi doğrulayın, politikayı testing ile yayımlayıp TLS-RPT raporlarını izleyin, sorun yoksa enforce‘a geçin. Bunu SPF/DKIM/DMARC ve BIMI ile birlikte uygulayarak e-posta güvenliğinizi uçtan uca tamamlayın.