DMARC, SPF, DKIM ile E-posta Spam Klasörüne Düşmesin

Müşteriye gönderilen teklifin karşı tarafta spam klasörüne düşmesi satışın yarım kalması demektir. Aynı zamanda markanız adına sahte e-posta gönderen saldırganlar işletme itibarını zedeleyebilir. SPF, DKIM ve DMARC bu iki sorunu birden çözen e-posta kimlik doğrulama standartlarıdır. Doğru yapılandırıldıklarında teslim oranı artar, phishing saldırıları zorlaşır. Bu rehber KOBİ'ler için pratik bir kurulum yol haritası sunar.

E-posta Kimlik Doğrulama Neden Önemli?

Günümüz e-posta sunucuları (Gmail, Outlook, Yahoo) gelen mesajın gerçekten iddia ettiği alan adından geldiğini doğrulamak ister. Üç standart bu doğrulamanın temelini oluşturur: SPF (gönderen sunucu yetkisi), DKIM (dijital imza), DMARC (politika bildirimi). Bu kayıtlar eksik veya hatalı olan işletmelerde sık karşılaşılan sorunlar:

• Müşteriye gönderilen e-posta spam klasörüne düşüyor
• Teslim başarısızlık oranı yüksek (bounce)
• Saldırganlar şirket alanından sahte e-posta atıyor
• Google/Microsoft güncellemeleriyle e-posta trafiği aniden kesiliyor
• Pazarlama e-postalarının açılma oranı düşük
• Müşteriler "sizden böyle bir şey aldım" diyerek sahte e-postaya kanıyor
• Kurumsal e-posta itibarı zayıflıyor

Bu sorunların çoğu DNS üzerinde doğru üç kayıt eklenerek çözülür.

3 Standart Pratik Olarak Ne Yapar?

SPF (Sender Policy Framework)

SPF, hangi sunucuların alan adınızdan e-posta göndermeye yetkili olduğunu listeleyen DNS kaydıdır. Örneğin yamanlarbilisim.com.tr alanı için yalnızca Microsoft 365 sunucuları yetkili olacaksa SPF kaydı bunu bildirir. Alıcı sunucu bu listedeki olmayan bir sunucudan gelen e-postayı şüpheli sayar.

Örnek SPF kaydı:

v=spf1 include:spf.protection.outlook.com -all

-all kısmı "liste dışındaki tüm sunucuları reddet" anlamındadır.

DKIM (DomainKeys Identified Mail)

DKIM, giden e-postaya kriptografik imza ekler. Alıcı sunucu bu imzayı alan adının DNS üzerindeki public key ile doğrular. İmza geçerliyse e-postanın içeriği yolda değiştirilmemiş ve gerçekten sizin sunucunuzdan geldiği kanıtlanır.

DKIM DNS kaydı tipik olarak şuna benzer:

selector1._domainkey.yamanlarbilisim.com.tr  TXT  "v=DKIM1; k=rsa; p=MIIBIjANBg..."

DMARC (Domain-based Message Authentication)

DMARC, SPF ve DKIM doğrulamalarının başarısız olması durumunda alıcı sunucunun ne yapacağını bildirir: işaretle, karantinaya al veya reddet. Ayrıca başarısız e-postaların raporunu belirttiğiniz adrese gönderir.

Örnek DMARC kaydı:

_dmarc.yamanlarbilisim.com.tr  TXT  "v=DMARC1; p=quarantine; rua=mailto:dmarc@yamanlarbilisim.com.tr"

Politika kademeli uygulanır: başlangıçta p=none ile sadece rapor toplanır, sonra p=quarantine, son olarak p=reject.

Adım Adım Kurulum

1. Mevcut kayıtları kontrol edin. Online araçlarla (MXToolbox, Google Admin Toolbox) SPF, DKIM ve DMARC kayıtlarınızın durumunu görün. Çoğu KOBİ'de hiç yoktur veya eksiktir.

2. Gönderici sunucuları listeleyin. E-posta Microsoft 365, Google Workspace, mailhost, sendgrid gibi kaynaklardan gönderiliyorsa hepsi SPF kaydına dahil edilmelidir. Eksik bir kaynak meşru e-postalar için doğrulama başarısızlığı oluşturur.

3. SPF kaydını ekleyin. DNS yöneticinizden (alan adı sağlayıcı paneli veya IT ekibi) TXT tipinde kayıt ekleyin. İlk başta ~all (soft fail) önerilir, birkaç hafta test sonrası -all (hard fail) yapılır.

4. DKIM'i e-posta sağlayıcınızda aktif edin. Microsoft 365 ve Google Workspace admin panellerinden tek tık ile DKIM kaydı üretilir. DNS'e eklenmesi üretici talimatlarına uygun şekilde yapılır.

5. DMARC ile başlayın, p=none ile. Bu aşamada politika sadece rapor toplar, hiçbir e-posta engellenmez. rua adresine gelen raporlarla meşru ve sahte trafiğin haritası çıkarılır.

6. 2-4 hafta rapor inceleyin. Beklenmedik kaynaklardan gelen meşru e-postaları tespit edin (ör. muhasebe programı, CRM), bunları SPF'e ekleyin.

