Ücretsiz Araç

SPF · DKIM · MTA-STS Oluşturucu

E-posta otantikasyon üçlüsünü tek sayfada hazırlayın — kopyalanabilir DNS değerleri, 10+ sağlayıcı şablonu, anlık DNS lookup limit kontrolü.

SPF Kaydı Sihirbazı

Kullandığınız e-posta gönderim servislerini seçin — anında SPF TXT kaydı oluşur. DNS lookup limit kontrolü canlı çalışır (max 10).

SPF kaydı kök alana eklenir (DNS adı: @)
Virgülle ayırın. IPv4, IPv4 CIDR, IPv6 desteklenir.
Listede olmayan sağlayıcı için. Virgülle ayırın.
DNS Adı (Host)
@
Tür
TXT
SPF Record Değeri
v=spf1 -all
DNS Lookup: 0 / 10 (limit)

MTA-STS Politika Üretici

Modern e-posta TLS zorlaması için MTA-STS politikası — DNS TXT kaydı + .well-known/mta-sts.txt dosyası birlikte üretilir.

MX hostları otomatik dolduruluyor. "Diğer" seçerseniz custom MX listesi girin.
Yeni kurulumda testing ile başlayın, 1-2 hafta TLS-RPT raporlarını izleyin, sonra enforce'a geçin.
_smtp._tls TXT kaydı ile TLS bağlantı raporları için bir e-posta adresi tanımlar.
1. DNS TXT Kaydı (MTA-STS)
Host: _mta-sts.alaniniz.com · Tür: TXT
v=STSv1; id=20260428
2. TLS-RPT TXT Kaydı (raporlama)
Host: _smtp._tls.alaniniz.com · Tür: TXT
v=TLSRPTv1; rua=mailto:tls-rpt@alaniniz.com
3. Politika Dosyası
URL: https://mta-sts.alaniniz.com/.well-known/mta-sts.txt
version: STSv1
mode: testing
mx: *.mail.protection.outlook.com
max_age: 1209600
Politika dosyası için mta-sts.alaniniz.com subdomain'inde HTTPS sunan bir web server gerekir (Cloudflare Workers ile sunucusuz da mümkün).

DKIM Etkinleştirme Rehberi

DKIM CNAME değerleri sağlayıcınızın admin panelinde otomatik üretilir (kriptografik anahtar çiftleri). Sihirbazımız nereye gidip nasıl yapılacağını gösterir.

İpucu: DKIM CNAME'leri DNS'e ekledikten sonra en az 1 saat bekleyin (DNS propagasyonu), sonra sağlayıcı admin panelinde "Enable" / "Etkinleştir" butonuna basın. Erken Enable hatası en yaygın sorundur.

SPF, DKIM ve MTA-STS — E-Posta Otantikasyonun Üç Direği

Modern e-posta güvenliği üç bileşene dayanır: SPF (gönderici IP yetkisi), DKIM (içerik bütünlüğü için dijital imza) ve MTA-STS (sunucular arası TLS şifreleme zorunluluğu). Bu üçü DMARC politikasıyla birleşince modern bir e-posta altyapısı tamamlanır.

SPF Kaydı Nasıl Çalışır?

SPF (Sender Policy Framework, RFC 7208), alan adınızdan e-posta göndermeye yetkili IP ve servisleri tek bir DNS TXT kaydında listeler. Alıcı sunucu, gelen mesajın IP'sini sizin SPF listenizde arar:

SPF Mekanizmaları

MekanizmaAnlamıLookup sayar mı?
include:_spf.example.comBaşka bir SPF kaydını dahil etEvet (1)
aAlanın A kayıtlarını dahil etEvet (1)
mxAlanın MX kayıtlarını dahil etEvet (1)
ip4:192.0.2.1Tek IP4 adresiHayır
ip4:192.0.2.0/24IP4 CIDR bloğuHayır
ip6:2001:db8::/32IP6 CIDR bloğuHayır
-all / ~all / ?allListede olmayan IP'lere ne yapılacakHayır

