SPF, DKIM ve DMARC ile E-Posta Güvenliği ve Teslim Edilebilirlik

tarihinde gönderilmiş tarafından

SPF, DKIM ve DMARC Neden Bu Kadar Önemli?

Kurumsal bir alan adından e-posta gönderiyorsanız, itibarınızı belirleyen en kritik unsurlardan biri teslim edilebilirliktir. Yani gönderdiğiniz e-postaların gerçekten gelen kutusuna düşmesi ve spam klasörüne takılmamasından bahsediyoruz. Birçok işletme harika kampanyalar, önemli duyurular hazırlıyor; fakat SPF, DKIM ve DMARC ayarları doğru yapılmadığı için e-postalar ya hiç ulaşmıyor ya da spam klasöründe kayboluyor. Özellikle e-posta nedir ve nasıl çalışır konusuna hâkim olanlar için bile DNS tarafındaki bu güvenlik kayıtları ilk bakışta karmaşık görünebiliyor.

MarkaHost olarak yüzlerce alan adı ve mail altyapısında SPF, DKIM ve DMARC kaynaklı problemler çözdük. Gördüğümüz tablo hep aynı: Doğru yapılandırılan bu üçlü, hem sahtecilik (spoofing) saldırılarını ciddi şekilde azaltıyor hem de Gmail, Outlook gibi servislerde marka güven skorunu yükseltiyor. Bu yazıda, teknik terimleri olabildiğince sadeleştirerek, SPF, DKIM ve DMARC ayarlarıyla e-posta güvenliğinizi ve teslim edilebilirliğinizi nasıl artırabileceğinizi adım adım anlatacağız.

SPF, DKIM ve DMARC Temel Kavramlar

SPF Nedir?

SPF (Sender Policy Framework), bir alan adı adına e-posta göndermeye yetkili sunucuları tanımladığınız DNS kaydıdır. Yani, “Bu alan adı için yalnızca şu IP adresleri ve şu sunucular mail gönderebilir” demenin standartlaştırılmış yoludur. Alıcı sunucu, e-postayı aldığında gönderen alan adının DNS’inden SPF kaydını okur ve gelen IP’nin yetkili olup olmadığını kontrol eder. SPF kaydı, DNS üzerinde bir TXT kaydı olarak tanımlanır.

DKIM Nedir?

DKIM (DomainKeys Identified Mail), e-postalarınıza kriptografik bir imza ekleyerek, iletim sırasında içeriğin değiştirilmediğini ve gerçekten sizin alan adınızdan çıktığını kanıtlayan sistemdir. Gönderici tarafta özel anahtar ile e-posta imzalanır, alıcı taraf ise DNS’te yayınladığınız açık anahtar ile bu imzayı doğrular. Böylece hem bütünlük hem de kimlik doğrulama sağlanır.

DMARC Nedir?

DMARC (Domain-based Message Authentication, Reporting and Conformance), SPF ve DKIM sonuçlarına bakarak alıcı sunuculara “Bu kontroller başarısız olursa ne yapmalısın?” talimatı veren politikadır. Ayrıca DMARC sayesinde raporlar alarak, alan adınızı taklit etmeye çalışan domain spoofing saldırılarını izleyebilirsiniz. DMARC da bir TXT kaydı olarak DNS’e eklenir ve SPF/DKIM üzerine bir yönetim katmanı sağlar.

SPF Ayarları: Temel Mantık ve Örnekler

SPF Kaydı Nasıl Çalışır?

SPF kaydının görevi, “Bu alan adı için şu IP adresleri ve şu servisler mail gönderebilir” bilgisini sunmaktır. Örneğin web sunucunuzdan, kurumsal mail sunucunuzdan ve bir e-posta pazarlama servisinden mail gönderiyorsanız, hepsini SPF kaydında tanımlamanız gerekir. SPF doğrulaması başarısız olursa, DMARC siyasetine göre mail spam’e atılabilir veya tamamen reddedilebilir.

Basit Bir SPF Kayıt Örneği

En basit haliyle SPF kaydı şu şekilde görünebilir:

v=spf1 a mx ip4:1.2.3.4 -all

  • v=spf1: SPF sürümüdür.
  • a: Alan adının A kaydındaki IP maile yetkilidir.
  • mx: MX kayıtlarında tanımlı mail sunucuları yetkilidir.
  • ip4:1.2.3.4: Belirli bir IPv4 adresini yetkilendirir.
  • -all: Bunların dışındaki tüm kaynakları kesin olarak reddet anlamına gelir.

