Temel SPF, DKIM ve DMARC Ayarları: Küçük İşletmeler İçin Adım Adım E‑Posta Doğrulama

Küçük İşletmeler İçin SPF, DKIM ve DMARC Neden Bu Kadar Önemli?

Küçük bir işletme için e‑posta, çoğu zaman en kritik iletişim kanalıdır. Tek bir yanlış yapılandırılmış DNS kaydı yüzünden; teklif mailleriniz müşterinin spam klasörüne gidebilir, e‑faturalarınız hiç ulaşmayabilir ya da daha kötüsü, biri sizin alan adınızı taklit ederek müşterilerinize sahte ödeme linkleri gönderebilir. SPF, DKIM ve DMARC tam burada devreye girer: Alan adınız adına kimlerin e‑posta göndermeye yetkili olduğunu tanımlamanızı ve alıcı sunuculara bunu kriptografik olarak ispatlamanızı sağlar.

DCHost tarafında yüzlerce küçük işletmenin e‑posta altyapısını yönetirken en çok gördüğümüz sorun, bu kayıtların ya hiç kurulmamış olması ya da yıllar önce yanlış kurulup unutulmuş olması. Sonuç: Yavaş yavaş bozulan e‑posta itibarı, artan spam şikayetleri ve gizemli şekilde kaybolan mailler. Bu rehberde, teknik olmayan ekiplerin bile adım adım uygulayabileceği şekilde temel SPF, DKIM ve DMARC ayarlarını nasıl kuracağınızı anlatacağız. Hedefimiz: Daha güvenli, daha teslim edilebilir ve marka itibarı güçlü bir e‑posta altyapısı.

Temel Kavramlar: SPF, DKIM, DMARC ve DNS İlişkisi

Önce kısa bir sözlük oluşturalım. Kafa karışıklığını azaltmak için olabildiğince sade anlatacağım.

DNS nedir, neden işin tam ortasında?

Alan adınızın (örneğin firmaadi.com) internetteki tüm teknik ayarları DNS üzerinden yönetilir: Web sitenizin IP adresi, e‑posta sunucunuz, SSL ile ilgili bazı kontroller ve tabii ki SPF, DKIM, DMARC kayıtları. Bu kavramlara yabancıysanız, önce DNS kayıtları (A, MX, TXT vb.) hakkında hazırladığımız detaylı rehbere göz atmanız faydalı olabilir.

SPF (Sender Policy Framework) nedir?

SPF, kısaca şunu söyler: “Bu alan adı adına şu IP adresleri ve sunucular e‑posta gönderebilir, diğerleri gönderemez.” Bunu DNS üzerine eklediğiniz bir TXT kaydı ile belirtirsiniz. Alıcı sunucu, mesajı aldığında bu kayda bakar: Gönderen IP bu listede mi? Değilse SPF başarısız olur.

DKIM (DomainKeys Identified Mail) nedir?

DKIM, gönderdiğiniz her e‑postanın içine, alan adınıza ait bir kriptografik imza ekler. İmzanın doğrulaması için gerekli olan “açık anahtar” yine DNS üzerinde bir TXT kaydı olarak yayınlanır. Alıcı sunucu, e‑postadaki DKIM imzasını alır, DNS’ten açık anahtarı çeker ve mailin yolda değiştirilip değiştirilmediğini, gerçekten yetkili bir sunucudan çıkıp çıkmadığını kontrol eder.

DMARC (Domain‑based Message Authentication, Reporting and Conformance) nedir?

DMARC, SPF ve DKIM sonuçlarını birleştirip şu üç soruya cevap verir:

• Bu mesaj SPF ve/veya DKIM testlerinden geçti mi?
• Gönderen alan adı ile doğrulanan alan adı aynı mı veya uyumlu mu (alignment)?
• Geçmediyse, alıcı sunucu bu maili ne yapsın (kabul et, karantinaya al, reddet)?

Bunu da yine DNS’te bir TXT kaydı ile tanımlarsınız. Ek olarak DMARC, alan adınız için düzenli raporlar (RUA/RUF) almanızı sağlar; böylece sizi taklit etmeye çalışan kaynakları, yanlış yapılandırılmış servisleri görebilirsiniz.

Bu üçlü hakkında teknik seviyede daha derine inmek isterseniz, SPF, DKIM ve DMARC nedir sorusuna daha teknik yanıtlar verdiğimiz rehbere de mutlaka göz atın.

