E-posta, phishing ve kimlik sahteciliği saldırıları için birincil bir vektör olmaya devam etmektedir. Google, Yahoo ve Microsoft gibi büyük sağlayıcılar, artık büyük hacimli göndericilerin SPF, DKIM ve DMARC ile alan adlarını doğrulamasını zorunlu kılmaktadır. DMARC'ı doğru şekilde uygulamak e-posta güvenliğini güçlendirir, teslim edilebilirliği artırır ve markanızı kötüye kullanıma karşı korur.
DMARC ve Ön Koşullarını Anlamak
Domain-based Message Authentication, Reporting and Conformance (DMARC), SPF ve DKIM'in üzerine oturan bir politika çerçevesidir. Bir mesaj, SPF veya DKIM'i geçtiğinde ve alan adları From başlığındaki adresle hizalı olduğunda DMARC'ı geçer. Mesaj hem SPF hem de DKIM'de veya bunların hizalama denetimlerinde başarısız olduğunda DMARC başarısız olur. DMARC, SPF ve DKIM'e bağlı olduğundan bir DMARC politikası yayımlamadan önce bu protokolleri yapılandırmanız gerekmektedir.
SPF'yi Doğru Yapılandırın
SPF, alan adınız adına posta göndermesi yetkilendirilmiş posta sunucularını listeler.
Kök alan adı altında (örneğin example.com) v=spf1 ile
başlayan, ip4, ip6 ve include gibi
mekanizmaları izleyen ve -all ya da ~all ile biten bir
TXT kaydı oluşturun. SPF sorgu sınırına dikkat edin: SPF politikanızın
değerlendirilmesi on'dan fazla DNS sorgusu gerektirmemelidir. Bu sınırın aşılması
kalıcı bir hataya yol açabilir ve SPF sonuçlarının başarısız olmasına neden
olabilir. Kullanılmayan hizmetleri kaldırın, ptr ve mx
gibi gereksiz mekanizmalardan kaçının ve sınırın içinde kalmak için dinamik SPF
yönetim araçlarını kullanmayı değerlendirin.
DKIM'i Doğru Yapılandırın
DKIM, bir e-postanın değiştirilmediğini ve alan adınızdan kaynaklandığını kanıtlayan
bir kriptografik imza sağlar. DKIM'i kurmak için bir genel-özel anahtar çifti
oluşturun (daha güçlü güvenlik için 2048 bit anahtarlar önerilir). Genel anahtarı
DNS'te bir seçici altında yayımlayın; örneğin
selector1._domainkey.example.com. Posta sunucularınızı veya e-posta
hizmet sağlayıcılarınızı giden mesajları özel anahtarla imzalayacak şekilde
yapılandırın. Anahtar rotasyonu için birden fazla seçici kullanın, anahtarları
düzenli olarak değiştirin ve imzaları DMARC raporları aracılığıyla izleyin.
Adım 1 — E-posta Altyapınızı Denetleyin
Adınıza e-posta gönderen tüm alan adlarını ve alt alan adlarını envanterleyerek başlayın. Birincil alan adlarını, pazarlama ve işlemsel alt alan adlarını ve pazarlama araçları, müşteri ilişkileri yönetim sistemleri veya faturalandırma uygulamaları gibi üçüncü taraf platformları belgeleyin. Eksiksiz bir envanter olmadan meşru kaynakları gözden kaçırma riskiyle karşılaşırsınız; bu da DMARC uygulandığında yanlış pozitiflere yol açabilir.
Ardından her gönderim hizmeti için SPF ve DKIM yapılandırmasını onaylayın. SPF kaydınızdaki IP adreslerinin ve include yönergelerinin tüm meşru göndericilerle eşleştiğinden emin olun. Her hizmetin giden postayı doğru alan adı ve seçiciyle DKIM kullanarak imzaladığını doğrulayın. Devam etmeden önce yanlış yapılandırmaları düzeltin.
Adım 2 — DMARC Raporları için Posta Kutuları Hazırlayın
DMARC iki tür rapor üretir: toplu raporlar (RUA) ve adli raporlar (RUF). Toplu raporlar günlük olarak ulaşır ve kimlik doğrulama sonuçlarını özetler; adli raporlar ise hatalardan hemen sonra gelir ve başarısız mesajların kopyalarını içerir. Bu raporları almak için özel posta kutuları veya gruplar oluşturun. Büyük kuruluşlar günde binlerce rapor alabilir; bu nedenle bunları kişisel posta kutularına yönlendirmeyin. Bu XML raporlarını toplamak ve ayrıştırmak için bir raporlama hizmeti veya otomasyon aracı kullanın.