SPF Kaydı Oluştururken En Sık Yapılan Hatalar

  • Birden fazla SPF kaydı eklemek: Bir alan adı için yalnızca tek SPF TXT kaydı olmalıdır. Birden fazla SPF kaydı varsa çoğu alıcı bunu geçersiz sayar.
  • Tüm gönderici servisleri eklememek: Örneğin sunucunuz, CRM sisteminiz ve toplu mail servisiniz varsa, hepsi tek SPF kaydında tanımlanmalıdır.
  • ~all ve -all kullanımını karıştırmak: ~all (soft fail) daha esnektir; geçiş sürecinde tercih edilir. -all (hard fail) ise daha katıdır ve yanlış yapılandırmalarda teslimatı ciddi şekilde düşürebilir.

MarkaHost üzerinde barındırılan alan adlarınızda, DNS yönetim ekranından SPF TXT kaydını kolayca ekleyebilir ve gerektiğinde güncelleyebilirsiniz. DNS yönetimine hâkim değilseniz, Cloudflare üzerinden DNS yönetimi mantığını incelemek de bu süreci anlamanıza yardımcı olacaktır.

DKIM Ayarları: İmza ve Anahtar Yönetimi

DKIM Kayıt Yapısı

DKIM için her alan adı (veya bazen her servis) bir seçici (selector) kullanır. DNS tarafında şu yapıda bir TXT kaydı oluşturursunuz:

selector._domainkey.ornekalanadi.com şeklinde bir isimle, içinde şu tip bir değer olur:

v=DKIM1; k=rsa; p=UZUN_PUBLIC_KEY_VERISI

  • selector: Sunucu veya servis tarafından belirlenen isim.
  • v=DKIM1: DKIM sürümüdür.
  • k=rsa: Anahtar tipini belirtir.
  • p=…: Açık anahtar verisidir.

DKIM Kurulumu Adımları

  1. Kullandığınız mail sunucusu veya panel üzerinden DKIM anahtar çifti (public/private) oluşturun.
  2. Panel size selector ismini ve TXT kaydı için değeri verecektir.
  3. Bu değeri MarkaHost DNS yönetim ekranına, doğru isimle (selector._domainkey) TXT kaydı olarak ekleyin.
  4. DNS yayılımı tamamlandıktan sonra test maili göndererek DKIM imzasının eklendiğini doğrulayın.

DKIM sayesinde, iletim sırasında e-postaya satır ekleyen veya içeriği değiştiren kötü niyetli girişimler tespit edilir. Özellikle kurumsal mail altyapısı kullanan işletmeler için DKIM imzası artık neredeyse zorunlu bir standart haline gelmiş durumda.

DMARC Politikası: SPF ve DKIM’in Üzerindeki Kontrol Katmanı

DMARC Ne İşe Yarar?

DMARC, SPF ve DKIM sonuçlarına bakarak, alıcıya şu soruların cevabını verir:

  • SPF veya DKIM başarısız olursa mail ile ne yapılmalı?
  • Kimlik doğrulaması başarısız olan mailleri izlemek için raporlar nereye gönderilmeli?
  • Alan adının hangi alt alanları bu politikadan etkilenecek?

DMARC kaydı da bir TXT kaydıdır ve genellikle _dmarc.ornekalanadi.com adıyla tanımlanır.

Örnek DMARC Kayıtları

Başlangıç için güvenli bir DMARC kaydı şu şekilde olabilir:

v=DMARC1; p=none; rua=mailto:dmarc-rapor@ornekalanadi.com

  • p=none: Şimdilik aksiyon alma, sadece raporla.
  • rua=mailto:…: Toplu (aggregate) raporların gönderileceği e-posta adresi.

SPF ve DKIM yapılandırmalarınızdan emin oldukça, politikayı güçlendirebilirsiniz:

  • p=quarantine: Başarısız mailleri spam klasörüne yönlendir.
  • p=reject: Başarısız mailleri tamamen reddet.

İlerleyen aşamada, güveniniz arttığında şu tarz bir kayıt kullanabilirsiniz:

v=DMARC1; p=reject; rua=mailto:dmarc-rapor@ornekalanadi.com; pct=100; adkim=s; aspf=s

  • pct=100: Politikanın tüm maillere uygulanacağını söyler.
  • adkim=s / aspf=s: Sıkı hizalama (strict alignment) anlamına gelir; alt alan adlarından gelen mailleri daha katı doğrular.