Adım 1 – Mevcut E‑Posta Altyapınızı Envanter Çıkarma

Sağlam bir SPF/DMARC kurgusunun ilk adımı, aslında DNS değil: Envanter. Hangi sistemlerin alan adınız adına e‑posta gönderdiğini bilmeden, doğru bir SPF kaydı veya DMARC politikası yazmanız mümkün değil.

Hangi sistemler e‑posta gönderiyor?

Aşağıdaki soruları kurum içinde bir toplantıda netleştirmenizi öneririz:

• Kurumsal e‑posta hesapları nerede barındırılıyor? (Örneğin DCHost paylaşımlı hosting, DCHost e‑posta sunucusu veya kendi VPS’iniz)
• Web sitenizden çıkan formlar (iletişim, teklif, üyelik vb.) hangi sunucudan mail gönderiyor?
• E‑ticaret siteniz (sipariş, fatura, reset password mailleri) hangi IP veya SMTP üzerinden gidiyor?
• Herhangi bir toplu mail / bülten servisi kullanıyor musunuz? (Pazarlama e‑postaları)
• CRM, ERP, muhasebe yazılımı gibi üçüncü parti sistemler alan adınızla mail gönderiyor mu?

Bu listeyi mümkün olduğunca eksiksiz yapın. Tek bir unutulan servis, ileride DMARC politikanız sıkılaştığında; müşterilere ulaşmayan parça parça mailler olarak geri döner.

Adım 2 – SPF Kaydını Doğru Kurmak

Envanteri çıkardıktan sonra ilk teknik adım SPF. Küçük işletmeler için SPF’in amacı basit: “Şu sunucular dışında kimse benim adıma mail gönderemez.”

SPF kaydının temel yapısı

SPF kaydı DNS’te bir TXT kaydıdır ve genelde şöyle görünür:

v=spf1 a mx ip4:1.2.3.4 include:servis‑ornek.com ~all

Bunu parçalara ayıralım:

• v=spf1: SPF sürümü (her zaman böyle başlar).
• a: Alan adınızın A kaydındaki IP, mail göndermeye yetkilidir.
• mx: MX kaydınızın işaret ettiği mail sunucuları yetkilidir.
• ip4:1.2.3.4: Belirli bir IPv4 adresi yetkilidir (gerekirse ip6: ile IPv6 da eklenebilir).
• include:servis‑ornek.com: Harici bir servis kendi SPF kaydını tanımlar; siz de onu dahil edersiniz.
• ~all: Yukarıdakilerin dışındaki kaynaklar için “soft‑fail” (şüpheli) işareti ver.

Basit bir senaryo: Sadece hosting e‑postası kullanıyorsunuz

Diyelim ki alan adınız DCHost paylaşımlı hosting üzerinde ve e‑postaları da aynı hosting hesabındaki mail sunucusundan gönderiyorsunuz. Çoğu durumda aşağıdakine benzer basit bir SPF yeterli olur:

v=spf1 a mx ~all

Bu ifade “web sitemin IP’si ve MX kayıtlarım mail gönderebilir, diğerleri şüpheli” anlamına gelir. DCHost kontrol panelinde çoğu zaman sizin için önerilen SPF kaydını görebilirsiniz; onu doğrudan DNS’e eklemek en güvenli yoldur.

Toplu mail/bülten servisi de kullanıyorsanız

Bu durumda, servis sağlayıcınızın dökümantasyonunda verdiği include: satırını SPF kaydınıza eklemeniz gerekir. Örneğin:

v=spf1 a mx include:mailservis‑ornek.com ~all

Burada kritik nokta, alan adınız için sadece tek bir SPF kaydı olması gerektiğidir. İki farklı TXT kaydı içine iki ayrı SPF yazarsanız, çoğu alıcı sunucu bunu “geçersiz SPF” olarak görür.

“~all” mı “-all” mı?

• ~all (softfail): Yetkisiz kaynaklar için “bu maili şüpheli gör, ama direkt reddetmek zorunda değilsin” der.
• -all (fail): Yetkisiz kaynaklar için “bu maili reddet” demektir.

