DNS Üzerinden E-posta Güvenlik Ayarları

E-posta güvenlik ayarları kaynaklı e-posta deliverability (teslim edilebilirliği) sorunları yaşıyor veya kimlik avı (phishing) saldırılarından endişe ediyorsanız, çözüm arayışınıza DNS (Domain Name System) yönetim panelinizde başlamalısınız. DNS, alan adınızın dijital kimlik kartıdır ve e-posta güvenlik ayarlarının temelini oluşturan SPF, DKIM ve DMARC gibi hayati kayıtları barındırır.

Bu kayıtlar, alıcı sunuculara (Gmail, Outlook vb.) sizin gerçekten kim olduğunuzu kanıtlayan E-E-A-T uyumlu teknik taahhütlerdir. Bu rehber, e-posta güvenlik ayarlarını en üst düzeye çıkarmak için DNS panelinde yapmanız gereken tüm ayarları (TXT ve CNAME kayıtları dahil) adım adım, teknik ve anlaşılır bir dille açıklayacaktır.

Neden E-posta Güvenlik Ayarları DNS Üzerinden Yapılır?

DNS’in Rolü: Alan Adı Yetkisini Kanıtlama

DNS, bir alan adının kime ait olduğunu ve o alan adına ait hangi sunucuların ne tür hizmetler sunduğunu (web, e-posta vb.) belirleyen küresel bir sistemdir. E-posta güvenlik ayarları DNS’e eklenir çünkü bu, alan adınızın sahibinin bu e-posta güvenlik ayarlarını yaptığını kanıtlamanın tek yoludur. Alıcı sunucu, DNS kaydına bakarak sizin sahte olmadığınızı anlar.

Alan Adı İtibarı ve DNS Kayıtlarının İlişkisi

SPF, DKIM ve DMARC kayıtlarının doğru ve eksiksiz olması, Alan Adı İtibarınızı (Domain Reputation) doğrudan artırır. Bu kayıtlar, filtrelerin size daha fazla güvenmesini ve e-postalarınızı spam klasörü yerine gelen kutusuna yönlendirmesini sağlar.

1. Hayati Ayar: SPF (Sender Policy Framework) Kurulumu

SPF, bir alan adı adına e-posta göndermeye yetkili tüm sunucuları (IP adresleri ve servisler) listeleyen bir DNS kaydıdır.

SPF Kaydını DNS’e Ekleme (TXT Türü)

SPF kaydı, DNS panelinize TXT (Text) türünde bir kayıt olarak eklenir.

• Host/İsim: Genellikle @ (ana alan adı için) veya alanadiniz.com
• Değer/İçerik: v=spf1 … -all şeklinde başlayan bir metin.

Kritik Hata: Birden Fazla SPF Kaydını Birleştirme Yöntemi

Bir alan adı, DNS’te yalnızca bir adet SPF TXT kaydına sahip olabilir. Eğer kurumsal e-posta (Google Workspace) ve pazarlama (Mailchimp) için ayrı ayrı kayıt eklerseniz, bu PermError ile sonuçlanır ve e-postalarınız reddedilir.

Çözüm (Tek Kayıtta Birleştirme):

$$v=spf1 \text{ include:\_spf.google.com} \text{ include:servers.mcsv.net} \text{ -all}$$

SPF Politikasını Belirleme: Hardfail ($-\text{all}$) Kullanımı

SPF kaydının sonundaki mekanizma, listede olmayan bir sunucudan gelen e-postaya ne yapılacağını söyler:

• Hardfail ($-\text{all}$): Listedeki sunucular dışındakileri KESİNLİKLE REDDET. (Phishing’i önlemek için önerilen en güvenli kalıcı politika).
• Softfail ($~\text{all}$): Şüpheli olarak işaretle, spam’e yönlendir. (Sadece test aşamasında kullanılır.)

2. Hayati Ayar: DKIM (DomainKeys Identified Mail) Kurulumu

DKIM, gönderdiğiniz her e-postaya dijital bir imza ekler. Bu imza, alıcıya e-postanın yolda değiştirilmediğini kanıtlar.

DKIM İçin TXT vs CNAME Kayıt Türü Seçimi

E-posta güvenlik ayarları için servis sağlayıcınız (ESP), DKIM kurulumu için genellikle iki tür kayıt sunar:

1. TXT Kaydı: ESP’nin size verdiği uzun, karmaşık Genel Anahtarı doğrudan DNS’e eklersiniz. (Manuel yönetim gerektirir.)
2. CNAME Kaydı: DKIM anahtarının yönetimini tamamen ESP’ye devreder. Anahtar değiştiğinde DNS’te güncelleme yapmanız gerekmez. (Önerilen ve modern yöntemdir.)

Örnek (CNAME): Mailchimp, kurulum için size iki ayrı CNAME kaydı verebilir.

DKIM Selector (Seçici) Kavramı ve Yönetimi

DKIM kaydını DNS’e eklerken, k1._domainkey veya mandrill._domainkey gibi bir Seçici (Selector) kullanırsınız.

• Önem: Bu Seçici, alıcı sunucunun DKIM imzasını doğrulamak için DNS’te hangi Genel Anahtara bakacağını söyler. Birden fazla servis (pazarlama, işlemsel) kullanıyorsanız, her servisin farklı bir DKIM Selector’ı olmalıdır.

