Merhabalar, Yeni sunucu kurulumu yapanlara yardımcı olması açısından paylaşıyorum, işinize yarar dostlarım


ACL Options

  1. Apache SpamAssassin™ reject spam score threshold
    • Varsayılan: No reject rule by spam score.
    • Ayar: SpamAssassin’e göre spam olarak işaretlenen e-postaları otomatik olarak reddetmek istiyorsanız, bir eşiği belirleyin. Öneri: Spam seviyesini 5.0 olarak ayarlayarak orta seviyede koruma sağlayabilirsiniz.
  2. Dictionary attack protection
    • Varsayılan: Off
    • Ayar: Spam saldırılarına karşı koruma sağlar. Öneri:On yaparak korumayı etkinleştirin.
  3. Reject remote mail sent to the server’s hostname
    • Varsayılan: Off
    • Ayar: Sunucu ana makine adına gönderilen e-postaları reddetmek için kullanılır. Öneri:On yaparak spam gelen e-postaları engelleyin.
  4. Enable Apache SpamAssassin™ for secondary MX domains
    • Varsayılan: Off
    • Ayar: İkincil MX alan adlarında SpamAssassin’i etkinleştirir. Öneri:On yapın.
  5. Ratelimit suspicious SMTP servers
    • Varsayılan: Off
    • Ayar: Şüpheli SMTP sunucularına gelen bağlantıları sınırlar. Öneri:On yaparak şüpheli e-postaları azaltabilirsiniz.
  6. Apache SpamAssassin™: ratelimit spam score threshold
    • Varsayılan: No ratelimiting by spam score.
    • Ayar: Spam olarak işaretlenen iletilere hız sınırlaması ekler. Öneri: 10.0 puan üstü iletiler için sınırlama uygulayabilirsiniz.
  7. Ratelimit incoming connections with only failed recipients
    • Varsayılan: Off
    • Ayar: Hedefi olmayan e-postalar için bağlantı sınırlaması. Öneri:On yaparak sunucu yükünü azaltabilirsiniz.
  8. Require HELO before MAIL
    • Varsayılan: Off
    • Ayar: SMTP protokolüne göre HELO komutunu zorunlu kılar. Öneri:On yaparak düzgün e-posta davranışını zorunlu kılın.
  9. Introduce a delay into the SMTP transaction for unknown hosts and messages detected as spam
    • Varsayılan: Off
    • Ayar: Bilinmeyen sunuculardan gelen iletiler için gecikme ekler. Öneri:On yaparak spam gönderimlerini yavaşlatabilirsiniz.
  10. Do not delay the SMTP connections for hosts in the Greylisting “Trusted Hosts” list
    • Varsayılan: Off
    • Ayar: Güvenilir sunucular için gecikmeyi devre dışı bırakır. Öneri:On yaparak güvenilir bağlantıları hızlandırın.
  11. Require remote (hostname/IP address) HELO
    • Varsayılan: Off
    • Ayar: Bağlantı kuran sunucuların geçerli bir HELO komutu göndermesini zorunlu kılar. Öneri:On yapın.
  12. Require RFC-compliant HELO
    • Varsayılan: Off
    • Ayar: RFC standardına uygun bir HELO komutunu zorunlu kılar. Öneri:On yaparak standartlara uygun olmayan bağlantıları reddedin.
  13. Allow DKIM verification for incoming messages
    • Varsayılan: Off
    • Ayar: Gelen iletiler için DKIM doğrulamasını etkinleştirir. Öneri:On yaparak e-postaların güvenilirliğini kontrol edin.
  14. Reject DKIM failures
    • Varsayılan: Off
    • Ayar: DKIM doğrulaması başarısız olan e-postaları reddeder. Öneri:On yaparak sahte e-postaları engelleyin.
  15. Maximum message recipients (soft limit)
    • Varsayılan: No rejection based on number of recipients.
    • Ayar: Aynı anda gönderilebilecek maksimum alıcı sayısını sınırlayın. Öneri: 50-100 arasında bir sınır belirleyebilirsiniz.
  16. Maximum message recipients before disconnect (hard limit)
    • Varsayılan: No disconnection based on number of recipients.
    • Ayar: Aynı anda gönderilebilecek maksimum alıcı sayısını sınırlayın. Öneri: Maksimum 100.

