SPF, DKIM ve DMARC Nedir? E-posta Güvenliği Rehberi

E-posta kimlik doğrulama, kurumsal iletişimin görünmez kalkanıdır. SPF, DKIM ve DMARC — bu üç DNS kaydı doğru yapılandırıldığında sahtekarlığı engeller, teslimat oranlarını artırır ve marka itibarınızı korur. 2024’ten itibaren Gmail ve Yahoo bu kayıtları zorunlu hale getirdi; eksik kayıt e-postalarınızın reddedilmesi anlamına gelir.

SPF Kaydı Nedir ve Nasıl Çalışır?

SPF (Sender Policy Framework), bir domain adına e-posta göndermeye yetkili sunucuları ve IP adreslerini listeleyen bir DNS TXT kaydıdır. Alıcı sunucu, gelen e-postanın kaynağını bu listeyle karşılaştırır.

Örnek SPF kaydı:

v=spf1 include:_spf.ulakmail.com ~all

Önemli not: Bir domain’de birden fazla SPF kaydı olamaz. Birleştirin, yoksa her ikisi de geçersiz sayılır.

DKIM Kaydı Nedir ve Nasıl Çalışır?

DKIM (DomainKeys Identified Mail), gönderilen e-postalara kriptografik imza ekler. E-posta yolculuğu boyunca değiştirilmediğini ve gerçekten sizden geldiğini kanıtlar.

Çalışma mantığı:

1. Gönderici sunucu, e-postayı özel anahtarla imzalar
2. DNS’e açık anahtar yayınlar
3. Alıcı sunucu açık anahtarla imzayı doğrular

DKIM’i kontrol etmek için DKIM sorgulama aracımızı kullanabilirsiniz.

DMARC Kaydı Nedir ve Nasıl Çalışır?

DMARC (Domain-based Message Authentication, Reporting and Conformance), SPF ve DKIM sonuçlarına göre ne yapılacağını belirler ve raporlama sağlar.

Örnek DMARC kaydı:

v=DMARC1; p=quarantine; rua=mailto:dmarc@sirketiniz.com; pct=100

DMARC, SPF veya DKIM’den en az birini geçen ve domain hizalaması (alignment) sağlayan e-postalar için geçer.

Üçü Birlikte Nasıl Çalışır?

Gönderici sunucu → E-posta gönderir
         ↓
Alıcı sunucu kontrol eder:
  1. SPF: Bu IP yetkili mi?
  2. DKIM: İmza geçerli mi?
  3. DMARC: SPF/DKIM hizalaması var mı? Politika ne?
         ↓
Sonuca göre: Gelen kutusu / Spam / Reddet

SPF ve DKIM tek başına yeterli değildir. DMARC olmadan sahte e-postalar yine de iletilir; sadece bir not düşülür.

Adım Adım Kurulum Rehberi

Adım 1 — SPF kaydı ekleyin

DNS yönetim panelinizde TXT kaydı oluşturun:

v=spf1 include:[mail-sağlayıcınız] -all

Adım 2 — DKIM anahtarı oluşturun

Mail sağlayıcınız size bir selector ve açık anahtar verir. DNS’e şu biçimde ekleyin:

selector._domainkey.alanadi.com → TXT → "v=DKIM1; k=rsa; p=[açık-anahtar]"

Adım 3 — DMARC kaydıyla izlemeye başlayın

Başlangıç için p=none kullanın, raporları inceleyin:

_dmarc.alanadi.com → TXT → "v=DMARC1; p=none; rua=mailto:dmarc@sirketiniz.com"

Adım 4 — Politikayı sıkılaştırın

Raporları 2–4 hafta izleyin; sorun yoksa p=quarantine, ardından p=reject yapın.

Sık Yapılan Hatalar

• Birden fazla SPF kaydı: DNS’de tek SPF olmalı; yenisini ekleyince eskiyi silin
• DMARC’sız DKIM: Kimlik doğrulama eksik kalır, sahte e-postalar geçer
• Hemen p=reject seçmek: İlk aşamada none ile izleyin, yoksa kendi e-postalarınız bloke olur
• DKIM anahtarını yenilememek: 1024-bit eski anahtarlar güvensizdir; 2048-bit kullanın ve yıllık yenileyin

Sık Sorulan Sorular

SPF kaydım var ama e-postalarım spam’e düşüyor, neden? Muhtemelen DKIM veya DMARC eksik. Bazen gönderen IP, SPF listesinde yer almıyor olabilir. SPF sorgulama aracıyla durumu kontrol edin.

DMARC raporu nasıl okunur? DMARC raporları XML formatında gelir. Google Postmaster Tools veya ücretsiz DMARC analiz araçlarıyla kolayca görselleştirebilirsiniz.

Google ve Yahoo neden SPF/DKIM/DMARC zorunlu yaptı? 2024’ten itibaren Gmail ve Yahoo, toplu e-posta gönderen domain’ler için bu kayıtları zorunlu tuttu. Bu üçünü kurmazsanız e-postalarınız direkt reddedilebilir.

Kurumsal sağlayıcım bu kayıtları otomatik kuruyor mu? Ulakmail, SPF kayıtlarını plan kapsamında sağlar. DKIM ve DMARC için domain DNS erişiminiz gerekmektedir. Ücretsiz kurulum desteği için iletişime geçin.

SPF sorgulama → • DKIM sorgulama → • DMARC sorgulama → • E-posta itibarı →