SPF, DKIM, DMARC nedir, nasıl kurulur?

SPF, DKIM ve DMARC; e-posta güvenliği denildiğinde adı geçen üç teknik standardı. Birlikte çalıştıklarında alıcının "bu mail gerçekten o domainden mi geliyor?" sorusunu kesinlikle cevaplamayı sağlarlar. Bu yazıda her üçünü teknik düzeyde, kurulum adımlarıyla anlatıyoruz.

SPF kurulumu

SPF kaydı nedir?

SPF (Sender Policy Framework), domain DNS'inde tanımladığınız bir TXT kaydıdır ve domain adınızdan kimlerin mail gönderme yetkisi olduğunu listeler.

Kayıt formatı

v=spf1 ip4:203.0.113.0/24 include:_spf.google.com -all

Bileşenler:

v=spf1: SPF versiyonu.
ip4:: Yetkili IP veya IP bloğu.
include:: Üçüncü taraf SPF kayıtlarını dahil et (Google Workspace, Microsoft 365, Mailchimp).
-all: Yukarıdakiler dışındaki her şey reddedilsin (hard fail).

Yaygın include değerleri

include:_spf.google.com         (Google Workspace)
include:spf.protection.outlook.com  (Microsoft 365)
include:servers.mcsv.net        (Mailchimp)
include:_spf.salesforce.com     (Salesforce)
include:sendgrid.net            (SendGrid)
include:_spf.mailcow.email      (Mailcow self-host)

Kontrol

Kurulumdan sonra:

dig +short TXT example.com | grep spf

veya tarayıcıdan mxtoolbox.com/spf.aspx.

10 lookup limiti. SPF içindeki include ve mechanism çağrıları 10'u aşarsa SPF "permerror" verir. Çok sayıda servis kullanıyorsanız SPF flatten araçlarına bakın.

DKIM kurulumu

DKIM nedir?

DKIM (DomainKeys Identified Mail), her giden maile kriptografik bir imza ekler. Public key DNS'te ilan edilir, mail sunucusu private key ile imzalar; alıcı public key ile doğrular.

Microsoft 365 üzerinde DKIM

Microsoft 365 Defender portalına girin: Email & collaboration > Policies & rules > Threat policies > Email Authentication settings > DKIM.
Domain'inizi seçin, "Create DKIM keys" tıklayın.

Verilen iki CNAME kaydını DNS'inize ekleyin:

selector1._domainkey.example.com  CNAME  selector1-example-com._domainkey.tenant.onmicrosoft.com
selector2._domainkey.example.com  CNAME  selector2-example-com._domainkey.tenant.onmicrosoft.com

DNS yayılımı sonrası "Enable DKIM" ile aktif edin.

Google Workspace üzerinde DKIM

Admin Console > Apps > Google Workspace > Gmail > Authenticate email.
Selector ismi (örn. google), key length 2048 seçin.

Verilen TXT kaydını DNS'e ekleyin:

google._domainkey  TXT  "v=DKIM1; k=rsa; p=MIIBIjANBgkqh..."

DNS yayıldıktan sonra "Start authentication" tıklayın.

Mailcow / self-host DKIM

Mailcow yönetim panelinde Configuration > Domains > DKIM, "Add DKIM key" tıklayın. Selector için mailcow veya custom isim. Verilen public key'i DNS'inize ekleyin.

Kontrol

dig +short TXT selector1._domainkey.example.com

veya dkimvalidator.com ile gönderdiğiniz örnek mail üzerinden kontrol edin.

DMARC kurulumu

DMARC nedir?

DMARC, SPF ve DKIM doğrulamalarının sonuçlarını birleştirir ve domain sahibi olarak alıcıya "doğrulama başarısız olursa ne yapacağını" söyler. Aynı zamanda raporlama altyapısıdır.

Aşamalı geçiş

DMARC'ı doğrudan p=reject modunda yayınlamak yıllarca biriktirdiğiniz mail trafiğini bir gecede reddedebilir. Standart geçiş süreci:

Hafta 1-2: monitoring (p=none)

_dmarc.example.com TXT "v=DMARC1; p=none; rua=mailto:dmarc@example.com; pct=100"

Bu modda alıcı sunucuları doğrulama yapar ama hiçbir aksiyon almaz; size günlük rapor gönderir.

