39 Yapay Zeka Şirketinden 26'sında E-posta Sahtekarlığı Riski Var

Yapay zeka alanında faaliyet gösteren şirketler, yenilikçi teknolojiler ve ileri düzey algoritmalar geliştirirken, temel siber güvenlik önlemlerinde ciddi eksiklikler yaşadıkları ortaya çıktı. Yakın zamanda yapılan bir araştırma, 39 önde gelen yapay zeka şirketinin e-posta güvenlik protokollerini inceleyerek endüstri çapında yaygın bir zafiyeti gözler önüne serdi.

Araştırmada neler incelendi?

Çalışma, e-posta sahtekarlığına karşı koruma sağlayan iki temel protokol olan SPF (Sender Policy Framework) ve DMARC (Domain-based Message Authentication, Reporting & Conformance) kayıtlarını analiz etti. Toplamda 39 şirketin DNS kayıtları incelenerek, bu şirketlerin e-posta gönderme yetkisine sahip IP adreslerini tanımlayan SPF kayıtları ile sahte e-postaları engelleme yöntemlerini belirleyen DMARC politikaları değerlendirildi.

Kritik bulgular: 26 şirket zayıf korumaya sahip

Araştırma sonuçları, incelenen şirketlerin büyük bir kısmının e-posta güvenliği konusunda yeterli korumaya sahip olmadığını ortaya koydu:

• 26 şirket (yaklaşık %67) SPF kayıtlarında ~all (softfail) kullanarak gönderilen e-postaların alıcıya ulaşmasına izin veriyor, ancak bu e-postaların şüpheli olarak işaretlenmesine yol açıyor. Bu grupta Anthropic, Google, Apple, NVIDIA ve Hugging Face gibi endüstrinin önde gelen isimleri bulunuyor.

• 10 şirket daha katı bir yaklaşım benimseyerek ~all yerine -all (hardfail) kullanıyor ve yetkisiz kaynaklardan gönderilen e-postaları doğrudan reddediyor. Bu şirketler arasında OpenAI, Microsoft, Amazon, Palantir ve x.ai yer alıyor.

• 3 şirket ise SPF kaydına sahip olmamakla birlikte, Meta, Tesla ve Alignment Forum bu kategoride yer alıyor.

Softfail neden tehlikeli?

SPF protokolü, alıcı sunuculara hangi IP adreslerinin bir domaine ait e-posta gönderebileceğini bildiriyor. all mekanizması, yetki listesinde olmayan bir kaynaktan gönderilen e-postaların nasıl işleneceğini tanımlıyor:

• -all (hardfail): Yetkisiz e-postaları reddeder.
• ~all (softfail): Yetkisiz e-postaları kabul eder, ancak spam olarak işaretlenme olasılığı yüksek.
• ?all (neutral): Herhangi bir öneri sunmaz.
• +all (pass all): Tüm e-postaları kabul eder.

Çoğu e-posta sağlayıcısı, softfail durumunda e-postaları normal şekilde teslim ederken, spam puanını artırma eğiliminde oluyor. Bu durum, özellikle DMARC politikası zayıf olan şirketlerde, sahte e-postaların kullanıcıların gelen kutularına ulaşmasına olanak tanıyor.

En zayıf SPF ve DMARC kombinasyonları

Araştırmada, bazı şirketlerin SPF kayıtlarında çok sayıda onaylı göndericiye sahip olmalarına rağmen, DMARC politikalarının zayıf olması nedeniyle savunmasız oldukları görüldü. Öne çıkan örnekler:

• Cohere: 6 farklı e-posta hizmetinden (Google, Proofpoint, Outlook, Salesforce, Marketo, SES) gönderim yapmasına rağmen, SPF kaydında ~all kullanıyor ve DMARC politikası p=reject olarak tanımlanıyor.

• Jasper: 7 onaylı göndericiye (Google, HelpScout, SendGrid, Salesforce, Zendesk, HubSpot, Highspot) sahip olmasına rağmen, SPF kaydında -all kullanıyor ve DMARC politikası p=reject olarak tanımlanıyor.

