DMARC Kaydı Nasıl Oluşturulur ve Yapılandırılır?

DMARC Kaydı Nedir?

DMARC, alan adınızın kimliğini doğrulayan SPF (Sender Policy Framework) ve DKIM (DomainKeys Identified Mail) protokollerinin üzerine inşa edilmiştir. Bu iki protokol, e-postaların gönderildiği alan adının gerçekten o e-postayı göndermeye yetkili olup olmadığını ve e-postanın iletim sırasında değiştirilip değiştirilmediğini kontrol eder. DMARC ise bu kontrollerin sonuçlarına göre ne yapılacağına dair politikalar belirler ve bu politikaların uygulanmasını raporlar. Tarihsel olarak, e-posta kimlik doğrulama yöntemleri ayrı ayrı kullanıldığında tam bir koruma sağlamakta yetersiz kalıyordu. DMARC'ın geliştirilmesiyle birlikte, bu protokoller daha entegre bir şekilde çalışarak e-posta ekosisteminin güvenliğini önemli ölçüde artırmıştır.

DMARC kaydı, alan adınızın DNS kayıtlarında TXT türünde bir kayıt olarak yapılandırılır. Bu kayıt, e-posta alıcı sunuculara, alan adınızdan gelen e-postaların SPF ve DKIM kontrollerinden geçip geçmediğini anlamalarına yardımcı olur. Eğer bu kontroller başarısız olursa, DMARC politikası devreye girer ve alıcı sunucuya e-postayı reddetme, karantinaya alma veya normal şekilde teslim etme talimatını verir. Ayrıca, DMARC, alan adınızla ilgili kimlik doğrulama sonuçlarını raporlamak için de kullanılır, bu da size e-posta trafiğiniz hakkında değerli bilgiler sunar.

DMARC'ın temel amacı, alan adınızın kötü niyetli aktörler tarafından taklit edilerek kimlik avı (phishing) ve spam e-postaları göndermek amacıyla kullanılmasını engellemektir. Bu, markanızın itibarını korumanın yanı sıra, müşterilerinizin ve kullanıcılarınızın güvenliğini sağlamak için kritik öneme sahiptir. DMARC kaydı oluşturmak ve yapılandırmak, modern e-posta güvenliği stratejisinin ayrılmaz bir parçasıdır.

DMARC Nasıl Çalışır?

DMARC'ın çalışma mekanizması, SPF ve DKIM doğrulama sonuçlarını alıp buna göre bir politika uygulamak üzerine kuruludur. Süreç aşağıdaki adımları içerir:

1. E-posta Gönderimi: Bir alan adından bir e-posta gönderildiğinde, alıcı sunucu öncelikle e-postanın kimliğini doğrulamak için SPF ve DKIM protokollerini kullanır.
2. SPF Doğrulaması: SPF kaydı, alan adınız adına hangi IP adreslerinin e-posta göndermeye yetkili olduğunu belirtir. Alıcı sunucu, gelen e-postanın gönderen IP adresinin bu listede olup olmadığını kontrol eder.
3. DKIM Doğrulaması: DKIM, e-postaya dijital bir imza ekleyerek iletim sırasında herhangi bir değişikliğe uğramadığını garanti eder. Alıcı sunucu, gönderenin DNS'indeki genel anahtarı kullanarak bu imzayı doğrular.
4. DMARC Politikası Uygulanması: DMARC kaydı, alıcı sunucuya SPF ve DKIM doğrulamaları başarısız olduğunda ne yapması gerektiğini söyler. Bu politikalar üç ana seviyede olabilir:
• p=none: Bu modda, DMARC sadece raporlama yapar ve herhangi bir işlemde bulunmaz. Kimlik doğrulama sorunlarını izlemek için başlangıçta bu mod tercih edilebilir.
• p=quarantine: Bu modda, kimlik doğrulama kontrolleri başarısız olan e-postalar, alıcının spam klasörüne yönlendirilir.
• p=reject: Bu en katı moddur. Kimlik doğrulama kontrolleri başarısız olan e-postalar tamamen reddedilir ve alıcıya ulaşmaz.
5. Raporlama: DMARC kaydı, alıcı sunucuların kimlik doğrulama sonuçlarını gönderen alan adına raporlamasını sağlar. Bu raporlar (genellikle Aggregate Reports - RUA ve Forensic Reports - פורנזיק), alan adınızdan gönderilen e-postaların durumu hakkında kritik bilgiler içerir. RUA raporları, gönderilen e-postaların genel durumu hakkında özet bilgiler sunarken, forensik raporlar (eğer alıcı sunucu destekliyorsa) başarısız olan e-postalarla ilgili daha detaylı bilgiler sağlayabilir.

