DMARC Nedir?
DMARC (Domain-based Message Authentication, Reporting and Conformance), alan adınızdan gönderilmiş gibi görünen sahte e-postalara — yani spoofing ve phishing saldırılarına — karşı koruma sağlayan bir e-posta kimlik doğrulama protokolüdür. SPF ve DKIM ile birlikte çalışarak alıcı sunuculara, alanınızdan gelen e-postaların gerçekten size ait olup olmadığını anlamasını sağlar; doğrulamayı geçemeyen mesajlar için ne yapılacağını da yine sizin belirlediğiniz politikayla bildirir.
DMARC olmayan bir alan adı, kelimenin tam anlamıyla "kapısı açık" bir markadır. Bir saldırgan info@bankasizin.com gibi bir adresten müşterinize phishing e-postası gönderdiğinde, alıcı posta sunucusu bu e-postayı engellemek için elinde hiçbir net kural bulamaz. Sonuç: müşteriniz dolandırılır, zararı siz ödersiniz, marka itibarı zarar görür.
Neden Hemen DMARC Eklemelisiniz?
1. Gmail ve Yahoo'nun yeni gönderici politikaları (Şubat 2024)
Gmail ve Yahoo, Şubat 2024'ten itibaren günde 5.000'den fazla e-posta gönderen tüm gönderici alan adları için SPF + DKIM + DMARC zorunluluğunu uyguluyor. Bu eşiğin altındaki kurumlar için bile DMARC olmadan mesajlarınız "Junk" klasörüne düşme riski taşıyor. Microsoft Outlook.com da benzer kuralları aşamalı olarak devreye alıyor.
2. Marka taklidi ve CEO fraud koruması
Türkiye'de en sık karşılaşılan iş dünyası dolandırıcılığı, üst yönetim adına gönderilen sahte havale talepleridir. p=reject politikası uygulayan bir DMARC kaydı bu saldırıların büyük çoğunluğunu daha alıcının posta kutusuna ulaşmadan engeller.
3. Teslim edilebilirlik (deliverability) artışı
Doğru kurulmuş DMARC, IP itibarınızı korur ve büyük posta sağlayıcılar gözünde alanınızı "güvenilir gönderici" sınıfına taşır. E-posta pazarlama veya bildirim e-postası gönderen kurumlar için açılma oranlarında somut iyileşme yaratır.
SPF, DKIM ve DMARC İlişkisi
Üçü farklı şeyleri kontrol eder ama birlikte çalışırlar:
| Protokol | Ne yapar? | Nereye eklenir? |
| SPF | Alanınızdan e-posta göndermeye yetkili IP'leri ve servisleri listeler. | DNS TXT — kök alan adı (örn: sirketim.com) |
| DKIM | E-postaya kriptografik imza ekler; içerik değişmemiş ve gerçekten sizden gelmiş olduğunu kanıtlar. | DNS TXT — selector subdomain (örn: selector1._domainkey.sirketim.com) |
| DMARC | SPF veya DKIM başarısız olursa ne yapılacağını belirler ve raporlama açar. | DNS TXT — _dmarc.sirketim.com |
DMARC, SPF veya DKIM olmadan tek başına işlemez. Çünkü DMARC, kendi başına bir doğrulama yapmaz; SPF ve DKIM sonuçlarını okur, bunlardan en az birinin "alignment" (alan adı eşleşmesi) ile geçtiğini görmek ister. İkisi de geçemezse — sizin belirlediğiniz politikayı uygular.
p=none, quarantine, reject — Hangisini Seçmelisiniz?
DMARC kurulumunun en kritik kararıdır. Kuralı şudur: asla doğrudan reject ile başlamayın. Aşağıdaki üç aşamalı geçiş güvenlidir:
Aşama 1 — p=none (İlk 2-4 hafta)
Bu politika hiçbir e-postayı engellemez. Sadece raporlamayı açar; alıcı sunucular alanınız adına gelen tüm e-postaları XML rapor olarak rua adresine gönderir. Bu raporlardan şunu öğrenirsiniz:
- Alanınız adına gerçekten kimler e-posta gönderiyor? (Microsoft 365? Mailchimp? CRM aracınız? Bilmediğiniz bir 3. parti?)
- SPF kayıtlarınız bu servisleri kapsıyor mu?
