• 29-01-2025, 14:29:21
    #1
    Merhabalar,
    Başlıkta belirttiğim gibi e-posta göndermediğim halde zaman zaman DMARC raporu alıyorum.
    e-Posta kullanıcı adı ve şifrelerimi bitwarden ile 25 karakterli ve "2nNj!$K&@9*#udR8GIEVU65KE" bunun gibi uzun ve komplike şekilde oluşturduğum için şifremin çalındığını düşünmüyorum. Site henüz kurulmadığı için (sadece index.php var ve iletişim formu gibi bir şey yok) hacklendiğini içeri veya sızıldığını düşünmüyorum. Yandex 360 kurumsal üzerinden e-Postamı spama düşmemesi için DKIM vb ayarlı şekilde kullanıyorum. Neden bu raporlamayı alıyorum. Nerede sorun var? Ve nasıl düzeltebilirim? Sorularıma cevap arıyorum. Yandex SMTP için APP şifresi oluşturdum. Ama bu APP şifresini çok basit bir şey otomatik oluşturuluyor. Onu mu hackliyorlar?

    Yardımlarınız için şimdiden TEŞEKKÜRLER ..
  • 29-01-2025, 14:36:20
    #2
    DMARC kaydınız mevcut mu?
  • 29-01-2025, 14:55:17
    #3
    esquare adlı üyeden alıntı: mesajı görüntüle
    DMARC kaydınız mevcut mu?
    Sitemin reklamını yapmamak için site adresimi değiştirdim. Diğer kodlar bu şekilde. Subdomain olmadığı halde böyle "znzsvg" gibi sub domainler var rapor içerisinde. Zaten bu raporuda net olarak anlayamıyorum.

    <?xml version="1.0" encoding="UTF-8" ?>
    <feedback>
    <report_metadata>
    <org_name>google.com</org_name>
    <email>noreply-dmarc-support@google.com</email>
    <extra_contact_info>https://support.google.com/a/answer/2466580</extra_contact_info>
    <report_id>2748787643979177563</report_id>
    <date_range>
    <begin>1737244800</begin>
    <end>1737331199</end>
    </date_range>
    </report_metadata>
    <policy_published>
    <domain>siteadresim.com</domain>
    <adkim>r</adkim>
    <aspf>r</aspf>
    <p>quarantine</p>
    <sp>quarantine</sp>
    <pct>100</pct>
    <np>quarantine</np>
    </policy_published>
    <record>
    <row>
    <source_ip>103.234.39.143</source_ip>
    <count>72</count>
    <policy_evaluated>
    <disposition>quarantine</disposition>
    <dkim>fail</dkim>
    <spf>fail</spf>
    </policy_evaluated>
    </row>
    <identifiers>
    <header_from>znzsvg.siteadresim.com</header_from>
    </identifiers>
    <auth_results>
    <dkim>
    <domain>znzsvg.siteadresim.com</domain>
    <result>fail</result>
    <selector>selector1</selector>
    </dkim>
    <spf>
    <domain>jeremieh.me</domain>
    <result>pass</result>
    </spf>
    </auth_results>
    </record>
    </feedback>
  • 29-01-2025, 15:03:33
    #4
    SyLvesTR94 adlı üyeden alıntı: mesajı görüntüle
    Sitemin reklamını yapmamak için site adresimi değiştirdim. Diğer kodlar bu şekilde. Subdomain olmadığı halde böyle "znzsvg" gibi sub domainler var rapor içerisinde. Zaten bu raporuda net olarak anlayamıyorum.

    <?xml version="1.0" encoding="UTF-8" ?>
    <feedback>
    <report_metadata>
    <org_name>google.com</org_name>
    <email>noreply-dmarc-support@google.com</email>
    <extra_contact_info>https://support.google.com/a/answer/2466580</extra_contact_info>
    <report_id>2748787643979177563</report_id>
    <date_range>
    <begin>1737244800</begin>
    <end>1737331199</end>
    </date_range>
    </report_metadata>
    <policy_published>
    <domain>siteadresim.com</domain>
    <adkim>r</adkim>
    <aspf>r</aspf>
    <p>quarantine</p>
    <sp>quarantine</sp>
    <pct>100</pct>
    <np>quarantine</np>
    </policy_published>
    <record>
    <row>
    <source_ip>103.234.39.143</source_ip>
    <count>72</count>
    <policy_evaluated>
    <disposition>quarantine</disposition>
    <dkim>fail</dkim>
    <spf>fail</spf>
    </policy_evaluated>
    </row>
    <identifiers>
    <header_from>znzsvg.siteadresim.com</header_from>
    </identifiers>
    <auth_results>
    <dkim>
    <domain>znzsvg.siteadresim.com</domain>
    <result>fail</result>
    <selector>selector1</selector>
    </dkim>
    <spf>
    <domain>jeremieh.me</domain>
    <result>pass</result>
    </spf>
    </auth_results>
    </record>
    </feedback>
    Teşekkürler. Alan adınız ile sahte spam postalar gönderilmiş ve spam kutularına düşmüş (103.234.39.143 ip adresi üzerinden 72 adet). DMARC kaydınızdaki "p=quarantine" değerini "p=reject" olarak güncelleyin ve kaydın sonuna "fo=1" değerini ekleyin.