Access Lists (Erişim Listeleri)

  1. Blacklisted SMTP IP addresses
    • Ayar: Kara listeye alınmış IP adreslerini içerir. Bu listede yer alan IP adresleri, sunucuya erişim sağlayamaz ve e-posta gönderemezler. Spam göndericileri ve istenmeyen bağlantılar bu listeye eklenir.
    • Öneri:Edit seçeneği ile spam veya kötü niyetli IP adreslerini kara listeye ekleyin. Kara listeye eklemek istediğiniz IP adreslerini güvenilir kaynaklardan tespit edin ve listeyi düzenli olarak güncelleyin.
  2. Sender verification bypass IP addresses
    • Ayar: Bu listede yer alan IP adresleri, gönderen doğrulamasından muaf tutulur. Genellikle güvenilir sunucular ve ağlar için kullanılır.
    • Öneri:Edit seçeneği ile güvenilir sunucu ve hizmetlerin IP adreslerini bu listeye ekleyerek doğrulama adımını atlayabilirsiniz. Ancak, yalnızca tamamen güvendiğiniz IP adreslerini bu listeye ekleyin.
  3. Only-verify-recipient
    • Ayar: Gönderici doğrulaması yapmadan yalnızca alıcı doğrulaması yapılan IP adresleri burada tanımlanır.
    • Öneri: Eğer belirli bir ağ üzerinde yalnızca alıcı doğrulaması yapmanız gerekiyorsa, bu ayarı kullanabilirsiniz. Edit seçeneği ile ilgili IP’leri ekleyin.
  4. Trusted SMTP IP addresses
    • Ayar: Güvenilir SMTP IP adreslerini içerir. Bu IP adresleri, sunucuya bağlanırken daha az kısıtlamayla işlem yapabilirler.
    • Öneri:Edit seçeneği ile güvenilir SMTP IP adreslerini ekleyerek bu IP’lerin sorunsuz e-posta göndermesine izin verin. Güvenilir e-posta sunucularınızı ve hizmetlerinizi ekleyin.
  5. Backup MX hosts
    • Ayar: Yedek MX (Mail Exchange) sunucularının IP adreslerini içerir. E-posta tesliminde birincil sunucuya erişilemediğinde yedek sunucular devreye girer.
    • Öneri:Edit seçeneği ile güvenilir yedek MX sunucularını ekleyin. Bu, sunucu erişim sorunları yaşandığında e-posta teslimatını kesintisiz hale getirir.
  6. Trusted mail users
    • Ayar: Güvenilir posta kullanıcılarını tanımlar. Bu kullanıcılar, daha az güvenlik kısıtlaması ile e-posta gönderebilir ve alabilirler.
    • Öneri:Edit seçeneği ile güvenilir e-posta kullanıcılarınızı ekleyerek bu kullanıcıların e-posta alışverişlerinde kısıtlamalara takılmasını engelleyebilirsiniz.
  7. Blocked Domains
    • Ayar: Engellenen alan adlarını içerir. Bu listede yer alan alan adlarından gelen e-postalar sunucuya ulaşmaz ve engellenir.
    • Öneri:Manage seçeneği ile spam veya kötü amaçlı e-posta gönderen alan adlarını bu listeye ekleyerek sunucunuza gelen gereksiz e-postaları engelleyebilirsiniz.
  8. Blocked Countries
    • Ayar: Engellenen ülkeleri içerir. Bu ülkelerden gelen tüm e-posta trafiği engellenir. Özellikle belirli bölgelerden gelen spam veya kötü amaçlı e-posta trafiğini engellemek için kullanılır.
    • Öneri:Manage seçeneği ile belirli ülkelerden gelen e-posta trafiğini engelleyebilirsiniz. Ülkelerden gelen spam trafiği yüksekse, bu ayar oldukça faydalı olabilir.

