DMARC Nedir (Domain‑based Message Authentication, Reporting, and Conformance)?

September 02, 2025By DMARCFlow Team

Domain‑based Message Authentication, Reporting, and Conformance; kısaca DMARC olarak bilinen bu protokol, spam göndericilerin alan adınızı taklit etmesini önlemek için tasarlanmış bir e-posta kimlik doğrulama standardıdır. Alan adı sahiplerine, Sender Policy Framework (SPF) ve DomainKeys Identified Mail (DKIM) denetimlerini geçemeyen iletilerle alıcı sunucuların nasıl başa çıkması gerektiğini belirtme imkânı tanır. Böylece sahte gönderici adreslere dayanan kurumsal e-posta ihlallerini, phishing saldırılarını ve diğer dolandırıcılıkları önlemeye yardımcı olur. DMARC ayrıca alan adınız adına kimin e-posta gönderdiğini ve bu e-postaların kimlik doğrulamayı geçip geçmediğini görebilmeniz için raporlama işlevi sunar.

DMARC ve Bileşenlerini Anlamak

DMARC, SPF ve DKIM üzerine inşa edilmiştir. SPF, bir alan adı sahibinin adına e-posta göndermesi yetkilendirilmiş IP adreslerini veya posta sunucularını DNS'te yayımlamasına olanak tanır. DKIM ise bir e-postanın içeriğinin ve From alanının iletim sırasında değiştirilmediğini kriptografik imzalarla kanıtlar. DMARC bu ikisini bir araya getirir: From başlığında görünen alan adının, SPF ve DKIM'de kullanılan alan adlarıyla örtüşüp örtüşmediğini denetler. SPF veya DKIM'den en az biri geçerse ve alan adları hizalıysa DMARC geçer; aksi takdirde başarısız olur.

Bir DMARC kaydı, DNS'te _dmarc.yourdomain.com alt alan adı altında yayımlanan basit bir metin kaydıdır. Noktalı virgüllerle ayrılmış etiket ve değer çiftleri içerir. En önemli etiketler şunlardır:

  • v: DMARC sürümü. DMARC1 olmalıdır.
  • p: Bir ileti kimlik doğrulamayı geçemediğinde uygulanan politika. Seçenekler: none, quarantine veya reject.
  • rua: Toplu raporların gönderileceği adres ya da adresler. Raporlar genellikle günde bir kez gönderilir.
  • ruf: Hata (adli) raporları için kullanılan adres. Bu raporlar, başarısız olan bireysel iletilere ait başlık bilgilerini içerir ve desteklendiğinde gerçek zamanlı olarak iletilir.
  • adkim ve aspf: DKIM ve SPF için hizalama modları. r değeri esnek hizalamayı (kurumsal alan adlarının eşleşmesi yeterlidir), s ise katı hizalamayı (alan adlarının birebir aynı olması gerekir) ayarlar.
  • pct: Politikanın uygulanacağı başarısız ileti yüzdesi. Yaptırımın kademeli olarak hayata geçirilmesi için kullanılabilir.
  • sp: Alt alan adları için ayrı bir politika. Belirtilmezse alt alan adları ana politikayı izler.

Kimlik doğrulamayı geçemeyen tüm e-postaları reddetmek ve günlük raporlar almak isteyen bir alan adı için örnek bir DMARC kaydı aşağıdaki gibi görünür:

v=DMARC1; p=reject; rua=mailto:dmarcreports@example.com; ruf=mailto:dmarc-errors@example.com; adkim=s; aspf=s; pct=100;

Politika etiketi (p), alıcıların uyumsuz iletilerle ne kadar sert ilgileneceğini belirler. Her düzey aşağıda özetlenmektedir.