Hafta 3-6: quarantine (p=quarantine)

v=DMARC1; p=quarantine; rua=mailto:dmarc@example.com; pct=100

Doğrulama başarısız olan mailler spam'a düşer.

Hafta 7+: reject (p=reject)

v=DMARC1; p=reject; rua=mailto:dmarc@example.com; pct=100; sp=reject; adkim=s; aspf=s

Doğrulama başarısız mailler tamamen reddedilir. adkim=s ve aspf=s strict alignment ister; subdomain'lere de aynı kural (sp=reject).

DMARC raporlama

rua= parametresinde belirttiğiniz adrese her gün özet rapor (XML formatında) gelir. Bu raporları okumak için:

Raporlar, "kim sizin domain'inizden mail göndermeye çalışıyor" sorusunu cevaplar. Çoğu zaman SPF kaydında unutulan bir servis veya bilinmeyen bir kaynak çıkar.

DMARC raporu yarın değil 24-48 saat sonra gelir. Acele etmeyin; ilk haftalar veri toplama dönemi.

BIMI ile ileri seviye

DMARC p=reject aktifse BIMI (Brand Indicators for Message Identification) eklemenizi öneririz. Bu kayıt, domain'inize ait logo'yu Gmail / Yahoo Inbox'ta gönderici yanına yerleştirir. Markalı görünüm + kimlik doğrulama bir arada.

Sonuç ve hızlı kontrol listesi

Kontrol listesi:

SPF tek satır, doğru include ve -all ile bitiyor
DKIM tüm aktif gönderici servislerde aktif
DMARC p=none ile başlatıldı
Raporlar 2 hafta gözlendi
p=quarantine ardından p=reject ile bitirildi
mxtoolbox.com ile haftalık sağlık kontrolü

Mail tarafı bittiğinde teslimat oranınız %95-98 seviyesine yerleşir, sahte mailler engellenir.

İlgili: Kurumsal Mail & Mail Güvenliği hizmetimiz.

SPF kurulumu

SPF kaydı nedir?

SPF (Sender Policy Framework), domain DNS'inde tanımladığınız bir TXT kaydıdır ve domain adınızdan kimlerin mail gönderme yetkisi olduğunu listeler.

Kayıt formatı

v=spf1 ip4:203.0.113.0/24 include:_spf.google.com -all

Bileşenler:

v=spf1: SPF versiyonu.
ip4:: Yetkili IP veya IP bloğu.
include:: Üçüncü taraf SPF kayıtlarını dahil et (Google Workspace, Microsoft 365, Mailchimp).
-all: Yukarıdakiler dışındaki her şey reddedilsin (hard fail).

Yaygın include değerleri

include:_spf.google.com         (Google Workspace)
include:spf.protection.outlook.com  (Microsoft 365)
include:servers.mcsv.net        (Mailchimp)
include:_spf.salesforce.com     (Salesforce)
include:sendgrid.net            (SendGrid)
include:_spf.mailcow.email      (Mailcow self-host)

Kontrol

Kurulumdan sonra:

dig +short TXT example.com | grep spf

veya tarayıcıdan mxtoolbox.com/spf.aspx.

10 lookup limiti. SPF içindeki include ve mechanism çağrıları 10'u aşarsa SPF "permerror" verir. Çok sayıda servis kullanıyorsanız SPF flatten araçlarına bakın.

DKIM kurulumu

DKIM nedir?

DKIM (DomainKeys Identified Mail), her giden maile kriptografik bir imza ekler. Public key DNS'te ilan edilir, mail sunucusu private key ile imzalar; alıcı public key ile doğrular.

Microsoft 365 üzerinde DKIM

Microsoft 365 Defender portalına girin: Email & collaboration > Policies & rules > Threat policies > Email Authentication settings > DKIM.
Domain'inizi seçin, "Create DKIM keys" tıklayın.

Verilen iki CNAME kaydını DNS'inize ekleyin:

selector1._domainkey.example.com  CNAME  selector1-example-com._domainkey.tenant.onmicrosoft.com
selector2._domainkey.example.com  CNAME  selector2-example-com._domainkey.tenant.onmicrosoft.com

DNS yayılımı sonrası "Enable DKIM" ile aktif edin.

Google Workspace üzerinde DKIM

Admin Console > Apps > Google Workspace > Gmail > Authenticate email.
Selector ismi (örn. google), key length 2048 seçin.

