IT
OmnvertGörsel • Belge • Ağ
27 May 2026intermediate14 minemail · spf · dkim · dmarc · dnsE-posta Kimlik Doğrulama Denetleyici (SPF/DKIM/DMARC)Bu araç için daha fazla rehber

E-posta Yöneticisi Olmadan SPF, DKIM ve DMARC Sonuçlarını Okuma

E-posta teslim edilebilirliğinin arkasındaki üç DNS kaydına sade bir bakış: her biri gerçekte neyi denetler, gerçek bir SPF dizesi nasıl okunur, DMARC politikaları ne anlama gelir ve 'e-postalarımız spam'e düşüyor' şikâyetlerinin çoğunun ardındaki hata kalıpları.

Gerekenler

Materyaller
  • E-posta gönderdiğiniz bir alan adı (sizin veya şirketinizin)
Araçlar
  • Omnvert E-posta Kimlik Doğrulama Denetleyici

Adım adım

  1. Zihinsel modeli kurun: üç soru, üç kayıt

    Her kayıt, alıcı posta sunucusunun sorduğu bir soruya cevap verir. SPF: 'Bu iletiyi teslim eden sunucunun bu alan adı için posta göndermeye izni var mı?' — izinli göndericilerin DNS'teki listesidir. DKIM: 'Bu ileti alan adı tarafından imzalandı mı ve yolda değiştirilmedi mi?' — gönderici kriptografik bir imza ekler, imzayı denetleyecek açık anahtar DNS'te durur. DMARC: 'SPF veya DKIM sonuçları, insanın From satırında gördüğü alan adıyla gerçekten eşleşiyor mu; eşleşmiyorsa ne yapmalıyım?' — diğer ikisini görünen From adresine bağlar, üstüne bir politika ve raporlama ekler. Bir ileti herhangi bir alan adı için SPF ve DKIM'den geçip yine de DMARC'tan kalabilir; çünkü DMARC, geçen alan adının From alan adıyla hizalanmasında ısrar eder.

  2. Gerçek bir SPF kaydını parça parça okuyun

    SPF bir TXT kaydında yaşar ve soldan sağa okunur. Şunu ele alalım: v=spf1 ip4:203.0.113.0/24 include:_spf.google.com ~all. v=spf1 etiketi kaydın SPF olduğunu belirtir. ip4: bir IP adresini veya aralığını doğrudan yetkilendirir. include: başka bir alan adının SPF kaydını içeri alır — Google Workspace'i, Mailchimp'i veya CRM'inizi sizin adınıza göndermeye yetkilendirmenin yolu budur. Sondaki 'all' terimi, öncesinde eşleşmeyen her sunucu için varsayılan hükümdür: ~all (softfail) 'yetkisiz göndericiler şüphelidir ama sert reddetme' der; -all (fail) ise 'doğrudan reddet' der. Softfail temkinli geçiş dönemi tercihidir; -all, listenin eksiksiz olduğundan emin olduğunuzda varılacak son noktadır.

  3. 10 DNS sorgusu sınırına dikkat edin

    SPF standardı, denetim başına değerlendirmeyi 10 DNS sorgusuyla sınırlar; include:, a, mx ve birkaç mekanizmanın her biri bir sorgu tüketir, iç içe include'lar da sayılır. Sınırı aşarsanız alıcılar kalıcı hata ('permerror') döndürür — pratikte bu, kayıttaki her servis gerçekten sizin olsa bile meşru postanızın SPF geçerliliğini yitirmesi anlamına gelebilir. Bu, büyüyen şirketleri sürekli ısırır: her yeni SaaS aracı 'include kaydımızı SPF'inize ekleyin' der ve yedinci araç sizi sessizce sınırın üstüne iter. Bir denetleyici sorgu sayısını 10'a yakın veya üstünde raporluyorsa sadeleştirin: artık kullanmadığınız servisleri çıkarın ve varsa sağlayıcıların düzleştirilmiş veya birleşik include kayıtlarını tercih edin.

  4. DKIM seçicilerini (selector) anlayın

    Bir alan adının aynı anda birden çok DKIM anahtarı olabilir ve seçiciler bunların bir arada var olma yoludur. İletideki imza başlığı bir seçici adı verir (s=google, s=k1, s=mail…), alıcı da açık anahtarı DNS'te selector._domainkey.alanadi.com adresinden çeker. Her gönderici servis tipik olarak kendi seçicisini kullanır; bir posta sağlayıcısını kurarken tuhaf adlı bir iki CNAME veya TXT kaydı eklemenizin nedeni budur. DKIM'i dışarıdan denetlerken hangi seçiciyi sorgulayacağınızı bilmeniz gerekir — bir alan adının tüm seçicilerini listelemenin standart bir yolu yoktur. Bunu gerçek bir iletide bulun: ham başlıkları görüntüleyin, DKIM-Signature satırını bulun ve s= etiketini okuyun.

