DMARC Hatası Nasıl Çözülür?

Alan adınız adına gönderilen e-postaların güvenliğini ve teslim edilebilirliğini sağlamak için attığınız son ve en önemli adım DMARC’tır (Domain-based Message Authentication, Reporting, and Conformance). Bu rehber, DMARC hatasının kaynağını bulmanız, teknik uyumsuzlukları gidermeniz için bir yol haritası sunar. DMARC’ı kurmak, sorunların bittiği anlamına gelmez.

Eğer e-posta raporlarınızda sürekli olarak “DMARC Fail” (DMARC Başarısız) hatası görüyorsanız, bu e-postalarınızın spam klasörüne düştüğü veya tamamen reddedildiği anlamına gelir. Bu durum, özellikle $p=quarantine$ veya $p=reject$ politikalarını uyguladığınızda iş iletişiminiz için ciddi bir tehdittir.

Bu rehber, DMARC hatasının kaynağını bulmanız, teknik uyumsuzlukları gidermeniz ve Türkiye pazarına özgü popüler servisler için kesin çözümleri uygulamanız için uzman (E-E-A-T uyumlu) bir yol haritası sunar.

DMARC Hatasının Anatomisi: SPF/DKIM Uyumsuzluğu (Alignment)

DMARC, SPF ve DKIM’i tek tek kontrol etmez; bu iki kaydın uyumlu (Aligned) olup olmadığını kontrol eder. DMARC hatasının tek bir sebebi vardır: SPF veya DKIM doğrulaması yapılmış olsa bile, bu doğrulamanın DMARC standartlarına göre uyumlu olmaması.

DMARC’ın Temel Kuralı: Uyum (Alignment) Kontrolü Nedir?

Bir e-postanın DMARC’tan geçmesi için, e-postanın gönderildiği gözüken adres (From Adresi), SPF kaydında kullanılan alan adı veya DKIM imzasında kullanılan alan adı ile eşleşmelidir. Bu eşleşmeye Alignment (Uyum) denir.

Uyum iki şekilde kontrol edilir:

• Strict Alignment (Sıkı Uyum): Gönderen alan adı ile doğrulama alan adı birebir aynı olmalı.
• Relaxed Alignment (Gevşek Uyum): Gönderen alan adı ile doğrulama alan adı, ana alan adı bazında eşleşmeli (örneğin: mail.alanadiniz.com ile alanadiniz.com eşleşir).

Eğer SPF veya DKIM, uyum içinde başarılı olmazsa, DMARC başarısız (Fail) olur.

1. Hata Kaynağı: SPF Uyumsuzluğu (SPF Alignment Fail)

SPF, e-postayı gönderen IP adresinin yetkili olup olmadığını kontrol eder. SPF Uyumsuzluğu, genellikle üçüncü taraf servisler e-posta gönderirken ortaya çıkar.

Örnek Senaryo: Pazarlama yazılımınız (örneğin HubSpot) sizin adınıza bir e-posta gönderdi. SPF doğrulaması, HubSpot’un sunucularının yetkili olduğunu gösterir (SPF Pass). Ancak e-posta, HubSpot’un gönderim alanı olan gonderi.hubspot.com üzerinden gönderilmiştir. Sizin From adresiniz ise satis@alanadiniz.com. DMARC raporunda bu iki alan adı uyumsuz olduğu için SPF Alignment Fail görürsünüz.

2. Hata Kaynağı: DKIM Uyumsuzluğu (DKIM Alignment Fail)

DKIM Uyumsuzluğu, DKIM imzasının alan adının, e-postadaki From adresi ile eşleşmemesi durumunda oluşur. DKIM başarısızlığı, SPF’e göre daha nadir görülür ama genellikle daha kritiktir. Genellikle bir e-posta yönlendirme (Forwarding) sırasında veya listelerde DKIM imzasının bozulmasıyla ortaya çıkar.

DMARC Raporları ile Hatanın Kaynağını Tespit Etme

DMARC raporları (RUA ve RUF), hatanın kaynağını gösteren en değerli verilerdir. Bu raporları analiz etmeden DMARC hatasını çözmek imkansızdır.

RUA ve RUF Raporları Nasıl Okunur? (Veri Çözümleme)

DMARC kaydınızdaki rua= parametresi, toplu raporların ($XML$ formatında) gönderileceği adresi belirtir. Bu raporlar size şu bilgileri verir:

• Source IP: E-postayı gönderen sunucunun IP adresi.
• Count: Bu sunucudan ne kadar e-posta geldiği.
• SPF/DKIM Result: SPF ve DKIM doğrulamalarının sonucu (Pass/Fail).
• Disposition: DMARC’ın e-postaya ne yaptığını (None, Quarantine, Reject).
• Alignment: SPF ve DKIM’ın DMARC için uyumlu olup olmadığı.