Politika Anlamı İleti işleme Kullanım senaryosu
none Yalnızca izleme Tüm iletileri teslim et Veri toplamanın yapıldığı ilk dağıtım aşaması
quarantine Şüpheli iletiler Spam veya gereksiz posta klasörüne yönlendir Sorunların giderilmesinin ardından ara aşama
reject Katı uygulama Uyumsuz iletileri sil Güvenin yüksek olduğu nihai durum

DMARC SPF ve DKIM ile Nasıl Çalışır?

Bir posta sunucusu e-posta aldığında bir dizi denetim gerçekleştirir. Önce görünür From adresindeki alan adını arar ve DNS'te bir DMARC kaydı olup olmadığını kontrol eder. Kayıt yoksa posta sunucusu kendi anti-spam politikalarına başvurur. Kayıt varsa sunucu, alan adı sahibinin belirttiği şekilde SPF ve DKIM'i denetler:

  1. Sunucu, gönderen IP adresini envelope‑from (return‑path) adresindeki alan adına ait SPF kaydıyla karşılaştırır. IP yetkiliyse ve alan adı görünür From alan adıyla hizalıysa DMARC'ın SPF kısmı geçer.
  2. Sunucu, e-posta başlığındaki DKIM imzalarını doğrular. En az bir imza geçerliyse ve d etiketindeki alan adı görünür From alan adıyla hizalıysa DMARC'ın DKIM kısmı geçer.
  3. SPF veya DKIM testlerinden biri geçerse ve ilgili alan adı hizalıysa genel DMARC testi başarılı sayılır. Her ikisi de başarısız olursa ya da hizalama sağlanamazsa DMARC başarısız olur.
  4. p etiketine göre sunucu iletiyi teslim eder, karantinaya alır veya reddeder. Alıcılar belirli durumlarda (örneğin yerel beyaz listeler) politikayı geçersiz kılabilir; ancak gerekçeyi raporlamaları zorunludur.
  5. Alıcı günde bir kez toplu bir rapor derler ve bunu rua'da belirtilen adrese gönderir. ruf etiketi mevcutsa ve alıcı adli raporları destekliyorsa bireysel hata raporları gerçek zamanlı olarak iletilebilir.

Hizalama, DMARC'ta temel bir kavramdır. Katı hizalama, SPF, DKIM ve From başlığındaki alan adlarının birebir aynı olmasını gerektirir. Esnek hizalama ise aynı kurumsal alan adını paylaşmalarına izin verir. Örneğin newsletter.example.com, esnek modda example.com ile hizalıdır; ancak katı modda değildir. Doğru hizalama modunu seçmek, e-posta teslim edilebilirliğini korurken kimlik sahteciliğini önlemeye yardımcı olur.

DMARC Neden Önemlidir?

E-posta, siber suçlar için birincil bir vektör olmaya devam etmektedir. Phishing, kurumsal e-posta ihlalleri ve fidye yazılımları çoğunlukla sahte iletilerle başlar. Araştırmalar, ağ saldırılarının büyük bir bölümünün e-postadan yararlandığını ve phishing saldırılarının neredeyse yüzde doksanının kötü amaçlı yazılım içermediğini, bunun yerine sosyal mühendisliğe dayandığını göstermektedir. DMARC olmadan, SPF ve DKIM yapılandırılmış olsa bile saldırganlar görünür From alanında alan adınızı taklit edebilir; müşterilerinizi, tedarikçilerinizi veya çalışanlarınızı kandırarak markanıza zarar verebilir.

DMARC'ın benimsenmesi hızla artmıştır. Google, Microsoft ve Yahoo gibi büyük sağlayıcılar, bir gönderici kayıt yayımladığında DMARC'ı destekler ve uygular. Dünya genelinde milyarlarca posta kutusu DMARC'a uyum sağlamakta; gönderici taraftaki benimseme de artmaya devam etmektedir. Yediden fazla milyon alan adı DMARC kaydı yayımlamakta ve bu sayı her çeyrekte yükselmektedir. Ekim 2023'te Gmail ve Yahoo, toplu göndericilerin gelen kutusu teslimini sağlamak için DMARC'ı etkinleştirmeleri gerektiğini duyurdu. Geride kalan kuruluşlar, iletilerinin spam klasörlerine düşmesi veya tamamen reddedilmesi riskiyle karşı karşıya kalmaktadır.

