SPF, DKIM ve DMARC: Tam Rehber

Her gün milyarlarca e-posta gönderiliyor ve bu e-postaların önemli bir bölümü sahte gönderen adresleri kullanıyor. SPF, DKIM ve DMARC, e-posta ekosisteminin güvenliğini sağlayan üç temel protokoldür. Bu protokoller olmadan, e-postalarınız SPAM klasörlerine düşer, kimlik avı saldırılarına karşı savunmasız kalırsınız ve marka itibarınız zedelenir. Bu rehberde, her üç protokolü de teknik detaylarıyla inceliyoruz.

E-posta Kimlik Doğrulamaya Neden İhtiyaç Var?

E-posta protokolleri tasarım aşamasında kimlik doğrulama düşünülmeden oluşturulmuştur. Bu, herhangi birinin herhangi bir adresten e-posta göndermesine olanak tanır. SPF, DKIM ve DMARC, bu temel güvenlik açığını kapatmak için geliştirilmiştir.

Gmail, Outlook ve Yahoo gibi büyük ISP'ler 2024 itibarıyla toplu gönderimciler için DMARC politikası zorunluluğu getirmiştir. Bu kayıtlar olmadan e-postalarınızın büyük bölümü doğrudan SPAM klasörüne yönlendirilecektir.

SPF (Sender Policy Framework)

SPF, alan adınız adına hangi sunucuların e-posta gönderebileceğini DNS üzerinden ilan etmenizi sağlayan bir protokoldür. Alıcı sunucu, gelen e-postanın IP adresini SPF kaydınızdaki listede kontrol eder ve eşleşme varsa kimlik doğrulaması başarılı sayılır.

SPF Kaydı Oluşturma

SPF kaydı, alan adınızın DNS ayarlarına bir TXT kaydı olarak eklenir. Standart bir SPF kaydı şöyle görünür:

v=spf1 include:_spf.google.com include:sendgrid.net include:mailgun.org ~all

Bu kaydın anlamı: Google, SendGrid ve Mailgun sunucuları bu alan adı adına e-posta gönderebilir. ~all (soft fail) tanımlanmamış sunuculardan gelen e-postaları şüpheli olarak işaretler. -all (hard fail) kullanımı daha agresiftir ancak yanlış yapılandırılmış üçüncü parti hizmetlerin e-postalarınızı etkilemesine yol açabilir.

SPF Lookup Limiti

SPF kayıtlarında maksimum 10 DNS lookup sınırı vardır. Her include, a, mx, ptr ve exists mekanizması bir lookup sayılır. Bu sınırı aşarsanız SPF doğrulaması kalıcı olarak başarısız olur.

Lookup sınırına yaklaştığınızda, IP adreslerini doğrudan kayda ekleyin (örneğin ip4:192.168.1.1) veya SPF flattening hizmetlerini kullanın. Ayrıca gereksiz include mekanizmalarını kaldırın.

DKIM (DomainKeys Identified Mail)

DKIM, her gönderilen e-postayı özel bir şifreleme anahtarıyla dijital olarak imzalar. Alıcı sunucu, DNS üzerinden yayınlanan public key ile bu imzayı doğrular. E-posta gönderim sırasında herhangi bir değişikliğe uğradıysa imza geçersiz olur.

DKIM Anahtar Çifti Oluşturma

DKIM yapılandırması bir public/private key çifti gerektirir. Private key, e-posta gönderim sunucunuzda gizli tutulur ve her gönderilen e-postayı imzalamak için kullanılır. Public key ise DNS üzerinde bir TXT kaydı olarak yayınlanır.

Tipik bir DKIM kaydı şöyle görünür:

selector._domainkey.alanadi.com isimli TXT kaydı: v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC1TaNgLlSyQMNWVLNLvyY/neDgaL2oqQE8T5illKqCgDtFHc8eHVAU+nlcaGmrKmDMw9dbgiGk1ocgZ56NR4ycfUHwQhvQPMUZw0cveel/8EAGoi/UyPmqfcPibytH81NFtTMAxUeM4Op8A6iHkvAMj5qLf4YRNsTkKAKW3OkwPQIDAQAB

DKIM Anahtar Rotasyonu

Güvenlik için DKIM anahtarlarınızı düzenli aralıklarla değiştirmeniz (rotate) gerekir. Anahtar uzunluğu en az 1024 bit, tercihen 2048 bit olmalıdır. Eski anahtarları hemen silmeyin; yeni anahtarı yayınladıktan sonra DNS yayılım süresi (TTL) kadar bekleyin ve ardından eski anahtarı devre dışı bırakın.

