Bu sektörde yeterince uzun süredir faaliyet gösteriyorsanız, muhtemelen küçük ve orta ölçekli işletmeleri, küçük ve orta ölçekli işletmeleri ve büyük işletmeleri ilgilendiren en az birkaç önemli veri ihlali duymuşsunuzdur. Son zamanlarda Mailchimp, Klaviyo ve Signal gibi hizmetler de tehlikeye atıldı.

%10 veya daha fazla CTR elde etmek için gereken kişisel veri miktarı göz önüne alındığında, bu veri ihlallerinin müşterileri korkutması ve sonraki pazarlama e-postalarının izlenimlerini ve iletilebilirliğini ciddi şekilde sınırlaması şaşırtıcı değildir.

Güvenlik zafiyetinin marka güvenini ve pazarlama stratejinizi etkileyebileceği sayısız yol nedeniyle, pazarlama sürecinizin her adımının, sizin tarafınızdan müşterilerinizin tarafına kadar güvenli kalmasını sağlamanız çok önemlidir.

Bilgisayar korsanları tarafından kullanılan istismarın niteliğine bağlı olarak, bu tür güvenlik ihlalleri, İstenmeyen Pornografi ve Pazarlama Saldırılarının Kontrolü Yasası'na (CAN-SPAM) uyulmaması nedeniyle davalarla karşı karşıya kalmanıza da neden olabilir. Genel Veri Koruma Yönetmeliği (GDPR), Kanada'nın Spam Karşıtı Mevzuatı (CASL) vb. Dolayısıyla, pazarlama stratejinizi, müşteri verilerinizi ve kuruluşunuza olan güveni korumak için uymanız gereken en iyi uygulamalardır.

Eyleme Dönüştürülebilir Güvenlik Hedefleri: Nereden Başlamalı?

E-posta alıcılarının siber güvenlik saldırılarına karşı savunmasız olduğu biliniyor ancak aynı yöntemlerin e-posta pazarlamacıları üzerinde de kullanılabileceği sıklıkla göz ardı ediliyor.

Bu durum, e-posta pazarlamacılarının elinde bulundurduğu hassas kişisel veri miktarı nedeniyle çok daha ciddi sonuçlar doğurur. Bu nedenle, e-posta pazarlamacılarının kötü amaçlı yazılımlar, veri hırsızlığı ve güvenliği ihlal edilmiş ekler gibi en yaygın siber güvenlik tehditlerine karşı koruma sağlayacak önlemlere sahip olması gerekir.

Bu nedenle, çabalarınız öncelikle bu yollarla veri kaybını önlemeyi hedeflemelidir; metinlerinizin ve harekete geçirici mesajlarınızın kötü amaçlı kullanılmasını kesinlikle istemezsiniz. Ayrıca, güvenlik altyapınız, e-posta güvenlik protokollerinin, şifreleme önlemlerinin ve insan yargısının (pazarlama ekibiniz ve müşterilerinizle ilgili) yetersizliği gibi sistemsel eksiklikleri de ele almalıdır.

Son olarak, e-posta istemciniz, e-posta servis sağlayıcınız, internet servis sağlayıcınız vb. dahil olmak üzere mevcut e-posta çerçeve sisteminize özgü hataları ele alan önlemleri entegre etmek önemlidir.

E-posta Güvenlik Protokolleri

Güçlü güvenlik önlemleri olmadan, Basit Posta Aktarım Protokolü (SMTP), İnternet İleti Biçimi (IMF), İnternet İleti Erişim Protokolü 4 (IMAP4) ve Posta Ofisi Protokolü 3 (POP3) gibi e-posta güvenlik protokolleri veri korumasını sağlamak için yeterli değildir.

E-posta güvenliğiyle ilgili en iyi uygulama, birden fazla E-posta Güvenlik Protokolü ve aracını entegre edip bir araya getirmektir. Ortamınıza ekleyebileceğiniz bazı çözümler şunlardır:

Gönderen Politikası Çerçevesi (SPF)

SPF Potansiyel müşterilerinize e-posta göndermek için alan adınızı kullanabilecek IP adreslerini kısıtlayan bir kayıt oluşturmanıza olanak tanır. Tehdit aktörlerinin alan adınızı kötü amaçlı e-postalar göndermek için kullandığı bir teknik olan e-posta sahteciliğini önler. SPF kullanarak, hangi hizmetleri, sunucuları veya ESP'leri e-posta göndermeye yetkili olduğunuzu belirleyebilirsiniz.

