E-posta, iş dünyasının en kritik iletişim aracı olmaya devam ederken, oltalama (phishing) saldırıları her geçen gün daha sofistike hale geliyor. Şirketlerin e-posta güvenliğini sağlamak için kullandığı üç temel protokol vardır: SPF, DKIM ve DMARC. Bu protokollerin her biri farklı bir amaca hizmet eder ve birlikte çalışarak e-posta sahteciliğini (spoofing) engeller. Bu yazıda, DMARC, DKIM ve SPF'yi karşılaştırmalı olarak inceleyecek, doğru yapılandırma adımlarını paylaşacak ve sık yapılan hatalara değineceğiz.
E-posta Kimlik Doğrulama Neden Gereklidir?
Oltalama saldırılarının büyük bir kısmı, gönderen adresinin taklit edilmesiyle başlar. Sosyal mühendislik saldırıları kapsamında değerlendirilen bu yöntem, kullanıcıları güvenilir bir kaynaktan geliyormuş gibi görünen e-postalarla kandırmayı hedefler. SPF, DKIM ve DMARC protokolleri, alıcı mail sunucusuna gönderenin gerçekten yetkili olup olmadığını kontrol etme imkanı verir. Bu sayede, şirketinizin alan adı kullanılarak yapılan sahtecilik girişimleri büyük ölçüde engellenebilir.
SPF (Sender Policy Framework)
SPF, bir alan adı adına e-posta göndermeye yetkili IP adreslerini tanımlayan bir DNS kaydıdır. Örneğin, şirketiniz yalnızca belirli bir mail sunucusu üzerinden e-posta gönderiyorsa, SPF kaydınıza yalnızca o sunucunun IP'sini eklersiniz. Alıcı mail sunucusu, gelen e-postanın IP'sini bu kayıtla karşılaştırır; eşleşmezse e-posta reddedilir veya spam klasörüne düşer.
SPF'nin avantajları: Kurulumu basittir, yalnızca bir DNS TXT kaydı eklemek yeterlidir. Ancak, SPF'nin zayıf yönleri de vardır: E-posta iletme (forwarding) durumunda sorun çıkarabilir ve alan adını tam olarak koruyamaz çünkü yalnızca zarf göndericisini (envelope sender) doğrular, başlıktaki "From" adresini değil.
DKIM (DomainKeys Identified Mail)
DKIM, e-postanın bütünlüğünü ve gönderenin alan adına ait olduğunu garanti altına almak için dijital imza kullanır. Gönderen mail sunucusu, e-postayı özel bir anahtarla imzalar; alıcı sunucu ise DNS'te yayınlanan açık anahtarla bu imzayı doğrular. İmza bozulursa (örneğin e-posta içeriği değiştirilmişse) doğrulama başarısız olur.
DKIM'in güçlü yanı: SPF'den farklı olarak e-posta iletme senaryolarında çalışmaya devam eder, çünkü imza e-postanın gövdesine eklenir. Ayrıca, üçüncü taraf hizmet sağlayıcılarının (örneğin Mailchimp) sizin adınıza e-posta göndermesine olanak tanır.
DMARC (Domain-based Message Authentication, Reporting & Conformance)
DMARC, SPF ve DKIM'in üzerine inşa edilen bir politikadır. Alan adı sahibine, SPF ve/veya DKIM doğrulaması başarısız olduğunda ne yapılacağını belirleme imkanı verir: hiçbir şey yapma (none), e-postayı karantinaya alma (quarantine) veya reddetme (reject). Ayrıca, DMARC raporlama özelliği sayesinde alan adı sahibi, kimlerin kendi adına e-posta göndermeye çalıştığını görebilir.
DMARC'in en büyük avantajı: Alan adını tamamen koruma altına alabilmesidir. Ancak, doğru yapılandırılmazsa meşru e-postaların da engellenmesine yol açabilir. Bu nedenle aşamalı geçiş (none → quarantine → reject) önerilir.
