Google Workspace Kullanıcıları Neden DMARC'a İhtiyaç Duyar

Google Workspace (eski adıyla G Suite), işletme e-postanızı özel alan adınız altında Google'ın sunucuları üzerinden yönlendirir. Google teslimatı güvenilir biçimde yönetse de platform, başkalarının alan adınızı taklit etmesini (yani sizin yetkilendirmeniz olmadan herhangi.biri@alanadin.com adresinden gönderiliyor gibi görünen e-posta göndermesini) otomatik olarak engellemez.

DMARC bu açığı kapatır. SPF ve DKIM üzerine inşa edilerek alıcı posta sunucularına net bir politika verir: alan adınızdan geldiğini iddia eden bir e-posta kimlik doğrulama kontrollerini geçemezse, onu şüpheli olarak değerlendirin ve karantinaya alın ya da reddedın. DMARC olmadan markanızı taklit eden kimlik avı saldırıları, müşterilerinize, iş ortaklarınıza veya çalışanlarınıza teknik bir engel olmaksızın ulaşabilir.

Google'ın kendi gönderici gereksinimleri nedeniyle aciliyet artmıştır. Google artık Gmail hesaplarına günde 5.000 veya daha fazla ileti gönderen göndericilerin geçerli bir DMARC kaydına sahip olmasını zorunlu kılmaktadır. Buna uymayan kuruluşların e-postaları Gmail tarafından reddedilebilir veya spam olarak işaretlenebilir; 1,8 milyardan fazla aktif kullanıcısıyla bu, herhangi bir işletme için önemli bir teslim edilebilirlik riski oluşturur.

Koruma ötesinde cazip bir avantaj da mevcuttur. Gmail gelen kutularında e-postalarınızın yanında marka logonuzu görüntüleyen standart olan BIMI, p=quarantine veya p=reject DMARC politikası gerektirir. DMARC'ı doğru biçimde yapılandırmak yalnızca bir güvenlik önlemi değil; bugün mevcut olan en görünür e-posta marka avantajlarından birinin ön koşuludur.

Önemli not: Günde 5.000'den az e-posta gönderiyor olsanız bile DMARC, alan adınızın müşterilerinize yönelik kimlik avı saldırılarında kullanılmasını engeller. Yapılandırma adımları, gönderim hacminden bağımsız olarak aynıdır.

1. Adım: Google Workspace için SPF Kaydınızı Doğrulayın

SPF (Sender Policy Framework), alan adınız adına e-posta göndermeye yetkili posta sunucularını belirtir. Google Workspace için doğru SPF kaydı şudur:

v=spf1 include:_spf.google.com ~all

Bu tek include mekanizması, Google'ın tüm giden posta sunucusu IP aralıklarını kapsar. ~all niteleyicisi yumuşak bir başarısızlıktır; yetkisiz kaynaklardan gelen iletiler doğrudan reddedilmek yerine şüpheli olarak işaretlenir. Pek çok kuruluş ~all ile başlar ve tüm meşru kaynakların kapsandığından emin olduğunda -all (sert başarısızlık) ile sıkılaştırır.

Google Workspace'i Diğer Gönderim Hizmetleriyle Birleştirme

Alan adınız diğer hizmetler (bir pazarlama platformu, işlemsel e-posta sağlayıcısı veya yardım masası aracı) üzerinden de gönderim yapıyorsa, bu hizmetlerin aynı SPF kaydına dahil edilmesi gerekir. Örneğin Google Workspace'in yanı sıra SendGrid üzerinden de gönderim yapıyorsanız:

v=spf1 include:_spf.google.com include:sendgrid.net ~all

Unutmayın: her include:, 10 DNS arama sınırına doğru sayılır. SPF kaydınızı yalın tutun ve aynı alan adı için birden fazla SPF TXT kaydı yayımlamayın; yinelenen kayıtlar anında SPF başarısızlıklarına neden olur.

SPF kaydınızı yayımladıktan veya güncelledikten sonra, kaydın doğru çözümlendiğini ve Google'ın giden posta için kullandığı tüm IP aralıklarını kapsadığını doğrulamak için ücretsiz SPF Checker'ı kullanın.