Domains and IPs (Alan Adları ve IP’ler)

  1. Send mail from the account’s IP address
    • Varsayılan: Off
    • Ayar: Bu ayar etkinleştirildiğinde, her alan adına atanmış olan IP adresi üzerinden e-posta gönderilir. Bu, her alan adının kendine özgü IP adresinden e-posta göndermesini sağlar.
    • Öneri:On yaparak, her alan adının kendi IP’sinden e-posta göndermesini sağlayabilirsiniz. Bu, e-posta iletiminde IP tabanlı ayrım sağlar ve bazen spam algılama açısından yararlı olabilir.
  2. Use the reverse DNS entry for the mail HELO/EHLO if available
    • Varsayılan: Off
    • Ayar: Ters DNS (RDNS) girdisi mevcutsa, e-posta sunucusu HELO/EHLO komutunda bu girdiyi kullanır. Ters DNS, bir IP adresinin hangi alan adına ait olduğunu doğrulamak için kullanılır.
    • Öneri:On yaparak, ters DNS girişini etkinleştirin. Bu, e-posta sunucularının IP adresinizi alan adınızla eşleştirmesine yardımcı olur ve genellikle e-posta güvenilirliğini artırır.
  3. Rebuild Reverse DNS Cache and Update Mail HELO
    • Ayar: Ters DNS önbelleğini yeniden oluşturur ve HELO komutunu günceller. Bu, ters DNS bilgilerinin güncellenmesini sağlar.
    • Öneri: Ters DNS yapılandırmalarında bir değişiklik yaptıysanız bu seçeneği kullanarak önbelleği yenileyin.
  4. Reference /etc/mailhelo for custom outgoing SMTP HELO
    • Varsayılan: Off
    • Ayar: Özel SMTP HELO komutlarını kullanmak için /etc/mailhelo dosyasını referans alır. HELO komutu, SMTP sunucuları arasında bağlantı kurulurken kullanılan bir tanıtma komutudur.
    • Öneri: Eğer farklı alan adları için özel HELO değerleri kullanıyorsanız, bu ayarı On yaparak özel yapılandırmaları etkinleştirebilirsiniz.
  5. Reference /etc/mailips for custom IP on outgoing SMTP connections
    • Varsayılan: Off
    • Ayar: Giden SMTP bağlantılarında özel IP adresleri kullanmak için /etc/mailips dosyasını referans alır. Bu ayar, her alan adının belirli bir IP adresi üzerinden e-posta göndermesini sağlar.
    • Öneri:On yaparak, her alan adı için özel IP adreslerini yapılandırın. Bu, IP adresi yönetimi açısından faydalı olabilir ve her alan adının farklı bir IP üzerinden e-posta göndermesine imkan tanır.

Filters (Filtreler)

  1. System Filter File
    • Varsayılan: /etc/cpanel_exim_system_filter
    • Ayar: Bu dosya, sunucudaki genel e-posta filtreleme kurallarını tanımlar. Gelen ve giden e-postalara uygulanan filtreler bu dosyada belirtilir.
    • Öneri: Varsayılan filtreleme dosyasını kullanın. Eğer özel filtreleme kuralları tanımlamanız gerekiyorsa bu dosyayı düzenleyebilir ve sunucunuzdaki e-posta trafiğini daha iyi yönetebilirsiniz.
  2. Attachments: Filter messages with dangerous attachments
    • Varsayılan: Off
    • Ayar: Tehlikeli ekleri içeren e-postaları filtreler. Bu ayar, zararlı yazılım veya virüs içeren dosya eklerinin sunucuya ulaşmasını engeller.
    • Öneri:On yaparak tehlikeli ekleri filtreleyin. Bu, özellikle güvenliği artırmak için önemli bir adımdır ve kötü amaçlı yazılımların sunucunuza erişmesini önler.
  3. Apache SpamAssassin™: Global Subject Rewrite
    • Varsayılan: Off
    • Ayar: SpamAssassin’in spam olarak işaretlediği iletilerin konu başlığını değiştirir. Bu, kullanıcıların spam e-postaları daha kolay ayırt etmesine yardımcı olur.
    • Öneri:On yaparak spam e-postaların konu başlığına bir önek ekleyebilirsiniz (örneğin: ***SPAM***). Bu, kullanıcıların spam iletileri kolayca fark etmelerini sağlar.
  4. Apache SpamAssassin™: bounce spam score threshold
    • Varsayılan: No bouncing by spam score
    • Ayar: Belirli bir spam puanını aşan iletileri geri gönderir (bounce). Ancak, spam sunucuların bu özelliği kötüye kullanma riski vardır.
    • Öneri: Varsayılan ayarı kullanarak, geri gönderme işlemlerini devre dışı bırakabilirsiniz. Bu, sunucunuzun spam karşıtı bir hedef haline gelmesini önler.
  5. Apache SpamAssassin™: X-Spam-Subject/Subject header prefix for spam emails
    • Varsayılan: ***SPAM***
    • Ayar: SpamAssassin, spam olarak işaretlenen e-postaların konu başlığına bir önek ekler. Bu, spam e-postaların fark edilmesini kolaylaştırır.
    • Öneri: Varsayılan olarak bırakın (***SPAM***). Bu ayar, spam e-postaların kolayca tanımlanmasını sağlar ve kullanıcı deneyimini iyileştirir.