10 DNS Lookup Limiti — En Yaygın SPF Hatası

SPF protokolü, bir TXT kaydını çözmek için en fazla 10 DNS lookup'a izin verir. Çok sayıda include eklerseniz limit aşılır ve alıcı sunucular spf=permerror sonucu döndürür — bu da SPF=fail gibi davranır. Yaygın hatalı senaryo:

v=spf1 include:spf.protection.outlook.com include:_spf.google.com
        include:mailgun.org include:sendgrid.net include:servers.mcsv.net
        include:_spf.hubspot.com include:_spf.salesforce.com
        include:_spf.zoho.com include:_spf.zendesk.com include:_spf.intercom.io
        -all

Bu kayıt 10 lookup'a ulaşır ve "include" zincirleri (örn: _spf.google.com içinde 4 alt include var) ile aslında 15+ lookup üretir. Çözüm: flattening — include'ları açıp içerideki IP'leri doğrudan ip4/ip6 olarak yazmak. Ancak bu manuel zor; EasyDMARC, dmarcian gibi servisler otomatik flattening sunar.

DKIM (DomainKeys Identified Mail) Nedir?

DKIM (RFC 6376), her giden e-postaya alanınızın özel anahtarıyla bir kriptografik imza ekler. Bu imza header'a (DKIM-Signature) yerleştirilir. Alıcı sunucu, alanınızın DNS'inde tanımlı public key ile imzayı doğrular:

SPF mi DKIM mi Daha Önemli?

Her ikisi de gerekli ama farklı sorunları çözerler. DKIM forward'a dayanıklıdır; SPF değildir. Bir mesaj A'dan B'ye geliyor, B kullanıcısı "Forward" tıklayıp C'ye gönderiyorsa: SPF doğrulamada B'nin IP'si A'nın SPF kaydında olmadığı için spf=fail döner. Ancak DKIM imzası B'de değişmediği için dkim=pass döner. DMARC, ikisinden birinin alignment ile geçmesini ister; bu sayede legitimate forward'lar engellenmez.

MTA-STS Nedir?

MTA-STS (Mail Transfer Agent Strict Transport Security, RFC 8461), e-posta sunucuları arası iletim sırasında TLS şifrelemesini zorunlu kılar. Geleneksel SMTP TLS opportunistic'tir — yani başarısızlığa düşerse plain text'e fallback eder; saldırgan TLS handshake'i bozarak (downgrade attack) düz metin yakalayabilir.

MTA-STS Bileşenleri

  1. DNS TXT kaydı (_mta-sts.alaniniz.com): Politikanın varlığını ve versiyonunu duyurur.
  2. HTTPS politika dosyası (https://mta-sts.alaniniz.com/.well-known/mta-sts.txt): Asıl politika — mode, MX listesi, max_age.
  3. TLS-RPT (opsiyonel ama önerilen): TLS bağlantı raporları için ayrı TXT kaydı (_smtp._tls.alaniniz.com).

MTA-STS Mode Seçimi

Önerilen Kurulum Sırası

  1. SPF — Tüm gönderici servislerinizi listeleyin. -all ile başlayın.
  2. DKIM — Sağlayıcı admin panelinden etkinleştirin, CNAME değerlerini DNS'inize ekleyin.
  3. DMARCp=none ile başlayın, DMARC sihirbazımızı kullanın.
  4. MTA-STStesting mode + TLS-RPT.
  5. 1-2 hafta sonra: DMARC raporlarını + TLS-RPT raporlarını inceleyin, sorun yoksa DMARC'ı quarantine'e, MTA-STS'i enforce'a alın.
  6. 3-4 hafta sonra: DMARC p=reject. Domain analiz aracımızla tüm 8 kontrolün yeşil olduğunu doğrulayın.

Profesyonel E-Posta Güvenlik Kurulumu

Microsoft Kurumsal (Micro Bilgi Teknolojileri), Microsoft Yetkili Çözüm Ortağı (CSP) olarak Türkiye genelinde KOBİ ve büyük kurumlara SPF, DKIM, DMARC, MTA-STS, BIMI tam paket kurulumu yapar; raporlama otomasyonu, Defender for Office 365 entegrasyonu ve KVKK uyumlu incident response danışmanlığı sunar. Ücretsiz keşif görüşmesi planlayın →

PDF Teklif Oluştur

Plan:-
Kullanıcı:-
Süre:-
Toplam:-

Gitmeden önce fiyat hesaplayın!

Microsoft 365 planlarınızı saniyeler içinde hesaplayın. Ücretsiz, kayıt gerektirmez.

Ücretsiz Fiyat Hesapla