SPF ve DKIM'i yapılandırdınız ama DMARC politikanız hâlâ p=none'da kalmış olabilir. Bu durumda Microsoft sahte (spoof) maileri raporluyor ama engellemiyor. p=reject'e geçmeden gerçek koruma yok. Bu yazıda 90 günlük aşamalı geçiş planını anlatıyoruz.
DMARC Politikası 3 Modu
| Mod | Sahte Mail Davranışı | Önerilen |
p=none | Raporla, teslim et (gerçek koruma yok) | İlk 30 gün (monitoring) |
p=quarantine | Spam klasörüne at | 31-60 gün (yumuşak rollout) |
p=reject | Tamamen reddet (alıcıya hiç ulaşmaz) | 61. gün ve sonrası (tam koruma) |
Aşama 1: p=none ile Başlama (Gün 1-30)
1.1 DMARC Kaydı Oluşturma
DNS'inize TXT kaydı:
Hostname: _dmarc.sirketiniz.com
Type: TXT
Value: v=DMARC1; p=none; rua=mailto:dmarc-reports@sirketiniz.com; ruf=mailto:dmarc-forensic@sirketiniz.com; fo=1; aspf=r; adkim=r; pct=100
Açıklama:
v=DMARC1: Versiyon
p=none: Aksiyon yok (sadece rapor)
rua: Agregate rapor adresi (günlük özet)
ruf: Forensic rapor adresi (her ihlal için detay)
fo=1: SPF veya DKIM align değilse rapor üret
aspf=r, adkim=r: Relaxed align (strict yerine — başlangıç için)
pct=100: Tüm mailler için (yüzde olarak da kısıtlanabilir)
1.2 Rapor Toplama
Microsoft Defender bu raporları otomatik toplar. Manuel okuma zor (XML). Önerilen 3 araç:
- DMARC Analyzer (ücretsiz tier var): Kayıtları parse eder, dashboard sunar
- Postmark DMARC Monitoring (ücretsiz): basit, KOBİ için yeter
- MXToolbox DMARC Monitor: aylık $10'dan başlar
1.3 30 Gün Analiz
Raporlarda 4 grup mail görülür:
- Pass: Sizin gerçek mailleriniz (SPF + DKIM align) — beklenen
- Fail (SPF): SPF kaydında olmayan kaynaklardan giden mailler — meşru olabilir (örn CRM tool, mailchimp)
- Fail (DKIM): DKIM imzalanmamış mailler — config sorunu
- Fail (Both): Spoof saldırısı — gerçek tehdit
1.4 SPF Kaydını Genişletme
Eğer "Fail SPF" grubunda meşru servisler (newsletter, ERP, sales tool) varsa SPF'i genişletin:
# Önce
v=spf1 include:spf.protection.outlook.com -all
# Sonra (Mailchimp + SalesForce ekledik)
v=spf1 include:spf.protection.outlook.com include:servers.mcsv.net include:_spf.salesforce.com -all
10 include limiti var — fazla olursa flattened SPF servisleri (örn EasyDMARC SPF Flattener) kullanılır.
Aşama 2: p=quarantine (Gün 31-60)
30 gün rapor analizinden sonra ortam tanışıldığında p=quarantine'e geç:
Value: v=DMARC1; p=quarantine; rua=mailto:dmarc-reports@sirketiniz.com; pct=10
Dikkat: pct=10 ile başlayın — sahte maillerin sadece %10'u quarantine'a gider. Sonra hafta hafta artırın: 25 → 50 → 100.
Quarantine Sırasında Ne Olur?
- SPF/DKIM align olmayan maillerin %X'i alıcının spam klasörüne düşer
- Microsoft 365 Defender bunları "Junk" olarak işaretler
- Alıcı isteyerek "Not Junk" diyebilir (uyarı için)
- Forensic raporlar gelmeye devam eder
Sorun Tespiti
Quarantine'a geçişin ilk haftası kritik. Şikayet gelirse:
- "Müşteri X benim mailimi alamıyor": SPF veya DKIM kaydını kontrol et, eksik servisi ekle
- "Newsletter'ım spam'e düşüyor": Bulk mail servisinin SPF/DKIM ayarlarını gözden geçir
Aşama 3: p=reject (Gün 61-90+)
Quarantine 30 gün boyunca sorunsuz çalıştıktan sonra reject'e geç:
Value: v=DMARC1; p=reject; rua=mailto:dmarc-reports@sirketiniz.com; pct=100
Yine pct=10 ile başlayıp aşamalı artır.
Reject Sonrası
- SPF/DKIM align olmayan tüm mailler tamamen reddedilir
- Alıcı sunucusu "550 Rejected: DMARC fail" mesajı verir
- Spoofing saldırıları sıfıra yaklaşır
- Brand impersonation neredeyse imkansız (sahte mailler hiçbir alıcıya ulaşmaz)
BIMI — Marka Logo Doğrulama (Bonus)
DMARC p=quarantine veya p=reject aktif olduktan sonra BIMI (Brand Indicators for Message Identification) yapılandırabilirsiniz: alıcının inbox'ında şirket logonuz göründü:
Hostname: default._bimi.sirketiniz.com
Type: TXT
Value: v=BIMI1; l=https://sirketiniz.com/logo.svg; a=https://sirketiniz.com/vmc.pem
Şu anda Gmail, Yahoo, AOL, Apple Mail destekler. Outlook 2025 sonu desteğe başlayacak (henüz beta).
DMARC Reject Sonrası İzleme
- Aylık raporlar: agregate rapor (rua) hâlâ gelmeli — sıfırlama yok
- Yeni servisler: Şirket yeni bir tool kullanmaya başlarsa SPF/DKIM eklemeyi unutmayın
- DMARC Analyzer dashboard: haftalık çek
- Spoof saldırı denemeleri: rapor edilir, "blocked" olarak
Sık Karşılaşılan Sorunlar
Sorun 1: "Newsletter'ım p=reject'ten sonra spam'e gidiyor"
Mailchimp / SendGrid / SES gibi servisler kendi domain'lerinden gönderir. SPF'iniz onları içeriyor mu? Ayrıca DKIM imzası bu servislerden gelmeli (custom DKIM ayarı yapılmalı).
Sorun 2: Çalışanlardan biri "@gmail.com'dan iş maili" gönderiyor
Bu mail SPF align olmaz (sirketiniz.com'dan değil gmail.com'dan). p=reject'te bloke edilir. Çalışana kurumsal mail kullandırın. Bu kural KVKK için zaten gerek.
Sorun 3: 3rd party form servisi (örn Wufoo) gönderi yapmıyor
Custom domain ayarı ile servisten gelen maili "from: sirketiniz.com" yapın + SPF'e ekleyin VE DKIM imzala. Veya servis kendi domain'inden göndersin (örn form@formapp.com).
🛡️ DMARC p=reject 90 Gün Geçiş Programı
SPF audit + DKIM ayarları + DMARC report analizi + aşamalı rollout + BIMI. Microsoft Yetkili CSP olarak 90 günde tam koruma.
DMARC Rollout →
İlgili Rehberler