Global TXT Kaydı Sorgulama
1980'lerde başlangıçta sistem yöneticilerinin bir zone dosyası içinde insan tarafından okunabilir notlar bırakması için basit bir sandbox olarak tasarlanan TXT (Text) kaydı, modern ağ güvenliğinin yapısal olarak en kritik bileşenlerinden biri haline geldi. DNS protokolü TXT Payload'larına neredeyse hiçbir sözdizimi (syntax) doğrulaması uygulamadığı için, geliştiriciler ve güvenlik platformları bu kayıtları isteğe bağlı makine tarafından okunabilir veri dizilerini depolamak için kullanır. Günümüzde TXT kayıtları öncelikli olarak sıkı e-posta kimlik doğrulama çerçeveleri, kriptografik anahtar dağıtımı ve otomatik alan adı sahipliği doğrulaması için kullanılmaktadır.
E-posta Kimlik Doğrulama Üçlüsü: SPF, DKIM ve DMARC
Web uygulamanızdan veya kurumsal sunucunuzdan giden e-postalar doğrudan spam klasörlerine yönlendiriliyorsa, yanlış yapılandırılmış TXT kayıtları neredeyse her zaman suçludur. Modern alıcı MTA'lar (Microsoft 365 veya Gmail gibi) kimliğin kriptografik kanıtını üç özel TXT politikası aracılığıyla talep eder:
- SPF (Sender Policy Framework): Herkese açık bir beyaz liste (whitelist) olarak işlev gören katı bir şekilde biçimlendirilmiş bir TXT dizisi (örneğin,
v=spf1 include:_spf.google.com ~all). Belirli IP bloklarına ve üçüncü taraf gönderim hizmetlerine (Mailgun veya SendGrid gibi) alan adı adına posta gönderme yetkisi verir. - DKIM (DomainKeys Identified Mail): Devasa bir Base64 kodlu ortak (public) kriptografik anahtar içeren bir TXT kaydı. Giden posta sunucunuz e-posta başlıklarını hash'ler ve bunları özel (private) bir anahtarla imzalar. Alıcı sunucu, imzanın matematiksel olarak doğrulanması için public key'i bu TXT kaydından alır ve Payload'un aktarım sırasında değiştirilmediğinden emin olur.
- DMARC (Domain-based Message Authentication, Reporting, and Conformance): Yaptırım (Enforcement) katmanı. Bu TXT kaydı, alıcı sunuculara SPF veya DKIM kontrollerinde başarısız olan mesajların nasıl işleneceğini bildirir ve bir
p=none(izleme),p=quarantine(spama gönder) veyap=reject(tamamen bırak/reddet) politikasının uygulanıp uygulanmayacağını dikte eder.
Otomatik Alan Adı Sahipliği ve Zero-Trust
E-postanın ötesinde, TXT kayıtları bir alan adı üzerinde yönetimsel kontrolü kanıtlamak için evrensel standarttır. Bir alan adını bir bulut sağlayıcıyla (Google Search Console, GitHub Pages veya AWS SES gibi) entegre ederken, platform rastgele bir kriptografik hash oluşturur. Sağlayıcı, yöneticinin bu hash'i bir TXT kaydı olarak yayınlamasını isteyerek, otomatik bir DNS lookup aracılığıyla kullanıcının alan adının routing altyapısına kök düzeyinde (root-level) erişimi olduğunu doğrular. Benzer şekilde, Let's Encrypt tarafından kullanılan ACME protokolü, wildcard SSL/TLS sertifikalarının verilmesini yetkilendirmek için geçici bir TXT kaydının dağıtıldığı DNS-01 challenge'ına büyük ölçüde güvenir.
Bayt Sınırları ve Dizi Birleştirme (String Concatenation)
Geliştiriciler tarafından sıklıkla karşılaşılan teknik bir sınırlama, DNS spesifikasyonu içindeki TXT parçası başına 255 karakterlik dizi (string) sınırıdır. DKIM için 2048 bitlik RSA anahtarları gibi devasa Payload'lar yayınlanırken Payload bu bayt sınırını aşar. Bunu çözmek için standart DNS yazılımları (BIND gibi) uzun kaydı otomatik olarak tırnak içine alınmış birden fazla diziye böler (örneğin, "string1" "string2"). İstemci resolver'ı, okuma işlemi sırasında bu parçaları sorunsuz bir şekilde tekrar bir araya getirmekten (concatenation) sorumludur.