Raporlarda, Disposition (Eylem) olarak Fail olan ve SPF/DKIM Alignment alanlarında uyumsuzluk (Failure) gösteren satırlar, acil düzeltmeniz gereken sorunlu gönderici servislerdir.

Kimlik Avı (Phishing) Girişimleri vs. Yanlış Yapılandırma

DMARC raporlarını incelerken gördüğünüz Fail sonuçları ikiye ayrılır:

1. Sizin Servislerinizden Kaynaklanan Fail: Gönderen IP’si tanıdık (örneğin Sendgrid IP’si) ancak Alignment (Uyum) başarısız. Çözüm: DNS ayarlarınızı düzeltmek.
2. Kötü Niyetli Kaynaklardan Kaynaklanan Fail: Gönderen IP’si tanımadığınız, yurt dışı kaynaklı ve yüksek miktarda gönderim yapan sunucular. Çözüm: DMARC politikasını $p=quarantine$ veya $p=reject$ seviyesine yükselterek sahte e-postaları durdurmak.

Adım Adım DMARC Hatası Çözüm Rehberi (Checklist)

Adım 1: DMARC Politikasını Gözetleme Moduna ($p=none$) Çekme

Eğer $p=quarantine$ veya $p=reject$ politikalarını uyguluyorsanız ve DMARC hatası alıyorsanız, derhal politikanızı gözetleme moduna ($p=none$) çekmelisiniz. Bu, hatalı e-postaların reddedilmesini durdurur ve sorunu çözene kadar iletişiminizin devam etmesini sağlar.

Düzeltilecek Kayıt: v=DMARC1; p=none; rua=mailto:rapor@alanadiniz.com

Adım 2: Hata Veren Servis İçin SPF veya DKIM’i Düzeltme

Raporda DMARC Hatası (Fail) veren her bir IP adresi/servis için (genellikle üçüncü taraf göndericiler) SPF ve DKIM uyumunu kontrol edin.

E-ticaret Örneği: Shopify Bildirimleri İçin DKIM/SPF Uyumunu Sağlama

Shopify, otomatik bildirimleri kendi sunucuları üzerinden gönderir ve genellikle SPF doğrulaması Shopify’ın alan adı üzerinden yapılır. DMARC uyumunu sağlamak için, Shopify’ın size verdiği DKIM (CNAME) kaydını DNS’inize doğru bir şekilde eklemelisiniz. Bu, DKIM Uyumunu sağlayarak DMARC’ı geçmesini mümkün kılar.

Cold Email Örneği: Warming Servisleri İçin Hata Düzeltme

Cold email için kullandığınız warming (ısıtma) servisleri veya otomasyon araçları, sizin alan adınızla uyumlu bir şekilde e-posta gönderemiyorsa DMARC hatası verir. Çözüm, o servisin size verdiği DKIM CNAME kayıtlarını eksiksiz eklemek ve servisin SPF mekanizmasının ana SPF kaydınızda yer aldığından emin olmaktır.

Adım 3: DMARC Kayıt Parametrelerini Kontrol Etme

Bazen hata DMARC kaydınızın kendisinden kaynaklanır:

• sp= (Subdomain Policy): Alt alan adları için (örneğin bulten.alanadiniz.com) ayrı bir politika (sp=none, sp=reject vb.) tanımlanmamış olabilir.
• pct= (Percentage): DMARC politikasının uygulanacağı e-posta yüzdesi. Eğer %100’de (pct=100) ise ve hata varsa, bunu %10’a düşürerek (pct=10) hasarı azaltabilirsiniz.
• adkim= ve aspf= (Alignment Tipi): Varsayılan olarak gevşek uyum (r) kullanılır. Eğer bu parametreler sıkı uyuma (s) ayarlanmışsa ve uyum sorunu yaşıyorsanız, bunu gevşek (r) olarak değiştirmek sorunu geçici olarak çözebilir.