Bunun önemli bir faydası, e-postayı gönderenin e-posta gönderme yetkisine sahip olduğunu doğrulayarak müşteri güvenini artırmasıdır. Dolayısıyla, etkileşimi, tıklama oranlarını ve yatırım getirisini dolaylı olarak artırabilir.

Ne yazık ki, tüm e-posta/alan adı sağlayıcıları bu protokolü desteklemiyor çünkü hepsi kurulum için gerekli DNS verilerini sağlamıyor. Bu nedenle, hangi sağlayıcıların SPF işlevselliğini desteklediğini doğrulamak çok önemli.

SPF kurulduktan sonra, sonraki bültenlerinize, karşılama e-postalarınıza, yeniden hedefleme e-postalarınıza vb. yansıması için 2-3 iş günü beklemeniz önemlidir. Ardından, kaydı analiz etmek ve amaçlandığı gibi çalıştığını doğrulamak için SPF tanılama yazılımını kullanabilirsiniz. Ancak en iyi uygulamalar, SPF'nin karşılaştığı önemli bir tuzak olan yetkilendirmeyi kötü niyetli olmayan kişilerle sınırlayamama nedeniyle SPF'yi diğer e-posta güvenlik protokolleriyle birleştirmenizi gerektirir.

Bu nedenle, yeterli teknik bilgiye sahip kötü niyetli kişiler bir alan adı arayabilir ve IP adresleri aracılığıyla bu alan adının kullanımına yetki veren bir SPF kaydı ekleyebilir. Dolayısıyla, SPF yalnızca protokol stratejinizin temelini oluşturur ve DKIM, SPF kullanımına eşlik etmelidir.

Etki Alanı Anahtarları Tanımlanmış Posta (DKIM)

DKIM SPF, temel yapısına iki tür işlevsellik ekler: şifreleme altyapısı ve kopyanıza veya içeriğinize eklenme. İlki, her e-postanızın 2 şifreleme anahtarıyla benzersiz bir şekilde tanımlanmasını sağlar: özel anahtar ve genel anahtar.

İlki Mesaj Aktarım Aracınıza (MTA) bağlıdır ve ifşa edilmemelidir; ikincisi ise protokolü kurmak için kullanılan DNS TXT kaydına dahildir. Ayrıca, her e-posta alanı için ayrı bir kayıt gerektiğinden, DKIM kurulumunun SPF kurulumundan biraz daha zahmetli olduğunu da belirtmek önemlidir.

Ayrıca, kopyaya veya içeriğin kendisine eklenerek DKIM, orijinal yazarın kimliğinin daha da doğrulanmasına yardımcı olur. Dolayısıyla, önceki örnekte kötü niyetli kişiler bir alan adı bulup sahte bir SPF DNS kaydı yükleyebilirken, bu DKIM ile çok daha zor olacaktır.

Ayrıca, sizden geldiği iddia edilen bir e-posta alan herkes, e-posta imzasının belirtecinizle uyumlu olduğunu doğrulamak için herkese açık anahtarı kullanabilir. Bununla birlikte, tıpkı SPF gibi, hangi sağlayıcıların DKIM'i desteklediğini doğrulamak önemlidir. Bir kez kurulduktan sonra, DKIM tanılamasının çalıştırılması için gereken bekleme süresi ve süreç SPF'ninkine benzerdir. DKIM, SPF'nin belirgin eksikliklerine sahip olmasa da, protokolün uygulanması pazarlama ekibinizin sağlayıcısının takdirine bırakılmıştır. Çoğu sağlayıcı, protokolü belirtildiği gibi uygulasa da, bunu yapmak zorunda değildir, bu nedenle DMARC'ye ihtiyaç vardır.

Etki Alanı Tabanlı İleti Kimlik Doğrulaması, Raporlama ve Uygunluk (DMARC)

DMARC SPF ve DKIM kayıtları için bir "uygulayıcı" görevi gören bir e-posta güvenlik protokolüdür. DMARC, esasen bir e-postayı SPF ve DKIM varlığı açısından analiz eder, protokollerden herhangi birinin yokluğunda belirttiğiniz talimatları uygular ve bu yokluk hakkında size (veya e-posta sunucunuza) geri bildirimde bulunur.