DMARC uygulamak e-posta güvenliğini artırır ve teslim edilebilirliği iyileştirir. Alıcılar alan adınızın DMARC ile korunduğunu bildiklerinde iletilerinize güvenme olasılıkları daha yüksektir. DMARC ayrıca uyumlu gelen kutularında marka logonuzu görüntüleyen Brand Indicators for Message Identification (BIMI) gibi diğer standartların önünü açar. Güvenliğin ötesinde DMARC, alan adınız adına kimin e-posta gönderdiğine dair görünürlük sağlar. Raporlar; meşru göndericileri, yanlış yapılandırılmış hizmetleri ve kötü niyetli aktörleri gün yüzüne çıkarır. Bu bilgiler, kimlik doğrulamayı sıkılaştırmanıza ve yetkisiz kaynakları kaldırmanıza olanak tanır.

DMARC Raporlama ve İzleme

DMARC raporlaması, protokolün temel bileşenlerinden biridir. Toplu raporlar XML biçiminde gönderilir ve alan adınız için belirli bir süre, genellikle bir gün boyunca gerçekleşen tüm kimlik doğrulama sonuçlarını özetler. Her kayıt; gönderen IP adresini, ileti sayısını ve SPF ile DKIM'in geçip geçmediğini gösterir. Toplu veriler, kalıpları belirlemeyi ve hangi kaynakların meşru, hangilerinin şüpheli olduğunu görmeyi kolaylaştırır.

Hata raporları, zaman zaman adli raporlar olarak da adlandırılır ve DMARC'ı geçemeyen bireysel iletiler hakkında daha ayrıntılı bilgi sağlar. Sorunlu e-postanın başlık bölümlerini, gönderen IP adresini ve başarısızlık nedenini içerirler. Adli raporlar, yanlış yapılandırmaları ayıklamak için değerli olmakla birlikte, kişisel veri ifşası riski nedeniyle tüm sağlayıcılar tarafından desteklenmez. Bu durumlarda toplu raporlar birincil araç olmaya devam eder.

DMARC raporlarını manuel olarak izlemek güç olabilir. XML biçimi ayrıntılıdır ve özellikle yüksek e-posta trafiğine sahip alan adlarında veri hacmi büyük olabilir. Ham verileri eyleme dönüştürülebilir içgörüye çevirmek, ayrıştırma araçları ve uzmanlık gerektirir. Etkili izleme; geçiş oranlarını takip etmeyi, yeni göndericileri belirlemeyi, hata artışlarını fark etmeyi ve anormallikleri araştırmayı kapsar. Özellikle birden fazla alan adı yönetildiğinde bu süreç oldukça zaman alıcı hale gelebilir.

DMARC'ı Adım Adım Uygulamak

DMARC'ın hayata geçirilmesi hazırlık ve dikkatli bir dağıtım süreci gerektirir. Aşağıdaki adımlar üst düzey bir çerçeve sunmaktadır:

  1. Alan adınızı hazırlayın. İşlevsel SPF ve DKIM kayıtlarınızın olduğundan emin olun. Alan adınız adına e-posta gönderen tüm meşru posta sunucularını ve hizmetleri listeleyin. Posta yönlendirmeyi veya üçüncü taraf hizmetleri alan adınızı doğru şekilde kullanacak biçimde yapılandırın.
  2. İzleme kaydı yayımlayın. p=none ile bir DMARC kaydı oluşturun, bir rua adresi ekleyin ve başlangıç noktası olarak esnek hizalamayı seçin. Bu yapılandırma, posta teslimatını etkilemeden rapor toplar.
  3. Raporları analiz edin ve sorunları giderin. Hangi göndericilerin meşru olduğunu ve hangi hizmetlerin kimlik doğrulamada başarısız olduğunu belirlemek için toplu verileri inceleyin. Yanlış yapılandırmaları düzeltin ya da SPF ve DKIM'i güncelleyin. Yetkisiz göndericileri kaldırın veya yeniden yapılandırın. Geçiş oranları tutarlı hale gelene kadar izlemeyi sürdürün.
  4. Yaptırımı artırın. Politikayı p=quarantine olarak değiştirin; isteğe bağlı olarak başarısız iletilerin bir alt kümesine politika uygulamak için daha düşük bir pct değeriyle başlayın. Meşru e-postaların yanlış yönlendirilmediğinden emin olmak için izlemeyi sürdürün.
  5. Reject politikasına geçin. Tüm meşru e-postaların kimlik doğrulamayı geçtiğinden emin olduğunuzda p=reject ayarlayın ve pct etiketini kaldırın ya da düzenleyin. Bu politika, alıcılara sahte tüm iletileri silmeleri talimatını verir. Yeni sorunları veya göndericileri tespit etmek için izlemeyi sürdürün.
  6. Bakımı yapın ve adapte olun. DMARC, bir kez kurulup unutulacak bir teknoloji değildir. Yeni hizmetler veya alan adları eklediğinizde kayıtlarınızı güncelleyin. Raporları düzenli olarak gözden geçirin. Gerekirse hizalama veya politikaları ayarlayın. BIMI eklemeyi ve sağlayıcı gereksinimlerindeki değişiklikleri izlemeyi düşünün.

Dağıtım sırasında olası zorluklara dikkat edin. Posta listeleri ve yönlendiriciler DKIM imzalarını bozabilir ya da From alanını değiştirebilir; bu durum meşru iletilerde DMARC'ın başarısız olmasına yol açar. Bazı sağlayıcılar bunu önlemek için From adresini yeniden yazar. Reklam ağları, iletişim formları ve diğer üçüncü taraf hizmetler de adınıza e-posta gönderebilir; bunların doğru şekilde yapılandırılması şarttır. None politikasıyla başlamak ve yaptırımı kademeli olarak artırmak, bu sorunları teslimata etki etmeden önce yakalamanıza yardımcı olur.

Doğru DMARC Çözümünü Seçmek Neden Önemlidir?

DMARC'ı yönetmek, özellikle birden fazla alan adına, küresel operasyonlara veya sınırlı teknik kaynaklara sahip kuruluşlar için karmaşık olabilir. XML raporlarını ayrıştırmak, yüzlerce gönderim kaynağını takip etmek ve tutarlı SPF ile DKIM hizalamasını sürdürmek zaman ve uzmanlık gerektirir. Otomasyon ve analiz araçları, raporları toplayarak, verileri normalleştirerek ve net içgörüler sunarak bu görevi kolaylaştırır.

DMARCFlow bu çözümlerden biridir. Kendini sıradan bir tedarikçi olarak konumlandırmak yerine DMARCFlow, e-posta kimlik doğrulamasına bütünsel bir yaklaşım benimser. Platform şunları sunar:

  • Yapay zeka destekli izleme. Makine öğrenmesi modelleri, anormallikleri, alışılmadık gönderim kalıplarını ve olası kimlik sahteciliği girişimlerini manuel incelemeden çok daha hızlı tespit eder. Bu, tehditler ortaya çıktığında yanıt süresini kısaltır.
  • Kullanıcı dostu panolar. Raporlar görsel grafiklere ve net özetlere dönüştürülür. Teknik bilgisi olmayan kullanıcılar bile hangi kaynakların e-posta gönderdiğini, kaç iletinin geçip geçmediğini ve sorunların nerede ortaya çıktığını görebilir.
  • Rehberli kurulum ve kayıt oluşturma. DMARCFlow, SPF, DKIM ve DMARC kayıtlarını doğru şekilde oluşturmak için sihirbazlar sunar. Karmaşık SPF kayıtlarını düzleştirmeye ve birden fazla seçiciyi yönetmeye yardımcı olarak yaygın on sorgu sınırından kaçınmanızı sağlar.
  • Çok alan adı yönetimi. Kuruluşlar, tek bir arayüzden birçok alan adını ve alt alan adını yönetebilir. Politikalar grup düzeyinde uygulanabilir, istisnalar ise bireysel olarak ele alınır.
  • Kapsamlı raporlama. Günlük ve haftalık raporlar hem toplu hem de adli verileri özetler. Görsel panolar eğilimleri, yeni göndericileri ve olası kötüye kullanımları vurgular. Uyarılar, yöneticileri ani değişiklikler konusunda bilgilendirir.
  • Avrupa veri koruması. DMARCFlow, tüm verileri yalnızca Avrupa Birliği sınırları içinde depolar ve Genel Veri Koruma Tüzüğü (GDPR) gereksinimlerine uyar. Kişisel veriler saklanmaz. Bu durum, DMARCFlow'u Avrupalı işletmeler ve katı gizlilik yasalarına tabi olan kuruluşlar için özellikle uygun kılar.
  • Hızlı dağıtım. İlk kurulum dakikalar içinde tamamlanabilir. Rehberli bir sihirbaz, DNS kayıtlarını eklemeniz ve doğrulamanız boyunca size eşlik eder. Derin DNS uzmanlığına gerek yoktur.
  • Şeffaf fiyatlandırma ve gerçek destek. DMARCFlow, gizli ücretler veya hacme dayalı cezalar olmaksızın net planlar sunar. Karmaşık e-posta altyapılarında yol alırken kurulum ve sorun giderme konusunda gerçek kişiler yardımcı olur.

Pratikte bu özellikler, DMARCFlow'u şirket içi uzmanlık geliştirmeksizin güçlü bir e-posta güvenliği isteyen kuruluşlar için ideal kılar. Yapay zeka motoru, insanların gözden kaçırabileceği sorunları yakalar. GDPR uyumluluğuna odaklanmak, hassas verilerin Avrupa yargı alanları içinde kalmasını sağlar. Kayıt oluşturucu ve risk tarayıcısı, yanlış yapılandırma olasılığını azaltır. Halihazırda bir miktar e-posta güvenliği önlemi alan şirketler için DMARCFlow, güvenli e-posta ağ geçitlerini ve uç nokta korumayı, kimlik doğrulama ve marka kimliği sahteciliğini ele alarak tamamlar.

Sonuç

DMARC, alan adınızı kimlik sahteciliğine, phishing'e ve diğer e-posta kötüye kullanım biçimlerine karşı korumaya yardımcı olan güçlü bir araçtır. SPF ve DKIM üzerine inşa edilmiş olup görünür From adresini temel kimlik doğrulama alan adlarıyla hizalar ve uyumsuz iletilerin nasıl ele alınacağı konusunda size kontrol imkânı tanır. Ayrıca posta akışlarınıza ışık tutan değerli raporlar sunar. DMARC'ı uygulamak planlama, izleme ve süregelen bakım gerektirir; ancak faydaları açıktır: daha iyi güvenlik, iyileştirilmiş teslim edilebilirlik ve artan güven.

Doğru DMARC çözümünü seçmek bu yolculuğu çok daha kolay hale getirebilir. DMARCFlow, yapay zeka destekli izleme, kullanımı kolay panolar, rehberli kurulum ve güçlü veri koruma yaklaşımıyla DMARC uyumluluğunu sağlamak ve sürekli gelişen e-posta tehditlerinin önünde kalmak için pragmatik bir yol sunar. İster tek bir alan adı ister çok sayıda alan adı yönetiyor olun, DMARC'ı benimsemek ve yetenekli bir platformla ortaklık kurmak, e-posta güvenlik duruşunuzu güçlendirecek ve markanızı koruyacaktır.