• Weaviate: 6 onaylı göndericiye sahip olmasına rağmen, SPF kaydında ~all kullanıyor ve DMARC politikası p=quarantine olarak tanımlanıyor.

• Tesla: Hiçbir SPF kaydına sahip olmamasına rağmen, 13 farklı IP aralığını onaylı gönderici olarak tanımlıyor ve DMARC politikası p=quarantine olarak ayarlanıyor.

DMARC eksiklikleri: Sahtecilik riski artıyor

DMARC protokolü, SPF ve DKIM (DomainKeys Identified Mail) doğrulamalarının başarısız olması durumunda alıcı sunuculara hangi eylemleri gerçekleştireceğini bildiriyor. p=reject politikası, yetkisiz e-postaları doğrudan engellerken, p=none politikası ise bu e-postaların geçmesine izin veriyor.

Araştırmada, hiç DMARC kaydı olmayan şirketler arasında Alignment Forum ve Manifold Markets yer alıyor. Bunun yanı sıra, MIRI, Hugging Face, Inflection AI, xAI, Aleph Alpha, Qdrant ve Metaculus gibi şirketlerde DMARC politikası sadece izleme amacıyla (p=none) kullanılıyor. Bu da toplamda 9 şirketin (%23) e-posta sahteciliğine karşı yeterli korumaya sahip olmadığını gösteriyor.

Güçlü koruma örnekleri

Bazı şirketler, hem SPF hem de DMARC politikalarında katı kurallar uygulayarak e-posta güvenliğini sağlamış durumda. OpenAI, Microsoft, Anthropic ve Stripe, -all ve p=reject politikalarıyla yetkisiz e-postaları engelliyor. Anthropic örneğinde, SPF softfail olmasına rağmen DMARC p=reject politikası sayesinde sahte e-postalar engellenebiliyor.

İlginç bir gözlem: xAI'ın alışılmadık yapısı

Araştırma sırasında xAI şirketinin altyapısında bazı olağandışı durumlar tespit edildi:

• SSL sertifikası Çin'deki bir kuruluş olan Guangdong Baota Security Technology tarafından verilmiş.
• DMARC raporları Alibaba Cloud adresine gönderiliyor.
• Alan adı, şirketin kuruluşundan 32 yıl önce, 1994 yılında kaydedilmiş.
• Alan adı yanıt süresi ise 660 milisaniye olarak ölçülmüş.

Kendiniz de kontrol edin

Tüm veriler, şirketlerin DNS kayıtlarından derlendi. Eğer bir şirketin e-posta güvenliğini merak ediyorsanız, aşağıdaki komutları kullanarak kendi araştırmanızı yapabilirsiniz:

dig +short TXT example.com        # SPF kaydı sorgusu
dig +short TXT _dmarc.example.com # DMARC politikası sorgusu
dig +short MX example.com         # E-posta sunucuları sorgusu

Ayrıca, DomainIntel adlı bir araç geliştirildi. Bu araç sayesinde herhangi bir domaine ait SPF politikasını, DMARC uygulamasını, onaylı göndericileri ve posta sağlayıcılarını canlı DNS sorgularıyla analiz edebilirsiniz. Araç hakkında daha fazla bilgi edinmek ve denemek için ilgili sayfaya başvurabilirsiniz.

Geleceğe yönelik öneriler

Bu araştırma, yapay zeka şirketlerinin sadece yenilikçi ürünler geliştirmekle kalmayıp, aynı zamanda temel siber güvenlik önlemlerini de uygulamaları gerektiğini bir kez daha ortaya koyuyor. E-posta sahtekarlığına karşı koruma sağlamak için şirketlerin SPF ve DMARC politikalarını sürekli olarak güncellemeleri ve katı kurallar uygulamaları büyük önem taşıyor. Aksi takdirde, hem müşteri güvenliği hem de şirket itibarları ciddi risk altında kalabilir.