E-posta İçin SPF, DKIM ve DMARC Ayarları: Spam Koruma Rehberi

E-posta İçin SPF, DKIM ve DMARC Ayarları: Spam Koruma Rehberi

Giriş
E-posta altyapısının güvenliği ve itibar yönetimi, günümüzde markalar ve bireyler için kritik bir konudur. Gönderdiğiniz e-postalar alıcının gelen kutusuna düşmez, spam klasörüne kayar veya hiç teslim edilmezse iletişim kopar ve güven kaybedilir. SPF, DKIM ve DMARC mekanizmaları, e-postalarınızın sahtecilik, kimlik taklidi (phishing) ve istenmeyen posta (spam) saldırılarına karşı korunmasını; aynı zamanda e-posta teslimat oranlarınızın en üst seviyede kalmasını sağlar. Bu rehberde adım adım nasıl yapılandıracağınızı, DNS kayıtlarınızı nasıl ekleyeceğinizi, test ve izleme yöntemlerini, yaygın sorunları ve çözümlerini ele alacağız.

SPF (Sender Policy Framework) Nedir ve Nasıl Kurulur?
SPF, gönderenin alan adının hangi sunuculardan e-posta göndermesine izin verildiğini tanımlayan DNS tabanlı bir mekanizmadır. Alıcı sunucu, mesajı kabul etmeden önce SPF kaydınıza bakarak gönderenin IP adresini kontrol eder. SPF kaydı eklemek için DNS yönetim panelinize gidin ve TXT kaydı oluşturun. Örnek bir SPF kaydı şöyle görünür:

v=spf1 mx a ip4:203.0.113.10 include:mailservice.com -all

Bu tanımda v=spf1 sürümü belirler; mx ve a ile posta sunucularınızı, ip4 ile tek bir IP’yi, include ile üçüncü parti e-posta sağlayıcınızı ekler; -all ile bu kayıtta listelenmeyen tüm kaynaklardan gelen postaların reddedilmesini zorunlu kılar. Daha esnek kabul için ~all (softfail) veya ?all (neutral) kullanabilirsiniz. Kaydı girdikten sonra dig TXT example.com veya nslookup -type=TXT example.com komutlarıyla doğrulayın.

DKIM (DomainKeys Identified Mail) Nedir ve Nasıl Yapılandırılır?
DKIM, e-postanın bütünlüğünü ve kaynağını doğrulamak için mesaj başlıklarına dijital imza ekleyen bir protokoldür. Sunucunuz her gönderide özel anahtarınızla mesajı imzalar; alıcı sunucu DNS’deki açık anahtarla bu imzayı doğrular. Kurulum için:

1. Mail sunucunuzun veya üçüncü parti servisin DKIM anahtar çifti üretme aracını kullanarak bir selector (örneğin mail) ve 1024- veya 2048-bit RSA anahtar çifti oluşturun
2. DNS’e selector.mail._domainkey.example.com adı altında bir TXT kaydı ekleyin; değere v=DKIM1; k=rsa; p=PUBLIC_KEY formatındaki açık anahtarı yapıştırın
3. Sunucunuzda aynı selector ve özel anahtarı kullanacak şekilde DKIM imzalama modülünü (OpenDKIM, Postfix milter, Exim filter) yapılandırın
4. Test etmek için gönderdiğiniz e-postanın başlıklarında DKIM-Signature alanının olup olmadığına bakın ve DKIM validator araçlarıyla (e.g. dkimvalidator.com) imzayı doğrulayın

DMARC (Domain-based Message Authentication, Reporting & Conformance) Nedir ve Niçin Gereklidir?
DMARC, SPF ve DKIM sonuçlarını birleştirip politikanızı belirlemenizi, raporlama almanızı sağlayan bir katmandır. DMARC kaydıyla “Bu alan adı adına SPF veya DKIM’i geçemeyen mesajları nasıl yönetsin: kabul etsin, karantinaya atsın veya reddetsin” diyebilirsiniz. Ayrıca günlük raporlar (rua) ve gerçek zamanlı hata raporları (ruf) alarak yanlış yapılandırmaları tespit edersiniz. Örnek bir DMARC kaydı:

v=DMARC1; p=quarantine; rua=mailto:dmarc-rua@example.com; ruf=mailto:dmarc-ruf@example.com; pct=100; adkim=s; aspf=s

p ile politika (none, quarantine, reject) belirlenir; rua ve ruf adreslerine XML formatında raporlar gelir; pct ile politikanın yüzdesi; adkim/aspf ile DKIM ve SPF alignment (s-strict veya r-relaxed) ayarlanır. DNS’e TXT kaydını _dmarc.example.com adı altında ekledikten sonra dig TXT _dmarc.example.com ile kontrol edin.