2. Adım: Google Workspace Admin'de DKIM'i Etkinleştirin

DKIM (DomainKeys Identified Mail), her giden iletiye şifreli bir imza ekler. İmza, Google'ın sunucularında tutulan özel bir anahtar kullanılarak oluşturulur ve alıcı sunucular tarafından DNS'inize yayımladığınız karşılık gelen ortak anahtar kullanılarak doğrulanır. Bu, iletinin yetkili bir kaynak tarafından gönderildiğini ve aktarım sırasında değiştirilmediğini kanıtlar.

Google Workspace, özel alan adları için DKIM imzalamayı otomatik olarak etkinleştirmez. Anahtarı oluşturmanız ve Admin Konsolu'ndan imzalamayı etkinleştirmeniz gerekir.

Google Workspace'te DKIM Nasıl Etkinleştirilir

  1. admin.google.com adresindeki Google Admin Konsolu'nda oturum açın.
  2. Uygulamalar → Google Workspace → Gmail → E-postayı doğrula bölümüne gidin.
  3. DKIM'i yapılandırmak istediğiniz alan adını seçin (birden fazla alan adınız varsa bu adımları her biri için tekrarlayın).
  4. Yeni kayıt oluştur'a tıklayın. Google, 2048 bit RSA anahtar çifti oluşturacak ve yayımlamanız gereken DNS TXT kaydını gösterecektir.
  5. DNS kaydı şu şekilde görünecektir: 
    google._domainkey.alanadin.com  IN  TXT  "v=DKIM1; k=rsa; p=MIIBIjANBgkq..."
    Ana bilgisayar adı google._domainkey'dir (veya DNS sağlayıcınıza bağlı olarak tam ad google._domainkey.alanadin.com).
  6. Admin Konsolu'ndaki TXT kayıt değerini kopyalayın ve DNS sağlayıcınızda yayımlayın.
  7. DNS yayılımını bekleyin; bu 48 saate kadar sürebilir, ancak çoğu DNS sağlayıcısı bir-iki saat içinde yayar.
  8. Uygulamalar → Google Workspace → Gmail → E-postayı doğrula bölümüne geri dönün ve DKIM imzalamayı etkinleştirmek için Kimlik doğrulamayı başlat'a tıklayın.
DNS yayılmadan önce etkinleştirmeyin: DNS kaydı yayılmadan Kimlik doğrulamayı başlat'a tıklarsanız Google'ın doğrulaması başarısız olur. Etkinleştirmeden önce kaydın bir DNS arama aracında görünür olmasını bekleyin.

google._domainkey seçicisinin doğru çözümlendiğini ve alan adınız için geçerli bir ortak anahtar döndürdüğünü doğrulamak için DKIM etkinleştikten sonra DKIM Checker'ı kullanın.

3. Adım: DMARC Kaydınızı Oluşturun ve Yayımlayın

SPF ve DKIM yapılandırıldıktan sonra DMARC katmanını eklemeye hazırsınız. DMARC, kimlik doğrulama başarısızlıklarını işlemek için politikayı tanımlayan ve alan adınızın e-posta trafiğine ilişkin toplu raporların nereye gönderileceğini belirten bir DNS TXT kaydıdır.

Yalnızca izleme politikasıyla başlayın. Bu, herhangi bir kısıtlama uygulamadan önce meşru gönderim kaynaklarınızın tamamını belirlemek için size zaman tanıyarak posta teslimatını etkilemeden raporlar oluşturur:

v=DMARC1; p=none; rua=mailto:dmarc@alanadin.com

Bunu DNS'inizde aşağıdaki ayarlarla bir TXT kaydı olarak yayımlayın:

  • Ad / Konak: _dmarc (bazı DNS sağlayıcıları tam adı gerektirir: _dmarc.alanadin.com)
  • Tür: TXT
  • Değer: yukarıdaki DMARC kayıt dizesi
  • TTL: 3600 (1 saat) yaygın bir başlangıç değeridir

rua etiketi, toplu raporların gönderileceği adresi belirtir. dmarc@alanadin.com'u bu raporları almak istediğiniz adresle değiştirin; tercihen XML'yi otomatik olarak ayrıştırabilen bir DMARC raporlama aracına bağlı bir gelen kutusuyla.

Kaydınızı doğru söz dizimiyle oluşturmak için ücretsiz DMARC Oluşturucu'yu kullanın. Yayımlandıktan sonra, DMARC Checker ile doğru çözümlendiğini doğrulayın.