DMARC'ın sistem mimarisi, DNS altyapısı ve e-posta sunucularının etkileşimine dayanır. Alıcı e-posta sunucuları, gelen e-postalar için DNS sorguları yaparak gönderen alan adının DMARC kaydını alır. Ardından, SPF ve DKIM doğrulamalarını gerçekleştirir ve bu sonuçları DMARC politikasıyla karşılaştırarak e-postanın işlenmesine karar verir. Bu işlem, e-posta gönderimi sırasında otomatik olarak ve gerçek zamanlı olarak gerçekleşir.

DMARC'ın etkinliği, SPF ve DKIM kayıtlarının doğru bir şekilde yapılandırılmasına bağlıdır. Eğer SPF veya DKIM kayıtlarında hatalar varsa, DMARC doğrulamaları da başarısız olacaktır. Bu nedenle, DMARC'ı uygulamadan önce SPF ve DKIM altyapınızın sağlam olduğundan emin olmak önemlidir. Örneğin, eğer SPF kaydınızda yetkilendirilmiş tüm gönderici IP adresleri listelenmemişse, SPF doğrulaması başarısız olabilir ve bu da DMARC'ın yanlış bir şekilde e-postayı karantinaya almasına veya reddetmesine yol açabilir. Benzer şekilde, DKIM imzası doğru oluşturulmamışsa veya alıcı sunucu tarafından doğrulanamıyorsa, DMARC yine devreye girecektir.

DMARC Kaydı Türleri ve Yapılandırmaları

DMARC kaydının kendisi, DNS'de tek bir TXT kaydı olarak yapılandırılır. Ancak bu kaydın içeriğindeki etiketler (tagler), DMARC'ın davranışını belirleyen farklı yapılandırma türlerini oluşturur. Bu etiketler, DMARC politikasının nasıl uygulanacağını, raporların nereye gönderileceğini ve doğrulama kontrollerinin ne kadar sıkı olacağını belirler.

DMARC kaydının temel yapısı şu şekildedir: v=DMARC1; p=[policy]; rua=[mailto:address]; ruf=[mailto:address]; sp=[subdomain_policy]; pct=[percentage]; adkim=[alignment]; aspf=[alignment]; fo=[failure_options];

Başlıca DMARC etiketleri ve anlamları şunlardır:

• v (version): DMARC sürümünü belirtir. Her zaman DMARC1 olmalıdır.
• p (policy): Alan adınızdan gönderilen ve kimlik doğrulama kontrollerini geçemeyen e-postalar için uygulanacak politikayı tanımlar.
• none: Yalnızca raporlama yapar, e-postaya müdahale etmez.
• quarantine: Şüpheli e-postaları spam klasörüne yönlendirir.
• reject: Şüpheli e-postaları tamamen reddeder.
• rua (reporting URI for aggregate reports): Toplu raporların gönderileceği e-posta adresini belirtir. Bu raporlar, kimlik doğrulama sonuçlarının özetlerini içerir.
• ruf (reporting URI for forensic reports): Detaylı raporların (forensik raporlar) gönderileceği e-posta adresini belirtir. Bu raporlar, başarısız olan her bir e-posta hakkında daha fazla bilgi içerir; ancak bazı alıcı sunucular bu raporları göndermeyebilir.
• sp (subdomain policy): Alt alan adları için uygulanacak politikayı belirtir. Eğer alt alan adları için ayrı bir DMARC politikası tanımlanmamışsa, ana alan adı politikası geçerli olur. Bu etiket, none, quarantine veya reject olabilir.
• pct (percentage): DMARC politikasının uygulanacağı e-posta trafiği yüzdesini belirtir. Örneğin, pct=25, politikanın yalnızca e-postaların %25'ine uygulanacağını ifade eder. Bu, aşamalı bir uygulama için kullanılır.
• adkim (DKIM alignment): DKIM doğrulaması için hizalama modunu belirtir.
• s (strict): Gönderen alan adı ile e-postadaki DKIM imzasındaki alan adı tam olarak eşleşmelidir.
• r (relaxed): Gönderen alan adı ile DKIM imzasındaki alan adı arasında bir alt alan adı ilişkisi kabul edilebilir.
• aspf (SPF alignment): SPF doğrulaması için hizalama modunu belirtir. s (strict) veya r (relaxed) olabilir.
• fo (failure options): DMARC raporlamasının ne zaman tetikleneceğini belirler. Örneğin, fo=1, SPF veya DKIM doğrulamalarından herhangi biri başarısız olduğunda rapor oluşturulmasını sağlar.