7. DMARC'ı kademeli sıkılaştırın. Rapor temiz göründüğünde p=quarantine yapın (başarısızlar spam'e atılsın), bir ay daha sonra p=reject (başarısızlar reddedilsin) seviyesine çıkın.

Hızlı Kontrol Tablosu

Standart	Ne yapıyor	Kurulum zorluğu
SPF	Yetkili gönderici sunucu listesi	Düşük — tek TXT kaydı
DKIM	Giden e-postaya dijital imza	Orta — sağlayıcıda anahtar üretilir
DMARC	Politika + rapor	Düşük — tek TXT kaydı

Üçü birlikte kurulduğunda olgun bir kimlik doğrulama yapısı elde edilir.

Sık Yapılan Hatalar

• SPF kaydında 10'dan fazla DNS lookup olması (standart sınırı aşar)
• Birden fazla SPF kaydı oluşturmak (yalnız bir tane olmalı)
• DKIM'i üretip DNS'e eklememek
• DMARC'ı doğrudan p=reject ile başlatmak — meşru e-postalar engellenebilir
• DMARC raporlarını hiç incelememek
• Üçüncü parti pazarlama servislerinin SPF kaydına eklenmemesi
• Alan adı değişikliklerinde DKIM anahtarlarının güncellenmemesi

Gerçek İşletme Örnekleri

Örnek 1: Muhasebe Firmasında Teslim Sorunu

Bir muhasebe firmasında müşterilere gönderilen teklifler Gmail'de spam klasörüne düşüyordu. Analizde SPF kaydı eksik, DKIM aktif değildi. Microsoft 365'te DKIM aktif edildi, SPF güncellendi. Spam klasörüne düşme oranı belirgin şekilde azaldı.

Örnek 2: Üretim Tesisinde Sahte E-posta

Bir üretim tesisinde müşterilere şirket alanından sahte banka bilgisi içeren e-postalar geldiği bildirildi. DMARC p=reject politikasıyla sahte sunuculardan gelen e-postaların alıcı sunucuda otomatik reddi sağlandı. Sonraki denemeler doğrudan geri döndü.

Örnek 3: Danışmanlık Firmasında DMARC Raporlaması

Bir danışmanlık firması DMARC raporlarını inceleyerek CRM entegrasyonunun meşru e-posta gönderdiğini ama SPF'de olmadığını fark etti. SPF güncellendi; CRM'den gönderilen otomatik e-postalar artık başarılı doğrulama geçiyor.

Yamanlar Bilişim Bu Süreçte Nasıl Destek Sağlar?

Yamanlar Bilişim, mevcut e-posta kimlik doğrulama durumunu inceleyerek SPF, DKIM ve DMARC kayıtlarını kademeli bir planla kurar. Raporlama ve politika sıkılaştırma süreci boyunca meşru e-posta trafiği izlenir, herhangi bir kesintiye izin verilmez.

Yamanlar Bilişim'in destek verebildiği başlıca alanlar şunlardır:

• Mevcut DNS kayıtlarının analizi ve eksik tespit
• SPF kaydının oluşturulması ve optimize edilmesi
• Microsoft 365 veya Google Workspace üzerinde DKIM aktivasyonu
• DMARC politikasının kademeli devreye alınması
• DMARC raporlarının düzenli analizi ve öneri
• Üçüncü parti e-posta servislerinin kayda entegrasyonu
• Teslim oranı izleme ve iyileştirme
• E-posta güvenliği genel sıkılaştırma

SSS

Bu kayıtlar olmadan e-posta yine gönderilir mi?

Evet, ancak teslim oranı düşer. Gmail ve Outlook, kimlik doğrulaması olmayan e-postaları giderek daha agresif işaretler.

DMARC'ı doğrudan reject ile başlatmak mı mantıklı?

Hayır. Önce p=none ile raporlar incelenmeli, meşru kaynaklar SPF'e eklenmelidir. Aksi takdirde meşru e-postalar engellenir.

Üçüncü parti pazarlama aracı kullanıyorum, ne yapmalıyım?

Aracın gönderici sunucularını SPF kaydına eklemelisiniz. DKIM için de ayrı kayıt gerekli olabilir; sağlayıcı talimatlarını izleyin.

Kurulum kaç gün sürer?

DNS yayılması 24-48 saat, DMARC rapor inceleme 2-4 hafta. Tam sıkılaşma 1-2 ay içinde tamamlanır.

KOBİ için bu kayıtlar gerçekten gerekli mi?

Evet. Büyük sağlayıcılar kimlik doğrulaması olmayan e-postaları giderek bloklayacaktır. Geç kalan işletmeler teslim sorunu yaşar.

Teklif Alın

E-posta teslim oranı ve marka güvenliği için SPF, DKIM ve DMARC kayıtlarının doğru yapılandırılması kritiktir. Yamanlar Bilişim, mevcut durumu analiz ederek kademeli bir kurulum planı hazırlar. Detaylı değerlendirme için /teklif sayfasından talep iletebilir, mevcut e-posta altyapısı için /iletisim üzerinden ulaşabilirsiniz.