irdaweb Bilgi Teknolojileri
Telefon numaramız +90 541 209 02 05
E-posta adresimiz [email protected]
Konu 03 · E-posta & Teslim Edilebilirlik

E-postanız gerçekten gelen kutusuna ulaşsın.

Gönderdiğiniz fatura, parola sıfırlama ya da bülten; alıcının gelen kutusuna düşmüyorsa teknik olarak "gönderilmiş" olması bir şey ifade etmez. SPF, DKIM ve DMARC ile kim olduğunuzu kanıtlamaktan, DMARC politikasını adım adım sertleştirmeye ve gönderim itibarınızı korumaya; bu sayfa, e-postalarınızın güvenle teslim edilmesi için hazırlandı.

01 — Kimlik

Üç kayıt, alıcıya "bu gerçekten benim" der.

E-posta protokolü 1982'de, herkesin herkese güvendiği bir internette tasarlandı — gönderen adresini taklit etmek bugün hâlâ teknik olarak serbesttir. SPF, DKIM ve DMARC bu üç açığı kapatan, hepsi DNS üzerinde yayınlanan birbirini tamamlayan kayıtlardır. Üçü birlikte çalıştığında alıcı sunucu, mesajın gerçekten sizden geldiğine güvenir. Bu kayıtların DNS'te nasıl yayınlandığı için Domain & DNS.

Kayıt · 01 SPF

Kim gönderebilir?

Alan adınız adına e-posta göndermeye yetkili sunucu/IP listesini bir TXT kaydında yayınlarsınız. Alıcı, zarf gönderen adresini (Return-Path) bu listeyle karşılaştırır. Yönlendirmede kolay kırılır — tek başına yetmez.

Kayıt · 02 DKIM

Yolda değişti mi?

Giden her mesaj özel anahtarla imzalanır; doğrulama için açık anahtar seçici._domainkey kaydında durur. İmza tutuyorsa içerik yolda değişmemiştir. Yönlendirmeye SPF'ten daha dayanıklıdır.

Kayıt · 03 DMARC

Tutmazsa ne olsun?

_dmarc kaydı, SPF ya da DKIM başarısız ve görünen From: ile hizasız olduğunda politikayı söyler — ve sahteciliği rapor olarak size geri gönderir.

İki tamamlayıcı kayıt. MTA-STS alan adınıza gelen e-postanın yalnızca şifreli (TLS) bağlantıyla teslim edilmesini zorunlu kılar — açık ağda dinlemeyi engeller. BIMI ise yürürlükteki bir DMARC politikası ve doğrulanmış marka sertifikası varsa logonuzu gelen kutusunda gösterir; teknik bir koruma değil, kazanılmış güvenin görünür ödülüdür.
02 — Yolculuk

Alıcı sunucu, bir mesajı böyle değerlendirir.

DMARC'ın can alıcı kavramı hizalamadır (alignment): SPF ya da DKIM'in geçmesi tek başına yetmez; geçen kontrolün alan adı, alıcının gördüğü From: alanıyla aynı kökten gelmelidir. Sahteci, kendi alan adında geçerli bir SPF kurabilir — ama sizin From: adresinizle hizalayamaz.

Authentication-Results
# alıcı sunucu, başlığa şu özeti yazar

Authentication-Results: mx.alici.com;
  spf=pass    smtp.mailfrom=posta.sirketiniz.com
  dkim=pass   header.d=sirketiniz.com
  dmarc=pass  header.from=sirketiniz.com

# karar tablosu
   SPF veya DKIM geçti
        +  alan adı From: ile hizalı
   ─────────────────────────────────────
        =  DMARC pass → gelen kutusu

   ikisi de başarısız ya da hizasız
        =  DMARC fail → politika uygulanır
SPF
Zarf adresini kontrol eder
Kaydın sonundaki -all "listede yoksa reddet" (hard fail), ~all "şüpheli işaretle" (soft fail) demektir. Yönlendirilen postada zarf adresi değiştiği için SPF tek başına kırılgandır.
DKIM
İçeriği imzayla mühürler
İmzalanan başlıklar veya gövde yolda değişirse imza tutmaz. Anahtarı en az 2048 bit tutun, yılda bir döndürün; eski seçiciyi yayında, yenisini devreye alıp geçişi sorunsuz yapın.
DMARC
Hizalamayı şart koşar
Varsayılan relaxed hizalamada alt alan adları (örn. posta.sirketiniz.com) ana alanla eşleşmiş sayılır; strict modda birebir aynı olması gerekir. Çoğu kurum için relaxed doğru başlangıçtır.
03 — Olgunlaşma

DMARC'a acele etmeden geçelim.

İlk gün p=reject yayınlamak, bordro sistemi ya da CRM gibi unutulan meşru göndericilerinizin postasını sessizce çöpe atar. Doğru yol, önce yalnızca gözlemleyip raporları okumak, sonra güveni adım adım sertleştirmektir. Aşağıdaki sıra, kimseyi kapı dışında bırakmadan ilerlemenizi sağlar.

Her aşamada DMARC raporlarını (rua) bir analiz aracına yönlendirin; ham XML'i elle okumak pratik değildir.

  1. 01

    Envanteri çıkarın

    Alan adınız adına kim posta gönderiyor? Pazarlama aracı, fatura sistemi, destek masası, sunucu uyarıları — hepsini listeleyin. Görmediğiniz göndericiyi yetkilendiremezsiniz.