  5. DMARC politika satırını çözün

    DMARC, _dmarc.alanadi.com adresindeki bir TXT kaydında yaşar ve şöyle görünür: v=DMARC1; p=quarantine; rua=mailto:raporlar@alanadi.com. p= etiketi, DMARC'tan kalan postalar için alıcılara iletilen istektir: p=none 'normal teslim et ama bana rapor gönder' demektir — izleme modu; p=quarantine 'şüpheli muamelesi yap' demektir ve genellikle spam klasörüne düşürür; p=reject 'geri çevir' demektir. rua= etiketi toplu raporların gideceği adrestir: alıcılar, alan adınız olduğunu iddia ederek posta gönderenlerin kimler olduğunu ve nasıl doğrulandığını özetleyen XML raporlarını düzenli aralıklarla gönderir. Yıllarca p=none'da duran bir alan adı, yaptırım anlamında 'DMARC ile korunuyor' değildir — yalnızca gözlemliyordur. Sahteciliği gerçekten engelleyen, quarantine veya reject'e geçmektir ve bu, raporlar tüm meşru kaynakların geçtiğini gösterdikten sonra yapılmalıdır.

  6. Klasik hata kalıplarını tanıyın

    Yönlendirme SPF'i bozar: bir ileti yönlendirildiğinde iletiyi yönlendiren sunucu teslim eder ve o sunucu asıl alan adının SPF listesinde yoktur — posta meşru olsa da SPF başarısız olur. DMARC'ın SPF veya DKIM'den herhangi birini kabul etmesinin nedeni tam olarak budur: DKIM imzası iletinin içinde taşınır ve yönlendirici içeriği değiştirmedikçe genellikle yönlendirmeden sağlam çıkar (altbilgi ekleyen e-posta listeleri bunu bozmasıyla meşhurdur). İkinci klasik, hizalama eksikliğidir: toplu posta sağlayıcınız teknik zarfta kendi alan adıyla gönderir, SPF sağlayıcının alan adı için geçer ama o alan adı sizin From alan adınızla eşleşmediği için DMARC kalır. Çözüm, sağlayıcının ayarlarında kendi alan adınız için özel dönüş yolu (return path) ve DKIM imzalama yapılandırmaktır.

  7. Alan adınızı E-posta Kimlik Doğrulama Denetleyici ile kontrol edin

    E-posta Kimlik Doğrulama Denetleyiciaracını açın ve alan adınızı girin. Sonuçları şu sırayla okuyun: SPF kaydı var mı, tam olarak bir tane mi (birden çok SPF kaydı geçersizdir), nasıl bitiyor (~all mı -all mı) ve kaç DNS sorgusu kullanıyor? DMARC var mı, p= nedir ve raporları toplayan bir rua= adresi var mı? DKIM için göndericilerinizin kullandığı seçicileri denetleyin. Amaç kupa gibi bir ekran görüntüsü değil; somut eksiklerin listesini çıkarmak: 'DMARC kaydı yok', 'SPF ?all ile bitiyor', 'sorgu sayısı 11'. Bunların her biri belirli ve düzeltilebilir bir maddedir.

Üç kayıt bir bakışta

  • SPF — alan adındaki TXT kaydı; göndermeye izinli sunucuları listeler. Teslim eden sunucunun IP'sine karşı denetlenir. Yönlendirmede bozulur.
  • DKIM — iletideki kriptografik imza; açık anahtar DNS'te selector._domainkey altındadır. İçerik değiştirilmedikçe yönlendirmeden sağ çıkar.
  • DMARC — _dmarc adresindeki TXT kaydı; SPF veya DKIM'in geçmesini ve From alan adıyla hizalanmasını şart koşar, başarısızlık politikasını (none/quarantine/reject) belirler ve rua= ile raporlamayı açar.
example.com için örnek kayıtlartext
example.com          TXT  "v=spf1 ip4:203.0.113.0/24 include:_spf.google.com ~all"
s1._domainkey        TXT  "v=DKIM1; k=rsa; p=MIIBIjANBgkq..." (public key)
_dmarc.example.com   TXT  "v=DMARC1; p=quarantine; rua=mailto:dmarc@example.com"
Denetimlerden geçmek gereklidir ama yeterli değildir

SPF, DKIM ve DMARC, postanın gerçekten sizin alan adınızdan geldiğini kanıtlar — alıcıların onu isteyip istemediği hakkında hiçbir şey söylemez. Kimlik doğrulaması kusursuz bir alan adı; içerik, liste kalitesi veya gönderim itibarı yüzünden yine de spam'e düşebilir. Kimlik doğrulamayı giriş bileti olarak görün: onsuz, büyük posta sağlayıcıları toplu postayı giderek daha sık doğrudan reddediyor; onunla, teslim edilebilirlik üzerinde gerçekten çalışabileceğiniz bir itibar sorununa dönüşüyor.

İlgili