DNS Kaydı Ekleme ve Propagasyon
DNS değişiklikleri çoğunlukla 5–30 dakika içinde yayılır ancak TTL’e bağlı olarak saatler sürebilir. Test aşamasında düşük TTL (300 saniye) kullanmak, hataları hızlı yakalamanıza yardımcı olur. Kaydı eklerken DNS sağlayıcınızın paneline gidin, TTL değerini 300’e ayarlayın, TXT kaydı başlığını ve içeriğini eksiksiz girin. Yayılımı kontrol etmek için çeşitli public DNS sunucularından dig ve online araçlarla doğrulayın.

SPF, DKIM ve DMARC Test Araçları

• SPF: Kitterman SPF tester, MXToolbox SPF lookup
• DKIM: DKIMCore, Mail-Tester
• DMARC: DMARC Analyzer, MXToolbox DMARC lookup
  Bu araçlar, kaydınızın doğru formatta olup olmadığını, syntaks hatalarını ve alignment sorunlarını size bildirir.

Rapor Okuma ve Sürekli İzleme
DMARC raporları her gün rua adresinize XML formatında gelir. İçerdiği bilgiler; gönderen IP, gönderilen e-posta sayısı, SPF/DKIM başarısızlık oranı, alignment durumu ve genel hata kodlarıdır. Bu raporları analiz etmek için Google Sheets ile XML parse eden script’ler veya dmarcian, postmastertools gibi servisleri kullanabilirsiniz. SPF başarısızlıkları çoğunlukla IP listesi eksikliği; DKIM hataları ise imza modülü hatalı yapılandırma veya yanlış selector kullanımdan kaynaklanır.

Yaygın Sorunlar ve Çözümler
SPF kaydınızda çok fazla include kullanmak 10 limitine takılabilir. Bu durumda alt domain’lerde veya farklı alt kayıtlarda SPF delegasyonu yaparak bölümlendirme önerilir. DKIM imza hatalarında açık anahtarın DNS’de tam olarak eşleştiğinden, satır sonu veya boşluk hatası olmadığından emin olun. DMARC quarantine politikasına geçtiğinizde raporları incelemeden doğrudan p=reject kullanmayın; önce none politikasıyla veri toplayıp, alignment oranınızı %95’in üstüne çıkardıktan sonra %100 reject politikasına geçin.

E-posta Akışı ve BaseLine İyileştirmeleri
E-posta göndermeden önce IP itibarınızı kontrol edin. Senderscore, Talos Reputation gibi araçlar IP adresinizin blacklist durumunu gösterir. Yeni bir IP veya sunucu kullanıyorsanız, warm-up şeklinde önce düşük hacimle başlayıp yavaşça arttırmak, provider spam filtresinin size güven oluşturmasına yardımcı olur. Yüksek hacimli haber bülteni gönderimlerinde SMTP throttling, list hygiene (bounce ve undeliverable temizliği) ve opt-out link kontrolü base line tedbirleriniz arasında olmalıdır.

Güvenlik ve Gizlilik
SPF, DKIM ve DMARC ile e-posta doğrulama sağlarken, private key’lerinizi mutlaka sunucu dışında, güvenli bir ortamda (HSM, Vault) tutun. DNS API anahtarlarınızı rotate edin. Rapor ve log verilerini belirli bir süre saklayıp, GDPR ve KVKK uyumlu şekilde arşivleyin veya anonimleştirin.

Sonuç
SPF, DKIM ve DMARC katmanları, bir arada çalışarak e-posta itibarınızı korur, alıcı filtrelerinden geçme oranını yükseltir ve marka güveninizi artırır. Doğru DNS kaydı ekleme, test, izleme, rapor analizi ve aşamalı politika yükseltme adımlarını takip ederek spam ve phishing ataklarına karşı güçlü bir savunma hattı oluşturabilirsiniz. Sunucu veya üçüncü parti e-posta sağlayıcılarıyla çalışırken bu mekanizmaları düzenli güncelleyin ve periyodik olarak doğrulayın, böylece her zaman kesintisiz ve güvenli e-posta iletişimi sağlamış olursunuz.