Bir alıcı posta sunucusu DKIM imzasını doğruladığında, imzayla eşleşen genel anahtarı alması gerekir. Ancak bir etki alanı aynı anda birçok DKIM anahtarı yayımlayabilir — farklı e-posta sağlayıcıları, farklı departmanlar veya farklı rotasyon döngüleri için. DKIM seçicisi, alıcı sunucuya tam olarak hangi anahtara bakması gerektiğini söyleyen mekanizmadır. E-posta kimlik doğrulamasını yöneten, teslim hatalarını hata ayıklayan veya bir anahtar rotasyonu planlayan herkes için seçicileri anlamak zorunludur.

DKIM Seçicisi Nedir?

Bir DKIM seçicisi, siz veya e-posta sağlayıcınız tarafından seçilen kısa bir dizedir ve DKIM genel anahtarının yayımlandığı DNS adının bir parçasını oluşturur. Etki alanı içindeki belirli bir anahtarı benzersiz biçimde tanımlayan bir etiket işlevi görür.

Genel anahtarı içeren DNS kaydı her zaman şu konumda yayımlanır:

selector._domainkey.example.com

Örneğin seçiciniz google ve etki alanınız example.com ise genel anahtar şu adreste bulunur:

google._domainkey.example.com

Bunu bir DNS sorgusuyla manuel olarak doğrulayabilirsiniz:

dig TXT google._domainkey.example.com

Yanıt, v=DKIM1 ile başlayan, ardından anahtar türünü (k=rsa veya k=ed25519) ve Base64 kodlu genel anahtarı (p=...) içeren bir TXT kaydı içerecektir. Kayıt eksikse veya anahtar imzayla eşleşmiyorsa DKIM doğrulaması başarısız olur.

DKIM Seçicileri Nasıl Çalışır?

Posta sunucunuz veya e-posta servis sağlayıcınız bir ileti gönderdiğinde, e-postayı özel anahtarla imzalar ve bir DKIM-Signature başlığı ekler. Bu başlık, diğer alanların yanı sıra şunları içerir:

  • d= — imzalayan etki alanı (örn. example.com)
  • s= — seçici (örn. google)
  • h= — imzalanan başlıkların listesi
  • b= — kriptografik imzanın kendisi

Bir alıcı posta sunucusu iletiyi aldığında:

  1. DKIM-Signature başlığından d= ve s= değerlerini okur.
  2. s._domainkey.d DNS adını oluşturur; örneğin google._domainkey.example.com.
  3. DNS'den TXT kaydını alır ve genel anahtarı çıkarır.
  4. Başlıktaki kriptografik imzayı doğrulamak için bu genel anahtarı kullanır.
  5. İmza geçerliyse ve etki alanı From: başlığıyla hizalanıyorsa DMARC DKIM hizalaması geçer.

Seçici, e-postadaki imza ile DNS'deki anahtar arasındaki köprüdür. Seçici olmadan, alıcının potansiyel olarak yayımlanmış birçok anahtardan hangisini doğrulama için kullanacağını bilmesinin yolu yoktur.

Yaygın Seçici Adları

Seçiciler herhangi bir dize olabilir; ancak e-posta servis sağlayıcıları genellikle tahmin edilebilir değerler kullanır. Yaygın olanları bilmek, bir DKIM hatasını hızlıca teşhis etmeniz gerektiğinde işe yarar.

Sağlayıcı Tipik seçici(ler)
Google Workspace google
Microsoft 365 selector1, selector2
Mailchimp / Mandrill k1, k2
SendGrid s1, s2
Amazon SES Rastgele UUID tarzı dizeler
Özel / kendi barındırmalı default, mail, dkim

Microsoft 365, tasarım gereği iki seçici kullanan önemli bir sağlayıcı örneğidir: selector1 ve selector2. Bu yapı, sorunsuz anahtar rotasyonunu destekler. Herhangi bir anda, bir seçici imzalama için etkinken diğeri yayımlanmış ancak henüz kullanımda değildir.

Birden Fazla Seçici Neden Önemlidir?

Tek bir etki alanı genellikle birkaç bağımsız hizmet üzerinden e-posta gönderir: birincil posta sunucusu, bir pazarlama otomasyon platformu, bir işlemsel e-posta sağlayıcısı ve belki de bir destek biletleme sistemi. Bunların her biri farklı bir DKIM anahtarı — dolayısıyla farklı bir seçici — kullanabilir.

