Uyumluluk · Kas 2025

Hükümet DMARC zorunlulukları 2025'te tedarikçileri etkiliyor

Almanya'nın BMI ve BSI'ı federal kurumları katı DMARC politikalarını uygulamaya zorluyor; bu kurumlara ürün ya da hizmet sağlayan ya da onlarla bağlantılı olan özel tedarikçiler ise bir sonraki etkilenecek kesimi oluşturuyor. Bu rehber zaman çizelgesini, denetçilerin görmek istediklerini ve kamu ihaleleri teklifleri reddetmeye başlamadan önce kuruluşunuzu nasıl hazırlayacağınızı açıklamaktadır.

Hükümetler neden şimdi DMARC'ı zorunlu kılıyor

Devlet kurumlarını hedef alan e-posta kimlik sahtekârlığı keskin biçimde artmıştır. 2024 yılında Alman Federal Bilgi Güvenliği Ofisi (BSI), kamu otoritelerini taklit eden phishing kampanyalarında yıllık bazda %34 artış kaydetmiştir. Dolandırıcılar vergi iadelerini yönlendirmek, vatandaş verilerini ele geçirmek veya müteahhitleri sahte faturaları ödemeye kandırmak amacıyla bakanlık adreslerini kopyalamaktadır. p=reject ile DMARC, bu sahte gönderici saldırılarını alıcı posta sunucusunda kategorik olarak engelleyen tek teknik kontroldür.

Ekim 2024'te yürürlüğe giren AB NIS2 Direktifi, temel ve önemli kuruluşlar genelinde e-posta güvenliği için "uygun teknik tedbirler" alınmasını zorunlu kılarak bu durumu pekiştirmektedir. SPF ve DKIM ile birlikte DMARC, denetçilerin öncelikli olarak kontrol ettiği temel ölçüttür. p=reject veya en azından p=quarantine uygulayamayan kuruluşlar, denetim aksiyonlarını ya da sözleşme dışlamalarını tetikleyebilecek uyumluluk açıklarıyla karşı karşıya kalmaktadır.

Temel son tarihler ve kapsam

Alman federal zorunluluğu aşamalı bir takvim izlemektedir:

  • Haziran 2025: Tüm *.bund.de ve birincil federal bakanlık alan adları DMARC p=reject yayınlamak zorundadır. BSI rölesine toplu raporlama (rua) zorunludur.
  • Eylül 2025: Federal BT hizmet sağlayıcıları (ITZBund müşterileri), resmi yazışmalarda kullanılan alan adları için DMARC kapsamını kanıtlamalıdır.
  • Aralık 2025: Belediyeler ve eyalet yönetimleri, onaylı bir DMARC proje planını dosyaya kaydetmiş olmak zorundadır; bu tarih itibarıyla en az p=quarantine uygulanmalıdır.
  • Ç1 2026: 25.000 €'nun üzerindeki kamu ihalelerine teklif veren özel tedarikçiler, teklifleriyle birlikte tamamlanmış bir DMARC uyumluluk kontrol listesi sunmak zorundadır.

Benzer takvimler AB genelinde paralel olarak işlemektedir: Fransa'nın ANSSI 2024'ün dördüncü çeyreğinde merkezi hükümet için DMARC'ı zorunlu kıldı; Hollanda'nın NCSC tüm rijksoverheid.nl alan adları için p=reject talep ediyor; İngiltere'nin NCSC ise p=reject'i tüm kamu sektörü kuruluşları için varsayılan öneri hâline getiren güncellenmiş bir rehber yayınladı.

Özel sektör tedarikçileri için neler değişiyor

NIS2 kapsamında doğrudan yükümlülüğü bulunmayan şirketler bile kapsam dahilindeki kuruluşlara ürün veya hizmet sağladıklarında etkilenmektedir. İhale yetkilileri giderek artan biçimde ihalelerin teknik gereksinimler bölümüne DMARC uyumluluğunu eklemektedir. Eksik ya da p=none politikası artık süresi dolmuş bir SSL sertifikasıyla aynı değerde görülmektedir; bu, teklifin liyakate bakılmaksızın reddedilmesine yol açabilecek bir tehlike işaretidir.

İhalelerin ötesinde, siber sigorta aracıları prim oranlarını DMARC uygulama durumuna bağlamaya başlamıştır. p=none ile çalışan bir kuruluş, daha önce herhangi bir olayla karşılaşıp karşılaşmadığına bakılmaksızın daha yüksek bir risk puanı almaktadır. Mantık basittir: p=none, alan adı sahibinin görünürlüğe sahip olduğunu ancak harekete geçmemeyi tercih ettiğini gösterir; bu bilinçli eylemsizlik, bir bilgi eksikliği değil, bir yönetim başarısızlığı olarak değerlendirilmektedir.