Hem SPF hem de DKIM olmadan bir DMARC TXT kaydı yüklemek mümkün olsa da, daha önce açıklanan nedenlerden dolayı önce son ikisini kurmak en iyisidir. Daha önce tartışılan güvenlik protokollerine benzer şekilde, SPF veya DKIM kaydını kullanan tüm alan adlarını ayrı ayrı listelemeniz ve bunları DMARC kaydınıza eklemeniz gerekecektir.

DMARC'ye geçiş sürecini aylar yerine haftalar boyunca gerçekleştirmek özellikle önemlidir. Bu, uygulama kayıtlarınızın çok katı olup olmadığını doğrulamanıza olanak tanır (pazarlama ekibiniz tarafından gönderilen gerçek e-postaları yanlışlıkla spam olarak işaretleyebilirsiniz).

Bu haftalar boyunca, alıcı e-posta sunucuları tarafından gönderilen DMARC raporlarını analiz etmeli ve protokolün amaçlandığı gibi çalışıp çalışmadığını veya bir hata yapılıp yapılmadığını kontrol etmelisiniz. Ayrıca, teslimat ve gösterimlerde ani ve açıklanamayan düşüşlere dikkat etmek de önemlidir.

Protokolünüzün sıkılığını kademeli olarak artırabilir ve her talimatın süreç boyunca amaçlandığı gibi çalışmasını sağlayabilirsiniz. Tamamlandığında, e-postalarınız çoğu İş E-postası Tehlikesinden (BEC) muaf olacaktır.

Mesaj Tanımlaması için Marka Göstergeleri (BIMI)

Bimi DMARC'a benzer, ancak kritik farkı, verilerinizi görüntülemenize olanak sağlamasıdır. iş logosu Alıcı e-posta sunucularında (bu e-postalar (SPF, DKIM ve DMARC) ile doğrulandıktan sonra). Bu, güveni, marka bilinirliğini ve uzun vadeli görünürlüğü artırmaya yardımcı olur.

Ayrıca, daha önce açıklanan genel ve özel anahtarlı DNS aramalarına olan ihtiyacı da ortadan kaldırır. Ancak, BIMI'yi kullanmak için, şüpheli e-postaları olası spam olarak etiketleyip alan adınıza geri gönderen veya bu e-postaların iletimini tamamen engelleyen bir DMARC politikası uygulamanız gerekir.

Ayrıca, tanınmış bir toplu e-posta operatörü olarak iyi bir IP itibarına, BIMI Onay Kaydı'nı (BAR) oluşturmak için gereken ön koşul verilerine ve SVG formatında bir logoya sahip olmanız gerekir.

Ne yazık ki, Ekim 2022 itibarıyla yalnızca Apple Mail, Fastmail, Pobox, Gmail, Google Workspace, La Poste, Yahoo, AOL, Netscape ve Zone BIMI'yi desteklemektedir. Ayrıca, Gmail'in logonuzu sunucuları aracılığıyla görüntüleyebilmesi için Doğrulanmış İşaret Sertifikası'na ihtiyacı vardır.

BIMI kurulduktan sonra, SPF kaydınıza benzer bir işlem kullanarak onu analiz edebilir ve amaçlandığı gibi çalıştığını doğrulayabilirsiniz.

IP ve Alan Adı İtibarı

Daha önce de değinildiği gibi, IP itibarı E-posta pazarlama güvenliği için önemlidir ve bunun iyi bir nedeni vardır. Daha düşük itibar puanlarına sahip IP'lerin daha şüpheli e-postalar gönderdiği ve dolayısıyla daha fazla kimlik avı saldırısına olanak sağladığı bilinmektedir. Kimlik Hırsızlığı girişimler ve e-posta sahtekarlıkları.

Bunun marka güveni ve teslimatı üzerindeki etkisinin yanı sıra, bu tür IP'lerin kullanılması, kötü niyetli kişilerin sunucularınızda barındırılan verilere kolayca erişmesine izin vererek KOBİ'lerinizi, KOBİ'lerinizi veya LE'lerinizi BEC'ler riskine de sokabilir.