Mail Ayarları

  1. Log sender rates in the exim mainlog
    • Varsayılan: Off
    • Ayar: Gönderen oranlarını Exim ana log dosyasında kaydeder. Bu, spam gönderimlerini takip etmek için faydalıdır.
    • Öneri:On yaparak, sorunları veya spam gönderenleri izlemek için log tutun.
  2. Sender Verification Callouts
    • Varsayılan: Off
    • Ayar: Gönderenin e-posta adresinin doğrulanmasını sağlar. Bu, sahte gönderen adreslerini engellemeye yardımcı olur.
    • Öneri:On yaparak sahte e-posta adreslerini engelleyin.
  3. Smarthost support
    • Varsayılan: None
    • Ayar: Giden e-postaların Smarthost üzerinden yönlendirilmesini sağlar. Smarthost, başka bir SMTP sunucusuna e-posta gönderimidir.
    • Öneri: Eğer bir Smarthost kullanıyorsanız, bu ayarları yapabilirsiniz.
    • Smarthost requires SMTP authentication: On yaparak, Smarthost’un kimlik doğrulama istemesini sağlayın.
    • Smarthost username ve password: Smarthost SMTP kimlik doğrulama bilgilerinizi buraya girin.
  4. Autodiscovery SPF include hosts from the smarthost route list
    • Varsayılan: Off
    • Ayar: Smarthost üzerinden yönlendirilen e-postalar için SPF (Sender Policy Framework) doğrulamasını etkinleştirir.
    • Öneri:On yaparak SPF doğrulamasını aktif hale getirin.
  5. SPF include hosts for all domains on this system
    • Varsayılan: None
    • Ayar: Tüm alan adları için SPF doğrulama hostlarını ekler.
    • Öneri: Eğer SPF koruması kullanıyorsanız, buraya ilgili SPF hostlarını ekleyin.
  6. EXPERIMENTAL: Enable ARC signing for outgoing mail
    • Varsayılan: Off
    • Ayar: Giden iletiler için ARC (Authenticated Received Chain) imzalama işlemini etkinleştirir. ARC, e-posta iletim zincirinde doğrulama sağlar.
    • Öneri:On yaparak bu özelliği test edebilirsiniz.
  7. EXPERIMENTAL: Rewrite From: header to match actual sender
    • Varsayılan: disable
    • Ayar: Gönderici e-posta başlıklarını, gerçek gönderenle eşleşecek şekilde yeniden yazar.
    • Öneri:remote seçeneğini kullanarak, uzaktan gönderilen iletiler için bu işlevi etkinleştirebilirsiniz.
  8. Allow mail delivery if malware scanner fails
    • Varsayılan: On
    • Ayar: Zararlı yazılım tarayıcısı başarısız olsa bile posta teslimatına izin verir.
    • Öneri: Güvenlik açısından Off yaparak zararlı yazılım tarayıcısı başarısız olduğunda e-postaların engellenmesini sağlayın.
  9. Sender Verification
    • Varsayılan: Off
    • Ayar: Gönderen doğrulaması yapar.
    • Öneri:On yaparak sahte gönderen adreslerinden gelen e-postaları engelleyin.
  10. Set SMTP Sender: headers
    • Varsayılan: Off
    • Ayar: SMTP gönderici başlıklarını belirler.
    • Öneri:On yaparak doğru gönderici bilgilerini sağlayın.
  11. Allow mail delivery if spam scanner fails
    • Varsayılan: Off
    • Ayar: Spam tarayıcısı başarısız olsa bile e-posta teslimatına izin verir.
    • Öneri:Off yaparak spam tarayıcısının başarısız olduğu durumlarda teslimatı durdurun.
  12. Enable Sender Rewriting Scheme (SRS) Support
    • Varsayılan: Off
    • Ayar: Gönderici adreslerinin değiştirilmesi için SRS desteğini etkinleştirir.
    • Öneri:On yaparak bu desteği aktif hale getirin.
  13. Query Apache server status to determine the sender of email sent from processes running as nobody
    • Varsayılan: Off
    • Ayar: Apache sunucusu üzerindeki nobody kullanıcı işlemleriyle gönderilen e-postaların gerçek gönderenini bulmak için sunucu durumunu sorgular.
    • Öneri:On yaparak daha doğru log takibi sağlayın.
  14. Trust X-PHP-Script headers to determine the sender of email sent from processes running as nobody
    • Varsayılan: Off
    • Ayar: X-PHP-Script başlıklarına güvenerek nobody kullanıcıları tarafından gönderilen e-postaların gerçek gönderenini belirler.
    • Öneri:On yaparak bu başlıkları doğrulama için kullanın.