4. Adım: DMARC Toplu Raporlarınızı Okuyun

DMARC kaydınız bir rua adresiyle yayına girince alıcı posta sunucuları o adrese toplu raporlar göndermeye başlar. Google'ın kendisi de Gmail'de alınan postalar için genellikle 24 saat içinde DMARC raporları gönderir. Bu raporlar, uygulamaya açılan güvenli yolun temelidir.

Toplu Raporların İçeriği

Her toplu rapor, 24 saatlik bir dönemi kapsayan XML dosyasıdır. Alan adınızdan geldiğini iddia eden e-posta gönderen her IP adresi için rapor şunları gösterir:

  • Kaynak IP adresi ve ters DNS araması
  • Bu kaynaktan gönderilen ileti sayısı
  • SPF'nin geçip geçmediği ve hangi alan adının değerlendirildiği
  • DKIM'in geçip geçmediği ve hangi seçicinin kullanıldığı
  • Uygulanan genel DMARC kararı (none, quarantine veya reject)

Google Workspace Raporlarında Yaygın Kaynaklar

Bir Google Workspace alan adı için DMARC raporları almaya başladığınızda genellikle şu kaynaklardan gelen trafiği görürsünüz:

  • Google'ın kendi posta sunucuları: her ikisi de doğru yapılandırıldığında SPF ve DKIM'i geçmeli.
  • Üçüncü taraf pazarlama platformları: alan adı adınızı kullanarak e-posta gönderen Mailchimp, HubSpot, Klaviyo veya ActiveCampaign gibi araçlar. Her birinin kendi SPF include'una ve tercihen kendi DKIM anahtarına ihtiyacı vardır.
  • Yönlendirme hizmetleri: üçüncü taraf hizmetler üzerinden yönlendirilen e-postalar çoğunlukla SPF hizalamasını bozar (çünkü yönlendirme sunucusunun IP'si SPF kaydınızda yer almaz) ve ileti değiştirilirse DKIM'i de bozabilir.
  • İşlemsel e-posta sağlayıcıları: otomatik bildirimler veya makbuzlar için kullanılan SendGrid, Postmark veya Amazon SES gibi hizmetler.

İzleme aşamasının amacı, raporlarda gördüğünüz her kaynağı hesaba katmaktır. Kimlik doğrulamayı geçemeyen meşru kaynakların, uygulamaya geçmeden önce düzeltilmesi gerekir.

XML Raporlarını Net Gösterge Panellerine Dönüştürün

DMARC toplu raporları, e-postalara eklenmiş sıkıştırılmış XML dosyaları olarak gelir; insan okuyucuya yönelik tasarlanmamışlardır. DMARCFlow, her raporu otomatik olarak toplar, ayrıştırır ve görselleştirir. Hangi kaynakların geçip geçmediğini bir bakışta görebilir, zaman içindeki eğilimleri takip edebilir ve uygulamaya geçmeden önce tam olarak neyin düzeltilmesi gerektiğini belirleyebilirsiniz.

DMARC raporlarınızı ücretsiz ayrıştırmaya başlayın

Kredi kartı gerekmez. İlk günden itibaren tam raporlama gösterge paneli.

5. Adım: Uygulamaya Ulaşın ve BIMI'yi Açın

İzleme aşaması bir son nokta değil; uygulamaya hazırlık sürecidir. DMARC raporlarınız tutarlı biçimde tüm meşru gönderim kaynaklarının kimlik doğrulamayı geçtiğini gösterince politikanızı p=quarantine'a ve nihayetinde p=reject'e taşımaya hazırsınız.

p=none'dan p=quarantine'a Geçmek

DMARC kaydınızı şu şekilde güncelleyin:

v=DMARC1; p=quarantine; rua=mailto:dmarc@alanadin.com

p=quarantine ile DMARC'ı geçemeyen iletiler, gelen kutusu yerine spam veya gereksiz posta klasörüne iletilir. Bu anlamlı bir koruma adımıdır; sahte e-postalar artık alıcılarınızın birincil gelen kutusuna ulaşamaz. Öte yandan bir güvenlik ağı sağlar: izleme sırasında meşru bir gönderici kaçırıldıysa, postası tamamen reddedilmek yerine filtrelenir.