Verilen TXT kaydını DNS'e ekleyin:

google._domainkey  TXT  "v=DKIM1; k=rsa; p=MIIBIjANBgkqh..."

DNS yayıldıktan sonra "Start authentication" tıklayın.

Mailcow / self-host DKIM

Mailcow yönetim panelinde Configuration > Domains > DKIM, "Add DKIM key" tıklayın. Selector için mailcow veya custom isim. Verilen public key'i DNS'inize ekleyin.

Kontrol

dig +short TXT selector1._domainkey.example.com

veya dkimvalidator.com ile gönderdiğiniz örnek mail üzerinden kontrol edin.

DMARC kurulumu

DMARC nedir?

Aşamalı geçiş

DMARC'ı doğrudan p=reject modunda yayınlamak yıllarca biriktirdiğiniz mail trafiğini bir gecede reddedebilir. Standart geçiş süreci:

Hafta 1-2: monitoring (p=none)

_dmarc.example.com TXT "v=DMARC1; p=none; rua=mailto:dmarc@example.com; pct=100"

Bu modda alıcı sunucuları doğrulama yapar ama hiçbir aksiyon almaz; size günlük rapor gönderir.

Hafta 3-6: quarantine (p=quarantine)

v=DMARC1; p=quarantine; rua=mailto:dmarc@example.com; pct=100

Doğrulama başarısız olan mailler spam'a düşer.

Hafta 7+: reject (p=reject)

v=DMARC1; p=reject; rua=mailto:dmarc@example.com; pct=100; sp=reject; adkim=s; aspf=s

Doğrulama başarısız mailler tamamen reddedilir. adkim=s ve aspf=s strict alignment ister; subdomain'lere de aynı kural (sp=reject).

DMARC raporlama

rua= parametresinde belirttiğiniz adrese her gün özet rapor (XML formatında) gelir. Bu raporları okumak için:

Raporlar, "kim sizin domain'inizden mail göndermeye çalışıyor" sorusunu cevaplar. Çoğu zaman SPF kaydında unutulan bir servis veya bilinmeyen bir kaynak çıkar.

DMARC raporu yarın değil 24-48 saat sonra gelir. Acele etmeyin; ilk haftalar veri toplama dönemi.

BIMI ile ileri seviye

Sonuç ve hızlı kontrol listesi

Kontrol listesi:

SPF tek satır, doğru include ve -all ile bitiyor
DKIM tüm aktif gönderici servislerde aktif
DMARC p=none ile başlatıldı
Raporlar 2 hafta gözlendi
p=quarantine ardından p=reject ile bitirildi
mxtoolbox.com ile haftalık sağlık kontrolü

Mail tarafı bittiğinde teslimat oranınız %95-98 seviyesine yerleşir, sahte mailler engellenir.

İlgili: Kurumsal Mail & Mail Güvenliği hizmetimiz.

SPF kurulumu

SPF kaydı nedir?

Kayıt formatı

Yaygın include değerleri

Kontrol

DKIM kurulumu

DKIM nedir?

Microsoft 365 üzerinde DKIM

Google Workspace üzerinde DKIM

Mailcow / self-host DKIM

Kontrol

DMARC kurulumu

DMARC nedir?

Aşamalı geçiş

DMARC raporlama

BIMI ile ileri seviye

Sonuç ve hızlı kontrol listesi

Bu konuda hizmet almak ister misiniz?

İlgili yazılar

Şirket mailleriniz neden spam'a düşüyor?

Aylık IT destek paketi nedir, kimin için doğru?

Çok şubeli işletmede ağ yönetimi nasıl olmalı?

SPF kurulumu

SPF kaydı nedir?

Kayıt formatı

Yaygın include değerleri

Kontrol

DKIM kurulumu

DKIM nedir?

Microsoft 365 üzerinde DKIM

Google Workspace üzerinde DKIM

Mailcow / self-host DKIM

Kontrol

DMARC kurulumu

DMARC nedir?

Aşamalı geçiş

DMARC raporlama

BIMI ile ileri seviye

Sonuç ve hızlı kontrol listesi

Bu konuda hizmet almak ister misiniz?

İlgili yazılar

Şirket mailleriniz neden spam'a düşüyor?

Aylık IT destek paketi nedir, kimin için doğru?

Çok şubeli işletmede ağ yönetimi nasıl olmalı?