Karşılaştırma Tablosu
| Özellik | SPF | DKIM | DMARC |
|---|---|---|---|
| Temel Amaç | Gönderici IP doğrulaması | E-posta bütünlüğü ve imza doğrulaması | SPF ve DKIM sonuçlarına göre politika uygulama + raporlama |
| Doğrulama Yöntemi | IP adresi kontrolü | Dijital imza (özel/açık anahtar) | SPF ve DKIM sonuçlarını birleştirir |
| E-posta İletme | Genellikle başarısız olur | Çalışır (imza korunursa) | Politikaya bağlı |
| Kurulum Karmaşıklığı | Düşük | Orta | Yüksek (aşamalı geçiş) |
| Raporlama | Yok | Yok | Var (aggregate ve forensic raporlar) |
| En iyi uygulama | SPF kaydına tüm yetkili IP'leri ekleyin | Anahtar rotasyonu yapın | Önce none, sonra quarantine, sonra reject |
Kurulum Adımları
Her üç protokol de DNS TXT kayıtları aracılığıyla yapılandırılır. İşte adım adım rehber:
- SPF kurulumu: DNS yöneticinize gidin ve alan adınız için bir TXT kaydı ekleyin. Örnek:
v=spf1 ip4:192.168.1.0/24 include:_spf.google.com ~all. Burada~allyumuşak başarısızlık anlamına gelir; sert reddetme için-allkullanın. - DKIM kurulumu: E-posta hizmet sağlayıcınızdan (ör. Google Workspace, Outlook) bir DKIM anahtar çifti oluşturun. DNS'e
selector1._domainkey.alanadiniz.comşeklinde bir TXT kaydı ekleyin ve açık anahtarı girin. - DMARC kurulumu:
_dmarc.alanadiniz.comiçin bir TXT kaydı oluşturun. Örnek:v=DMARC1; p=quarantine; rua=mailto:[email protected]; ruf=mailto:[email protected]; pct=100.ppolitikayı belirler,ruatoplu raporların gönderileceği adres,rufadli raporlar içindir.
Sık Yapılan Hatalar ve Dikkat Edilmesi Gerekenler
Protokollerin doğru çalışması için kaçınılması gereken bazı tuzaklar vardır:
- SPF'de fazla IP eklemek: DNS sorgu limiti (10 adet) aşılabilir. Üçüncü taraf hizmetleri için
includemekanizmasını kullanın, IP yerine. - DKIM anahtar rotasyonunu ihmal etmek: Güvenlik için anahtarları periyodik olarak değiştirin.
- DMARC politikasını birden reject'e almak: Önce none ile raporları izleyin, sonra quarantine'e geçin. Fidye yazılımı saldırıları gibi tehditlerin önlenmesinde DMARC kritik rol oynar.
- Raporları izlememek: DMARC raporları, alan adınızın kötüye kullanımını ve yapılandırma hatalarını gösterir. Düzenli kontrol edilmezse sorunlar tespit edilemez.
- Üçüncü taraf hizmetleri unutmak: E-posta pazarlama araçları veya CRM'ler gibi hizmetlerin SPF ve DKIM ayarlarını da eklemeyi unutmayın.
Neden DMARC Olmazsa Olmazdır?
SPF ve DKIM tek başına e-posta sahteciliğini tam olarak engelleyemez. DMARC, bu iki protokolün sonuçlarını birleştirerek net bir politika belirler ve raporlama ile sürekli iyileştirme sağlar. Özellikle Sıfır Güven (Zero Trust) modelinin bir parçası olarak e-posta güvenliğinde DMARC kullanmak, kimlik doğrulama katmanını güçlendirir.
Sonuç
E-posta güvenliği, oltalama saldırılarına karşı ilk savunma hattıdır. SPF, DKIM ve DMARC'ı birlikte kullanmak, alan adınızın kötüye kullanılmasını engellemenin en etkili yoludur. Doğru yapılandırma ve düzenli izleme ile e-posta kaynaklı siber tehditlerin büyük bir kısmı önlenebilir. Unutmayın, siber güvenlikte tehdit istihbaratı çözümleri de bu protokollerle entegre çalışarak daha kapsamlı koruma sağlar.
Sık Sorulan Sorular
SPF, DKIM ve DMARC arasındaki temel fark nedir?
SPF, e-posta göndermeye yetkili IP adreslerini doğrular; DKIM, e-postanın bütünlüğünü ve kaynağını dijital imzayla garanti eder; DMARC ise SPF ve DKIM sonuçlarına dayanarak bir politika uygular ve raporlama sağlar.
DMARC politikamı doğrudan reject yapmalı mıyım?
Hayır, önce none politikasıyla başlayıp raporları incelemeli, ardından quarantine ve en son reject'e geçmelisiniz. Aksi takdirde meşru e-postalarınız engellenebilir.
E-posta iletme (forwarding) durumunda hangi protokol sorun çıkarmaz?
DKIM, e-posta iletme durumunda genellikle sorunsuz çalışır çünkü imza e-posta içindedir. SPF ise iletilen e-postalarda başarısız olabilir.
DMARC raporlarını kimler görebilir?
DMARC raporları, rua (aggregate) ve ruf (forensic) etiketlerinde belirtilen e-posta adreslerine gönderilir. Bu adresler alan adı sahibine ait olmalıdır.






