SPF, DKIM ve DMARC Nasıl Kurulur? Mail Teslimatı İçin Temel Rehber

Kurumsal alan adından mail gönderirken SPF, DKIM ve DMARC artık “olsa iyi olur” seviyesinden çıktı. Bu üç kayıt aynı işi yapmıyor; birlikte çalışarak gönderen sunucuyu tanımlıyor, mesajın imzasını doğruluyor ve başarısız doğrulamada alıcıya ne yapması gerektiğini söylüyor.

SPF, alan adınız adına hangi sunucuların mail gönderebileceğini TXT kaydıyla belirtir. Basit bir örnek:

@  TXT  "v=spf1 ip4:192.0.2.10 include:_spf.google.com ~all"

Bu sadece örnektir; gerçekten kullanmadığınız servisi `include` etmeyin. Bir alan adında birden fazla ayrı SPF kaydı oluşturmak hataya yol açar. Tüm kaynaklar tek kayıtta birleştirilmeli ve SPF’nin DNS lookup sınırı gözetilmeli.

DKIM’de mail sunucusu mesajı özel anahtarla imzalar, açık anahtar DNS’te yayınlanır. Kayıt adı genellikle seçiciye göre `default._domainkey` veya sağlayıcının verdiği başka bir selector olur:

default._domainkey  TXT  "v=DKIM1; k=rsa; p=ACIK_ANAHTAR..."

Anahtarın satır sonları ve tırnakları panelden panele farklı gösterilebilir. cPanel kullanıyorsanız Email Deliverability ekranındaki önerilen kaydı kopyalamak en güvenli yol.

DMARC ise `_dmarc` altında yayınlanır. İlk kurulumda rapor toplayıp sistemi gözlemlemek için:

_dmarc TXT "v=DMARC1; p=none; rua=mailto:dmarc@alanadi.com; adkim=s; aspf=s"

Tüm meşru gönderim kaynakları SPF veya DKIM ile hizalandıktan sonra politika kademeli olarak `quarantine`, ardından uygun görülürse `reject` yapılabilir. İlk gün doğrudan `p=reject` kullanmak CRM, destek sistemi veya bülten servisinden çıkan geçerli mailleri de reddettirebilir.

Kurulumdan sonra şunları kontrol ediyorum:

- DNS kaydı gerçekten yayılmış mı?
- SPF sonucu pass mi?
- DKIM imzası pass mi?
- DMARC alignment sağlanıyor mu?
- Return-Path alanı beklenen domain mi?
- Rapor adresi aktif ve raporları işleyebiliyor mu?

Gmail’de “Orijinali göster” ekranı hızlı kontrol için yararlı. Ayrıca DNS sorgularıyla kayıtların tek parça ve doğru hostta olduğunu doğrulayabilirsiniz.

DMARC raporları ilk bakışta karmaşık XML dosyaları olarak gelir. Bunları özetleyen bir raporlama aracı kullanmak, hangi IP’lerin alan adınız adına mail gönderdiğini görmeyi kolaylaştırır. Tanımadığınız kaynak her zaman saldırı olmayabilir; eski bir form servisi veya unutulmuş muhasebe uygulaması çıkabilir. Politikayı sertleştirmeden önce tüm meşru kaynakların envanterini çıkarmak bu nedenle önemlidir.

Siz DMARC politikasını hâlâ `none` olarak mı kullanıyorsunuz, yoksa `reject` seviyesine geçtiniz mi? Birden fazla mail servisini aynı domainde yönetirken yaşadığınız sorunlar nelerdi?