Adım 4: Başarılı Düzeltme Sonrası Politikayı Yükseltme

DMARC raporlarınızda 7-10 gün boyunca herhangi bir yetkili sunucudan DMARC Fail (uyumsuzluk) görmediğinizde, politikayı yavaşça yükseltin:

1. $p=quarantine$ (Karantinaya al): Hatalı e-postaların spam klasörüne gitmesini sağlar. (Tüm yetkili e-postaların %100 geçtiğinden emin olduktan sonra)
2. $p=reject$ (Reddet): Hatalı e-postaların tamamen reddedilmesini sağlar. (Tüm yetkili e-postaların $p=quarantine$ ile test edildiğinden emin olduktan sonra)

DMARC Başarısızlığına Neden Olan Gizli Etmenler

E-posta Yönlendirme (Forwarding) ve DMARC Sorunu

E-posta yönlendirme (örneğin: info@sirket.com adresine gelen bir e-postanın calisan@gmail.com adresine yönlendirilmesi) genellikle SPF doğrulamasıyla ilgili sorunlara yol açar. Yönlendirme sunucusu e-postayı orijinal IP adresinden değil, kendi IP adresinden gönderdiği için SPF bozulur. Eğer DKIM hâlâ uyumlu ve geçerliyse, DMARC yine de geçebilir. Ancak hem SPF hem de DKIM bozulursa DMARC başarısız olur.

Mailing Listeleri ve DKIM İmzasının Kırılması

Mailing listeleri, e-posta başlıklarını veya gövdesini (abonelikten çıkma linki eklemek gibi) değiştirebilir. Bu küçük değişiklikler bile DKIM imzasını bozar. DKIM imzası bozulunca, DMARC da başarısız olur. Bu sorunu aşmak için listelerden gönderim yaparken dikkatli olmalı veya listelerin DMARC uyumluluğu için özel ayarları olup olmadığını kontrol etmelisiniz.

SSS (People Also Ask) Bölümü

DMARC Fail alıyorum ama e-postalarım hala ulaşıyor, neden?

Bunun nedeni, DMARC kaydınızın politikasının $p=none$ (Gözetleme) olarak ayarlanmış olmasıdır. $p=none$ politikası, e-postalar DMARC’tan başarısız olsa bile alıcının eyleme geçmesini gerektirmez; sadece size rapor gönderir. Ancak bu durum, kimlik avı saldırılarını da engellemediği anlamına gelir. Güvenlik için $p=quarantine$ veya $p=reject$ politikalarına geçmelisiniz.

DMARC Alignment (Uyum) için SPF mi yoksa DKIM mi daha önemlidir?

DMARC geçişi için SPF veya DKIM’den herhangi birinin uyum içinde başarılı olması yeterlidir. Yani birinden biri bozulsa bile, diğeri doğru yapılandırılmışsa DMARC geçilir. DKIM, e-posta yönlendirmelerde bozulmaya daha dirençli olduğu için genellikle biraz daha güvenilir kabul edilir.

DMARC raporları kaç gün arayla gelmelidir?

DMARC raporlarının sıklığı, kaydınızdaki ri= (Raporlama Aralığı) parametresi ile belirlenir. Varsayılan değer 86400 saniyedir (24 saat). Bu, size günde bir toplu rapor gönderileceği anlamına gelir. Sorun çözme aşamasında bu süreyi kısaltmanız önerilmez, zira raporlar çok büyük boyutlara ulaşabilir.

DMARC politikamı hemen $p=reject$ yapmalı mıyım?

Hayır, kesinlikle yapmamalısınız. Politikayı doğrudan $p=reject$ olarak ayarlamak, yanlış yapılandırılmış meşru e-postalarınızın bile reddedilmesine neden olur. DMARC geçişi, en az 4-6 hafta sürmesi gereken, $p=none$ ile başlayıp, hataların düzeltilip, $p=quarantine$ üzerinden yavaşça $p=reject$’e geçilmesi gereken kontrollü bir süreçtir.

DMARC raporlarını okumak, SPF/DKIM uyumsuzluklarını tespit etmek ve politikayı güvenli bir şekilde $p=reject$ seviyesine taşımak, ciddi uzmanlık ve sürekli takip gerektirir. Yanlış bir DMARC politikası, e-ticaret sitenizin sipariş bildirimlerinin veya önemli cold email’lerinizin alıcıya ulaşmasını tamamen durdurabilir.

Eposta Uzmanı olarak e-ticaret e-posta pazarlaması, deliverability ve cold email otomasyonlarında profesyonel çözümler sunuyoruz. DMARC hatalarınızı hızla çözmek, kimlik avını engellemek ve e-posta teslimatınızı %99’un üzerine çıkarmak için ücretsiz analiz ve kesin çözüm garantisi için bizimle iletişime geçin.