  2. 02

    SPF ve DKIM'i tamamlayın

    Listedeki her meşru gönderici için SPF kaydına ekleme yapın ve DKIM imzalamayı açın. Bu adım bitmeden DMARC'a geçmek erken; çünkü hizalanacak geçerli bir kontrol gerekir.

  3. 03

    p=none ile dinleyin

    Hiçbir postayı etkilemeyen bu politika yalnızca rapor toplar. Birkaç hafta gerçek trafiği izleyin: hangi kaynak hizasız geçiyor, hangisi gerçekten siz, hangisi sahteci?

  4. 04

    Boşlukları kapatın

    Raporlarda "sizin ama hizasız" çıkan her meşru kaynağı düzeltin. Bu adım genelde en uzun olanıdır; aceleyle atlanırsa bir sonraki aşamada gerçek posta kaybolur.

  5. 05

    p=quarantine ile yumuşak geçiş

    Başarısız mesajlar artık spam klasörüne düşer, tamamen kaybolmaz. Geri dönüşü olan bu eşikte birkaç hafta kalın; teslim sorunu çıkarsa hızla geri alabilirsiniz.

  6. 06

    p=reject ile koruma tam

    Hizasız ve doğrulanmamış mesajlar artık hiç teslim edilmez — markanız adına sahtecilik fiilen durur. Raporları izlemeye devam edin; yeni bir gönderici eklendiğinde döngü 01'den başlar.

04 — İtibar

Kimlik kanıtlandı — peki size güveniliyor mu?

SPF, DKIM ve DMARC mesajın sizden geldiğini kanıtlar; ama gelen kutusuna mı yoksa spam'e mi düşeceğini gönderim itibarınız belirler. Sağlayıcılar, gönderen alan adınızın ve IP'nizin geçmiş davranışına bakar. Aşağıdaki dört etken, itibarınızın hangi yönde hareket ettiğini gösterir.

IP ısıtma
Yeni IP itibarsızdır
Yeni bir gönderim IP'sinden ilk gün on binlerce posta atmak ani spam işaretine yol açar. Hacmi günler içinde kademeli artırın (warm-up); en bağlı alıcılarla başlayın.
Sert geri dönüş
Liste kalitesi sinyali
Var olmayan adreslere gönderim (hard bounce) itibarı hızla düşürür. Oranı %2'nin altında tutun; geri dönen adresi listeden derhal çıkarın.
Şikâyet oranı
En ağır ceza
"Spam bildir"e basılma oranı kritiktir; Google %0,3'ü üst sınır, %0,1'in altını hedef kabul eder. Kolay abonelikten çıkış ve isteğe dayalı liste bunu düşük tutar.
Etkileşim
Modern sıralama ölçütü
Açılma, yanıtlama, arşivleme olumlu; hiç açılmadan silinme olumsuz sinyaldir. Aylardır etkileşmeyen alıcıları ayıklayın — pasif liste itibarı aşağı çeker.
İşlem ve pazarlama postasını ayırın. Parola sıfırlama gibi kritik işlem postalarını, bülten gönderimiyle aynı alan adından (ya da alt alan adından) atmayın. Pazarlama listesindeki bir şikâyet dalgası, faturanızın da spam'e düşmesine yol açabilir. Ayrı alt alan adı, itibarı yalıtır.
05 — Sık karıştırılanlar

Benzer görünen ama ayrı işler yapan kavramlar.

SPF vs. DKIM

SPF hangi sunucunun gönderebileceğini söyler ama içeriği denetlemez ve yönlendirmede kırılır. DKIM içeriği kriptografik imzayla mühürler ve yönlendirmeye dayanır ama hangi IP'nin yetkili olduğunu söylemez. Rakip değil tamamlayıcıdırlar; DMARC ikisinin de üstüne kurulur.

Soft fail vs. Hard fail

SPF'te ~all (soft fail) "listede değil, şüpheli işaretle ama teslim et" der; -all (hard fail) "listede değilse meşru kabul etme" der. Geçiş döneminde soft fail güvenlidir; envanteriniz tamamlandığında hard fail'e geçmek korumayı sıkılaştırır.

Relaxed vs. Strict hizalama

Relaxed modda posta.sirketiniz.com ile sirketiniz.com aynı kökten sayılır — alt alan adlarıyla çalışan çoğu kurum için doğru seçim. Strict modda alan adlarının birebir aynı olması gerekir; daha katı ama esnekliği azdır.

MTA-STS vs. DANE

İkisi de gelen postanın şifreli teslimini zorunlu kılar. MTA-STS politikayı HTTPS üzerinden yayınlar, DNSSEC gerektirmez — kurması kolaydır. DANE sertifikayı DNS'e bağlar ama DNSSEC şarttır. Çoğu kurum MTA-STS ile başlar.

DMARC vs. BIMI

DMARC sahteciliği durduran teknik korumadır; gelen kutusuna ulaşmanın ön koşuludur. BIMI ise yürürlükteki bir DMARC politikası varsa logonuzu gelen kutusunda gösterir — koruma değil, kazanılmış güvenin görünür sonucudur ve çoğu sağlayıcıda doğrulanmış marka sertifikası ister.

Birinci el kaynaklar

E-posta kimlik doğrulamasını ve teslim edilebilirliği tanımlayan resmi standartlar ve rehberler.

Sıradaki adım

Gönderim kurulumunuza birlikte bakalım.

Mevcut SPF, DKIM ve DMARC kayıtlarınızı, gönderici envanterinizi ve son DMARC raporlarınızı masaya yatıralım — gelen kutusuna güvenle ulaşan bir kurulumu birlikte tamamlayalım.