DMARC (Domain-based Message Authentication, Reporting and Conformance)

DMARC, SPF ve DKIM sonuçlarını birleştirerek bir politika uygular ve yetkisiz gönderim raporlarını size iletir. DMARC olmadan, SPF ve DKIM doğrulamaları geçse bile alıcı sunucu nasıl davranacağını bilemez.

DMARC Kaydı Yapılandırma

DMARC kaydı, _dmarc.alanadi.com isimli bir TXT kaydı olarak yayınlanır. Üç temel politika seviyesi vardır:

• p=none: İzleme modu; doğrulama başarısız e-postalar hakkında rapor alırsınız ancak alıcı sunucu herhangi bir işlem yapmaz
• p=quarantine: Başarısız e-postalar SPAM/şüpheli olarak işaretlenir
• p=reject: Başarısız e-postalar doğrudan reddedilir

Başlangıç için her zaman p=none ile başlayın. Raporları analiz ederek yetkisiz gönderim olup olmadığını doğrulayın. Ardından p=quarantine ve son olarak p=reject seviyesine geçin. Bu geçişi acele etmeyin; yanlış yapılandırma meşru e-postalarınızın reddedilmesine yol açabilir.

DMARC Raporları (RUA ve RUF)

DMARC kaydınızda raporlama adresleri belirtebilirsiniz:

v=DMARC1; p=quarantine; rua=mailto:dmarc-rua@alanadi.com; ruf=mailto:dmarc-ruf@alanadi.com; fo=1; adkim=r; aspf=r; pct=100; rf=afrf; ri=86400

rua (aggregate reports) haftalık özet raporlar, ruf (forensic reports) ise anlık başarısızlık bildirimleridir. fo=1 SPF veya DKIM'den biri başarısız olduğunda rapor gönderilmesini sağlar. pct=100 politikanın tüm e-postalara uygulanacağını belirtir; test aşamasında %10 ile başlayabilirsiniz.

DMARC Hizalama (Alignment)

DMARC, SPF ve DKIM sonuçlarının From alanındaki alan adıyla hizalanmasını gerektirir. SPF hizalaması için Return-Path alanı, DKIM hizalaması için ise DKIM imzasındaki d= değeri, From alanındaki alan adıyla eşleşmelidir.

Örneğin From: bilgi@alanadi.com ise, SPF Return-Path da @alanadi.com ile bitmeli ve DKIM imzasındaki d= değeri de alanadi.com olmalıdır. Bu hizalama olmadan DMARC doğrulaması başarısız olur.

Yapılandırma Testi ve Doğrulama

Kayıtlarınızı oluşturduktan sonra şu araçlarla test edin:

• MXToolbox: SPF, DKIM ve DMARC kayıtlarınızı ayrı ayrı test eder
• Google Admin Toolbox: Gmail'in bakış açısından kimlik doğrulama durumunu kontrol eder
• Mail Tester: Gerçek bir test e-postası göndererek SPAM skoru ve kimlik doğrulama durumunu analiz eder
• DMARC Analyzer: DMARC raporlarınızı görselleştirir ve yorumlar

Sık Karşılaşılan Sorunlar ve Çözümleri

En yaygın sorunlar şunlardır:

• SPF too many lookups: Gereksiz include mekanizmalarını kaldırın veya IP adreslerini doğrudan ekleyin
• DKIM imza geçersiz: Private key ile public key eşleşmiyor; anahtar çiftini yeniden oluşturun
• DMARC alignment başarısız: From alanı ile Return-Path veya DKIM d= değerini kontrol edin
• Yanlış DNS kayıt formatı: Tırnak işaretleri, noktalı virgül ve boşluk kullanımına dikkat edin
• DNS yayılım gecikmesi: Değişikliklerin etkili olması için TTL süresini bekleyin

Sequenzy ile Kimlik Doğrulama Yönetimi

Sequenzy, SaaS şirketleri için SPF, DKIM ve DMARC yapılandırmasını kolaylaştıran rehberler ve otomatik test araçları sunar. Platform üzerinden DNS kayıtlarınızın durumunu gerçek zamanlı olarak izleyebilir, hizalama sorunlarını tespit edebilir ve DMARC raporlarınızı dashboard üzerinden analiz edebilirsiniz.

Sequenzy'nin kimlik doğrulama yönetimi, teknik uzmanlık gerektirmeden doğru yapılandırma yapmanızı sağlar. Özellikle çoklu alan adı yöneten şirketler için, tüm alan adlarının kimlik doğrulama durumunu tek bir ekrandan izleme imkanı sunar.