Adım 3 — DMARC Kaydınızı Oluşturun
DMARC kaydı, _dmarc.example.com adresinde yayımlanan bir DNS TXT
kaydıdır. En az sürüm ve politika etiketlerini içermelidir. Posta akışını
etkilemeden veri toplamak için izleme modunda başlayın. Temel bir izleme kaydı
şu şekilde görünür:
v=DMARC1; p=none; rua=mailto:dmarc-reports@example.com; pct=100; adkim=r; aspf=r
Temel etiketler şunlardır:
- p — Başarısız mesajları işleme politikası (izleme için
none, şüpheli mesajları spam klasörlerine göndermek içinquarantineveya engellemek içinreject). - rua — Toplu raporları alacak e-posta adresi veya adresleri
(virgülle ayrılmış). Adreslerin önüne her zaman
mailto:ekleyin. - ruf — Adli raporlar için isteğe bağlı adres. Bazı sağlayıcıların adli raporlamayı desteklemediğini unutmayın.
- pct — Politikaya tabi başarısız mesajların yüzdesi. DMARC'ı kademeli olarak uygularken 100'ün altındaki değerleri kullanın.
- sp — İsteğe bağlı alt alan adı politikası. Belirtilmezse alt alan adları ana politikayı devralır.
- adkim ve aspf — Hizalama modları. Esnek
hizalama (
r) alt alan adlarını kabul eder; katı hizalama (s) tam alan adı eşleşmesi gerektirir.
Politikanızı dikkatli seçin. İzleme (p=none), teslimatı etkilemeden hangi
kaynakların geçip geçmediğini görmenizi sağlar. Quarantine başarısız mesajları
spam olarak işaretlerken reject bunları tamamen engeller. DMARC kaydı, adli rapor
seçenekleri için fo, rapor biçimi ve aralığı için rf
ve ri gibi diğer etiketleri de içerebilir; ancak bunlar
isteğe bağlıdır.
Adım 4 — Kaydı DNS'te Yayımlayın
Kaydınız hazır olduğunda DNS sağlayıcınıza veya alan adı kayıt şirketinize giriş
yapın. _dmarc adıyla yeni bir TXT kaydı oluşturun ve DMARC kaydını
değeri olarak yapıştırın. Bazı sağlayıcılar alan adınızı otomatik olarak ekler;
bu nedenle son ana bilgisayar adını doğrulayın. Hızlı güncellemelere izin vermek
için test sırasında düşük bir yaşam süresi (TTL) ayarlayın. Yayımladıktan sonra,
kaydın doğru şekilde yayıldığını onaylamak için DNS sorgulama araçlarını
kullanın.
Adım 5 — Raporları İzleyin ve Analiz Edin
Sağlayıcıların rapor göndermeye başlaması için birkaç gün bekleyin. Toplu raporlar; gönderen IP adreslerini, SPF ve DKIM için pass veya fail sonuçlarını ve politikanıza göre alınan eylemi içerir. Bilinmeyen göndericileri, kimlik doğrulama hatalarını ve hizalanmamış alan adlarını belirlemek için bu raporları analiz edin. Yüksek hacimli kaynakları önceliklendirin ve SPF include'larını güncelleyerek, DKIM imzaları ekleyerek ya da hizalamayı ayarlayarak sorunları giderin. Etkinleştirilmişse adli raporlar, bireysel hatalar hakkında ayrıntılı bilgi sunar; hassas verileri ifşa etmemek için bunları dikkatli işleyin.
Adım 6 — Kimlik Doğrulama Sorunlarını Düzeltin
SPF ve DKIM'i güncellemek için analizinizi kullanın. Eksik IP adreslerini ekleyin
veya üçüncü taraf hizmetler için include ifadelerini güncelleyin. Kullanılmayan
hizmetleri kaldırın ve kaydın on sorgu sınırının içinde kalmasını sağlayın.