Dolayısıyla, iyi bir itibara sahip bir IP'ye geçmek hem müşterilerinizin hem de işletmenizin güvenliği açısından faydalıdır. Ayrıca, Klaviyo gibi bir platformdan Convertkit gibi bir platforma geçiş yapmanın teslimat oranlarını artırabileceğini de belirtmek önemlidir.

Dikkat etmeniz gereken bir diğer önemli ölçüt ise alan adı itibarıdır. Yukarıda belirtilen güvenlik protokollerinin bu puanı dolaylı olarak artırabileceğini belirtmekte fayda var. Bu nedenle, alan adı puanınızı yükseltmek istiyorsanız alan adı değişikliğine her zaman ihtiyacınız olmayabilir.

İdeal olarak, kopyalarınızın güvenli ve güvenilir kalmasını sağlamak için IP ve alan adı itibar puanının 70 veya üzeri olmasını hedeflemelisiniz. Güvenilir olmayan IP'leri tespit etmek ve sektörde köklü sağlayıcıları önermek için çeşitli güvenilir IP itibarı teşhis araçları mevcuttur.

Çok Faktörlü Kimlik Doğrulama (MFA)

Güvenli bir e-posta parolası seçmek öncelikli bir konu olsa da, bilgisayar korsanları veri ihlalleri ve karmaşık kimlik avı saldırıları yoluyla toplanan bilgileri kullanarak bu parolaları çözebilir. MFA ekstra güvenlik katmanları ekler E-posta şifrenize erişir ve saldırganların, oturum açma bilgilerinizi ele geçirseler bile, hesabınızı ele geçirmelerini engeller. Özellikle, rastgele ve benzersiz bir alfanümerik kod, Evrensel 2. Faktörler (U2F'ler) ve biyometrik veriler gibi ek doğrulama yöntemleri gerektirir.

U2F'ler, herhangi bir internet bağlantısından bağımsız, kişisel bir bilgisayara fiziksel olarak bağlı olması gereken fiziksel cihazlar kullanır. Aynı zamanda, biyometrik veriler mobil cihazlar için daha uygundur ve parmak izi tarayıcılarının yaygın kullanılabilirliğinden yararlanır.

Pazarlama ekibiniz için MFA'yı bir gereklilik haline getirmek iyi bir fikirdir, çünkü bu, yalnızca bir ek yöntemle sınırlı olan iki faktörlü kimlik doğrulamasından daha üstündür.

Güvenli E-posta Ağ Geçitleri (SEG'ler)

SEG'ler, yerel e-posta sunucularınızdan gelen ve giden trafiği izler. Bu yazılım, BEC'leri ve kötü amaçlı yazılımları önlemede ve e-posta sunucularınıza erişmelerini engellemede etkilidir. Kuruluşunuz yeterince büyükse SEG'ler şirket içinde kullanılabilir veya çok sayıda uzaktan veya karma çalışan varsa bulut üzerinden kullanılabilir.

Gelen tehditlerin yanı sıra, SEG'ler giden veri kayıplarını önlemede ve bireysel sunucular için gelen-giden e-posta güvenliğini daha da iyileştirmeye yardımcı olan tanısal analizlerde de etkilidir.

Ayrıca SEG'ler, kötü niyetli saldırılar nedeniyle sistem genelinde veri kaybı yaşanması durumunda erişilebilecek e-postaların saklanmasına olanak tanır.

Sanal Özel Ağlar (VPN'ler)

VPN'ler, kaynak verilerin konumunu değiştirerek e-posta trafiğinin anonimliğini sağlamaya yardımcı olur. Uzmanların pazarlama çalışmalarının nasıl görüntülendiğini analiz etmelerine ve VPN ile tamamen farklı bir bölgede çalışmalarına olanak tanımanın yanı sıra, gizliliği de sağlayarak e-posta istemcinize açıkça yönlendirilen e-posta saldırılarına ve kötü amaçlı sosyal mühendisliğe karşı güvenlik sağlar.

Ayrıca, VPN'ler kullanıldıkları internet ağları üzerinden iletilen verileri gizler. Böylece hassas müşteri verileri içeren veri paketleri korunur ve CAN-SPAM, GDPR ve CASL uyumluluğu desteklenir.