RBLs (Realtime Blackhole List) Ayarları

  1. RBL: bl.spamcop.net
    • Varsayılan: Off
    • Ayar: SpamCop RBL’yi (spam IP’lerini içeren liste) etkinleştirir.
    • Öneri:On yaparak spam gönderen IP adreslerini engelleyin.
  2. RBL: zen.spamhaus.org
    • Varsayılan: Off
    • Ayar: Spamhaus RBL’yi etkinleştirir.
    • Öneri:On yaparak spam gönderen IP adreslerini engelleyin.
  3. Exempt servers in the same netblock as this one from RBL checks
    • Varsayılan: Off
    • Ayar: Aynı ağ bloğundaki sunucuları RBL kontrollerinden muaf tutar.
    • Öneri: Eğer güvenilir bir ağda iseniz, On yapabilirsiniz.
  4. Exempt servers in the Greylisting “Common Mail Providers” list from RBL checks
    • Varsayılan: Off
    • Ayar: Yaygın posta sağlayıcılarının RBL kontrollerinden muaf tutulmasını sağlar.
    • Öneri:On yaparak yaygın sağlayıcıların performansını artırabilirsiniz.
  5. Exempt servers in the Greylisting “Trusted Hosts” list from RBL checks
    • Varsayılan: Off
    • Ayar: Güvenilir sunucuları RBL kontrollerinden muaf tutar.
    • Öneri: Eğer güvenilir bir ağda çalışıyorsanız, On yapabilirsiniz.

Security Ayarları (SSL/TLS ve Güvenlik Yapılandırmaları)