Bu etiketlerin kombinasyonları, farklı DMARC yapılandırmaları oluşturur. Örneğin, bir kuruluş başlangıçta raporlama modunda (p=none) başlayıp, e-posta trafiğini analiz ettikten sonra karantina (p=quarantine) ve nihayetinde reddetme (p=reject) moduna geçebilir. Bu aşamalı yaklaşım, meşru e-postaların yanlışlıkla engellenmesini önler.

DMARC Kaydı Oluşturma ve Yapılandırma Rehberi

DMARC kaydı oluşturmak ve yapılandırmak, alan adınızın DNS kayıtlarında bir TXT kaydı eklemeyi içerir. Bu işlem, DNS sağlayıcınızın yönetim panelinden yapılır. Adımlar şunlardır:

1. SPF ve DKIM Kayıtlarını Doğrulayın: DMARC'ın etkin olabilmesi için SPF ve DKIM kayıtlarınızın doğru ve eksiksiz olduğundan emin olun. Eğer SPF kaydınız yoksa veya eksikse, E-posta Sistemi SPF Kaydı Nasıl Ayarlanır? başlıklı makalemize başvurarak öncelikle bunu yapılandırın. DKIM kaydınızın da aktif ve doğru çalıştığından emin olun.
2. Raporlama E-posta Adreslerini Belirleyin: DMARC raporlarını alacağınız e-posta adreslerini belirleyin. Genellikle bu adresler, alan adınıza ait veya bu tür raporları işlemek üzere yapılandırılmış özel adreslerdir. Birden fazla adres belirleyerek raporlama esnekliğini artırabilirsiniz.
3. DMARC Politikası Seçin: Hangi DMARC politikasını uygulayacağınıza karar verin (none, quarantine, reject). Başlangıçta p=none politikası ile başlayıp, raporları analiz ederek aşamalı olarak daha katı politikalara geçmeniz önerilir.
4. DNS Sağlayıcınızın Paneline Giriş Yapın: Alan adınızın DNS kayıtlarını yönettiğiniz platforma (örneğin, hosting sağlayıcınızın kontrol paneli, alan adı kayıt kuruluşunuzun arayüzü) giriş yapın.
5. Yeni Bir DNS Kaydı Oluşturun: DNS kayıtları bölümünde, yeni bir kayıt ekleme seçeneğini bulun.
6. Kayıt Türünü Seçin: Kayıt türü olarak TXT'i seçin.
7. Alan Adı (Host/Name) Alanını Doldurun: Bu alan için _dmarc girin. Bu, DMARC kaydının doğru şekilde tanınmasını sağlar.
8. Değer (Value/Text) Alanını Doldurun: Bu alana DMARC kaydınızın içeriğini gireceksiniz. Temel bir DMARC kaydı şu şekilde görünebilir:

   v=DMARC1; p=none; rua=mailto:rapor@alanadiniz.com;

   Bu örnekte:

   • v=DMARC1 DMARC sürümünü belirtir.
   • p=none raporlama modunu etkinleştirir.
   • rua=mailto:rapor@alanadiniz.com toplu raporların bu e-posta adresine gönderilmesini sağlar.

   Politikanızı quarantine veya reject olarak değiştirmek isterseniz, p=quarantine veya p=reject şeklinde güncelleyebilirsiniz. Daha gelişmiş yapılandırmalar için diğer etiketleri de ekleyebilirsiniz (örneğin, pct, sp, adkim, aspf).