Küçük işletmeler için, DMARC politikanızı da henüz sıkılaştırmadıysanız, ~all ile başlamak genelde daha güvenlidir. Altyapınız olgunlaştıkça, DMARC ile birlikte daha agresif politikalara geçilebilir. Çok sayıda harici servis kullanıyorsanız ve SPF’in 10 DNS sorgusu limitine takılma riskiniz varsa, daha ileri seviye optimizasyonlar için gelişmiş SPF yönetimi rehberimizi inceleyebilirsiniz.

Adım 3 – DKIM İmzasını Etkinleştirmek

SPF yalnızca “hangi sunucular” sorusunu çözüyor. DKIM ise “bu mesaj yolda değiştirilmiş mi, gerçekten sizin alan adınızdan çıkmış mı?” sorusunu cevaplıyor.

DKIM nasıl çalışır?

• Mail sunucunuzda, alan adınız için bir özel/açık anahtar çifti oluşturulur.
• Özel anahtar yalnızca mail sunucusunda tutulur ve her gönderilen mail DKIM ile imzalanır.
• Açık anahtar ise DNS’te TXT kaydı olarak yayınlanır (örneğin default._domainkey.firmaadi.com).
• Alıcı sunucu, e‑postadaki DKIM başlığını okur, DNS’ten açık anahtarı çekip imzayı doğrular.

DCHost paylaşımlı hosting veya kurumsal e‑posta kullanıyorsanız

cPanel/DirectAdmin benzeri panellerde genellikle DKIM’i etkinleştirmek için tek yapmanız gereken, ilgili menüden “DKIM’i etkinleştir” butonuna basmaktır. Panel sizin için:

• Anahtar çiftini üretir,
• DNS bölgenize gerekli _domainkey TXT kaydını ekler (veya size metni gösterir),
• Mail sunucusunu bu anahtarla imzalayacak şekilde yapılandırır.

Eğer alan adınız DCHost DNS’i üzerinde, siteniz ve mailiniz de DCHost’ta barınıyorsa, bu işlem genellikle birkaç tıklama ve kısa bir DNS yayılım süresinden ibarettir.

VPS veya dedicated sunucuda kendi mail sunucunuzu yönetiyorsanız

Postfix + Dovecot, Exim veya başka bir MTA üzerinde DKIM kurulumu biraz daha teknik olsa da mantık aynıdır:

1. DKIM için bir selector belirleyin (örneğin default veya mail2026).
2. opendkim benzeri bir araçla özel/açık anahtar çifti üretin.
3. Açık anahtarı, selector._domainkey.alanadiniz.com isminde TXT kaydı olarak DNS’e ekleyin.
4. MTA’nızı, çıkış yapan mailleri bu selector ile imzalayacak şekilde yapılandırın.

VPS üzerinde kendi MTA’nızı kurmayı düşünüyorsanız, VPS’te Postfix + Dovecot tabanlı mail sunucusu kurulum rehberimiz bu adımda size oldukça yardımcı olacaktır.

Adım 4 – DMARC ile Politika Belirlemek

SPF ve DKIM’i kurduktan sonra, işi DMARC ile “yönetilebilir” hale getiriyoruz. DMARC sayesinde:

• SPF/DKIM başarı durumuna göre alıcıların nasıl davranmasını istediğinizi söylersiniz.
• Alandığınız adına hangi IP’lerin mail gönderdiğini düzenli raporlarla görürsünüz.

Basit bir DMARC kaydı örneği

En temel DMARC kaydı şöyle olabilir:

_dmarc.firmaadi.com TXT "v=DMARC1; p=none; rua=mailto:[email protected]"

Buradaki alanlar:

• v=DMARC1: DMARC sürümü.
• p=none: Politika “izle ama müdahale etme” modunda. Başarısız mailleri reddetme, ama rapor üret.
• rua=mailto:…: Aggregate (toplu) raporların gideceği mail adresi.

Küçük işletmeler için ilk aşamada p=none ile başlamak en akıllıca yaklaşımdır. Böylece hiçbir mail engellenmeden, hangi kaynakların SPF/DKIM/DMARC uyumlu olduğunu görür, hataları düzeltecek zaman kazanırsınız.

Politikayı sıkılaştırmak: quarantine ve reject

SPF ve DKIM ayarlarınız oturduktan, DMARC raporlarınızı birkaç hafta izledikten sonra sıradaki adımlar şunlar olabilir:

• p=quarantine: Uyumlu olmayan mailler karantinaya (çoğu zaman spam klasörüne) gönderilir.
• p=reject: Uyumlu olmayan mailler reddedilir, alıcıya hiç gösterilmez.