- DKIM doğru imzalanıyor mu?
Eksik bulduğunuz servisleri SPF kaydınıza ekleyin, DKIM kurulumlarını tamamlayın.
Aşama 2 — p=quarantine (Sonraki 2-4 hafta)
Doğrulamayı geçemeyen mesajlar Spam/Junk klasörüne düşer. Önce pct=10 ile başlayın (sadece %10'una uygulanır), 1-2 hafta sonra pct=50, ardından pct=100. Raporları izleyin; meşru bir gönderici Spam'e düşüyorsa SPF/DKIM eksikliği var demektir, geri dönüp düzeltin.
Aşama 3 — p=reject (Hedef nokta)
Doğrulamayı geçemeyen mesajlar tamamen reddedilir, alıcının posta kutusuna ulaşmaz. Maksimum koruma. Buraya ulaşmak DMARC sürecinin asıl hedefidir; çoğu kurum 2-3 ay içinde reject'e geçebilir.
Microsoft 365 (Exchange Online) İçin DMARC Önerisi
M365 kullanan bir alan adı için önerilen başlangıç DMARC kaydı:
v=DMARC1; p=none; rua=mailto:dmarc@alaniniz.com; pct=100; adkim=r; aspf=r;
Microsoft 365 ile DMARC kurarken dikkat edilecekler:
- SPF: Kayıtlı SPF değerinizde
include:spf.protection.outlook.com mutlaka olmalı.
- DKIM: Microsoft 365 Defender (security.microsoft.com) → Policies → DKIM bölümünden alanınız için DKIM'i etkinleştirin. İki CNAME kaydını
selector1._domainkey ve selector2._domainkey olarak DNS'inize ekleyin.
- DMARC raporlama: Microsoft 365 Defender içinde "DMARC Aggregate Report" özelliği yerleşik gelir;
rua adresinizi tanımlamanız yeterli.
SPF, DKIM ve DMARC durumunuzu tek bakışta görmek için ücretsiz domain analiz aracımızı kullanabilirsiniz — 10 saniyede 8+ kontrol yapar.
DMARC Raporlarını Nasıl Okumalı?
DMARC raporları sıkıştırılmış XML formatında, tek tek e-posta sağlayıcılarından (Google, Microsoft, Yahoo, Yandex vb.) günlük olarak gelir. Manuel okumak pratik değildir; bu raporları görsel grafiklere dönüştüren ücretsiz/freemium araçlar:
- dmarcian.com — Aylık 10K mesaja kadar ücretsiz, en yaygın kullanılan
- Postmark DMARC — Haftalık özet e-posta, ücretsiz
- Microsoft 365 Defender — M365 müşterileri için yerleşik panel
- Valimail Monitor — Ücretsiz, sınırlı süreli
Sık Yapılan 5 Hata
- Aynı alan için iki DMARC kaydı. Mevcut kaydı düzenleyin, yenisini eklemeyin. İki kayıt = DMARC tamamen geçersiz.
- Doğrudan p=reject ile başlamak. Meşru e-postalarınızı engellersiniz. Mutlaka p=none ile başlayın.
- rua adresinin SPF kapsamına dahil olmaması. Eğer rua adresiniz farklı bir alan adındaysa (örn: dmarc@alanim.com → raporlar@diger.com), o alan adında
raporlama@diger.com için bir DNS TXT kaydı (Authorization Record) gerekir.
- DKIM eksik. SPF tek başına yeterli görünse de e-posta forward edildiğinde SPF kırılır. DKIM forward'a dayanıklıdır — mutlaka açın.
- Subdomain'leri unutmak. Newsletter, transactional vb. subdomain'lerden e-posta gönderiyorsanız onlar için ayrı SPF/DKIM kayıtları gerekir; sp parametresiyle politikalarını da ayarlayın.
Kurumsal DMARC Yönetimi İçin Profesyonel Destek
Microsoft Kurumsal (Micro Bilgi Teknolojileri) Microsoft Yetkili Çözüm Ortağı (CSP) olarak Microsoft 365 ve Exchange Online müşterilerine SPF/DKIM/DMARC yapılandırma, raporlama otomasyonu, Defender for Office 365 entegrasyonu ve aşamalı reject geçiş danışmanlığı sunar. İletişime geçin, kurumunuzun e-posta otoritesini birlikte güçlendirelim.