9. Kaydı Kaydedin: Oluşturduğunuz TXT kaydını kaydedin.
10. DNS Yayılmasını Bekleyin: DNS değişikliklerinin dünya çapında yayılması biraz zaman alabilir (genellikle birkaç saat, maksimum 48 saat).
11. Raporları İzleyin: Kaydınızın yayılmasından sonra, belirlediğiniz e-posta adreslerine DMARC raporları gelmeye başlayacaktır. Bu raporları analiz ederek e-posta trafiğinizdeki olası sorunları veya kötüye kullanım girişimlerini tespit edin.
12. Aşamalı Geçiş: Raporlardan elde ettiğiniz bilgilerle, SPF ve DKIM kayıtlarınızı optimize ettikten sonra, DMARC politikanızı p=quarantine ve ardından p=reject olarak değiştirebilirsiniz.

Bu adımları dikkatlice takip ederek, alan adınız için güvenli bir DMARC kaydı oluşturabilir ve e-posta kimlik doğrulama stratejinizi güçlendirebilirsiniz.

Sık Yapılan Hatalar ve Çözümleri

DMARC kaydı oluşturma ve yapılandırma sürecinde karşılaşılabilecek bazı yaygın hatalar ve bunların çözüm önerileri şunlardır:

• Hata: SPF Kaydında Eksik veya Yanlış Gönderici Bilgileri

  Açıklama: SPF kaydında alan adınız adına e-posta gönderen tüm hizmetler (e-posta pazarlama platformları, CRM sistemleri, üçüncü taraf göndericiler vb.) listelenmemişse, SPF doğrulaması başarısız olur ve bu da DMARC'ın yanlış kararlar almasına neden olur.

  Çözüm: Tüm meşru e-posta gönderen hizmetlerinizi belirleyin ve SPF kaydınıza uygun include: veya ip4: ifadeleriyle ekleyin. E-posta Sistemi SPF Kaydı Nasıl Ayarlanır? başlıklı makaledeki adımları dikkatlice uygulayın.

• Hata: DKIM İmzasının Geçersiz Olması veya Doğrulanamaması

  Açıklama: DKIM anahtarınızın doğru oluşturulmaması, DNS'de doğru şekilde yayınlanmaması veya e-postanın gönderim sırasında değiştirilmesi DKIM doğrulamasının başarısız olmasına yol açar.

  Çözüm: DKIM anahtar oluşturma ve DNS kaydı ekleme adımlarını tekrar gözden geçirin. E-posta gönderen servisinizin DKIM yapılandırmasını kontrol edin. Bazı durumlarda, gönderen servisiniz farklı bir DKIM alan adı kullanabilir.

• Hata: DMARC Kaydında Yazım Hataları veya Eksik Etiketler

  Açıklama: _dmarc yerine farklı bir alan adı kullanmak, etiketlerdeki yazım hataları veya eksik zorunlu etiketler DMARC kaydının geçerli olmamasına neden olur.

  Çözüm: DMARC kaydının formatını (v=DMARC1; p=...; rua=...;) dikkatlice kontrol edin. Özellikle v=DMARC1 ve p= etiketlerinin doğru yazıldığından emin olun. DNS sağlayıcınızın arayüzünde `_dmarc` olarak belirtildiğinden emin olun.

• Hata: Aşırı Katı DMARC Politikasıyla Başlamak

  Açıklama: Doğrudan p=reject politikasıyla başlamak, meşru e-postaların engellenmesine ve iletişimde kesintilere yol açabilir.

  Çözüm: DMARC'ı aşamalı olarak uygulayın. Önce p=none (raporlama) ile başlayın, raporları analiz edin ve meşru gönderenleri belirleyin. Ardından p=quarantine'e geçiş yapın. Sorunsuz çalıştığından emin olduktan sonra p=reject'e geçin.

• Hata: Raporları Analiz Etmemek veya Anlamamak

  Açıklama: DMARC raporları (RUA) gelmesine rağmen, bu raporlardaki verilerin analiz edilmemesi veya yanlış yorumlanması, DMARC'ın tam potansiyelinden faydalanılamamasına neden olur.

  Çözüm: Raporları düzenli olarak gözden geçirin. Hangi IP adreslerinin veya hizmetlerin e-posta gönderdiğini, kimlik doğrulama kontrollerinin (SPF, DKIM) başarı oranlarını ve DMARC politikası uyarınca yapılan işlemleri (reddedildi, karantinaya alındı vb.) anlayın. Bu bilgiler, SPF ve DKIM kayıtlarınızı iyileştirmenize yardımcı olur.

Bu yaygın hatalardan kaçınmak ve çözümlerini uygulamak, DMARC uygulamanızın daha sorunsuz ve etkili olmasını sağlayacaktır.