Genellikle tavsiye edilen yol haritası:

1. İlk 2–4 hafta: p=none ile sadece gözlem.
2. Sonraki dönem: p=quarantine; pct=25 gibi kademeli bir geçiş (trafik yüzdesi ile oynayarak).
3. Her şey yolunda ve sahte gönderim tespit etmiyorsanız: p=reject; pct=100 noktasına doğru ilerlemek.

Bu geçişi daha analitik ve rapor bazlı yapmak istiyorsanız, adım adım anlattığımız DMARC raporları ve p=none’dan p=reject’e geçiş rehberimizi inceleyebilirsiniz.

Adım 5 – Test, İzleme ve Yaygın Hataları Düzeltme

SPF, DKIM ve DMARC kayıtlarını ekledikten sonra işin en önemli kısmı başlıyor: Test etmek ve izlemek.

Adım adım test stratejisi

• Alan adınızdan Gmail, Outlook vb. popüler sağlayıcılara test maili gönderin.
• Mail başlıklarını (message headers) inceleyip SPF, DKIM ve DMARC sonuçlarını kontrol edin.
• Çeşitli online test araçlarını kullanarak alan adınızı taratın; birden fazla SPF kaydı, hatalı syntax gibi sorunlar varsa göstersin.
• DMARC raporlarınız gelmeye başladıysa, düzenli olarak hangi IP’lerin mail gönderdiğini gözden geçirin.

En sık gördüğümüz SPF/DKIM/DMARC hataları

• Birden fazla SPF kaydı: Aynı alan adı için iki ayrı “v=spf1” tanımı yapmak.
• Eksik servisler: CRM, bülten aracı veya ödeme sistemi gibi göndericilerin SPF’e eklenmemesi.
• DKIM sadece bazı sistemlerde açık: Örneğin, web siteniz DKIM’siz gönderirken, kurumsal mailleriniz DKIM’li.
• DMARC alignment hataları: Gönderen adresi [email protected] iken, DKIM mail.farklidomain.com üzerinden geliyor.
• Forwarding kaynaklı SPF bozulmaları: Bazı yönlendirme senaryolarında SPF sonucu fail olur, bu durumda DKIM çok daha kritik hale gelir.

E‑postalarınız halen zaman zaman spam klasörüne düşüyorsa, sadece DNS kayıtlarına değil; içerik, IP itibarı ve alıcı davranışlarına da bakmanız gerekir. Bunun için hazırladığımız teslim edilebilirlik kontrol listesi size kapsamlı bir bakış açısı sunacaktır.

Küçük İşletmeler İçin Pratik Senaryolar

Senaryo 1: Sadece hosting üzerindeki kurumsal e‑posta

Alan adınız ve web siteniz DCHost paylaşımlı hosting’te, kurumsal mailleri de aynı sunucudan kullanıyorsunuz. Bu durumda tipik yapı şöyle olabilir:

• SPF: v=spf1 a mx ~all
• DKIM: cPanel veya panelinizde tek tıkla etkin, default._domainkey TXT kaydı DNS’te.
• DMARC: v=DMARC1; p=none; rua=mailto:[email protected]

Daha sonra DMARC raporlarını izleyip beklenmedik kaynak yoksa politikayı quarantine veya rejecte çekebilirsiniz. Böyle basit bir kurulum için kendi alan adınızla kurumsal e‑posta kurma rehberimiz genel mimariyi anlamanıza da yardımcı olacaktır.

Senaryo 2: Web sitesi + transactional mailler aynı hosting’te, pazarlama mailleri harici serviste

Bu senaryoda:

• Kurumsal mailler ve site formları: DCHost mail sunucusundan çıkıyor.
• Bülten/pazarlama mailleri: Harici bir toplu mail sağlayıcısından çıkıyor.

Örnek SPF yapısı şöyle olabilir:

v=spf1 a mx include:bulkmail‑ornek.com ~all

DKIM tarafında hem DCHost mail sunucusu hem de toplu mail sağlayıcısının DKIM anahtarlarının DNS’te doğru şekilde tanımlı olduğundan emin olun. DMARC raporlarında, bu iki farklı kaynaktan gelen maillerin uyumlu görünüp görünmediğini takip ederek, kademeli olarak p=quarantinee geçebilirsiniz.

