E-Posta

5 Haziran 2026’da yayımlanan Rspamd 4.1.0, geliştirici ekibinin “tüm kullanıcılara önerilen güncelleme” olarak nitelendirdiği büyük bir sürüm. İçeriğine bakınca bu önerinin abartı olmadığı görülüyor; posta sunucusu işleten herkesin körü körüne geçiş yapmadan önce değişiklik notlarını incelemesi gerekiyor. Güvenlik yamaları Bu sürüm, gelen postayla tetiklenebilen birkaç bellek güvenliği açığını kapatıyor. S/MIME ile yığın tükenmesi (DoS): Derin biçimde iç içe geçmiş application/pkcs7-mime içeren bir ileti, rspamd’ın ayrıştırıcısını max_nested sayacını artırmadan yeniden giriyordu. Sonuç: kötü niyetli bir gönderici, özel hazırlanmış tek bir iletiyle çalışan worker sürecinin yığınını tüketebiliyordu. Düzeltme, S/MIME yeniden girişini mevcut max_nested sınırına bağlıyor. ...

Google ve Yahoo, e-posta kimlik doğrulama kurallarını Şubat 2024’te hayata geçirdi. Microsoft bu süreci uzaktan izledi, bir süre bekledi ve aynı adımı 5 Mayıs 2025’te attı. SPF, DKIM ve DMARC kayıtlarınızı hâlâ düzeltmediyseniz, gönderdiğiniz e-postaların bir kısmı sessiz sedasız reddediliyor olabilir — karşı taraftan hata mesajı gelmeden, sizde de bir hata bildirimi oluşmadan. Microsoft Ne İstiyor? Microsoft’un tüketici e-posta adreslerine (@outlook.com, @hotmail.com, @live.com) günde 5.000 veya daha fazla ileti gönderen alan adları için üç koşul zorunlu: ...

4 Mayıs 2026’da Wietse Venema, Postfix’in dört yeni sürümünü aynı anda duyurdu: 3.11.2, 3.10.9, 3.9.10 ve 3.8.16. CVSS puanı düşük diye geçiştirmeyin — bu sürümde 2005’ten beri yamanmamış bir güvenlik açığı kapatılıyor. CVE-2026-43964: Yirmi Yıldır Gizlenen Hata CVE-2026-43964, Postfix’in gelişmiş SMTP durum kodlarını işleyiş biçimindeki bir off-by-one hatasıdır. Bir erişim tablosu, politika sunucusu, DNSBL yanıtı veya milter filtresi, arkasında açıklama metni bulunmayan yalın bir durum kodu döndürdüğünde — örneğin yalnızca 5.7.2 — posta arka plan süreci ayrılan belleğin ötesini okur ve çöker. ...

Mart ayının sonunda Dovecot geliştirici ekibi, OXDC-ADV-2026-0001 koduyla bir güvenlik bildirisi yayımladı. Bildiri, kimlik doğrulama öncesi dizin geçişi saldırısından SQL enjeksiyonuna, oradan birden fazla hizmet engelleme vektörüne uzanan sekiz CVE’yi tek pakette topladı. Posta sunucunuzda IMAP hizmetini Dovecot üzerinde çalıştırıyorsanız — ki büyük olasılıkla çalıştırıyorsunuzdur — bu haberi okumaya değer. Konuyu, kabaca önem sırasına göre ele alalım. Asıl Tehlikeli Olanlar CVE-2026-24031 — SQL enjeksiyonuyla kimlik doğrulama atlatma (CVSS 7.7, YÜKSEK) Bu açık yalnızca Dovecot v2.4/v3.1 sürümlerini etkiliyor; üstelik yalnızca yöneticinin auth_username_chars parametresini boş bıraktığı — yani kullanıcı adı karakter filtrelemesini tamamen kaldırdığı — durumlarda geçerli. Bu yapılandırmada, özel hazırlanmış bir kullanıcı adı kimlik doğrulama SQL sorgusuna sızarak saldırganın herhangi bir kullanıcı adına, parola bilmeksizin oturum açmasına izin veriyor. v2.3.x kullanıyorsanız bu açıktan etkilenmiyorsunuz. v2.4’e geçiş yaptıysanız ve söz konusu parametreyi boşalttıysanız, yamalamayı bekletmeyin. ...