Mail Server’da DKIM Selector Oluşturma

Mail sunucularında e-posta güvenliğini artırmak için DKIM (DomainKeys Identified Mail) protokolü vazgeçilmez bir unsurdur. DKIM, gönderilen e-postaların dijital imzalarla doğrulanmasını sağlayarak sahteciliği önler ve alıcı sunucuların mesajların orijinal kaynağa ait olduğunu teyit etmesine olanak tanır. Bu süreçte “selector” adı verilen benzersiz bir tanımlayıcı kritik rol oynar. Selector, DKIM anahtar çifti için özel bir isimlendirme mekanizmasıdır ve birden fazla imza anahtar setini yönetmeyi kolaylaştırır. Bu makalede, mail sunucunuzda DKIM selector oluşturma sürecini adım adım ele alacağız. Kurumsal ortamlar için pratik bir rehber sunarak, güvenli e-posta akışını nasıl sağlayacağınızı açıklayacağız.

DKIM Selector Kavramı ve Önemi

DKIM selector, domaininizin altında kullanılan her bir DKIM anahtar çifti için benzersiz bir etiket olarak tanımlanır. Örneğin, “default” veya “2023” gibi isimler selector olarak seçilebilir. Bu yapı, birden fazla anahtar setini aynı domain altında barındırmanıza izin verir; örneğin, farklı mail sunucuları veya zaman bazlı rotasyonlar için. Selector olmadan, DKIM imzaları genel bir anahtara bağlı kalır ve yönetim karmaşıklaşır. Kurumsal ölçekte, selector kullanımı yedekleme, anahtar yenileme ve izleme süreçlerini basitleştirir.

Selector’un önemi, e-posta teslimat oranlarını doğrudan etkiler. Büyük sağlayıcılar gibi Gmail veya Microsoft 365, DKIM doğrulaması yapmazsa mesajları spam klasörüne yönlendirir. Selector ile TXT DNS kaydı şu formatta oluşturulur: selector._domainkey.alanadiniz.com. Bu kayıt, public anahtarı içerir ve alıcı sunucular tarafından sorgulanır. Pratikte, selector seçimi domain politikanıza göre yapılmalı; örneğin, yıllık rotasyon için tarih bazlı isimler tercih edilebilir. Bu yaklaşım, güvenlik açıklarını minimize eder ve uyumluluğu artırır.

DKIM Selector Oluşturma Adımları

Selector oluşturma, anahtar üretimi, DNS entegrasyonu ve sunucu konfigürasyonu olmak üzere üç ana aşamadan oluşur. Bu adımlar, Postfix ve OpenDKIM gibi popüler araçlarla uyumludur. Öncelikle, sunucunuzda OpenDKIM paketini yükleyin ve gerekli dizinleri oluşturun. Ardından, her adımda test ederek ilerleyin ki olası hatalar erken tespit edilsin.

Anahtar Çifti Üretimi

İlk adım, RSA tabanlı 2048-bit veya daha güçlü bir anahtar çifti üretmektir. OpenDKIM ile komut satırından şu şekilde ilerleyin: opendkim-genkey -s selector -d alanadiniz.com. Bu komut, selector.private (özel anahtar) ve selector.txt (public anahtar DNS kaydı) dosyalarını üretir. Özel anahtarı /etc/opendkim/keys/ dizinine taşıyın ve izinleri 600 olarak ayarlayın (chown opendkim:opendkim). Public anahtarı kopyalayın; bu, DNS TXT kaydının gövdesidir. Bu işlem, saniyeler sürer ancak anahtar boyutu ve algoritma seçimi (rsa-sha256 önerilir) güvenliği belirler. Kurumsal olarak, anahtarları düzenli yedekleyin ve HSM entegrasyonu düşünün.

DNS Kaydı Ekleme

DNS panelinizde (örneğin Cloudflare veya cPanel), selector._domainkey.alanadiniz.com için TXT kaydı oluşturun. Değer alanı, produced txt dosyasındaki “v=DKIM1; k=rsa; p=…” satırını içermelidir. p parametresi public anahtarı base64 kodlu olarak barındırır; noktalama işaretlerini kaldırmayı unutmayın. TTL’yi 3600 saniye olarak ayarlayın. Değişikliklerin yayılması 1-48 saat sürebilir; bu sırada dig TXT komutuyla doğrulayın. Selector ile birden fazla kayıt yönetebilirsiniz, örneğin mail1._domainkey ve mail2._domainkey. Bu, yük dengeleme için idealdir ve kesinti riskini azaltır.

Sunucu Konfigürasyonu

OpenDKIM.conf dosyasında KeyTable ve SigningTable’ı güncelleyin. KeyTable’a “* alanadiniz.com:selector:/etc/opendkim/keys/selector.private” satırını ekleyin. SigningTable’a “*@alanadiniz.com selector” yazın. Milter protokolüyle Postfix’e entegre edin: smtpd_milters=inet:localhost:8891. Servisleri yeniden başlatın (systemctl restart opendkim postfix). Logları /var/log/maillog’da izleyin; “DKIM signing successful” mesajı başarıyı gösterir. Bu konfigürasyon, tüm outgoing mailleri otomatik imzalar ve selector rotasyonunu destekler.

Yaygın Hatalar ve Test Yöntemleri

Selector oluştururken sık karşılaşılan hatalar arasında DNS gecikmeleri, anahtar izin sorunları ve yanlış p değeri yer alır. Log analizini ihmal etmeyin; opendkim loglarında “key not found” gibi uyarılar selector eşleşmesini işaret eder. Test için mxtoolbox.com veya dmarcanalyzer gibi araçlar kullanılabilir, ancak komut satırı tercih edin: opendkim-testkey -d alanadiniz.com -s selector. Bu, public anahtarı çeker ve doğrular; “key OK” sonucu beklenir.

Pratik testte, kendi domaininize e-posta gönderin ve header’ları inceleyin: Authentication-Results satırında dkim=pass görmelisiniz. Rotasyon için eski selector’ü devre dışı bırakın ve yeni olanı SigningTable’a taşıyın. Kurumsal denetimlerde, haftalık testler uygulayın. Bu yöntemler, %99+ teslimat oranı sağlar ve DMARC ile entegre çalışır.

Sonuç olarak, DKIM selector oluşturma süreci, mail sunucunuzun güvenilirliğini pekiştirir ve kurumsal itibarınızı korur. Adımları titizlikle uygulayarak, e-posta akışınızı optimize edin. Düzenli bakım ve izleme ile uzun vadeli başarı elde edeceksiniz. Bu rehberi takip ederek, hemen başlayabilirsiniz.