Birden fazla seçici kullanmanın üç temel nedeni vardır:

  • Farklı gönderim hizmetleri. Her ESP veya posta sistemi kendi özel anahtarıyla imzalar. Alıcıların her hizmetten gelen imzaları bağımsız olarak doğrulayabilmesi için karşılık gelen genel anahtarın benzersiz bir seçicide yayımlanması gerekir.
  • Anahtar rotasyonu. Bir DKIM anahtarını döndürdüğünüzde, eski anahtarın aktarımdaki iletilerin teslim edilip doğrulanması için yeterince uzun süre geçerli kalması gerekir. İkinci bir seçici, kimlik doğrulama kapsamında boşluk oluşturmadan eski anahtarı devre dışı bırakmadan önce yeni anahtarı yayımlamanıza olanak tanır.
  • Paralel dağıtım. Bir ESP'den diğerine geçiş sırasında veya yeni bir imzalama yapılandırmasını test ederken, iki seçiciyi paralel olarak çalıştırmak mevcut posta akışlarını bozmadan yeni kurulumu doğrulamanızı sağlar.

Seçiciler bağımsız DNS kayıtları olduğundan, aynı anda kaç tane yayımlayabileceğiniz konusunda bir sınır yoktur. Her biri ayrı bir anahtar çiftine eşlenir ve diğerlerini etkilemeden eklenebilir, değiştirilebilir veya kaldırılabilir.

Bir DKIM Seçicisi Nasıl Aranır?

Bir etki alanı için DKIM seçicisi aramanın iki yaygın yolu vardır.

Komut satırı araçlarını kullanma. Seçici adını zaten biliyorsanız, DNS kaydını doğrudan sorgulamak için dig veya nslookup kullanın:

dig TXT selector._domainkey.example.com
nslookup -type=TXT selector._domainkey.example.com

Başarılı bir yanıt, v=DKIM1 ve Base64 kodlu genel anahtara sahip bir p= alanı içeren bir TXT kaydı içerir. Boş bir yanıt veya NXDOMAIN, seçicinin DNS'de mevcut olmadığı anlamına gelir.

DMARCFlow DKIM Denetleyicisini kullanma. Hangi seçicinin etkin olduğunu bilmiyorsanız en kolay yaklaşım DMARCFlow DKIM Denetleyicisini kullanmaktır. Etki alanınızı girin; araç yaygın seçicileri sorgular ve bulunan her biri için anahtar ayrıntılarını, geçerliliği ve algoritmayı görüntüler. Seçiciyi doğrudan bir ileti başlığından da alabilirsiniz — gönderilmiş bir e-postada DKIM-Signature başlığını arayın ve s= değerini okuyun.

DKIM Anahtar Rotasyonu En İyi Uygulamaları

DKIM anahtarlarını periyodik olarak döndürmek, ele geçirilmiş bir özel anahtarın imzaları süresiz olarak taklit etmek için kullanılma riskini azaltır. Çoğu güvenlik çerçevesi, yılda en az bir kez döndürmeyi önerir; daha sıkı güvenlik gereksinimleri olan kuruluşlar genellikle her 90 günde bir döndürür.

Güvenli rotasyon için doğru sıra şöyledir:

  1. Yeni anahtar çiftini oluşturun. Yeni bir özel anahtar ve karşılık gelen genel anahtarı oluşturun. Yeni bir seçici adı atayın (örn. s1'den s2'ye artırın veya 2026q2 gibi tarih tabanlı bir ad kullanın).
  2. Yeni seçiciyi DNS'de yayımlayın. new-selector._domainkey.example.com adresine yeni TXT kaydını ekleyin. Posta sunucunuzu henüz yeni anahtarla imzalayacak şekilde değiştirmeyin.
  3. DNS yayılımını bekleyin. Hızlı yayılımı sağlamak için yayımlamadan önce yeni kayıttaki TTL değerini düşük bir değere (300–600 saniye) ayarlayın. Devam etmeden önce en az TTL süresi kadar — genellikle 5 ila 15 dakika — bekleyin.
  4. İmzalamayı yeni anahtara geçirin. Posta sunucunuzu veya ESP yapılandırmanızı, giden iletileri yeni özel anahtarla imzalayacak ve DKIM-Signature başlığında yeni seçiciye atıfta bulunacak şekilde güncelleyin.
  5. Eski seçiciyi canlı tutun. Geçişin ardından en az 48 saat (ideal olarak 7 gün) boyunca eski seçicinin DNS kaydını yayımlanmış halde bırakın. Eski anahtarla imzalanan ve hâlâ aktarımda olan iletilerin doğru şekilde doğrulanması için eski genel anahtara ihtiyaç vardır.
  6. Eski seçiciyi kaldırın. Aktarımdaki hiçbir iletinin eski seçiciye atıfta bulunmadığından emin olduğunuzda, eski DNS TXT kaydını silin ve eski özel anahtarı iptal edin ya da güvenli şekilde imha edin.