    Örnek kayıt:

    v=DMARC1; p=reject ; rua=mailto:rapor@domain.com; ruf=mailto:hata@domain.com; fo=1
  • 29-01-2025, 15:46:03
    #5
    esquare adlı üyeden alıntı: mesajı görüntüle
    Teşekkürler. Alan adınız ile sahte spam postalar gönderilmiş ve spam kutularına düşmüş (103.234.39.143 ip adresi üzerinden 72 adet). DMARC kaydınızdaki "p=quarantine" değerini "p=reject" olarak güncelleyin ve kaydın sonuna "fo=1" değerini ekleyin.


    Örnek kayıt:

    v=DMARC1; p=reject ; rua=mailto:rapor@domain.com; ruf=mailto:hata@domain.com; fo=1
    SPAM mesaj nasıl gönderilmiş. Bu nasıl oluyor? Henüz sadece index.php google indexledim. Mail adresi bile oluşturmadım. Nasıl spam mesaj gönderiliyor. Akıl mantık almıyor. Peki alan adım zarar görmüş müdür? Nasıl düzeltebilirim. Ne gibi önlemler almalıyım?
  • 29-01-2025, 16:15:42
    #6
    SyLvesTR94 adlı üyeden alıntı: mesajı görüntüle
    SPAM mesaj nasıl gönderilmiş. Bu nasıl oluyor? Henüz sadece index.php google indexledim. Mail adresi bile oluşturmadım. Nasıl spam mesaj gönderiliyor. Akıl mantık almıyor. Peki alan adım zarar görmüş müdür? Nasıl düzeltebilirim. Ne gibi önlemler almalıyım?
    Normal bir durum. Sahte posta göndermek için kullanıcı bilgilerinizi bilmesine gerek yok. Domain uzantınızı kullanarak sahte mailler gönderebilirler. Mailler Vietnam üzerinden gönderilmiş. DMARC kaydı bunun için önemli. DMARC kaydını doğru yapılandırırsanız domain itibarınız korunur. Tabii DMARC kaydı yanında DKIM ve SPF kayıtları da önemli.
  • 29-01-2025, 16:21:26
    #7
    esquare adlı üyeden alıntı: mesajı görüntüle
    Normal bir durum. Sahte posta göndermek için kullanıcı bilgilerinizi bilmesine gerek yok. Domain uzantınızı kullanarak sahte mailler gönderebilirler. Mailler Vietnam üzerinden gönderilmiş. DMARC kaydı bunun için önemli. DMARC kaydını doğru yapılandırırsanız domain itibarınız korunur. Tabii DMARC kaydı yanında DKIM ve SPF kayıtları da önemli.
    CloudFlare kullanıyorum.

    _dmarc -> "v=DMARC1; p=reject ; rua=mailto:info@domain.com; ruf=mailto:info@domain.com; fo=1"

    mail._domainkey -> "v=DKIM1; k=rsa; t=s; p=random+api+keys/seklinde/devam+ediyor"

    spf -> "v=spf1 ip4:"sunucu-ip-adresim" +a +mx redirect=_spf.yandex.net ~all"

    TXT kayıtlarım bu şekilde başka yapmam gereken bir şey var mı? O zaman şifre güncelleme vb. bir şey yapmama gerek yok sanırım. Tedbirlerimi almıştım. Dediğiniz güncellemeyi de yaptım. Gelen mesajı dikkate almama gerek yok sanırım.
  • 29-01-2025, 16:33:28
    #8
    Kayıtlarda bir sıkıntı yok ama Yandex ile birlikte kendi sunucunuzda mail smtp relay mi kullanıyorsunuz?

    Site Cloudflare arkasında ama ip adresiniz spf kaydında açıkta. Bu güvenlik açısından sıkıntı yaratabilir size. Mail ile ilgili bir problem yok. ~all yerine -all kullanın. SoftFail > Fail. Spama düşmemesi için.

    Eğer Sadece Yandex servisini kullanıyorsanız redirect yerine include kullanmanız daha doğru ve +a +mx girişlerine gerek yoktur.
  • 29-01-2025, 16:44:59
    #9
    Bundan
    spf -> "v=spf1 ip4:"hosing-ip-adresim" +a +mx redirect=_spf.yandex.net ~all"
    ------
    Bu şekilde mi olmalı?
    spf -> "v=spf1 include=_spf.yandex.net -all"
    ----
    ip4:"hosing-ip-adresim" +a +mx kaldırmalı mıyım? Yandex den APP şifresi oluşturup Masaüstü Outlook uygulamasını kullanıyorum ve sitelerimde iletişim formları için SMTP olarak kullanıyorum. Hosting mail servislerini kullanmıyorum. Yardımlarınız için çok teşekkür ederim.