  1. Allow weak SSL/TLS ciphers
    • Varsayılan: Off
    • Ayar: Zayıf SSL/TLS şifreleme yöntemlerini devre dışı bırakır. Bu, sunucunun güvenliğini artırır çünkü zayıf şifrelemeler saldırılara karşı daha hassastır.
    • Öneri:Off bırakın. Zayıf şifreleme yöntemlerini devre dışı bırakarak güvenliği artırın.
  2. Require clients to connect with SSL or issue the STARTTLS command before they are allowed to authenticate with the server
    • Varsayılan: Off
    • Ayar: Bağlantılar SSL/TLS olmadan sunucuya erişemez. Bu ayar, istemcilerin sunucuya bağlanmadan önce güvenli bir bağlantı kurmalarını zorunlu kılar.
    • Öneri:On yapın, bu sayede tüm bağlantılar SSL veya STARTTLS komutunu kullanarak güvenli bir bağlantı kurmalıdır. Bu, güvenlik açısından önemli bir adımdır.
  3. Options for OpenSSL
    • Varsayılan: +no_sslv2 +no_sslv3 +no_tlsv1 +no_tlsv1_1
    • Ayar: SSLv2, SSLv3, TLSv1 ve TLSv1.1 gibi eski ve güvensiz protokolleri devre dışı bırakır.
    • Öneri: Bu ayarları değiştirmeden bırakın. Eski protokollerin devre dışı kalması güvenliği artırır.
  4. SSL/TLS Cipher Suite List
    • Varsayılan: ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305HE-RSA-AES128-GCM-SHA256HE-RSA-AES256-GCM-SHA384
    • Ayar: Güçlü ve güvenilir SSL/TLS şifrelemelerini kullanır. Bu şifreleme yöntemleri, veri iletişimini güvenli hale getirir.
    • Öneri: Varsayılan listeyi kullanın. Bu, güvenlik ve performans açısından ideal bir seçimdir.

Apache SpamAssassin™ Ayarları

  1. Apache SpamAssassin™: Forced Global ON
    • Varsayılan: Off
    • Ayar: SpamAssassin’i tüm alan adları ve kullanıcılar için zorunlu hale getirir.
    • Öneri:On yaparak SpamAssassin’in tüm iletileri taramasını sağlayın.
  2. Apache SpamAssassin™: message size threshold to scan
    • Varsayılan: 1000 KB
    • Ayar: SpamAssassin’in tarayacağı maksimum e-posta boyutunu belirler.
    • Öneri: Varsayılan değeri kullanın. 1000 KB üzerinde olan iletilerin taranmasını istemiyorsanız bu sınırı artırabilirsiniz.
  3. Scan outgoing messages for spam and reject based on the Apache SpamAssassin™ internal spam_score setting
    • Varsayılan: Off
    • Ayar: Gönderilen iletileri tarayıp spam puanına göre reddeder.
    • Öneri:On yaparak çıkış yapan iletilerin de spam olup olmadığını kontrol edin.
  4. Scan outgoing messages for spam and reject based on defined Apache SpamAssassin™ score
    • Varsayılan: Disabled
    • Ayar: Belirli bir spam puanı eşiğine göre çıkış yapan iletileri tarar ve reddeder.
    • Öneri: Spam puanı 5.0 veya 7.0 olarak belirleyebilirsiniz.
  5. Do not forward mail to external recipients if it matches the Apache SpamAssassin™ internal spam_score setting
    • Varsayılan: Off
    • Ayar: E-posta spam puanı belirli bir seviyenin üzerindeyse dış alıcılara iletilmez.
    • Öneri:On yaparak spam iletilerin dış alıcılara iletilmesini engelleyin.
  6. Enable BAYES_POISON_DEFENSE Apache SpamAssassin™ ruleset
    • Varsayılan: Off
    • Ayar: Bayes filtresine karşı koruma sağlar.
    • Öneri:On yaparak Bayes filtresinin zehirlenmesine karşı koruma sağlayın.
  7. Enable Passive OS Fingerprinting for Apache SpamAssassin™
    • Varsayılan: Off
    • Ayar: Gelen e-postaların işletim sistemi parmak izini alır ve SpamAssassin kurallarına göre analiz eder.
    • Öneri:On yaparak güvenlik analizini genişletin.
  8. Enable KAM Apache SpamAssassin™ ruleset
    • Varsayılan: Off
    • Ayar: KAM kurallar setini etkinleştirir, bu set spam tespiti için gelişmiş kurallar içerir.
    • Öneri:On yaparak daha gelişmiş spam tespiti sağlayabilirsiniz.
  9. Enable the Apache SpamAssassin™ ruleset that cPanel uses on cpanel.net
    • Varsayılan: Off
    • Ayar: cPanel’in kullandığı SpamAssassin kural setini etkinleştirir.
    • Öneri:On yaparak bu ek kurallardan faydalanabilirsiniz.


Kaynak: cPanel EXIM yapılandırması Full