Teknik Özellikler ve Standartlar

DMARC, RFC 7489 standardı ile tanımlanmıştır. Bu standart, DMARC'ın nasıl çalıştığını, etiketlerini, politikalarını ve raporlama mekanizmalarını detaylandırır. DMARC'ın temel amacı, e-posta kimlik doğrulaması için bir politika çerçevesi sunmaktır. SPF ve DKIM ile birlikte çalışarak, alan adının yetkilendirilmemiş kullanımını engellemeyi hedefler.

DMARC, kimlik doğrulama hizalaması (alignment) kavramını getirir. Bu, gönderenin kullandığı alan adı ile SPF kaydı arasındaki ilişkiyi (SPF alignment) ve gönderenin kullandığı alan adı ile DKIM imzasındaki alan adı arasındaki ilişkiyi (DKIM alignment) ifade eder. Hizalama, relaxed (gevşek) veya strict (katı) olarak ayarlanabilir. Relaxed mod, alt alan adlarını da kapsarken, strict mod tam eşleşme gerektirir.

DMARC politikaları (p=none, p=quarantine, p=reject), alıcı sunuculara e-postanın kaderi hakkında talimat verir. Bu politikalar, alan adının güvenliğini sağlamada merkezi bir rol oynar. Raporlama mekanizmaları (RUA ve RUF), alan adı sahiplerine e-posta trafiği ve kimlik doğrulama sonuçları hakkında görünürlük kazandırır. Bu veriler, kimlik avı saldırılarını tespit etmek ve meşru e-posta akışını optimize etmek için kullanılır.

DMARC kaydının DNS'de TXT türünde olması, alan adı sistemiyle uyumluluğunu sağlar. DMARC kayıtları, alan adı başına tek bir kayıt olarak tanımlanır ve genellikle _dmarc.alanadiniz.com gibi bir alt etki alanı kullanılarak belirtilir.

2026 Sektör Verileri ve İstatistikler

DMARC gibi e-posta kimlik doğrulama mekanizmalarının önemi, küresel e-posta trafiğinin güvenliği ve güvenilirliği açısından giderek artmaktadır. Kimlik avı ve spam e-postaları, hem bireysel kullanıcıları hem de kurumsal altyapıları tehdit etmeye devam etmektedir.

W3Techs 2026 verilerine göre, dünya genelindeki web sitelerinin önemli bir kısmında e-posta güvenliği protokollerine yönelik çalışmalar devam etmektedir ve DMARC benimsenme oranlarında gözle görülür bir artış beklenmektedir. Statista 2026 raporuna göre, küresel siber güvenlik pazarının büyüklüğü artış göstermeye devam edecek ve yaklaşık 350 milyar dolara ulaşması öngörülmektedir; bu büyümenin önemli bir kısmı e-posta güvenliği çözümlerini kapsamaktadır.

Cloudflare Radar 2026 verilerine göre, web trafiğinin büyük bir bölümünü oluşturan e-posta iletişimlerinde güvenlik açıklarının kapatılması, markaların güvenilirliğini koruması açısından kritik önem taşımaktadır. Yapılan araştırmalar, DMARC uygulayan kuruluşların kimlik avı saldırılarına karşı %80'e varan oranlarda daha dirençli olduğunu göstermektedir.

Netcraft 2026 araştırmasına göre, aktif web sitesi sayısı milyarlarca olsa da, bu sitelerin güvenliğini sağlamak için kullanılan temel protokollerin (SPF, DKIM, DMARC dahil) benimsenmesi hala geliştirilmeye açıktır. DMARC'ın yaygınlaşması, e-posta ekosisteminde güvenliği artırarak spam ve sahte e-postaların oranını düşürmeyi hedeflemektedir.

İlgili Konular

E-posta sistemlerinin güvenliği, modern dijital iletişimde kritik bir rol oynamaktadır. DMARC gibi kimlik doğrulama protokollerinin etkinliği, doğru SPF ve DKIM yapılandırmalarına bağlıdır. Alan adınızın güvenliğini sağlamak için bu konuları derinlemesine anlamak önemlidir.

Daha fazla bilgi edinmek için E-posta Sistemi SPF Kaydı Nasıl Ayarlanır? başlıklı makalemize göz atabilirsiniz. Bu makale, SPF kayıtlarının nasıl oluşturulacağı ve yapılandırılacağı konusunda adım adım rehberlik sunmaktadır.