Senaryo 3: Kendi VPS’inizde mail sunucusu çalıştırıyorsunuz

Daha ileri seviyede, DCHost VPS veya dedicated sunucu üzerinde kendi Postfix/Exim tabanlı mail sunucunuzu işletiyorsanız, aşağıdakiler kritik hale gelir:

• SPF: Sunucunuzun IP’sini ip4: veya ip6: ile açıkça belirtin.
• DKIM: Kendi selector’ınızla anahtar üretin, DNS’te _domainkey kaydını yayınlayın.
• DMARC: Önce p=none, ardından kademeli sıkılaştırma.
• PTR (reverse DNS): IP’nizin ters DNS kaydı, kullandığınız HELO/EHLO ismiyle uyumlu olmalı.

Reverse DNS ayarını doğru yapmanın e‑posta teslimi üzerindeki etkisini detaylı anlattığımız PTR (reverse DNS) rehberimize mutlaka göz atın. Ayrıca, yeni bir dedicated IP’yi yavaş yavaş ısıtmak ve kara listelerden uzak durmak için IP ısıtma ve e‑posta itibarı yönetimi rehberimizi de kullanabilirsiniz.

Altyapı Tarafını DCHost ile Nasıl Basitleştiriyoruz?

SPF, DKIM ve DMARC teoride üç DNS kaydı gibi görünse de pratikte, yanlış bir TXT kaydı veya eksik bir include yüzünden saatlerce kaybolan maillerle uğraşmak mümkün. DCHost olarak burada iki noktada yükünüzü almaya çalışıyoruz:

• Hazır şablonlar ve otomatik kayıtlar: Paylaşımlı hosting ve kurumsal e‑posta paketlerimizde, SPF ve DKIM için çoğu zaman tek tıkla etkinleştirme ve önerilen kayıtları görme imkânınız oluyor.
• VPS/dedicated danışmanlığı: Kendi MTA’nızı kurduğunuz senaryolarda; reverse DNS, SPF/DKIM/DMARC ve IP ısıtma için teknik ekibimizle birlikte bir yol haritası çıkarabiliyoruz.

Eğer çok kiracılı (multi‑tenant) bir yapıda onlarca müşteri alan adını tek e‑posta altyapısında yönetiyorsanız, gelişmiş DMARC, BIMI ve marka koruması tarafında da yardıma ihtiyacınız olabilir. Bunun için gelişmiş DMARC ve BIMI rehberimizi inceleyebilir veya doğrudan DCHost ekibiyle iletişime geçebilirsiniz.

Özet ve Uygulanabilir Yol Haritası

Anlattıklarımızı küçük bir işletme bakış açısından toparlayalım:

1. Envanter çıkarın: Alan adınız adına mail gönderen tüm sistemleri listeleyin.
2. SPF’i sade ve doğru kurun: Tek bir SPF kaydı, tüm yetkili IP ve servisleri kapsasın, ~all ile başlayın.
3. DKIM’i her yerde etkinleştirin: Mümkünse tüm gönderici sistemlerde DKIM imzası kullanın.
4. DMARC ile izlemeye başlayın: p=none ve rua= ile rapor toplamaya başlayın, birkaç hafta veriyi inceleyin.
5. Kademeli sıkılaştırma yapın: Hataları giderdikçe quarantine ve reject politikalarına doğru ilerleyin.

Bugün yapabileceğiniz somut adım şu: DNS yönetim ekranınıza girin, alan adınız için SPF, DKIM ve DMARC kayıtları gerçekten var mı ve güncel mi kontrol edin. Emin değilseniz, DCHost’ta barındırdığınız alan adları için destek talebi oluşturarak birlikte üzerinden geçebiliriz. Daha teknik ve derin bir kurulum yapmak isteyenler için, SPF, DKIM, DMARC ve rDNS ile e‑posta teslim edilebilirliğini adım adım yükseltme rehberimiz ikinci adımınız olabilir.

E‑posta, özellikle küçük işletmeler için hâlâ en kritik kanallardan biri. Üç DNS kaydıyla, hem marka itibarınızı hem de müşteri güvenini ciddi şekilde güçlendirebilirsiniz. Gerek paylaşımlı hosting, gerek VPS/dedicated ya da sadece e‑posta odaklı mimarilerde SPF, DKIM ve DMARC’ı doğru kurmak için DCHost ekibi olarak yanınızdayız.