Mümkün olduğunda iç içe include'lar yerine ip4 veya ip6
mekanizmalarını kullanın. DKIM için, imzalamayı desteklemeyen hizmetlerde bunu
etkinleştirin; seçicilerin doğru olduğundan emin olun ve anahtarları düzenli
olarak döndürün. E-posta yönlendiriyorsanız, yönlendirme süresince kimlik
doğrulamayı korumak için Sender Rewriting Scheme (SRS) uygulayın ya da
Authenticated Received Chain (ARC) protokolünü kullanın.
Adım 7 — DMARC Politikanızı Kademeli Olarak Uygulayın
Başlıca sorunları çözdükten ve kimlik doğrulama pass oranları tutarlı biçimde
yükseldikten sonra izlemeden uygulamaya geçin. Önce politikayı küçük bir yüzdeyle
(örneğin yüzde 25) quarantine'e değiştirin. İstenmeyen etkileri
izlerken pct değerini kademeli olarak artırın. Tüm meşru mesajların
geçtiğinden emin olduğunuzda reject'e geçin ve yüzde 100'e ulaşmadan
önce yeniden düşük bir yüzdeyle başlayın. Bu süreci aceleye getirmeyin; ilgili
taraflara eksik e-postaları bildirmeleri için zaman tanıyın ve gerekirse
politikanızı ayarlamaya hazır olun.
Adım 8 — DMARC Dağıtımınızı Koruyun ve Optimize Edin
E-posta altyapısı gelişir. DMARC izlemeyi düzenli operasyonlarınızın bir parçası
haline getirin. Toplu raporları haftalık ya da aylık gözden geçirin; hatalarda
ani artışlar veya yeni gönderim kaynakları için uyarılar ayarlayın; hizmet
eklediğinizde ya da kaldırdığınızda SPF ve DKIM kayıtlarını güncelleyin. DKIM
anahtarlarını en yılda bir kez döndürün ve DNS sağlayıcınızın daha büyük
anahtarları desteklediğinden emin olun. Gerekli yerlerde alt alan adı
politikalarını açıkça yönetin. Politikanız reject aşamasına
geçtiğinde, taşıma katmanı güvenliği için MTA-STS ve TLS-RPT gibi gelişmiş
protokolleri ve desteklenen istemcilerde logonuzu görüntülemek için BIMI'yi
uygulamayı değerlendirin.
Neden DMARCFlow'u Düşünmelisiniz?
DMARC'ı manuel olarak yönetmek zorlu olabilir. Raporlar sıkıştırılmış XML dosyaları olarak gelir, SPF kayıtları sorgu sınırları içinde tutulmalıdır ve politika ilerlemesi dikkatli bir zamanlama gerektirir. Özel bir platform bu görevleri basitleştirebilir. DMARCFlow, farklı büyüklükteki kuruluşların gereksiz karmaşıklık olmadan DMARC'ı etkin biçimde uygulamasına yardımcı olmak üzere tasarlanmıştır.
Küçük ekipler veya e-posta kimlik doğrulamalarını pekiştiren şirketler için Standard plan, 12 aylık veri saklama süresiyle beş alan adına kadar destek sunar. Toplu (ve isteğe bağlı adli) raporları alır; bunları trend analitikleriyle zenginleştirilmiş panolarda sunar. Gönderim kaynaklarını otomatik olarak keşfeder; politika ilerlemesinde izlemeden karantinaya ve redde kadar size rehberlik eder; yeni göndericiler veya kimlik doğrulama hataları göründüğünde uyarı gönderir. PDF ve CSV dışa aktarmaları ile zamanlanmış özetler, ilgili taraflarla ilerlemeyi paylaşmayı kolaylaştırır; güvenli SPF denetimleri ise sorgu sınırı hatalarını önlemek için salt okunur rehberlik sağlar. İki faktörlü kimlik doğrulama, coğrafi haritalar ve çok dilli destek güvenliği ve kullanılabilirliği artırır.