BIMI ve Gelişmiş Kimlik Doğrulama

BIMI (Brand Indicators for Message Identification), e-posta istemcilerinde gönderenin logosunu görüntüleyen bir standarttır. BIMI için öncelikle DMARC politikası zorunludur. Ayrıca bir VMC (Verified Mark Certificate) sertifikası gerekebilir; bu sertifika, logonuzun tescilli bir marka olduğunu doğrular.

BIMI kaydı şöyle görünür: default._bimi.alanadi.com isimli TXT kaydı: v=BIMI1; l=https://alanadi.com/logo.svg;. SVG formatında ve kare boyutlarında bir logo kullanmanız gerekir. BIMI, sadece görsel bir iyileştirme değil, aynı zamanda kimlik avı saldırılarına karşı koruma sağlayan bir güvenlik katmanıdır.

E-posta Güvenliği İçin Ek Önlemler

SPF, DKIM ve DMARC temel direklerdir ancak tek başına yeterli değildir. TLS şifrelemesi, e-postalarınızın gönderim sırasında güvenliğini sağlar. MTA-STS (Mail Transfer Agent Strict Transport Security), gönderim sunucunuzun sadece şifreli bağlantıları kabul ettiğini ilan eder.

Ayrıca, DNSSEC (Domain Name System Security Extensions), DNS kayıtlarınızın yetkisiz değişikliklere karşı korunmasını sağlar. Bu önlemler bir arada kullanıldığında, e-posta güvenliğiniz çok katmanlı bir savunma sistemi oluşturur.

Sık Karşılaşılan Yapılandırma Hataları

En yaygın yapılandırma hataları şunlardır: SPF kaydında fazla include mekanizması kullanmak (10 lookup sınırını aşmak), DKIM anahtarının yetersiz uzunlukta olması (1024 bit altı), DMARC politikasına ani geçiş yapmak (monitoring aşamasını atlamak), ve DNS kayıtlarında yanlış format kullanmak (tırnak işareti veya noktalı virgül hataları).

Bu hatalardan kaçınmak için, yapılandırma değişikliklerini canlıya almadan önce her zaman test ortamında doğrulayın. Ayrıca, DNS değişikliklerinin yayılması için TTL süresini göz önünde bulundurun; ani değişiklikler, eski kayıtların hâlâ cache'de olması nedeniyle beklenmedik sonuçlara yol açabilir.

E-posta Kimlik Doğrulama ve Uluslararası Düzenlemeler

Farklı ülkeler ve bölgeler, e-posta kimlik doğrulaması konusunda farklı gereksinimler getirmektedir. Avrupa Birliği'nde GDPR, e-posta gönderimi için açık izin şartı koşarken, ABD'de CAN-SPAM Act daha gevşek bir düzenleme sunar. Ancak her iki düzenleme de kimlik doğrulama protokollerinin doğru yapılandırılmasını önerir.

Türkiye'de KVKK kapsamında, e-posta gönderimi için açık rıza gereklidir ve gönderenin kimliğinin doğru şekilde tanımlanması beklenir. SPF, DKIM ve DMARC kayıtları, bu kimlik tanımlama gereksinimini teknik olarak karşılar. Ayrıca, ticari elektronik ileti gönderiminde yer alan bilgilerin doğru ve güncel olması yasal bir zorunluluktur.

Kimlik Doğrulama Süreçlerinin Otomasyonu

SPF, DKIM ve DMARC yapılandırması, manuel olarak yönetildiğinde hata riski taşır. Özellikle çoklu alan adı ve alt alan adı kullanan şirketler için, her birinde ayrı ayrı kayıt yönetmek zahmetli ve hataya açıktır. Bu süreçleri otomatikleştirmek, hem güvenilirliği artırır hem de operasyonel yükü azaltır.

Otomasyon araçları, DNS kayıtlarınızın düzenli olarak kontrol edilmesini, değişikliklerin izlenmesini ve hataların anında bildirilmesini sağlar. Ayrıca DMARC raporlarının otomatik analizi, yetkisiz gönderim denemelerini hızla tespit etmenizi ve müdahale etmenizi mümkün kılar.

E-posta Kimlik Doğrulama ve SaaS Şirketleri

SaaS şirketleri için e-posta kimlik doğrulama, sadece teknik bir zorunluluk değil, aynı zamanda iş sürekliliği meselesidir. Şifre sıfırlama e-postalarının, fatura bildirimlerinin ve güvenlik uyarılarının SPAM klasörüne düşmesi, hem müşteri memnuniyetsizliği hem de güvenlik riski yaratır. Bu nedenle SaaS şirketleri kimlik doğrulamaya özellikle önem vermelidir.

