SPF ve DKIM'i yapılandırdınız ama DMARC politikanız hâlâ p=none'da kalmış olabilir. Bu durumda Microsoft sahte (spoof) maileri raporluyor ama engellemiyor. p=reject'e geçmeden gerçek koruma yok. Bu yazıda 90 günlük aşamalı geçiş planını anlatıyoruz.

📌 Ön gereksinim: Bu rehber SPF + DKIM kayıtlarının zaten yapılandırılmış olduğunu varsayar. Yoksa önce SPF/DKIM/DMARC kurulum rehberini okuyun.

DMARC Politikası 3 Modu

ModSahte Mail DavranışıÖnerilen
p=noneRaporla, teslim et (gerçek koruma yok)İlk 30 gün (monitoring)
p=quarantineSpam klasörüne at31-60 gün (yumuşak rollout)
p=rejectTamamen reddet (alıcıya hiç ulaşmaz)61. gün ve sonrası (tam koruma)

Aşama 1: p=none ile Başlama (Gün 1-30)

1.1 DMARC Kaydı Oluşturma

DNS'inize TXT kaydı:

Hostname: _dmarc.sirketiniz.com
Type: TXT
Value: v=DMARC1; p=none; rua=mailto:dmarc-reports@sirketiniz.com; ruf=mailto:dmarc-forensic@sirketiniz.com; fo=1; aspf=r; adkim=r; pct=100

Açıklama:

  • v=DMARC1: Versiyon
  • p=none: Aksiyon yok (sadece rapor)
  • rua: Agregate rapor adresi (günlük özet)
  • ruf: Forensic rapor adresi (her ihlal için detay)
  • fo=1: SPF veya DKIM align değilse rapor üret
  • aspf=r, adkim=r: Relaxed align (strict yerine — başlangıç için)
  • pct=100: Tüm mailler için (yüzde olarak da kısıtlanabilir)

1.2 Rapor Toplama

Microsoft Defender bu raporları otomatik toplar. Manuel okuma zor (XML). Önerilen 3 araç:

  • DMARC Analyzer (ücretsiz tier var): Kayıtları parse eder, dashboard sunar
  • Postmark DMARC Monitoring (ücretsiz): basit, KOBİ için yeter
  • MXToolbox DMARC Monitor: aylık $10'dan başlar

1.3 30 Gün Analiz

Raporlarda 4 grup mail görülür:

  1. Pass: Sizin gerçek mailleriniz (SPF + DKIM align) — beklenen
  2. Fail (SPF): SPF kaydında olmayan kaynaklardan giden mailler — meşru olabilir (örn CRM tool, mailchimp)
  3. Fail (DKIM): DKIM imzalanmamış mailler — config sorunu
  4. Fail (Both): Spoof saldırısı — gerçek tehdit

1.4 SPF Kaydını Genişletme

Eğer "Fail SPF" grubunda meşru servisler (newsletter, ERP, sales tool) varsa SPF'i genişletin:

# Önce
v=spf1 include:spf.protection.outlook.com -all

# Sonra (Mailchimp + SalesForce ekledik)
v=spf1 include:spf.protection.outlook.com include:servers.mcsv.net include:_spf.salesforce.com -all

10 include limiti var — fazla olursa flattened SPF servisleri (örn EasyDMARC SPF Flattener) kullanılır.

Aşama 2: p=quarantine (Gün 31-60)

30 gün rapor analizinden sonra ortam tanışıldığında p=quarantine'e geç:

Value: v=DMARC1; p=quarantine; rua=mailto:dmarc-reports@sirketiniz.com; pct=10

Dikkat: pct=10 ile başlayın — sahte maillerin sadece %10'u quarantine'a gider. Sonra hafta hafta artırın: 25 → 50 → 100.

Quarantine Sırasında Ne Olur?

  • SPF/DKIM align olmayan maillerin %X'i alıcının spam klasörüne düşer
  • Microsoft 365 Defender bunları "Junk" olarak işaretler
  • Alıcı isteyerek "Not Junk" diyebilir (uyarı için)
  • Forensic raporlar gelmeye devam eder

Sorun Tespiti

Quarantine'a geçişin ilk haftası kritik. Şikayet gelirse:

  • "Müşteri X benim mailimi alamıyor": SPF veya DKIM kaydını kontrol et, eksik servisi ekle
  • "Newsletter'ım spam'e düşüyor": Bulk mail servisinin SPF/DKIM ayarlarını gözden geçir

Aşama 3: p=reject (Gün 61-90+)

Quarantine 30 gün boyunca sorunsuz çalıştıktan sonra reject'e geç:

Value: v=DMARC1; p=reject; rua=mailto:dmarc-reports@sirketiniz.com; pct=100

Yine pct=10 ile başlayıp aşamalı artır.

Reject Sonrası

  • SPF/DKIM align olmayan tüm mailler tamamen reddedilir
  • Alıcı sunucusu "550 Rejected: DMARC fail" mesajı verir
  • Spoofing saldırıları sıfıra yaklaşır
  • Brand impersonation neredeyse imkansız (sahte mailler hiçbir alıcıya ulaşmaz)

BIMI — Marka Logo Doğrulama (Bonus)

DMARC p=quarantine veya p=reject aktif olduktan sonra BIMI (Brand Indicators for Message Identification) yapılandırabilirsiniz: alıcının inbox'ında şirket logonuz göründü:

Hostname: default._bimi.sirketiniz.com
Type: TXT
Value: v=BIMI1; l=https://sirketiniz.com/logo.svg; a=https://sirketiniz.com/vmc.pem

Şu anda Gmail, Yahoo, AOL, Apple Mail destekler. Outlook 2025 sonu desteğe başlayacak (henüz beta).

DMARC Reject Sonrası İzleme

  • Aylık raporlar: agregate rapor (rua) hâlâ gelmeli — sıfırlama yok
  • Yeni servisler: Şirket yeni bir tool kullanmaya başlarsa SPF/DKIM eklemeyi unutmayın
  • DMARC Analyzer dashboard: haftalık çek
  • Spoof saldırı denemeleri: rapor edilir, "blocked" olarak

Sık Karşılaşılan Sorunlar

Sorun 1: "Newsletter'ım p=reject'ten sonra spam'e gidiyor"

Mailchimp / SendGrid / SES gibi servisler kendi domain'lerinden gönderir. SPF'iniz onları içeriyor mu? Ayrıca DKIM imzası bu servislerden gelmeli (custom DKIM ayarı yapılmalı).

Sorun 2: Çalışanlardan biri "@gmail.com'dan iş maili" gönderiyor

Bu mail SPF align olmaz (sirketiniz.com'dan değil gmail.com'dan). p=reject'te bloke edilir. Çalışana kurumsal mail kullandırın. Bu kural KVKK için zaten gerek.

Sorun 3: 3rd party form servisi (örn Wufoo) gönderi yapmıyor

Custom domain ayarı ile servisten gelen maili "from: sirketiniz.com" yapın + SPF'e ekleyin VE DKIM imzala. Veya servis kendi domain'inden göndersin (örn form@formapp.com).

🛡️ DMARC p=reject 90 Gün Geçiş Programı SPF audit + DKIM ayarları + DMARC report analizi + aşamalı rollout + BIMI. Microsoft Yetkili CSP olarak 90 günde tam koruma. DMARC Rollout →

İlgili Rehberler