Kim gönderebilir?
Alan adınız adına e-posta göndermeye yetkili sunucu/IP listesini bir TXT kaydında yayınlarsınız. Alıcı, zarf gönderen adresini (Return-Path) bu listeyle karşılaştırır. Yönlendirmede kolay kırılır — tek başına yetmez.
Gönderdiğiniz fatura, parola sıfırlama ya da bülten; alıcının gelen kutusuna düşmüyorsa teknik olarak "gönderilmiş" olması bir şey ifade etmez. SPF, DKIM ve DMARC ile kim olduğunuzu kanıtlamaktan, DMARC politikasını adım adım sertleştirmeye ve gönderim itibarınızı korumaya; bu sayfa, e-postalarınızın güvenle teslim edilmesi için hazırlandı.
E-posta protokolü 1982'de, herkesin herkese güvendiği bir internette tasarlandı — gönderen adresini taklit etmek bugün hâlâ teknik olarak serbesttir. SPF, DKIM ve DMARC bu üç açığı kapatan, hepsi DNS üzerinde yayınlanan birbirini tamamlayan kayıtlardır. Üçü birlikte çalıştığında alıcı sunucu, mesajın gerçekten sizden geldiğine güvenir. Bu kayıtların DNS'te nasıl yayınlandığı için Domain & DNS.
Alan adınız adına e-posta göndermeye yetkili sunucu/IP listesini bir TXT kaydında yayınlarsınız. Alıcı, zarf gönderen adresini (Return-Path) bu listeyle karşılaştırır. Yönlendirmede kolay kırılır — tek başına yetmez.
Giden her mesaj özel anahtarla imzalanır; doğrulama için açık anahtar seçici._domainkey kaydında durur. İmza tutuyorsa içerik yolda değişmemiştir. Yönlendirmeye SPF'ten daha dayanıklıdır.
_dmarc kaydı, SPF ya da DKIM başarısız ve görünen From: ile hizasız olduğunda politikayı söyler — ve sahteciliği rapor olarak size geri gönderir.
DMARC'ın can alıcı kavramı hizalamadır (alignment): SPF ya da DKIM'in geçmesi tek başına yetmez; geçen kontrolün alan adı, alıcının gördüğü From: alanıyla aynı kökten gelmelidir. Sahteci, kendi alan adında geçerli bir SPF kurabilir — ama sizin From: adresinizle hizalayamaz.
# alıcı sunucu, başlığa şu özeti yazar
Authentication-Results: mx.alici.com;
spf=pass smtp.mailfrom=posta.sirketiniz.com
dkim=pass header.d=sirketiniz.com
dmarc=pass header.from=sirketiniz.com
# karar tablosu
SPF veya DKIM geçti
+ alan adı From: ile hizalı
─────────────────────────────────────
= DMARC pass → gelen kutusu
ikisi de başarısız ya da hizasız
= DMARC fail → politika uygulanır
-all "listede yoksa reddet" (hard fail), ~all "şüpheli işaretle" (soft fail) demektir. Yönlendirilen postada zarf adresi değiştiği için SPF tek başına kırılgandır.posta.sirketiniz.com) ana alanla eşleşmiş sayılır; strict modda birebir aynı olması gerekir. Çoğu kurum için relaxed doğru başlangıçtır.
İlk gün p=reject yayınlamak, bordro sistemi ya da CRM gibi unutulan meşru göndericilerinizin postasını sessizce çöpe atar. Doğru yol, önce yalnızca gözlemleyip raporları okumak, sonra güveni adım adım sertleştirmektir. Aşağıdaki sıra, kimseyi kapı dışında bırakmadan ilerlemenizi sağlar.
Her aşamada DMARC raporlarını (rua) bir analiz aracına yönlendirin; ham XML'i elle okumak pratik değildir.
Alan adınız adına kim posta gönderiyor? Pazarlama aracı, fatura sistemi, destek masası, sunucu uyarıları — hepsini listeleyin. Görmediğiniz göndericiyi yetkilendiremezsiniz.
Listedeki her meşru gönderici için SPF kaydına ekleme yapın ve DKIM imzalamayı açın. Bu adım bitmeden DMARC'a geçmek erken; çünkü hizalanacak geçerli bir kontrol gerekir.
Hiçbir postayı etkilemeyen bu politika yalnızca rapor toplar. Birkaç hafta gerçek trafiği izleyin: hangi kaynak hizasız geçiyor, hangisi gerçekten siz, hangisi sahteci?
Raporlarda "sizin ama hizasız" çıkan her meşru kaynağı düzeltin. Bu adım genelde en uzun olanıdır; aceleyle atlanırsa bir sonraki aşamada gerçek posta kaybolur.
Başarısız mesajlar artık spam klasörüne düşer, tamamen kaybolmaz. Geri dönüşü olan bu eşikte birkaç hafta kalın; teslim sorunu çıkarsa hızla geri alabilirsiniz.
Hizasız ve doğrulanmamış mesajlar artık hiç teslim edilmez — markanız adına sahtecilik fiilen durur. Raporları izlemeye devam edin; yeni bir gönderici eklendiğinde döngü 01'den başlar.
SPF, DKIM ve DMARC mesajın sizden geldiğini kanıtlar; ama gelen kutusuna mı yoksa spam'e mi düşeceğini gönderim itibarınız belirler. Sağlayıcılar, gönderen alan adınızın ve IP'nizin geçmiş davranışına bakar. Aşağıdaki dört etken, itibarınızın hangi yönde hareket ettiğini gösterir.
SPF hangi sunucunun gönderebileceğini söyler ama içeriği denetlemez ve yönlendirmede kırılır. DKIM içeriği kriptografik imzayla mühürler ve yönlendirmeye dayanır ama hangi IP'nin yetkili olduğunu söylemez. Rakip değil tamamlayıcıdırlar; DMARC ikisinin de üstüne kurulur.
SPF'te ~all (soft fail) "listede değil, şüpheli işaretle ama teslim et" der; -all (hard fail) "listede değilse meşru kabul etme" der. Geçiş döneminde soft fail güvenlidir; envanteriniz tamamlandığında hard fail'e geçmek korumayı sıkılaştırır.
Relaxed modda posta.sirketiniz.com ile sirketiniz.com aynı kökten sayılır — alt alan adlarıyla çalışan çoğu kurum için doğru seçim. Strict modda alan adlarının birebir aynı olması gerekir; daha katı ama esnekliği azdır.
İkisi de gelen postanın şifreli teslimini zorunlu kılar. MTA-STS politikayı HTTPS üzerinden yayınlar, DNSSEC gerektirmez — kurması kolaydır. DANE sertifikayı DNS'e bağlar ama DNSSEC şarttır. Çoğu kurum MTA-STS ile başlar.
DMARC sahteciliği durduran teknik korumadır; gelen kutusuna ulaşmanın ön koşuludur. BIMI ise yürürlükteki bir DMARC politikası varsa logonuzu gelen kutusunda gösterir — koruma değil, kazanılmış güvenin görünür sonucudur ve çoğu sağlayıcıda doğrulanmış marka sertifikası ister.
E-posta kimlik doğrulamasını ve teslim edilebilirliği tanımlayan resmi standartlar ve rehberler.
Mevcut SPF, DKIM ve DMARC kayıtlarınızı, gönderici envanterinizi ve son DMARC raporlarınızı masaya yatıralım — gelen kutusuna güvenle ulaşan bir kurulumu birlikte tamamlayalım.