Üstelik VPN güvenliği yalnızca kötü niyetli kişilerle sınırlı değildir; VPN'ler, kimlik doğrulama teknolojisinin etkinliği nedeniyle, İSS'lerin ağınız üzerinden gönderdiğiniz verilere erişmesini de engeller.

Ancak, yalnızca VPN kullanmak en iyi uygulama değildir çünkü VPN'ler yalnızca iki sabit uç nokta arasındaki bağlantıyı güvence altına alır. Dolayısıyla, VPN'ler veri iletiminden önce cihazınıza yönelik saldırıları engellemez. Dahası, veriler genellikle VPN hizmeti tarafından erişilebilir durumdadır ve bu da üçüncü taraf veritabanlarının tehlikeye atılması durumunda bir güvenlik riski oluşturur.

Siber Güvenlik Eğitimi

Siber güvenlik eğitimi, veri korumasının en hassas noktası olan insan hatasının ele alınmasına yardımcı olur. Şirket içi uygun siber güvenlik eğitimi, sosyal mühendislik saldırılarını önlemenin en etkili yöntemidir. Konu başlıklarını, güvenilir alan adlarını ve içerikleri analiz edebilme becerisi son derece önemlidir.

Ayrıca, siber saldırılarda en çok kullanılan eklentiler ve hiperlinkler olduğundan bunlara karşı dikkatli olmak gerekiyor.

Ancak siber güvenlik farkındalığı, yalnızca çalışanlara yönelik farkındalık eğitimleriyle sınırlı olmamalıdır. Pazarlama stratejiniz, potansiyel müşterileri spam, kötü amaçlı yazılım ve kimlik avı e-postaları olasılığı konusunda uyarmaya yönelik çalışmaları içermelidir. Bu, açılış sayfalarına da dahil edilmelidir.

Sonuç olarak, SPF, DKIM, DMARC ve BIMI'niz eşliğinde siber güvenliğe odaklanmak, işletmenizin müşteri verilerini koruyabilen ve söz konusu müşterilerin kötü niyetli saldırılara maruz kalmamasını sağlamayı amaçlayan meşru ve güvenilir bir kuruluş olarak kendini konumlandırmasını sağlayacaktır.

Bu, marka bilinirliğinde, güveninde ve dönüşüm oranlarında artışa yol açacaktır. Ancak, KPI metriklerini en üst düzeye çıkarmak için pazarlama kampanyalarına kova ve çok değişkenli testleri entegre etmek önemlidir.

Şifreleme

E-posta güvenliğini sağlamak için bu mutlaka yapılmalıdır. Verileri doğrudan şifrelemek ve VPN kullanmak, yalnızca VPN kullanan güvenlik önlemlerinin bazı sınırlamalarını aşmaya yardımcı olur. Özellikle, üçüncü taraf VPN sağlayıcılarının veri paketlerine erişimini engeller.

Kurum içi iletişimde, alıcıların herhangi bir veriye erişebilmeleri için önceden kendileriyle paylaşılan bir genel anahtar ve bir özel anahtara sahip olmalarını gerektirdiğinden, asimetrik şifreleme en iyi şekilde kullanılır. Giden iletişimde ise aktarım sırasında şifreleme kullanılabilir.

Takeaways

Her e-posta pazarlama ekibinin, veri ihlallerini önlemek için kullandığı bir dizi en iyi uygulama ve stratejiye sahip olması gerekir. Bu, şirket verilerinin güvenliğini sağlama, marka güvenini artırma ve uzun vadeli teslimatı güvence altına alma etkisine sahiptir.

Bu uygulamalar, pazarlama ekibine ve e-posta alıcısına odaklanarak e-posta güvenliğinin teknik ve insani yönlerini hedeflemelidir. E-posta Güvenlik Protokolleri esas olarak gereklidir ve bunların başında BIMI, DKIM, DMARC ve BIMI gelir.

Yukarıdaki yöntemlere ek olarak VPN'ler, siber güvenlik eğitimleri, veri şifreleme, MFA'lar, SEG'ler ve saygın bir IP'ye geçiş güvenlik altyapısına entegre edilmelidir.