Birçok alan adını yöneten kuruluşların gelişmiş yönetim ve entegrasyonlara ihtiyaç duyabileceği durumlar için Enterprise plan, yirmi beş alan adını destekler; verileri otuz altı ay boyunca saklar ve aylık üç milyona kadar DMARC mesajını işler. Denetim günlüğü tutma, çoklu oturum açma (SAML/OIDC) ve SCIM sağlama, yazma özellikli API'ler ve Splunk, QRadar ile Elastic için yerel bağlayıcılar içeren rol tabanlı erişim kontrolü ekler. Jira ve ServiceNow entegrasyonları olay müdahalesini hızlandırır. Veri ikametgâhı seçenekleri bölgesel uyumluluk gereksinimlerini karşılamaya yardımcı olur; platform ise adli raporları yerleşik bir görüntüleyiciyle işler. Dinamik SPF yönetimi; kaydı sınırlar içinde tutmak için düzleştirme, otomatik include'lar ve sorgu koruyucuları sağlar. Alan adı kara liste izleme, Slack veya Teams üzerinden uyarlanabilir uyarılar, çalışma alanı gruplama, BIMI hazırlık denetimleri ve barındırılan MTA-STS ve TLS-RPT hizmetleri gibi ek özellikler daha karmaşık ortamları destekler.
Tamamen yönetilen bir sonuç arayan kuruluşlar için Enterprise+ plan; sınırsız alan adı ve kullanıcı, genişletilmiş veri saklama ve özel mesaj hacimleri sunar. Özel bir DMARC mühendisi ve müşteri başarı yöneticisi; SPF temizleme, DKIM anahtarlama ve kademeli politika uygulaması dahil olmak üzere dağıtımı denetler. Program; haftalık operasyonel kontroller, aylık yönetici raporları, IP itibarı zenginleştirmesiyle tehdit istihbaratı, yönetilen DKIM anahtar rotasyonu ve SPF politika otomasyonu ile üç aylık iş değerlendirmelerini kapsar. Özel veri saklama ve kendi depolamanızı getirme seçenekleri, nöbetçi eskalasyonu ve özel çalışma kılavuzları DMARC'ın iş gereksinimleriyle uyumlu kalmasını sağlar.
Otomatik raporlama, güvenli SPF yönetimi ve rehberli politika ilerlemesini bir araya getirerek DMARCFlow, kuruluşların DMARC uyumluluğunu daha hızlı ve daha az hatayla sağlamasına yardımcı olur. Doğru planı seçmek; kaç alan adı yönettiğinize, ne kadar veri saklamanız gerektiğine ve ne ölçüde operasyonel destek istediğinize bağlıdır.
Kaçınılması Gereken Yaygın Hatalar
- SPF veya DKIM'i atlamak. DMARC, SPF ve DKIM olmadan çalışamaz. Bu protokolleri her zaman önce yapılandırın ve doğrulayın.
- Uygulamaya acele etmek. Quarantine veya reject'e geçmeden önce raporları birkaç hafta boyunca toplayın ve analiz edin.
- Eksik envanter. Meşru postayı engellemekten kaçınmak için tüm alan adlarını, alt alan adlarını ve gönderim hizmetlerini denetleyin.
- Alt alan adlarını göz ardı etmek.
spetiketi ile açık alt alan adı politikaları belirleyin ya da bireysel kayıtlar oluşturun. - SPF sorgu sınırını aşmak. SPF kaydınızı DNS sorgusu
gerektiren on mekanizma içinde tutun;
permerrorsonuçlarından kaçınmak için dinamik yönetim kullanın. - DKIM anahtarlarını döndürmemek. Kriptografik gücü korumak için birden fazla seçici kullanın ve anahtarları periyodik olarak döndürün.
Sonuç
DMARC, büyük hacimde e-posta gönderen kuruluşlar için artık isteğe bağlı değildir. Markanızı korur, teslim edilebilirliği artırır ve büyük posta kutusu sağlayıcılarının gereksinimlerini karşılar. DMARC'ı başarıyla uygulamak; altyapınızı denetlemeyi, SPF ve DKIM'i kurmayı, bir DMARC politikası yayımlamayı, raporları analiz etmeyi, sorunları gidermeyi ve uygulamaya dikkatli ilerlemeryi gerektirir. Süregelen bakım, işiniz geliştikçe e-posta kimlik doğrulamanızın etkin kalmasını sağlar.
Bu adımları manuel olarak yönetebilmenize rağmen DMARCFlow gibi platformlar; dağıtım süresini kısaltan ve yanlış yapılandırma riskini azaltan kapsamlı araçlar, güvenli SPF yönetimi ve rehberli politika ilerlemesi sunar. Standard, Enterprise veya Enterprise+ planını seçmenizden bağımsız olarak DMARCFlow, operasyonel ve uyumluluk gereksinimleriyle örtüşen, e-posta kimlik doğrulamasına yönelik yapılandırılmış bir yol sunar.