İhtiyaç duyacağınız denetim kanıtları

Denetçiler ve ihale ekipleri dört kategoride kanıt talep etmektedir. Bunları ihale veya denetim tarihinden önce hazırlamak haftalarca sürebilecek son dakika çalışmalarını önler:

  • Politika durumuyla birlikte alan adı envanteri: Her alan adını ve alt alan adını, mevcut DMARC politikasını (none / quarantine / reject) ve kuruluş içindeki sorumlu sahibini listeleyen bir elektronik tablo veya araç dışa aktarımı. DMARCFlow bunu izleme verilerinizden otomatik olarak oluşturur.
  • Gönderim platformuna göre hizalama ölçütleri: Her kaynaktan (CRM, ERP, işlemsel sistemler, pazarlama platformları) gelen postanın ne kadarının SPF ve DKIM hizalamasını geçtiğini gösteren toplu veriler. p=reject'e geçmeden önce %95'in altındaki her değerin araştırılması gerekmektedir.
  • Olay müdahale kılavuzları: DMARC raporlarında bir kimlik sahtekârlığı girişimi tespit edildiğinde ne olacağını belgeleyen bir prosedür: kimin bilgilendirileceği, hangi süre içinde ve hangi düzeltici adımların atılacağı. Bu, raporlamanın yalnızca toplanmadığını aynı zamanda üzerine harekete geçildiğini kanıtlar.
  • DNS kayıtları için değişiklik günlüğü: DMARC, SPF ve DKIM kayıt değişikliklerini zaman damgaları ve onaylayan adlarıyla birlikte gösteren bir denetim izi. Git tabanlı DNS yönetimi veya bir biletleme sistemi dışa aktarımı her ikisi de kabul edilebilir.

Bugün başlayan kuruluşlar için önerilen uygulama planı

Kuruluşunuz şu anda p=none'da ya da hiçbir DMARC kaydı yoksa, 2025 son tarihlerinin çoğundan önce ulaşılabilecek, p=quarantine'e giden gerçekçi altı haftalık bir yol şöyledir:

  1. Hafta 1 - Envanter: Tüm alan adlarını listeleyin. DMARCFlow DMARC Checker gibi bir araçla her birinde mevcut DMARC, SPF ve DKIM kayıtlarını kontrol edin. DMARC zaten mevcutsa rua toplu raporlarını okuyarak ya da BT ve pazarlama ekiplerini tarayarak gönderim platformlarını belirleyin.
  2. Hafta 2–3 - SPF ve DKIM'i düzeltin: SPF sorgu sayısı ihlallerini çözün (maksimum 10 DNS sorgusu), eksik olan her platforma DKIM imzası ekleyin ve imzalama alan adının header-from alan adıyla hizalı olduğunu doğrulayın. Hizalama eksikliği, kimlik doğrulama hatalarının en yaygın tek nedenidir.
  3. Hafta 4 - rua raporlamalı p=none dağıtımı: Henüz yapılmadıysa şunu yayınlayın: v=DMARC1; p=none; rua=mailto:dmarc-reports@yourdomain.com; ruf=mailto:dmarc-forensics@yourdomain.com; fo=1. Sonuç çıkarmadan önce raporların en az 7–10 gün birikmesine izin verin.
  4. Hafta 5 - Analiz ve düzeltme: Toplu raporları gözden geçirin. Kimlik doğrulamada başarısız olan meşru kaynaklar, politika ilerletilmeden önce düzeltilmelidir. Yaygın sorunlar: ESP henüz DKIM için yapılandırılmamış, eski bir SPF include kullanan ikincil bir posta rölesi veya SPF hizalamasını bozan yönlendirme kurulumları.
  5. Hafta 6 - p=quarantine'e geçiş: Meşru postaların %97'si ve üzeri başarıyla geçtiğinde başlangıçta pct=10 ile p=quarantine olarak ayarlayın, ardından iki hafta içinde pct=100'e yükseltin. Denetim dosyanız için her adımı ekran görüntüleri ve zaman damgalarıyla belgeleyin.

DMARCFlow uyumluluk projelerini nasıl destekler

DMARCFlow, tüm büyük posta kutusu sağlayıcılarından gelen raporları bir araya getirir, bunları kaynak başına hizalama kontrol panellerine ayrıştırır ve uyumluluk için hazır PDF dışa aktarımları oluşturur. Platform ayrıca yetkilendirme olmaksızın ortaya çıkan yeni gönderim kaynaklarını da izler; bu, pazarlama ve geliştirme ekiplerinin BT güvenliğini bilgilendirmeden düzenli olarak yeni posta gönderme araçları devreye aldığı ortamlarda kritik bir özelliktir. Uyarılar webhook aracılığıyla Slack, Teams veya SIEM sisteminize yönlendirilebilir.

Yaklaşan bir ihale son tarihiyle karşı karşıya olan kuruluşlar için DMARCFlow'un ekleme ekibi hızlandırılmış bir değerlendirme sürecini yürütebilir, en yüksek riskli açıkları belirleyebilir ve beş iş günü içinde bir uyumluluk notu üretebilir. Bu not, tam p=reject dağıtımı tamamlanırken çeşitli Alman federal ihale ofisleri tarafından geçici kanıt olarak kabul edilmektedir.

Başlamaya hazır mısınız? Mevcut politika durumunuzu 30 saniyeden kısa sürede görmek için DMARCFlow DMARC Checker'ı kullanın ya da kuruluşunuzu mevcut zorunluluk takvimiyle eşleştirmek için ekibimizle bir uyumluluk incelemesi rezervasyonu yapın.