SaaS şirketleri genellikle birden fazla alt alan adı kullanır: marketing için bülten.sirketiniz.com, transactional için mail.sirketiniz.com, destek için help.sirketiniz.com. Her bir alt alan adı için ayrı SPF, DKIM ve DMARC kayıtları yapılandırılmalıdır. Bu yapılandırma karmaşıklığı, merkezi bir DNS yönetim aracı kullanılarak yönetilmelidir.

Kimlik Doğrulama Denetimleri ve Uyumluluk

Kimlik doğrulama kayıtlarınızı düzenli olarak denetleyin. En az üç ayda bir SPF, DKIM ve DMARC kayıtlarınızı kontrol edin. DNS değişiklikleri, eklenti kurulumları veya e-posta sağlayıcısı değişiklikleri bu kayıtları etkileyebilir. Ayrıca, çalışan ayrılıkları veya domain yönetimi değişiklikleri sırasında yetkisiz erişimleri önlemek için kayıtları gözden geçirin.

SOC 2, ISO 27001 ve benzeri sertifikasyon süreçlerinde, e-posta kimlik doğrulama yapılandırması denetlenir. Doğru yapılandırılmış SPF, DKIM ve DMARC kayıtları, güvenlik ve uyumluluk denetimlerinde olumlu puan almanızı sağlar. Bu kayıtların dokümantasyonunu ve değişiklik geçmişini saklayın.

E-posta Kimlik Doğrulama ve Kara Liste Yönetimi

Doğru yapılandırılmış SPF, DKIM ve DMARC kayıtları, karaliste riskini azaltır ancak tamamen ortadan kaldırmaz. Kara listelere girmemek için düzenli olarak IP ve domain itibarınızı kontrol edin. Spamhaus, Barracuda, SURBL ve diğer önemli karalistelerdeki durumunuzu izleyin.

Kara listeye girmeniz durumunda, listeye girmenize neden olan sorunu önce düzeltin (liste hijyeni, şikayet oranı, kimlik doğrulama hataları). Ardından karaliste operatörüne delist talebinde bulunun. Bu süreç genellikle 24-72 saat sürer. Önlem olarak, düzenli izleme ve proaktif liste yönetimi yapın.

E-posta Kimlik Doğrulama ve Gelecek Trendler

E-posta kimlik doğrulama alanı sürekli gelişiyor. BIMI standartının yaygınlaşması, marka logolarının e-posta istemcilerinde görüntülenmesini sağlıyor. MTA-STS ve TLS-RPT gibi yeni protokoller, şifreli iletişimi zorunlu hale getiriyor. Gelecekte yapay zeka destekli kimlik doğrulama sistemleri, sahte e-postaları daha etkili şekilde tespit edebilir.

Bu trendlere hazırlıklı olmak için mevcut SPF, DKIM ve DMARC yapılandırmanızı güncel tutun ve yeni standartları yakından izleyin. Özellikle BIMI ve MTA-STS gibi gelişmiş protokolleri erken benimseyen şirketler, rekabet avantajı elde edecektir. E-posta güvenliği statik bir hedef değil, sürekli bir yolculuktur.

E-posta Kimlik Doğrulama Denetim Kontrol Listesi

Düzenli denetimler için bir kontrol listesi oluşturun. Kontrol listeniz şunları içermelidir: SPF kaydının geçerli olup olmadığı, DKIM imzasının doğru çalıştığı, DMARC politikasının beklendiği gibi uygulandığı, BIMI kaydının güncel olduğu, tüm alt alan adlarının doğru yapılandırıldığı ve DNSSEC'in aktif olduğu.

Bu kontrol listesini en az üç ayda bir gözden geçirin. Herhangi bir değişiklik (yeni e-posta sağlayıcısı, yeni alt alan adı, yeni entegrasyon) sonrasında ise hemen denetim yapın. Düzenli denetimler, küçük sorunların büyük problemlere dönüşmesini önler ve e-posta güvenliğinizi sürekli olarak güvence altına alır.

Sonuç

SPF, DKIM ve DMARC, e-posta güvenliğinin vazgeçilmez üçlüsüdür. Doğru yapılandırıldığında, e-postalarınızın SPAM klasörüne düşme olasılığını dramatik şekilde azaltır, marka kimliğinizi korur ve kimlik avı saldırılarına karşı savunma sağlar.

Bu kayıtları bir kez kurup unutmak yerine, düzenli olarak kontrol edin ve DMARC raporlarınızı analiz edin. Sequenzy gibi platformlar, bu teknik süreci basitleştirerek size stratejik çalışmalar için zaman kazandırır. E-posta güvenliği bir seçenek değil, zorunluluktur.