Teslim Edilebilirliği Artırmak İçin Pratik Öneriler

1. Gönderici Altyapınızı Haritalayın

Önce hangi sistemlerin adınıza mail gönderdiğini netleştirin: Web siteniz, CRM, destek sistemi, fatura yazılımı, toplu mail servisi vb. Hepsinin IP veya alan adlarını SPF içine doğru şekilde ekleyin. Bu noktada SMTP protokolünün temellerini bilmek, hangi uygulamanın hangi sunucu üzerinden mail gönderdiğini anlamada çok işe yarar.

2. SPF, DKIM ve DMARC’ı Birlikte Düşünün

SPF tek başına yeterli değildir; bazı iletme (forwarding) senaryolarında bozulabilir. DKIM ise içeriğin değişmediğini garanti eder ama hangi aksiyonun alınacağını söylemez. DMARC bu ikisini birleştirerek, politikanızı netleştirir. Bu yüzden üçlü seti birlikte ve tutarlı şekilde kurgulamak, teslim edilebilirliği gözle görülür şekilde artırır.

3. Test Gönderimleri ve Raporları İhmal Etmeyin

Yeni bir SPF/DKIM/DMARC düzenlemesi yaptığınızda, farklı sağlayıcılardaki (Gmail, Outlook vb.) adreslere test e-postaları gönderin. Mail başlıklarını inceleyerek SPF, DKIM ve DMARC sonuçlarını kontrol edin. DMARC raporlarını düzenli okuyarak, bilginiz dışında sizin alan adınızla mail göndermeye çalışan IP’leri tespit edebilirsiniz. Bu IP’ler genellikle sahteciliğin ilk işaretleridir.

4. Güvenlik Zincirini Tamamlayın

Sadece mail kimlik doğrulamasına odaklanmak yetmez. Sunucu düzeyinde güvenlik ayarları, şifre politikaları ve log takibi de kritik önem taşır. Genel güvenlik yaklaşımınızı güçlendirmek için VPS sunucu güvenliği için adım adım rehber içeriğimizi de inceleyebilirsiniz. Ayrıca, olası saldırı denemelerini ve anomali trafiğini takip etmek için log kayıtlarının nasıl inceleneceğini bilmek büyük avantaj sağlar.

MarkaHost Altyapısında SPF, DKIM ve DMARC Yönetimi

MarkaHost olarak hem paylaşımlı hosting hem de VPS/dedicated çözümlerinde DNS ve e-posta altyapınızı SPF, DKIM ve DMARC’a uyumlu olacak şekilde kurgulamanıza yardımcı oluyoruz. Kontrol paneliniz üzerinden TXT kayıtlarını hızlıca ekleyebilir, hazır örneklerden faydalanabilir, gerektiğinde teknik ekibimizden kurulum ve kontrol desteği alabilirsiniz.

Yeni bir alan adı aldığınızda, önceliğiniz web sitesini yayına almak oluyor; fakat SPF, DKIM ve DMARC kayıtlarını da kurulum checklist’inizin ilk satırlarına eklemeniz gerektiğini unutmayın. Özellikle kurumsal e-posta adresi almak isteyenler için bu ayarlar, marka itibarı ve spam filtreleri açısından hayati öneme sahip.

Sonuç: Üçlü Kalkan ile Güvenli ve Güçlü Bir Mail Altyapısı

Özetle SPF, DKIM ve DMARC; e-posta güvenliği ve teslim edilebilirlik tarafında birbirini tamamlayan üç temel yapı taşıdır. SPF yetkili göndericileri tanımlar, DKIM mail içeriğini ve gönderen kimliğini kriptografik olarak doğrular, DMARC ise bu sonuçlara bakarak alıcıya hangi aksiyonu alması gerektiğini söyler. Üçü birlikte doğru kurgulandığında, alan adınızın itibarını korur, sahtecilik girişimlerini azaltır ve gönderdiğiniz maillerin gelen kutusuna düşme oranını ciddi şekilde artırır.

Alan adınız, web siteniz ve mail altyapınız MarkaHost üzerinde barınıyorsa, DNS ve e-posta yapılandırmalarınızı tek panelden yönetmenin konforunu yaşayabilirsiniz. Ekip olarak, SPF, DKIM ve DMARC ayarlarınızı gözden geçirmenize, test etmenize ve gerektiğinde optimize etmenize yardımcı olmaya hazırız. Kurumsal iletişiminizi güvenli ve profesyonel bir zemine taşımak için, bugün SPF kaydınızı kontrol ederek ve bir DMARC politikası tanımlayarak ilk adımı atabilirsiniz.