Mail Server’da TLS Cipher Suite Sertleştirme
Mail sunucularında TLS (Transport Layer Security) protokolünün doğru yapılandırılması, e-posta trafiğinin güvenliğini sağlamak için kritik öneme sahiptir.
Mail sunucularında TLS (Transport Layer Security) protokolünün doğru yapılandırılması, e-posta trafiğinin güvenliğini sağlamak için kritik öneme sahiptir. TLS Cipher Suite sertleştirme işlemi, sunucunuzun desteklediği şifreleme algoritmalarını (cipher suite’leri) yalnızca en güvenli ve modern olanlarla sınırlayarak, potansiyel güvenlik açıklarını minimize eder. Bu yaklaşım, eski ve zayıf cipher’ların kullanımını engelleyerek, man-in-the-middle saldırıları, downgrade saldırılarını ve kriptografik zayıflıkları önler. Özellikle Postfix, Sendmail veya Dovecot gibi popüler mail sunucularında bu sertleştirme, standart konfigürasyonlardan başlayarak adım adım gerçekleştirilebilir. Bu makalede, kurumsal ortamlar için pratik rehberlik sunarak, cipher suite’leri nasıl optimize edeceğinizi detaylıca ele alacağız. Sonuçta, sertleştirilmiş bir TLS yapılandırması, uyumluluk standartlarını (örneğin PCI DSS veya GDPR) karşılamanıza yardımcı olurken, veri bütünlüğünü ve gizliliğini maksimize eder.
TLS Cipher Suite Kavramı ve Mail Sunucularındaki Rolü
TLS cipher suite’leri, TLS el sıkışma sürecinde kullanılan şifreleme algoritmalarının, anahtar değişim yöntemlerinin, mesaj kimlik doğrulama kodlarının ve hash fonksiyonlarının kombinasyonudur. Örneğin, bir cipher suite “ECDHE-RSA-AES256-GCM-SHA384” şeklinde ifade edilir; burada ECDHE mükemmel ileri gizlilik (PFS) sağlar, RSA sertifika doğrulaması yapar, AES256-GCM simetrik şifreleme ve SHA384 hash kullanır. Mail sunucularında, SMTP (Postfix), IMAP/POP3 (Dovecot) gibi protokoller için TLS, istemci-sunucu bağlantılarını korur. Zayıf cipher’lar (örneğin RC4, 3DES veya MD5 içerenler) hala varsayılan olarak etkinse, saldırganlar bunları hedefleyerek bağlantıyı kırabilir.
Kurumsal mail altyapılarında cipher suite sertleştirmesi, yalnızca yüksek güvenlik seviyesi sunan suite’leri etkinleştirerek başlar. OpenSSL kütüphanesine dayalı sunucularda, öncelik sırası modern elliptic curve (ECDHE) tabanlı, GCM modlu AES suite’lere verilir. Bu, hem performans hem de güvenlik dengesi sağlar. Sertleştirme öncesi mevcut konfigürasyonu incelemek için openssl ciphers -v komutunu kullanın; bu, sunucunuzun desteklediği tüm suite’leri listeler ve zayıf olanları belirlemenize yardımcı olur. Pratik takeaway: Her zaman PFS destekleyen suite’leri tercih edin, çünkü oturum anahtarları her bağlantıda yenilenir.
Postfix ve Dovecot İçin Pratik Sertleştirme Adımları
Postfix SMTP sunucusunda sertleştirme, main.cf dosyasını düzenleyerek yapılır. tls_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1 satırını ekleyin; bu eski protokolleri devre dışı bırakır. Ardından, smtp_tls_mandatory_ciphers = high ile smtp_tls_ciphers = high tls_eecdh_strong_curve = secp384r1:secp521r1 tls_eecdh_medium_curve = secp256r1 gibi parametreleri tanımlayın. Önerilen cipher listesi: ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256. Bu liste, yalnızca IETF RFC 7507 ve sonrası standartlara uyan suite’leri içerir. Değişiklik sonrası postfix reload komutu ile uygulayın.
Dovecot IMAP/POP3 Konfigürasyonu
Dovecot için /etc/dovecot/conf.d/10-ssl.conf dosyasını açın ve ssl_protocols = !SSLv2 !SSLv3 !TLSv1 !TLSv1.1 ekleyin. ssl_cipher_list = ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:… şeklinde tanımlayın; yukarıdaki Postfix listesini uyarlayın. ssl_prefer_server_ciphers = yes ile sunucu önceliğini etkinleştirin. Bu, istemcilerin zayıf suite önermesini engeller. Konfigürasyon sonrası dovecot reload ile yeniden yükleyin. Pratik örnek: Bir kurumsal ortamda, bu adımlar 99% uyumlu istemcilerle sorunsuz çalışır; eski Outlook sürümleri için fallback cipher eklemeyin, güncellemeyi teşvik edin.
Sendmail ve Diğer Sunucular İçin Uyarlamalar
Sendmail’de cipher’ları mc dosyasında define(`confSERVER_CIPHER’, `HIGH’) ile ayarlayın ve m4 işleme tabi tutun. Genel OpenSSL tabanlı sunucularda /etc/ssl/openssl.cnf’yi düzenleyerek [system_default_sect] altına CipherString = ECDHE+AESGCM:… ekleyin. Bu global etki yaratır. Her durumda, sertifika zincirini Let’s Encrypt veya kurumsal CA ile güncel tutun; ECDSA tercih edin (RSA’dan daha hızlı). Adım adım doğrulama: tail -f /var/log/maillog ile bağlantıları izleyin, zayıf cipher hatası almamalısınız.
Test Etme, İzleme ve Bakım Stratejileri
Sertleştirmeyi doğrulamak için Qualys SSL Labs testi veya nmap –script ssl-enum-ciphers -p 465,993 sunucu_ip komutunu kullanın; yalnızca A+ veya A puanı hedefleyin. Testmail.org veya checktls.com gibi servislerle pratik SMTP/IMAP testleri yapın. İzleme için Fail2Ban veya OSSEC entegrasyonu ekleyin; loglarda “weak cipher” uyarılarını yakalayın. Düzenli bakım: OpenSSL güncellemeleriyle cipher listesini yenileyin, örneğin TLS 1.3 için otomatik destek etkinleştirin.
Kurumsal ortamda, sertleştirme sonrası %20-30 bant genişliği tasarrufu ve sıfır downgrade riski gözlemlenir. Sürekli izleme script’i örneği: Bir cron job ile openssl s_client -connect localhost:465 -cipher ‘ALL’ | grep “no cipher match” kontrolü yapın. Bu proaktif yaklaşım, kesinti riskini minimize eder ve güvenlik denetimlerinde üstünlük sağlar.
Sonuç olarak, mail sunucunuzda TLS cipher suite sertleştirmesi, güvenlik mimarinizin temel taşlarından biridir. Yukarıdaki adımları uygulayarak, hem mevcut tehditlere karşı koruma sağlar hem de geleceğe dönük uyumluluğu garanti altına alırsınız. Düzenli testler ve güncellemelerle bu yapılandırmayı canlı tutun; böylece e-posta altyapınız en yüksek standartlarda çalışmaya devam eder.
