SMTP Relay Zafiyetleri: Açık E-Posta Sunucularının Toplu Kişisel Veri Sızdırma Aracına Dönüşmesi ve KVKK Boyutu
Kurumsal iletişim altyapılarının temel taşı olan SMTP protokolü, doğru yapılandırılmadığında saldırganlar için birer sızıntı tüneline dönüşebilir. SMTP Relay, bir sunucunun e-postaları alıp iletme yeteneğidir; ancak bu yeteneğin kimlik doğrulaması olmaksızın herkese açılması durumuna “Open Relay” (Açık Aktarım) denir. Bu zafiyet, saldırganların kurumun resmi IP adresini ve domain itibarını kullanarak, kurum dışına toplu veri sızdırmasına veya çalışanlara karşı “kurum içinden geliyormuş gibi görünen” yüksek başarılı oltalama saldırıları düzenlemesine imkan tanır.
Teknik olarak bu açık, genellikle SMTP AUTH (Kimlik Doğrulama) mekanizmasının devre dışı bırakılması veya IP tabanlı güven ilişkilerinin (Trust) tüm internete açık şekilde yanlış yapılandırılmasıyla oluşur. Saldırgan, basit komutlarla sunucuya bağlanarak herhangi bir şifre girmeden veri transferi yapabilir. Bu durum, kurumun e-posta sunucusunun küresel “Kara Liste” (Blacklist) kayıtlarına girmesine ve yasal iş süreçlerinin tamamen durmasına yol açar.
KVKK Madde 12 uyarınca, bir sunucunun bu şekilde istismara açık bırakılması, veri sorumlusunun “teknik tedbir” alma yükümlülüğünü ihlal ettiğinin somut bir kanıtıdır. Bu riskten korunmanın yolu; tüm gönderimler için MFA destekli kimlik doğrulaması zorunluluğu getirmek, Rate Limiting (Hız Sınırı) ile toplu veri çıkışını engellemek ve SPF/DKIM/DMARC kayıtlarını en sıkı modda yapılandırmaktır. E-posta sunucusu güvenliği, sadece bir IT ayarı değil, kurumun dijital kimliğinin ve veri mahremiyetinin yasal zırhıdır.