Email Deliverability Checklist: MX, SPF, DKIM, and DMARC

E-posta Teslim Edilebilirliği Neden Önemlidir?

E-posta teslim edilebilirliği, alan adınızdan gönderilen mesajların spam klasörlerine değil alıcıların gelen kutularına ne kadar güvenilir biçimde ulaştığını ölçer; ya da hiç ulaşıp ulaşmadığını. Bu yalnızca teknik bir konu değildir. Her işlemsel bildirim, satış teklifi, fatura ve destek yanıtı buna bağlıdır. Teslim edilebilirlik bozulduğunda iş operasyonları yavaşlar, gelir kaybı yaşanır ve müşteri ilişkileri zedelenir.

İyi haber şu: teslim edilebilirlik sorunlarının büyük çoğunluğu, DNS tabanlı dört sistemin doğru yapılandırılmasıyla önlenebilir: MX kayıtları, SPF, DKIM ve DMARC. Bu kontrol listesi her birini adım adım ele alarak kurulumunuzun sağlam olup olmadığını doğrulamanıza, eksiklikleri belirlemenize ve tam olarak neyi düzeltmeniz gerektiğini bilmenize yardımcı olur.

Adım 1 - MX Kayıtları

MX kayıtları, internete alan adınız için gelen e-postaları hangi sunucuların kabul ettiğini bildirir. Bu kayıtlar olmadan kimse alan adınıza posta gönderemez. Bir alan adından yalnızca gönderim yapıp hiç almıyor olsanız bile MX kayıtlarını yapılandırmalısınız; ya da posta kabul etmediğini bildirmek ve geri dönüş karışıklığını önlemek için açık bir boş MX kaydı (0 .) eklemelisiniz.

Her alan adınız için şunları kontrol edin:

• En az bir MX kaydı mevcut olmalı ve geçerli, çözümlenebilir bir ana bilgisayar adına işaret etmelidir.
• MX kaydı hedefi bir A kaydı olmalıdır, CNAME olmamalıdır (MX hedefi olarak CNAME, RFC 2181'i ihlal eder ve öngörülemeyen hatalara yol açar).
• Birden fazla MX kaydı varsa, yük devretme sırasını kontrol etmek için farklı öncelik değerleri atanmış olmalıdır.
• MX kaydı TTL değeri makul bir değere ayarlanmış olmalıdır. 3600 saniye (1 saat) yaygın bir varsayılan değerdir; değişiklikler sırasında zamanında yayılmaya olanak tanırken aşırı DNS trafiğini önler.

MX kayıtlarınızı canlı bir DNS sorgusuyla doğrulamak ve yukarıdaki sorunları otomatik olarak işaretlemek için DMARCFlow MX Denetleyicisini kullanın.

Adım 2 - SPF Kaydı

SPF (Sender Policy Framework), alan adınız adına e-posta gönderme yetkisine sahip tüm IP adreslerini ve hizmetleri listeleyen bir DNS TXT kaydıdır. Alıcı bir sunucu, alan adınızdan geldiğini iddia eden bir mesaj aldığında, gönderen IP'nin onaylı listede olup olmadığını doğrulamak için SPF kaydınızı kontrol eder. Listede değilse mesaj SPF'yi geçemez.

SPF kontrol listesi:

• Alan adı kökünde tam olarak bir SPF kaydı TXT kaydı olarak bulunmalıdır (iki veya daha fazla SPF kaydı kalıcı hataya — permerror — yol açar).
• Bu alan adı için tüm e-posta gönderim hizmetleri eklenmiş olmalıdır: posta sunucunuz, pazarlama platformunuz, CRM'iniz, işlemsel e-posta sağlayıcınız ve Kimden adresinizle posta gönderen diğer hizmetler.
• Kayıt, 10 DNS sorgu sınırı içinde kalmalıdır. Her include:, a, mx ve ptr mekanizması bu sınıra sayılır. 10 sorguyu aşmak, tüm alıcılar için SPF'yi başarısız kılan bir permerror'a neden olur.
• Kayıt ~all (softfail — listede olmayan gönderenleri şüpheli say ama teslim et) veya -all (fail — listede olmayan gönderenleri reddet) ile bitmelidir. Kaydınızın eksiksiz olduğundan emin olduğunuzda -all kullanın; sahteciliğe karşı daha güçlü koruma sağlar.

Yalnızca Google Workspace üzerinden gönderim yapan bir alan adı için asgari bir örnek:

v=spf1 include:_spf.google.com -all

Adım 3 - DKIM İmzalama

DKIM (DomainKeys Identified Mail), her giden mesaja kriptografik bir imza ekler. Alıcı sunucu, genel anahtarınızı DNS'ten alır ve imzayı doğrulamak için kullanır. Geçerli bir imza, mesajın yetkili bir tarafça gönderildiğini ve içeriğin iletim sırasında değiştirilmediğini kanıtlar.

DKIM kontrol listesi:

• Posta platformunuzda DKIM imzalama etkinleştirilmiş olmalıdır (Google Workspace, Microsoft 365, işlemsel e-posta hizmetiniz vb.). Çoğu sağlayıcı yönetici konsolunda tek tıkla etkinleştirme seçeneği sunar.
• 2048 bit anahtar kullanıyor olmalısınız. 1024 bit anahtarlar zayıf kabul edilir ve bazı büyük alıcı sistemler artık bu anahtarlarla yapılan imzalara güvenmemektedir.
• DKIM seçiciniz için DNS TXT kaydı mevcut olmalı ve doğru genel anahtarı içermelidir. Seçici, giden postanızdaki DKIM-Signature başlığının s= etiketinde belirtilir ve kayıt [seçici]._domainkey.alanadiniz.com adresinde bulunur.
• DKIM'i destekleyen her gönderim hizmeti için ayrı bir DKIM anahtarı ve seçicisi yapılandırılmış ve doğrulanmış olmalıdır. Tek bir DKIM anahtarını birden fazla ilgisiz gönderim sistemiyle paylaşmayın.