3. Hayati Ayar: DMARC (Raporlama ve Politika) Kurulumu

DMARC, SPF ve DKIM’ın sonuçlarını kontrol eder ve bu iki doğrulama başarısız olduğunda (uyumsuzluk durumunda) ne yapılacağını belirleyen bir politikadır.

DMARC TXT Kaydını Oluşturma Söz Dizimi (Syntax)

DMARC kaydı da DNS’e TXT türünde eklenir ve mutlaka _dmarc alt alan adını kullanır.

• Host/İsim: \_dmarc
• Değer/İçerik:
  $$v=DMARC1; \text{ p=none}; \text{ rua=mailto:rapor@alanadiniz.com}$$
  • p= (Policy): Uygulanacak politika ($none$, $quarantine$, $reject$).
  • rua= (Reporting): Toplu raporların gönderileceği e-posta adresi.

DMARC Raporları (RUA) ile Hata Tespiti

DMARC raporlarını analiz etmek, bilinmeyen göndericileri (kimlik avı girişimleri) ve meşru gönderimlerinizdeki SPF/DKIM uyumsuzluklarını tespit etmenizi sağlar. DMARC $p=reject$ politikasına geçmeden önce bu raporları analiz etmek zorunludur.

DNS Üzerindeki İkinci Katman Güvenlik Ayarları

Bu ayarlar, IP ve Alan Adı İtibarınızı (Domain Reputation) daha da güçlendirir.

Ters DNS (PTR Kaydı) Kontrolü (IP İtibarı İçin)

Ters DNS (PTR Kaydı), SPF’in tam tersidir; IP adresinin hangi alan adına ait olduğunu doğrular. PTR kaydının olmaması, spam filtreleri için olumsuz bir sinyaldir. Eğer kendi sunucunuzu veya Özel IP’nizi kullanıyorsanız, bu kaydı mutlaka hosting sağlayıcınızla kontrol edin.

BIMI Kaydı (Logo Gösterimi) ve DMARC İlişkisi

BIMI (Brand Indicators for Message Identification), e-postanızın yanında markanızın logosunu gösteren yeni bir DNS kaydıdır. BIMI, açma oranını artırır ancak ön koşulu: DKIM ve SPF’in tam olması ve DMARC politikasının $p=reject$ seviyesinde olmasıdır.

E-ticaret ve Cold Email İçin DNS Ayarları Checklist’i

E-ticaret (Shopify/Ticimax): Tüm Gönderici IP’lerini SPF’e Ekleme

E-ticaret siteleri (Shopify, Ticimax, İdeasoft) genellikle sipariş onayı, pazarlama ve faturalama için farklı servisler kullanır.

• Checklist: Shopify, Ticimax, kullandığınız tüm kargo bildirim servislerinin SPF mekanizmalarını tek bir SPF kaydında topladığınızdan emin olun.

Cold Email: Alt Alan Adı (Subdomain) İçin Ayrı DNS Kayıtları

Cold Email (soğuk e-posta), itibar açısından risklidir. Ana alan adınızın itibarını korumak için:

• Strateji: Cold email gönderimini bir alt alan adı (outreach.alanadiniz.com) üzerinden yapın.
• DNS: Bu alt alan adı için ayrı bir SPF, DKIM ve DMARC kaydı (başlangıçta $p=none$) kurun. Bu sayede alt alan adınız zarar görse bile, ana alan adınız güvende kalır.

SSS (People Also Ask) Bölümü

DNS kayıtlarında SPF, DKIM ve DMARC’ın türü ne olmalıdır?

• SPF: TXT kaydı
• DKIM: Genellikle CNAME kaydı (servis sağlayıcıları için) veya TXT kaydı
• DMARC: TXT kaydı

Birden fazla SPF kaydım varsa ne yapmalıyım?

DNS’te birden fazla SPF TXT kaydı bulunması bir hatadır (PermError). Tüm include: mekanizmalarını tek bir TXT kaydında birleştirip eski kayıtları silmelisiniz.

DMARC kaydını kurdum ama e-postalarım hala spam’e düşüyor, neden?

Bunun nedeni, DMARC politikanızın büyük ihtimalle $p=none$ (gözetleme) olarak ayarlanmış olmasıdır. $p=none$, sadece rapor gönderir, e-postaları reddetmez. Spam sorununu çözmek için DMARC’ın yanı sıra, SPF/DKIM’in uyumlu olduğundan ve alan adı itibarınızın yüksek olduğundan emin olmalısınız.

DNS TTL süresi ne anlama gelir?

TTL (Time To Live), DNS kayıtlarınızda yaptığınız değişikliğin tüm internet sunucularına yayılması için geçmesi gereken süredir. Hata düzeltirken bu süreyi kısa tutmak (örneğin 300 saniye/5 dakika) iyileştirmeyi hızlandırır.

DNS üzerinden SPF, DKIM ve DMARC ayarlarını doğru ve uyumlu bir şekilde yapmak, e-posta Deliverability’nizin temelidir ve kimlik avı saldırılarını engellemek için zorunludur. Hatalı bir kayıt veya yanlış birleştirme, tüm iletişiminizin anında kesilmesine neden olabilir.

Eposta Uzmanı olarak E-posta güvenlik ayarları, deliverability ve cold email otomasyonlarında profesyonel çözümler sunuyoruz. DNS güvenlik ayarlarınızı (SPF/DKIM/DMARC) kusursuzca kurmak, uyumsuzlukları çözmek ve kalıcı olarak %99+ teslimat garantisi sağlamak için ücretsiz analiz ve kesin çözüm garantisi için bizimle iletişime geçin.