Çift yayımlama penceresi — hem eski hem de yeni seçicinin DNS'de canlı olduğu dönem — en kritik aşamadır. Eski kaydı çok erken kaldırmak, geçişten önce imzalanan ancak sonra teslim edilen iletiler için DKIM hatalarına neden olur.

DMARCFlow Nasıl Yardımcı Olur?

DKIM seçici sorunları, DMARC toplu raporlarında başarısız DKIM sonuçları veya DKIM hizalamasının geçmediği kayıtlar olarak ortaya çıkar. DMARCFlow her DMARC raporunu ayrıştırır ve DKIM sonuçlarına ilişkin kayıt başına içgörü sağlar; bu da seçiciyle ilgili sorunları tespit etmeyi kolaylaştırır.

  • DKIM sonuç izleme. DMARCFlow, DMARC raporlarınızdaki her gönderim kaynağı için DKIM kimlik doğrulama sonucunu — pass, fail, neutral, temperror veya permerror — gösterir. DKIM hatalarındaki ani bir artış, genellikle rotasyon sırasında çok erken kaldırılan bir seçiciye veya henüz geçerli bir anahtarla yapılandırılmamış yeni bir ESP'ye işaret eder.
  • Hizalama içgörüsü. DKIM geçişi, DMARC için gerekli ama yeterli değildir. d= etiketindeki kimlik doğrulanmış etki alanının da From: başlığı etki alanıyla hizalanması gerekir. DMARCFlow her kayıt için hizalamayı değerlendirir ve DKIM'in geçtiği ancak hizalamanın başarısız olduğu durumları açıkça işaretler — bu, üçüncü taraf bir ESP'nin kendi etki alanıyla değil sizin etki alanınızla imzalamasının tipik belirtisidir.
  • Eksik seçicileri tespit etme. DMARC raporlarınızda none veya permerror DKIM sonucuyla bir gönderici göründüğünde, DMARCFlow bu kaynağı öne çıkarır; böylece seçicinin DNS'den eksik olup olmadığını, yanlış yapılandırılıp yapılandırılmadığını ya da ilgili gönderim hizmeti için henüz kurulmamış olup olmadığını araştırabilirsiniz.
  • Güvenlik puanı ve olgunluk izleme. DKIM hizalaması, DMARCFlow'daki etki alanı güvenlik puanınıza ve DMARC olgunluk düzeyinize doğrudan katkıda bulunur. DKIM geçme oranınızı düşüren seçici sorunları puanınıza hemen yansır ve öneri motoru size tam olarak hangi gönderenleri düzeltmeniz gerektiğini söyler.
DKIM seçicilerinizi ücretsiz kontrol edin
Etkin seçicileri arayın, genel anahtarları doğrulayın ve eksik ya da yanlış yapılandırılmış DKIM kayıtlarını saniyeler içinde tespit edin.
DKIM'inizi Kontrol Edin

Sonuç

DKIM seçicileri, e-posta kimlik doğrulama sisteminin küçük ama kritik bir parçasıdır. Tek bir etki alanı için birden fazla DKIM anahtarı yayımlamayı mümkün kılar; böylece aynı anda birden fazla gönderim hizmetine destek sağlanır ve anahtar rotasyonu için güvenli bir yol sunulur. DNS'de geçerli bir seçici olmadan DKIM doğrulaması başarısız olur — DKIM hatası ise DMARC'ı geçmek için kullanılabilecek bir mekanizmanın daha azalması anlamına gelir.

En yaygın seçiciyle ilgili sorunlar — eksik kayıt, yerinde bırakılmış süresi dolmuş anahtar veya yanlış etki alanıyla imzalayan bir ESP — DMARC toplu raporlarında görülebilen kalıplar üretir. Bu raporları tutarlı biçimde izlemek, seçici sorunlarını teslim edilebilirliği etkilemeden önce yakalamanın en hızlı yoludur.

DMARCFlow bu görünürlüğü otomatik olarak sağlar. DMARC raporlarınızı ayrıştırır, her DKIM sonucunu çıktı ve hizalamaya göre sınıflandırır ve seçicilerinizi sağlıklı, e-posta kimlik doğrulamanızı sağlam tutmanız için eyleme dönüştürülebilir öneriler sunar.