Adım 4 - DMARC Politikası

DMARC (Domain-based Message Authentication, Reporting & Conformance), SPF ve DKIM'i bir araya getirir ve alıcı sunuculara bir mesaj kimlik doğrulamada başarısız olduğunda ne yapmaları gerektiğini söyler. Aynı zamanda alan adınız adına kimin posta gönderdiğini görebilmeniz için raporlar üretir.

DMARC kontrol listesi:

• _dmarc.alanadiniz.com adresinde bir TXT kaydı olarak DMARC kaydı bulunmalıdır.
• rua= etiketi, toplu XML raporları alacak bir e-posta adresine (veya DMARCFlow gibi bir hizmete) işaret etmelidir. Bu raporlar, gönderim ortamınızı anlamak ve politika aşamalarını güvenle geçmek için gereklidir.
• Politika aşamalarını sırasıyla ilerlemiş olmalısınız: p=none ile başlayın (yalnızca izleme, uygulama yok), p=quarantine'a geçin (başarısız mesajları spam'e gönderin) ve raporlar tüm meşru postalarınızın kimlik doğrulamayı geçtiğini onayladıktan sonra p=reject'e ilerleyin (başarısız mesajları tamamen engelleyin).
• p=reject politikası, e-posta sahteciliğine karşı en güçlü korumayı sağlar ve bazı gelen kutusu sağlayıcılarının BIMI logosu göstermesi için gereklidir.

İzlemeye başlamak için temel bir DMARC kaydı:

v=DMARC1; p=none; rua=mailto:dmarc-reports@alanadiniz.com

Adım 5 - Kara Liste Kontrolü

Mükemmel yapılandırılmış bir alan adı bile ele geçirilmiş bir hesap, veri ihlali veya paylaşımlı IP'deki kötü davranan bir komşu nedeniyle kara listeye girebilir. Önemli bir DNSBL'de listelenmiş olmak, postanızı doğrudan spam klasörlerine yönlendirebilir ya da doğrudan reddedilmesine yol açarak tüm kimlik doğrulama çalışmalarınızı sessizce baltalayabilir.

Gönderim alan adınızı ve giden IP adreslerinizi, DMARCFlow Kara Liste Denetleyicisini kullanarak başlıca kara listelere karşı düzenli olarak kontrol edin. Bir kayıt bulursanız kök nedeni araştırın, sorunu çözün ve ardından kayıt gösteren her listeden kaldırma talebinde bulunun.

Tüm Kontrolleri Tek Seferde Çalıştırın

MX, SPF, DKIM, DMARC ve kara liste kontrollerini ayrı ayrı araçlarla yapmak zaman alıcıdır. DMARCFlow E-posta Teslim Edilebilirlik Denetleyicisi, tüm bu kontrolleri tek bir sorgu altında toplar. Alan adınızı ve gönderim IP'nizi girin; teslim edilebilirlik altyapınızın her katmanını kapsayan, bulunan sorunlar için somut ve uygulanabilir yönlendirmeler içeren kapsamlı bir geçti/kaldı raporu alın.

Bu özellik özellikle yeni bir alan adı eklerken, yeni bir posta sağlayıcısına geçiş yaparken veya yapılandırma kaymasını kullanıcıları etkilemeden önce yakalamak için periyodik sağlık kontrolü yaparken çok işe yarar.

Teslim Edilebilirliği Uzun Vadede Sürdürmek

Sağlıklı bir teslim edilebilirlik yapılandırması tek seferlik bir iş değildir; altyapınız ve gönderim örüntüleriniz geliştikçe sürekli dikkat gerektirir:

• DKIM anahtarlarını yıllık olarak döndürün. Yeni bir 2048 bit anahtar çifti oluşturun, yeni genel anahtarı yeni bir seçici altında DNS'e yayınlayın, posta platformunuzu yeni anahtarla imzalamaya geçirin, ardından eski anahtarla imzalanmış iletim halindeki mesajların teslim edilmesine izin vermek için birkaç gün sonra eski seçiciyi DNS'ten kaldırın.
• Yeni gönderim hizmetleri eklerken SPF'yi güncelleyin. Yeni bir pazarlama aracı, CRM veya otomasyon platformu bağladığınız her seferinde, alan adınızı Kimden başlığında kullanarak e-posta gönderip göndermediğini kontrol edin. Gönderiyorsa, etkinleştirmeden önce SPF include mekanizmasını kaydınıza ekleyin. Tek bir hizmeti gözden kaçırmak, o mesajlar için SPF hatalarına neden olur.
• DMARC raporlarını izleyin. Toplu raporlar, yeni gönderim kaynaklarını, hizalamayı bozan iletme yapılandırmalarını ve sahtekârlık girişimlerini ortaya koyar. DMARCFlow, bu XML raporlarını otomatik olarak ayrıştırır ve görselleştirir; böylece ham XML dosyalarını yorumlamaya çalışmak yerine bunları haftalık bazda gözden geçirmek pratik hale gelir.
• Her olayın ardından kara liste durumunu kontrol edin. Bir güvenlik olayı, geri dönüş oranlarında ani bir artış veya spam şikâyetleri bildirimi yaşarsanız, sonuç olarak herhangi bir listeye girip girmediğinizi belirlemek için hemen bir kara liste kontrolü yapın.