Raporları izlemeye devam ederken p=quarantine'da birkaç hafta kalın. Başarısızlık olarak görünmeye başlayan meşru kaynakları takip edin; bunlar tam redde geçmeden önce düzeltme fırsatınızdır.

p=quarantine'dan p=reject'e Geçmek

Raporlar istikrarlı ve yüksek bir geçiş oranı gösterdiğinde ve tüm meşru gönderim kaynaklarının kimliklerinin doğrulandığını teyit ettiğinizde:

v=DMARC1; p=reject; rua=mailto:dmarc@alanadin.com

p=reject ile DMARC'ı geçemeyen postalar, teslim edilmeden önce alıcı sunucu tarafından reddedilir. Bu, mevcut en güçlü korumadır; alan adınızdan geldiğini iddia eden sahte iletiler hedef alıcılara hiçbir zaman ulaşmaz.

BIMI açıldı: p=quarantine veya p=reject'e ulaştığınızda alan adınız BIMI'ye hak kazanır. BIMI, Gmail, Yahoo Mail ve Apple Mail gelen kutularında e-postalarınızın yanında marka logonuzu görüntüler. Yapılandırmaya hazır olduğunuzda kurulumunuzu doğrulamak için BIMI Checker'ı kullanın.

Kademeli Artış için pct Kullanmak

Temkinli ilerlemek istiyorsanız, politikanızı başarısız iletilerin belirli bir yüzdesine uygulamak için pct etiketini kullanın. Örneğin, başlangıçta başarısız iletilerin % 20'sine karantina uygulamak için:

v=DMARC1; p=quarantine; pct=20; rua=mailto:dmarc@alanadin.com

Beklenmedik başarısızlıklar için raporlarınızı izlerken yüzdeyi birkaç hafta içinde aşamalı olarak artırın. Bu aşamalı yaklaşım, özellikle karmaşık gönderim ortamlarına sahip kuruluşlar için kullanışlıdır.

p=reject'te yönlendirilen postaları izleyin: Otomatik e-posta yönlendirme, uygulamada beklenmedik DMARC başarısızlıklarının en yaygın kaynağıdır. Bir ileti yönlendirildiğinde, orijinal gönderenin SPF kaydı genellikle yönlendirme sunucusunun IP'sini kapsamaz. Kişisel hesaplarına posta yönlendiren kullanıcılarınız varsa, p=reject'e geçmeden önce bunu araştırın.

Google Workspace DMARC Kontrol Listesi

Google Workspace DMARC kurulumunuzun her adımının tamamlandığını onaylamak için bu kontrol listesini kullanın:

  1. SPF kaydı yayımlandı: aynı alan adında yinelenen TXT kaydı olmaksızın include:_spf.google.com içeriyor
  2. SPF'ye ek göndericiler dahil edildi: tüm pazarlama platformları, işlemsel hizmetler ve diğer gönderim araçlarının SPF mekanizmaları eklendi
  3. SPF doğrulandı: SPF Checker ile geçtiği onaylandı
  4. Google Admin Console'da DKIM anahtarı oluşturuldu: Uygulamalar → Google Workspace → Gmail → E-postayı doğrula altında 2048 bit anahtar oluşturuldu
  5. DKIM DNS kaydı yayımlandı: google._domainkey.alanadin.com'daki TXT kaydı DNS'te aktif
  6. DKIM imzalama etkinleştirildi: DNS yayılımının ardından Admin Console'da Kimlik doğrulamayı başlat tıklandı
  7. DKIM doğrulandı: DKIM Checker ile onaylandı
  8. DMARC kaydı yayımlandı: _dmarc.alanadin.com'da p=none ve geçerli bir rua adresiyle TXT kaydı
  9. DMARC doğrulandı: DMARC Checker ile onaylandı
  10. Toplu raporlar akıyor: belirtilen adresinize veya DMARC gösterge panelinize raporlar geliyor
  11. Tüm gönderim kaynakları belirlendi ve kimlik doğrulaması yapıldı: DMARC başarısızlığı olarak görünen meşru kaynak bulunmuyor
  12. Politika uygulamaya taşındı: raporlar temiz geçiş oranlarını onayladıktan sonra p=quarantine veya p=reject

Google Workspace, SPF ve DKIM'i etkinleştirmeyi kolaylaştırır; asıl çaba, uygulamaya geçmeden önce her gönderim kaynağını belirleyip düzelttiğiniz DMARC izleme aşamasındadır. O aşamaya yeterli zamanı ayırın, toplu raporları rehberiniz olarak kullanın; böylece alan adınızı koruyan, Google'ın gönderici gereksinimlerini karşılayan ve markanızı Gmail'de BIMI logosu gösterime uygun hale getiren tam uygulamalı bir DMARC duruşuna ulaşacaksınız.